Hai tuần trước, tài khoản shared hosting của Cú đêm trên một nhà cung cấp hosting nổi tiếng tại Việt Nam bị hack. Các trang web chạy bằng WordPress đã bị nhiễm bởi một virus đã làm hỏng các file. Mã độc này còn có thể xâm nhập vào nhiều trang web (do đang dùng hosting chia sẻ, một máy chủ chạy nhiều trang web) nên đã gây ra một số thiệt hại cho khách hàng của Cú đêm. Hiện tại, Cú đêm có lưu trữ một số website sử dụng mã nguồn WordPress và các chương trình mã nguồn mở khác cho khách hàng của mình, nhưng bài viết này sẽ giúp đỡ bất kỳ ai sử dụng PHP (không riêng gì WordPress, mặc dù có nhiều nội dung liên quan tới WordPress đề cập trong bài).
Rất may, Cú đêm đã phục hồi được trang web WordPress bị hack và trở lại hoạt động bình thường. Nên có các lưu ý sau cho các bạn trong giai đoạn chưa bị hack hoặc đã bị hack.
Các cách để xử lý sự cố trước và sau khi Website bị Virus.
Cách 1: Thay đổi tất cả các mật khẩu!
- Cpanel, mật khẩu FTP, mật khẩu Web và mọi thứ liên quan.
- Ngoài ra bạn nên lưu trữ mật khẩu ở nơi an toàn (Google Drive có bảo mật hai lớp hoặc các phần mềm lưu trữ mật khẩu) thay vì để nó nằm ở một tệp trên Hosting.
- Luôn tạo ra các mật khẩu mạnh và dài thay vì cố gắng thông minh và tự tạo ra các mật khẩu của riêng bạn. Bạn có thể lên các trang web như thebitmill.com, delinea.com passwordsgenerator.net để tạo ra các mật khẩu phức tạp.
Cách 2: Giữ máy tính sạch Virus.
Có thể nhiều bạn tặc lưỡi với lời cảnh báo này. Nhưng có thể bạn không biết rằng đa số virus được tạo ra từ máy tính cục bộ, nơi chúng có thể bị đánh cắp thông tin như mật khẩu FTP hoặc cơ sở dữ liệu hay file ảnh bạn sắp sửa up lên web có chứa mã độc. Vậy nên bạn cần cài đặt chương trình chống virus và cập nhật thường xuyên. Nó cũng sẽ giúp cho máy tính của bạn ít bị đơ nếu như không có trình Anti-Virus.
Cách 3: Không bao giờ lưu mật khẩu trong phần mềm FTP.
Hầu như chúng ta đều sử dụng FTP để tải file lên hosting. Nó tiện lợi, nhanh chóng và ít lỗi ( giống như git 🙂 ). Nhưng chúng ta lưu mật khẩu thẳng vào trình FTP như Filezilla hay CuteFTP thì khá sai lầm. Những mật khẩu này được lưu trữ trong các file bình thường mà không mã hóa nào cả. Nên phần mềm độc hại nào nằm vùng trên máy cũng sẽ biết được những đường dẫn phổ biến để thử và trích xuất các mật khẩu FTP sau đó sử dụng mật khẩu lấy được để phát tán mã độc trực tiếp lên trang web của bạn. Nếu có thể, bạn cũng nên sử dụng FTPS (hoặc FTPES) thay vì FTP.
Cách 4: Cảnh giác các themes và plugin được chia sẻ trên mạng:
- Không phải tất cả các giao diện và plugin được tạo ra đều được miễn phí.
- Nhưng tất cả chúng ta đều muốn tiết kiệm tiền.
- Các plugin và chủ đề WordPress miễn phí làm cho chúng ta cảm thấy rất hứng thú.
