Lê Hoài Thương
Tích Cực
Plugin quét mã độc wordpress là gì? Chắc hẳn rất nhiều người dùng wordpress quan tâm vấn đề này hiện này vì tính an toàn và bảo mật cho website. Bài viết này sẽ chỉ là Top 5 plugin wordpress hỗ trợ quét mã độc, malware tốt nhất hiện nay, kể cả miễn phí và trả phí.
id="ftoc-heading-1" class="ftwp-heading">
Người dùng WordPress có nhiều người lựa chọn về theme wp mà họ thích, cả có miễn phí và trả phí. Một điều mà người dùng nên đề phòng trong khi chọn theme, đó là những đoạn mã (code) không mong muốn được nhúng trong các theme.
Đối với hầu hết, nó không được chú ý vì phần lớn người dùng không phải là nhà phát triển, đó là lý do tại sao bạn nên có một quy trình để scan website WordPress tìm phần mềm độc hại.
Đặc biệt thận trọng khi mua các theme đến từ trang web bên thứ ba (không phải của tác giả) hoặc tải về các theme miễn phí không rõ nguồn gốc, đặc biệt cảnh giác với các theme null trên mạng. Điều này là do một số nhà cung cấp có chủ đích “phi đạo đức” có thể nhúng mã độc gây hại cho trang web của người dùng.
Các đoạn code này có thể là những đoạn code vô hại hoặc ít gây hại. Nhưng chúng cũng có thể gây hại, đủ để làm sập hoàn toàn trang web của bạn. Các đoạn code này thường được nhúng vào một cách kín đáo, nhiều khả năng bạn sẽ không bao giờ để ý đến.
Theme không phải là cách duy nhất để mã độc tấn công trang web của bạn. Chúng có thể được bao gồm trong các plugin, trong phần bình luận bằng cách hack hoặc tấn công brute force.
Đôi khi, bạn có thể chọn cài đặt phần mềm đi kèm với một số ứng dụng phổ biến mà bạn tải xuống và cài đặt. Phần mềm đó thường có thể là phần mềm độc hại hoặc phần mềm gián điệp, được ngụy trang dưới một tính năng bổ sung. Bạn có thể vô tình cho phép các tùy chọn này trên trang web của mình, nơi phần mềm độc hại ẩn nấp, thường thêm nhiều phần mềm độc hại vào trang web.
Tại sao hacker lại muốn nhúng phần mềm độc hại vào website?
Phần mềm độc hại được nhúng bởi tin tặc để có thể là:
Phần mềm độc hại không phát hiện sớm thì hacker có nhiều cơ hội để khai thác. Họ có thể tiếp tục sử dụng trang web của bạn để thu thập thông tin, gửi email spam và lây nhiễm cho khách truy cập của bạn.
id="ftoc-heading-2" class="ftwp-heading">
Thời điểm tốt nhất để quét trang web WordPress của bạn để tìm mã độc và phần mềm độc hại là ngay bây giờ.
Nhiều người mới bắt đầu làm website WordPress thường không cài đặt trình quét bảo mật WordPress ngay lập tức, điều này có nghĩa là phần mềm độc hại hoặc mã độc có thể không được chú ý trong một thời gian dài.
Nhiều người dùng không nhận thấy bất cứ điều gì cho đến khi một số dấu hiệu nhận biết khiến họ nghi ngờ. Xem danh sách các dấu hiệu phổ biến cho thấy trang web WordPress của bạn đã bị hack.
Ngay cả khi trang web WordPress của bạn không bị hack hoặc không bị ảnh hưởng, bạn vẫn nên tìm hiểu cách quét website WordPress của mình để tìm mã độc. Điều này sẽ giúp bạn bảo vệ website của mình, chống lại các cuộc tấn công trong tương lai.
