Thời gian gần đây trên các diễn đàn chia sẻ Themes nước ngoài liên tục có những cảnh báo về việc bị cài mã độc khi dùng các themes và plugins tải từ trang chia sẻ từ dlwordpress.com.

Khá nhiều bạn ở VN cũng download themes từ đây để dùng hoặc test thử.VHW khuyên các bạn hãy dừng việc download themes từ dlwordpress.com và các trang nulled khác như null24,themelock hay wplocker,…vì những themes bị cài mã độc có thể được download về rồi chia sẻ lại trên các trang này.

Mã độc được cài trên Themes ở dlwordpress.com như thế nào?

Các themes từ dlwordpress.com sẽ tự động thêm một số dòng code thay đổi một số tính năng mặc định của wordpress core vào file post.php trong thư mục wp-includes và tạo ra một file mới có tên wp-cd.php cũng trong thư mục wp-includes để tải mã độc đã được mã hóa.

Các code được thêm vào post.php như bên dưới:

Và code trong file wp-cd.php khi được giải mã (bằng Base64 Decode) sẽ như sau:

Mã độc sẽ làm gì website của bạn?

Các đoạn mã trên cũng sẽ add code vào trong file functions.php để thực hiện một số thay đổi khác.Mục đích của đoạn mã độc này là giúp kẻ tấn công có thể lấy nội dung bài viết của bạn và đáng kể hơn là kẻ đó có thể thay đổi nội dung bài viết của bạn một cách dễ dàng.

Tất nhiên với việc cài thêm các đoạn code (đã mã hóa) vào trong wordpress core,thì nhiều khả năng kẻ tấn công có thể làm những việc khác như tạo ra user account để đăng nhập vào trang quản trị (DashBoard) hay thậm chí ăn cắp password của bạn.

Các đoạn mã này cũng có thể bị lây lan nếu bạn dùng nhiều wordpress websites trên cùng shared hosting.

Cần làm những gì khi bị nhiễm loại mã độc này?

Vì các đoạn mã phát tán từ theme và lây lan vào wordpress core nên chúng ta cần làm những việc sau đây:

  1. Deactive theme/plugins đang dùng và copy thư mục themes/plugins về máy tính để check sau,rồi remove tất cả themes trên hosting.
  2. Xóa file wp-cd.php trong wp-inludes…nếu phát hiện các file lạ khác thì xóa luôn.
  3. Update wordpress (re-install) hoặc dùng plugin bảo mật Wordfence để restore wordpress core về mặc định (để ghi đè lên những file đã bị thêm code bằng file sạch từ wordpress.
  4. Kiểm tra trong database có các table nào lạ không để xóa đi,đặc biệt kiểm tra table user xem có users nào được tạo ra mà ta không biết thì xóa luôn.
  5. Tải themes sạch lên và active lại.
  6. Cài đặt và active Wordfence plugin để đảm bảo mọi thay đổi bất thường trên WordPress core sẽ được thông báo và ngăn chặn kịp thời.
  7. Kiểm tra trong thư mục wp-includes xem file post.php có còn đoạn mã độc trên không và có file wp-cd.php được tạo ra không.
  8. Đã bị hack một lần thì nhớ chừa …đừng bao giờ dùng các themes không rõ nguồn gốc trên hosting.Nếu muốn test themes thì nên test trên localhost và an toàn nhất là chạy trên máy ảo.

Hi vọng bài viết sẽ giúp các bạn phòng tránh và khắc phục (nếu đã bị) loại mã độc mới này.Chúc các bạn dùng themes an toàn!

17279

Khóa học Pro WordPress Web Design 2022

Bạn có thể tự xây dựng Website chuẩn SEO chuyên nghiệp với tài nguyên WP bản quyền trị giá $1000

(*) Vui lòng kiểm tra email để xác thực hoàn tất đăng ký. Nếu không thấy email bạn nên kiểm tra tab Quảng cáo và Spam và kéo email vào tab Chính (Primary) nhé!

17 COMMENTS

  1. Trang web của mình thời gian gần đây bị Hack tự động tạo tài khoản với quyền admin. Chúng vào chèn quảng cáo. Mình vẫn chưa tìm được nguyên nhân từ đâu.

    • Pạn cài plugins theme-check xem nó có code mã hóa trong theme không? Kiểm tra trong databse có tables lạ mới tạo ra không nữa. Nhiều khi dùng shared hosting, những website khác nó cũng có thể lây sang, xem pạn còn chạy site nào khác trên gói hosting đó không, quét kiểm tra toàn bộ cho chắc, để lâu nếu nó phá hoại code và database thì về sau khó khắc phục lắm.

  2. Mình nghĩ nếu chỉ download về để phân tích,thử theme free download thì ok nhưng nếu cho công việc thì nên tìm cho mình một theme thiet ke chuyên cho lĩnh vực công việc của mình để được hỗ trợ và nhiều tính năng hơn.,khong nên dùng theme quá cồng kềnh dư thừa nhiều chức năng không cần tới sẽ ít phức tạp hơn 😀

    • Chính xác ạ. Một số thương hiệu như MyThemeShop chuyên thiết kế các theme cho từng mục đích, rất tối ưu và dễ sử dụng.
      Nhưng thực tế nhiều người vẫn cần các tính năng mở rộng, đặt biệt là muốn tạo thiết kế theo ý mình nên thích dùng các themes có Page Builder.

    • Đây là trang rất nổi trong năm trước vì có nhiều themes rất HOT được share, cũng như wplocker hay themelock, null24…nói chung họ có nhiều cách để câu traffic hoặc mục đích khác bằng cách sửa thêm code vào các theme này khi nulled.

    • Hoàn toàn đồng ý!
      Mấy themes nulled trên các trang chia sẻ free như null24,dlwordpress,wplocker,themelock…đều ít nhiều chỉnh sửa,nhẹ thì chỉ thêm watermark,aff-links.Nguy hiểm hơn là cài trưc tiếp mã độc vào theme hoặc request một file js từ bên ngoài..lúc đầu đó có thể là code sạch,nhưng người ta có thể thay đổi file đó bằng mã độc bất cứ lúc nào.

  3. Bài viết hay lắm, giờ ko chỉ theme download trên mạng. mà cả plugin trực tiếp từ wordpress.com cũng có nguy cơ bị trojan.

LEAVE A REPLY

Please enter your comment!
Please enter your name here