Nhưng bạn nên nhớ nhớ, các plugin được tải xuống từ nguồn thứ ba (ngoài wordpress.org hoặc ngoài website của nhà sản xuất) sẽ không trải qua quá trình kiểm tra và tuân thủ bảo mật nào cả. Cũng không loại trừ những người có ý đồ xấu muốn sử dụng nó để phát tán Virus của họ. Do đó, website của chúng ta sẽ dễ bị hack hơn. Nếu bạn sử dụng các themes và plugins không rõ nguồn gốc. Vậy nên, bạn nên cẩn thận khi cài đặt themes, plugin không rõ nguồn gốc.
Cách 5: Áp dụng các bước được đề xuất của WordPress
WordPress cung cấp cho chúng ta một danh sách các bước hữu ích để làm cho nó khó bị đột nhập. Hãy tuân theo và áp dụng tất cả chúng. Đường link được đưa ra dưới đây.
Cách 6: Thực hiện sao lưu thường xuyên trực tuyến
Thực hiện sao lưu thường xuyên cho các trang web của bạn trực tuyến vì các dịch vụ lưu trữ chung không cung cấp dịch vụ này ngoại trừ sao lưu cuối cùng 24-48 giờ và thậm chí có thể đã bị nhiễm virus. Vì vậy, tốt hơn hết là giữ các bản sao lưu của riêng bạn. Các nhà cung cấp dịch vụ lưu trữ sẽ cách ly các tệp bị nhiễm virus, vì vậy không nên phụ thuộc vào họ để giải quyết vấn đề của bạn. Bạn có thể sử dụng plugin UpdraftPlus hay All-in-one WP Migration để tạo bản sao lưu.
Cách 7: Xoá sạch nếu có nghi ngờ.
Khi còn nghi ngờ, xóa sạch mọi thứ trên máy chủ và Restore lại với các bản sao lưu có sẵn nếu bạn cảm thấy tình trạng quá nặng. Cú đêm khuyên bạn xóa sạch tất cả những gì có trên Hosting và bắt đầu lại từ đầu với mật khẩu mới.
Cách 8: Đừng nhầm lẫn với môi trường Dev
Đừng bao giờ nhầm giữa môi trường sản phẩm, môi trường sản xuất hay môi trường phát triển!. Đối với các doanh nghiệp nhỏ hoặc cá nhân, hầu như chưa có khái niệm này. Chúng ta thường sử dụng chung một máy chủ cho tất cả. Nhưng tốt hơn nếu bạn có điều kiện thì nên triển khai một máy chủ có môi trường mỗi website tách biệt theo các bước với một địa chỉ IP Public riêng. Thay vì sử dụng cùng một dịch vụ lưu trữ cho tất cả các trang web của khách hàng trên đó.
Cách 9: Cẩn trọng khi dùng SSH
SSH là người bạn đồng hành đáng tin cậy của bạn khi bạn cần truy cập đến các tệp và thư mục trên máy chủ từ xa. Với SSH, bạn có thể làm các việc như tải lên, tải xuống, sao chép, dán tệp hay thư mục, và chạy các lệnh trên máy chủ từ xa một cách an toàn. Tuy nhiên, hãy đảm bảo rằng bạn hiểu rõ cách sử dụng SSH để tránh gây ra các vấn đề bảo mật cho máy chủ của bạn.
Cách 10: Thay đổi dịch vụ lưu trữ
Một lựa chọn này có thể là chuyển sang một dịch vụ lưu trữ an toàn hơn với đánh giá tốt hơn và cơ chế kiểm tra virus và cân bằng tải cũng như tài nguyên tốt hơn. Bạn có thể tham khảo danh sách các nhà cung cấp dịch vụ Hosting tại Việt Nam.
Cách 11: Lưu trữ tệp wp-config ở ngoài thư mục httpdocs (public_html)
Trước đó Cú đêm có tham gia một cuộc thảo luận khá hữu ích về việc tại lưu tệp wp-config.php ở ngoài thư mục public_html của hosting hoàn toàn an toàn và được đánh giá khá cao. Bạn sẽ không cần thay đổi gì trong cài đặt WordPress và thông tin đăng nhập FTP/Cơ sở dữ liệu của website sẽ không được hiển thị trên trạng thái debug hay lỗi nào nếu có.