Quan trọng nhất, bạn có thể nâng cao bảo mật WordPress giúp bảo vệ website WordPress của mình như một chuyên gia (nó không yêu cầu bất kỳ kỹ năng hoặc kỹ thuật nào).
id="ftoc-heading-3" class="ftwp-heading">
Sử dụng 1 trong 5 plugin sau sẽ giúp website WordPress bạn phát hiện và loại trừ được những phần mềm độc hại và tiềm ẩn.
id="ftoc-heading-4" class="ftwp-heading">
Sucuri là một trong những công ty hàng đầu trong lĩnh vực bảo mật WordPress. Họ có một dịch vụ trả phí, nhưng cũng cung cấp tính năng quét WordPress miễn phí (sẽ hạn chế một số tính năng).
Để nhanh chóng quét website của bạn, bạn cần cài đặt và kích hoạt plugin Sucuri Security miễn phí.
Plugin giúp kiểm tra các tệp trên site WordPress của bạn để xem chúng có bị thay đổi không. Nó cũng quét các mã độc, iframe, liên kết và những hoạt động đáng ngờ.
Giá trị thực sự đến từ các gói trả phí của họ, đi kèm với bảo vệ tường lửa WordPress tốt nhất. Ứng dụng tường lửa DNS trên trang web của họ chặn mọi hoạt động đáng ngờ hoặc phần mềm độc hại ngay cả trước khi nó truy cập trang web của bạn.
Tường lửa Sucuri cũng hỗ trợ cho các nội dung tĩnh trên trang web của bạn thông qua CDN của riêng họ, giúp tăng hiệu suất đáng kể và cải thiện tốc độ WordPress.
Quan trọng nhất, nếu trang web của bạn bị ảnh hưởng, các chuyên gia Sucuri sẽ làm sạch trang web của bạn mà không mất thêm chi phí.
Bạn biết đấy, việc làm sạch một website WordPress bị hack là khá khó, ngay cả đối với người dùng WordPress có kinh nghiệm. Nếu bạn có các chuyên gia bảo mật thực sự để clean trang web của bạn, đó là một sự an tâm rất lớn cho các chủ doanh nghiệp.
Nếu bạn hoặc công ty, doanh nghiệp của bạn có kinh doanh online thông qua website của mình, lựa chọn Sucuri là giải pháp hợp lý.
id="ftoc-heading-5" class="ftwp-heading">
Wordfence là một plugin bảo mật WordPress phổ biến khác, cho phép bạn dễ dàng quét website WordPress để tìm những đoạn code đáng ngờ, backtime, URL độc hại và các nhiễm độc known-patterns.
Plugin này sẽ tự động quét mã độc WordPress của bạn trong nền và bạn cũng có thể thiết lập để bắt đầu quét bất kỳ lúc nào.
Bạn có thể xem tiến trình quét trong các hộp thông báo màu vàng trên trang quét. Sau khi quét xong, Wordfence sẽ hiển thị kết quả cho bạn.
Nó sẽ thông báo cho bạn nếu tìm thấy bất kỳ đoạn mã đáng ngờ, nhiễm độc, phần mềm độc hại hoặc các tệp bị hỏng trên trang web của bạn. Nó cũng sẽ đề xuất các hành động cụ thể cho bạn, giúp bạn có thể thực hiện để khắc phục các vấn đề đó.
Wordfence cũng đi kèm với một ứng dụng tường lửa. Tường lửa này giúp bạn ngăn chặn các cuộc tấn công brute force.
id="ftoc-heading-6" class="ftwp-heading">
Được tải xuống bởi hơn 800.000 người dùng WordPress, plugin iTheme Security là một trong những lựa chọn phổ biến nhất để quét mã độc WordPress, giúp bảo vệ trang web của bạn.
Phiên bản miễn phí của plugin này cung cấp hơn 30 lớp bảo vệ và bảo mật, bao gồm kiểm tra 1 trang web “Secure Site”, kiểm tra phần mềm độc hại (thông qua Sucuri SiteCheck), thực thi mật khẩu mạnh, bảo vệ tấn công brute force, sao lưu cơ sở dữ liệu, phát hiện thay đổi tệp và nhiều hơn thế nữa.
