Website WordPress bị chuyển hướng sang 1 website lạ chứa virus hoặc lừa đảo

Chào bạn!

Thời gian gần đây hacker tiếp tục hoành hành bằng nhiều trò tinh vi và ngay cả nền tảng bảo mật tốt như wordpress cũng đã bị tấn công.

Đang nhiên đang lành bỗng dưng website của bạn bị chuyển hướng sang 1 website lạ chứa virus hoặc lừa đảo như line.beatylines.com, fire.descriptionscripts.com, tratbc.com, cdn.statisticline.com, record.findtrustclicks.com, back.firstblackphase.com, shbzek.com,…Thì chắc chắn website của bạn đã bị tấn công.

Một vài trường hợp bạn Hãy ngay lập tức đăng nhập vào mục quản trị website và tìm Plugin độc hại có tên ví dụ như sau: Wp sleaper, wp-sleaper, wp-sleaper.com. Sau đó xóa nó ngay lập tức và vấn đề của bạn sẽ được loại bỏ.

Tuy nhiên 1 số lỗi nặng hơn có thể sẽ mất nhiều thời gian để tìm và sửa lỗi hơn.

Kể từ năm 2017, chúng tôi ước tính rằng hơn một triệu trang web WordPress đã bị lây nhiễm bởi chiến dịch này. Mỗi năm, nó liên tục được xếp hạng trong 3 trường hợp lây nhiễm hàng đầu mà chúng tôi phát hiện và xóa khỏi các trang web bị xâm nhập.

Thủ đoạn xâm nhập của những kẻ xâm nhập là sử dụng các tên miền mới đăng ký lưu trữ các tập lệnh độc hại trên các tên miền phụ ngẫu nhiên và bằng cách chuyển hướng đến các trang web lừa đảo khác nhau bao gồm hỗ trợ kỹ thuật giả mạo , trúng xổ số gian lận và gần đây hơn là thông báo đẩy lừa đảo hiển thị các trang hình ảnh xác thực không có thật yêu cầu người dùng “Vui lòng cho phép để xác minh rằng bạn không phải là người máy”, các trang web cờ bạc, đồi trụy,…ví dụ như hình dưới.

Danh sách hơn 100 tên miền mà những kẻ xâm nhập hay chuyển hướng đến:

trackstatisticsss[.]com
accongestion[.]com
actraffic[.]com
admarketlocation[.]com
adsforbusines[.]com
adsformarket[.]com
adsrequestbest[. ]com
adtrafficjam [.]com
backrocklondon[.]com
balanceformoon[.]com
balanceforsun[.]com
balantfromsun[.]com
Becausenightisbetter[.]com
Becauseshineisbetter[.]com
Beforwardplay[.]com
belaterbewasthere[.]com
belazyelephant[.]com
belighterservice[.]com
bluelabelmoscow[.]com
bullgoesdown[.]com
buycongestion[.]com
buyittraffic[.]com
carlbendergogo[.]com
chatwithgreenbar[.]com
collectfasttracks[.]com
costsimpleplay[.]com
createrelative switching[.]com
cuttraffic[.]com
dancewithlittleredpony[.]com
Deliverblackjohn[.]com
denzzzelwashington[.]com
Destinyfernandi[.]com
dexterfortune[.]com
donaldbackinsky[.]com
followmyfirst1[.]com
generallocationgo[.]com
gianttttraffic[.]com
globalreinvation[.]com
gotosecond2[.]com
greenlabelfrancisco[.]com
greenrelaxfollow[.]com
importtraffic[.]com
jockersunface[.]com
letmakesomechoice[.]com
lightversionhotel[.]com
littleandbiggreenballlon[.]com
makesomethird3[.]com
postertraffic[.]com

Các ví dụ vể những cách lây nhiễm một trang web như thế nào và bạn có thể làm gì để bảo vệ chống lại các hacker đó:

  • Khai thác các lỗ hổng plugin và chủ đề : luôn cập nhật tất cả phần mềm trang web của bạn, xóa các plugin và chủ đề không sử dụng và sử dụng tường lửa ứng dụng web
  • Thông tin đăng nhập quản trị viên WordPress mạnh mẽ : Sử dụng mật khẩu mạnh, duy nhất cho tất cả các tài khoản của bạn, 2FA, tránh cấp đặc quyền quản trị viên cho những người dùng không cần và tận dụng WAF. Luôn thay đổi mật khẩu quản trị viên WordPress của bạn sau khi thỏa hiệp.
  • Thông tin đăng nhập cơ sở dữ liệu bị đánh cắp từ wp-config.php : Luôn cập nhật tất cả các chủ đề/plugin, tránh đổi tên tệp wp-config.php bằng thông tin đăng nhập hợp lệ cho mục đích thử nghiệm và nếu cần, hãy lưu trữ các bản sao bên ngoài thư mục công cộng hoặc cục bộ, tốt nhất là được mã hóa. Thay đổi mật khẩu cơ sở dữ liệu sau khi phát hiện sự thỏa hiệp.
  • Cửa hậu : Làm sạch hoàn toàn phần mềm độc hại JavaScript và PHP, đồng thời loại bỏ mọi cửa hậu Balada Injector còn sót lại. Triển khai các hệ thống kiểm soát tính toàn vẹn của tệp và sử dụng các dịch vụ dọn dẹp trang web chuyên nghiệp để đảm bảo bạn không bỏ sót điều gì..
  • FTP : Hãy thận trọng với khả năng Balada Injector đánh cắp thông tin đăng nhập FTP từ wp-config.php và các tệp cấu hình khác. Giữ các tệp môi trường phát triển cục bộ tách biệt với các tệp máy chủ và theo dõi nhật ký FTP. Thay đổi mật khẩu FTP sau khi thỏa hiệp.
  • Quản trị viên WordPress độc hại : Balada Injector được biết đến với việc tạo người dùng quản trị viên độc hại. Đảm bảo giám sát người dùng quản trị. Để dễ dàng hơn, đừng để tất cả những người làm việc với trang web đều có quyền quản trị viên. Trong hầu hết các trường hợp, tất cả những gì họ cần là một vai trò ít đặc quyền hơn.
  • Lây nhiễm chéo trang : Kiểm tra, làm sạch và bảo vệ tất cả các trang được lưu trữ dưới cùng một tài khoản máy chủ. Đối với các trang web quan trọng, hãy cách ly chúng bằng các tài khoản máy chủ riêng biệt để ngăn phần mềm độc hại lây lan từ các trang web lân cận.
  • Công cụ của bên thứ ba: Các công cụ hợp pháp (ví dụ: Quản trị viên, trình quản lý tệp, công cụ “tìm kiếm và thay thế”) có thể bị tin tặc khai thác nếu không được bảo vệ và để ở các vị trí có thể truy cập công khai. Hãy cảnh giác và bảo vệ những công cụ này cũng như xóa chúng khỏi máy chủ của bạn ngay khi bạn sử dụng xong..
  • Các tệp có thông tin nhạy cảm : Các tệp bảo mật như wp-config.php, bản sao lưu trang web, kết xuất cơ sở dữ liệu và tệp môi trường phát triển cục bộ. Nếu sử dụng Git hoặc Subversion, hãy tắt quyền truy cập công khai vào các thư mục và tệp hệ thống (ví dụ: .git/, .gitignore, v.v.). Định cấu hình ứng dụng khách tải lên của bạn để loại trừ tệp cấu hình cục bộ và tệp gỡ lỗi. Xóa các tệp gỡ lỗi càng sớm càng tốt và tránh đưa thông tin nhạy cảm vào nhật ký gỡ lỗi .

Chúc bạn thành công!