Nếu bạn muốn có thêm nhiều lớp bảo vệ hơn nữa, hãy nâng cấp lên iTheme Security Pro. Trên bản bản cao cấp sẽ cung cấp cho bạn thêm các tính năng như: xác thực 2 lớp, quét phần mềm độc hại theo lịch trình, thông báo hết hạn mật khẩu, so sánh tệp lõi WordPress và hơn thế nữa.
Plugin cao cấp có giá $80/năm, có thể hơi cao đối với một số blogger, nhưng đó là giá trị thực sự hữu ích đối với sự an toàn và bảo mật cho website WordPress của bạn.
id="ftoc-heading-7" class="ftwp-heading">
MalCare là một giải pháp bảo mật hoàn chỉnh, được phát triển sau khi phân tích hơn 240.000 trang web WordPress.
Đây tuy là plugin miễn phí nhưng sẽ giữ cho trang web của bạn được bảo vệ khỏi phần mềm độc hại, tin tặc và phần còn lại.
Công nghệ phát hiện phần mềm độc hại sớm giúp website bạn thoát khỏi blacklist trong mắt Google hoặc bị chặn bởi các máy chủ web. MalCare có thể phát hiện thành công phần mềm độc hại phức tạp, thường ít khi bị phát hiện trong các plugin phổ biến khác.
Plugin tập trung vào tính chính xác của việc xác định phần mềm độc hại và giảm đáng kể số lượng báo cáo sai. Điều này có nghĩa, bạn chỉ được cảnh báo khi plugin đã dính hoặc lây nhiễm phần mềm độc hại.
Tấn công Brute force rất phổ biến đối với các website WordPress và do đó, ứng dụng tường lửa web và bảo vệ đăng nhập được tự động kích hoạt trong plugin miễn phí này. Nó giúp bảo vệ trang web của bạn 24/7 khỏi bot và tin tặc.
Phiên bản cao cấp sẽ tự động xóa phần mềm độc hại đã được tìm thấy trên trang web của bạn. Một số tùy chọn sẽ có thêm trên bản cao cấp như: chặn IP, bảo vệ đăng nhập và làm giảm bề mặt tấn công tiềm năng (website hardening).
id="ftoc-heading-8" class="ftwp-heading">
Anti-Malware Security là một plugin bảo mật WordPress rất mạnh mẽ khác, có thể giúp bạn quét website WordPress để tìm mã độc và phần mềm độc hại.
Plugin tìm kiếm các đoạn code đáng ngờ, tập lệnh, mối đe dọa từ file .htaccess, backdoors (cửa hậu) và nhiễm độc known-patterns trong tất cả các thư mục và tệp tin trên trang web bạn. Tính năng quét toàn diện có thể mất một lúc để hoàn thành.
Tác giả tạo ra plugin này luôn tích cực duy trì, cải thiện và cập nhật để phát hiện các mối đe dọa mới khi chúng được phát hiện.
Hãy nhớ rằng, plugin có thể hiển thị rất nhiều mối đe dọa tiềm ẩn nhưng cũng có thể những hiển thị đó là không đúng. Bạn sẽ phải so sánh thủ công các tệp đó với các tệp nguồn để tìm chính xác những tệp tin nào có nguy cơ tiềm ẩn cao trên website của bạn.
Plugin cũng bao gồm thêm tùy chọn tường lửa, đó là tường lửa cấp phần mềm, nhưng sẽ kém hiệu quả hơn so với tường lửa cấp DNS.
id="ftoc-heading-9" class="ftwp-heading">
Ngoài cách dùng plugin quét mã độc WordPress, còn một cách khác để tìm mã độc tìm ẩn trên website của bạn, đó là check virus online thông qua các website.
Mỗi công cụ scan này sẽ có những điểm nổi bật riêng của nó. Chúng đều miễn phí hoặc cho bạn dùng thử đến 14 ngày (không cần thẻ tín dụng).
Sucuri SiteCheck là một trong những công cụ quét website miễn phí rất nổi tiếng, được nhiều người tin dùng.
Để quét malware, bạn chỉ nhập URL vào là xong.
Sucuri SiteCheck giúp bạn:
Lưu ý: Sucuri SiteCheck không thể quét mã độc hoàn toàn được, vì nó chỉ quét được những file có trên server.
Observatory là một dự án miễn phí giúp kiểm tra bảo mật website của bạn, đến từ Mozilla – công ty công nghệ rất nổi tiếng với trình duyệt Firefox.
Trên Observatory tích hợp gần như tất cả các thử nghiệm riêng của chính mình. Ngoài ra, có thêm một số thử nghiệm được tích hợp từ bên thứ 3 như SSL Labs.
Website của bạn sẽ được chẩn đoán chi tiết trong 4 phần:
Observation miễn phí 100%. Vì thế nếu có thời gian hãy bắt đầu ngay với Observation để kiểm tra mã độc wordpress.
Khác với 2 công cụ ở trên, Detectify có tính phí, lên tới $60/tháng. Nhưng, “đắt xắt ra miếng” đấy.
Detectify sẽ quét website bạn lên tới 1500+ lỗ hổng bảo mật, bao gồm: CORS, Top 10 của OWASP và Amazon S3.
Phương pháp scan của Detectify rất độc đáo và chất lượng. Đây là công cụ được viết bởi hơn 150 hacker mũ trắng trên khắp thế giới, đóng góp để xây dựng nên hệ thống quét tự động này.
Mặc dù phải trả phí nhưng bạn có thể quét mã độc với bản dùng thử miễn phí 14 ngày (không cần thẻ tín dụng).
Để scan được website, bạn cần xác minh trang web của mình. Việc làm này cũng rất đơn giản, như cài đặt Google Analytics (như thêm thẻ meta và tải file lên…).
Nếu website bạn đang lưu nhiều thông tin nhạy cảm của khách hàng, đầu tư Detectify để bảo mật website là điều nên làm.
Tiếp đến là SSLTrust – công ty cung cấp SSL (Secure Sockets Layer – tiêu chuẩn của công nghệ bảo mật toàn cầu giúp mã hoá giữa máy chủ Web server và trình duyệt).
Ngoài cung cấp SSL, họ còn có một công cụ để scan website online, tìm ra lỗi bảo mật có trên website bằng 66+ dịch vụ khác nhau.
SSLTrust sẽ dựa trên kho dữ liệu khổng lồ có từ bên thứ 3 để quét:
Tuy nhiên, điểm hạn chế của tool này là mọi bài test khác chỉ đánh giá: pass/fail. Do đó, bạn nên kết hợp thêm với một số tool có khả năng quét tất cả các file có trên server.
WPScan là công ty chuyên kiểm tra lỗ hổng bảo mật trên WordPress, được tài trợ bởi Automattic – công ty của Woocommerce và WordPress.com.
Vì nó tập trung hoàn toàn vào WordPress nên sẽ không phải là sự lựa chọn tốt nếu bạn đang dùng nền tảng khác.
Bạn có thể thoải mái cài đặt, cấu hình… công cụ này vì bộ source code có sẵn trên GitHub hoặc có thể sử dụng plugin miễn phí WPScan chính chủ trênWordPress.org
Có 2 lựa chọn rất tốt để bạn lựa chọn cho cloud service:
id="ftoc-heading-10" class="ftwp-heading">
Điều đầu tiên bạn cần làm là thay đổi ngay lập tức tất cả mật khẩu WordPress của bạn. Bao gồm tài khoản người dùng WordPress, tài khoản lưu trữ WordPress, tài khoản người dùng FTP hoặc SSH và mật khẩu cơ sở dữ liệu WordPress của bạn.
Điều này đảm bảo rằng, nếu một trong những mật khẩu này bị xâm phạm, thì tin tặc sẽ không thể sử dụng nó để lấy lại quyền truy cập.
Tiếp theo, bạn cần tạo một bản sao lưu WordPress hoàn chỉnh bằng cách sử dụng plugin hoặc thủ công thông qua phpMyAdmin và FTP. Bước này đảm bảo rằng, nếu có điều gì đó xảy ra trong quá trình dọn dẹp, bạn vẫn có thể quay lại trạng thái trước khi bị nhiễm mã độc.
Sau đó, nếu có điều kiện mình khuyên bạn nên thuê một chuyên gia bảo mật WordPress để dọn dẹp website cho bạn. Bạn có thể tham khảo Sucuri, mỗi gói trả phí của họ đều bao gồm dịch vụ loại bỏ phần mềm độc hại. Ngay cả khi trang web của bạn đã bị ảnh hưởng, họ sẽ làm sạch nó cho bạn.
Hoặc, bạn cũng có thể tự mình làm sạch nó. Đó là công việc khó khăn và có thể mất rất nhiều thời gian của bạn. Hãy giữ bình tĩnh và làm theo các hướng dẫn của WPBeginner – Beginner’s Guide to Fixing Your Hacked WordPress Site.
Hoặc bạn có thể tham khảo 2 bài viết sau:
Lời khuyên: Nên cẩn thận với các theme, plugin không rõ nguồn gốc
id="ftoc-heading-11" class="ftwp-heading">
Vậy là mình đã giới thiệu đến bạn 5 plugin quét mã độc WordPress rồi. Là người dùng WordPress bạn thấy bài viết này thế nào?
Mình hy vọng bài viết này sẽ giúp bạn hiểu và biết cách quét website WordPress của mình để tìm ra những phần mềm độc hại và các mã độc hại tiềm ẩn. Nếu bạn có plugin nào hữu ích hơn thì cho mình biết bằng cách comment bên dưới.
Chúc bạn thành công! Share để những người dùng WordPress cùng biết nhé!
Nguồn bài viết: Tổng hợp từ dinhlongplus.com
Xem tiếp...
Phần mềm độc hại tiếp cận trang web của bạn như thế nào?
id="ftoc-heading-1" class="ftwp-heading">
Người dùng WordPress có nhiều người lựa chọn về theme wp mà họ thích, cả có miễn phí và trả phí. Một điều mà người dùng nên đề phòng trong khi chọn theme, đó là những đoạn mã (code) không mong muốn được nhúng trong các theme.
Đối với hầu hết, nó không được chú ý vì phần lớn người dùng không phải là nhà phát triển, đó là lý do tại sao bạn nên có một quy trình để scan website WordPress tìm phần mềm độc hại.
Đặc biệt thận trọng khi mua các theme đến từ trang web bên thứ ba (không phải của tác giả) hoặc tải về các theme miễn phí không rõ nguồn gốc, đặc biệt cảnh giác với các theme null trên mạng. Điều này là do một số nhà cung cấp có chủ đích “phi đạo đức” có thể nhúng mã độc gây hại cho trang web của người dùng.
Các đoạn code này có thể là những đoạn code vô hại hoặc ít gây hại. Nhưng chúng cũng có thể gây hại, đủ để làm sập hoàn toàn trang web của bạn. Các đoạn code này thường được nhúng vào một cách kín đáo, nhiều khả năng bạn sẽ không bao giờ để ý đến.
Theme không phải là cách duy nhất để mã độc tấn công trang web của bạn. Chúng có thể được bao gồm trong các plugin, trong phần bình luận bằng cách hack hoặc tấn công brute force.
Đôi khi, bạn có thể chọn cài đặt phần mềm đi kèm với một số ứng dụng phổ biến mà bạn tải xuống và cài đặt. Phần mềm đó thường có thể là phần mềm độc hại hoặc phần mềm gián điệp, được ngụy trang dưới một tính năng bổ sung. Bạn có thể vô tình cho phép các tùy chọn này trên trang web của mình, nơi phần mềm độc hại ẩn nấp, thường thêm nhiều phần mềm độc hại vào trang web.
Tại sao hacker lại muốn nhúng phần mềm độc hại vào website?
Phần mềm độc hại được nhúng bởi tin tặc để có thể là:
- Thêm backlink và chuyển hướng đến các trang web mà họ mong muốn
- Theo dõi khách truy cập website của bạn
- Thêm các banner hoặc quảng cáo của riêng họ
- Truy cập thông tin cá nhân nhạy cảm như tên, mật khẩu và địa chỉ email
- Đánh sập website của bạn vì một lý do nào đó hoặc chỉ để cho vui
Phần mềm độc hại không phát hiện sớm thì hacker có nhiều cơ hội để khai thác. Họ có thể tiếp tục sử dụng trang web của bạn để thu thập thông tin, gửi email spam và lây nhiễm cho khách truy cập của bạn.
Khi nào nên quét mã độc website WordPress của bạn?
id="ftoc-heading-2" class="ftwp-heading">
Thời điểm tốt nhất để quét trang web WordPress của bạn để tìm mã độc và phần mềm độc hại là ngay bây giờ.
Nhiều người mới bắt đầu làm website WordPress thường không cài đặt trình quét bảo mật WordPress ngay lập tức, điều này có nghĩa là phần mềm độc hại hoặc mã độc có thể không được chú ý trong một thời gian dài.
Nhiều người dùng không nhận thấy bất cứ điều gì cho đến khi một số dấu hiệu nhận biết khiến họ nghi ngờ. Xem danh sách các dấu hiệu phổ biến cho thấy trang web WordPress của bạn đã bị hack.
Ngay cả khi trang web WordPress của bạn không bị hack hoặc không bị ảnh hưởng, bạn vẫn nên tìm hiểu cách quét website WordPress của mình để tìm mã độc. Điều này sẽ giúp bạn bảo vệ website của mình, chống lại các cuộc tấn công trong tương lai.
Quan trọng nhất, bạn có thể nâng cao bảo mật WordPress giúp bảo vệ website WordPress của mình như một chuyên gia (nó không yêu cầu bất kỳ kỹ năng hoặc kỹ thuật nào).
Top 5 plugin quét mã độc WordPress tốt nhất 2022
id="ftoc-heading-3" class="ftwp-heading">
Sử dụng 1 trong 5 plugin sau sẽ giúp website WordPress bạn phát hiện và loại trừ được những phần mềm độc hại và tiềm ẩn.
#1. Sucuri
id="ftoc-heading-4" class="ftwp-heading">
Sucuri là một trong những công ty hàng đầu trong lĩnh vực bảo mật WordPress. Họ có một dịch vụ trả phí, nhưng cũng cung cấp tính năng quét WordPress miễn phí (sẽ hạn chế một số tính năng).
Để nhanh chóng quét website của bạn, bạn cần cài đặt và kích hoạt plugin Sucuri Security miễn phí.
Plugin giúp kiểm tra các tệp trên site WordPress của bạn để xem chúng có bị thay đổi không. Nó cũng quét các mã độc, iframe, liên kết và những hoạt động đáng ngờ.
Giá trị thực sự đến từ các gói trả phí của họ, đi kèm với bảo vệ tường lửa WordPress tốt nhất. Ứng dụng tường lửa DNS trên trang web của họ chặn mọi hoạt động đáng ngờ hoặc phần mềm độc hại ngay cả trước khi nó truy cập trang web của bạn.
Tường lửa Sucuri cũng hỗ trợ cho các nội dung tĩnh trên trang web của bạn thông qua CDN của riêng họ, giúp tăng hiệu suất đáng kể và cải thiện tốc độ WordPress.
Quan trọng nhất, nếu trang web của bạn bị ảnh hưởng, các chuyên gia Sucuri sẽ làm sạch trang web của bạn mà không mất thêm chi phí.
Bạn biết đấy, việc làm sạch một website WordPress bị hack là khá khó, ngay cả đối với người dùng WordPress có kinh nghiệm. Nếu bạn có các chuyên gia bảo mật thực sự để clean trang web của bạn, đó là một sự an tâm rất lớn cho các chủ doanh nghiệp.
Nếu bạn hoặc công ty, doanh nghiệp của bạn có kinh doanh online thông qua website của mình, lựa chọn Sucuri là giải pháp hợp lý.
#2. Wordfence – Plugin được SEOTOP khuyến nghị bạn sử dụng
id="ftoc-heading-5" class="ftwp-heading">
Wordfence là một plugin bảo mật WordPress phổ biến khác, cho phép bạn dễ dàng quét website WordPress để tìm những đoạn code đáng ngờ, backtime, URL độc hại và các nhiễm độc known-patterns.
Plugin này sẽ tự động quét mã độc WordPress của bạn trong nền và bạn cũng có thể thiết lập để bắt đầu quét bất kỳ lúc nào.
Bạn có thể xem tiến trình quét trong các hộp thông báo màu vàng trên trang quét. Sau khi quét xong, Wordfence sẽ hiển thị kết quả cho bạn.
Nó sẽ thông báo cho bạn nếu tìm thấy bất kỳ đoạn mã đáng ngờ, nhiễm độc, phần mềm độc hại hoặc các tệp bị hỏng trên trang web của bạn. Nó cũng sẽ đề xuất các hành động cụ thể cho bạn, giúp bạn có thể thực hiện để khắc phục các vấn đề đó.
Wordfence cũng đi kèm với một ứng dụng tường lửa. Tường lửa này giúp bạn ngăn chặn các cuộc tấn công brute force.
#3. iThemes Security
id="ftoc-heading-6" class="ftwp-heading">
Được tải xuống bởi hơn 800.000 người dùng WordPress, plugin iTheme Security là một trong những lựa chọn phổ biến nhất để quét mã độc WordPress, giúp bảo vệ trang web của bạn.
Phiên bản miễn phí của plugin này cung cấp hơn 30 lớp bảo vệ và bảo mật, bao gồm kiểm tra 1 trang web “Secure Site”, kiểm tra phần mềm độc hại (thông qua Sucuri SiteCheck), thực thi mật khẩu mạnh, bảo vệ tấn công brute force, sao lưu cơ sở dữ liệu, phát hiện thay đổi tệp và nhiều hơn thế nữa.
Nếu bạn muốn có thêm nhiều lớp bảo vệ hơn nữa, hãy nâng cấp lên iTheme Security Pro. Trên bản bản cao cấp sẽ cung cấp cho bạn thêm các tính năng như: xác thực 2 lớp, quét phần mềm độc hại theo lịch trình, thông báo hết hạn mật khẩu, so sánh tệp lõi WordPress và hơn thế nữa.
Plugin cao cấp có giá $80/năm, có thể hơi cao đối với một số blogger, nhưng đó là giá trị thực sự hữu ích đối với sự an toàn và bảo mật cho website WordPress của bạn.
#4. MalCare Security
id="ftoc-heading-7" class="ftwp-heading">
MalCare là một giải pháp bảo mật hoàn chỉnh, được phát triển sau khi phân tích hơn 240.000 trang web WordPress.
Đây tuy là plugin miễn phí nhưng sẽ giữ cho trang web của bạn được bảo vệ khỏi phần mềm độc hại, tin tặc và phần còn lại.
Công nghệ phát hiện phần mềm độc hại sớm giúp website bạn thoát khỏi blacklist trong mắt Google hoặc bị chặn bởi các máy chủ web. MalCare có thể phát hiện thành công phần mềm độc hại phức tạp, thường ít khi bị phát hiện trong các plugin phổ biến khác.
Plugin tập trung vào tính chính xác của việc xác định phần mềm độc hại và giảm đáng kể số lượng báo cáo sai. Điều này có nghĩa, bạn chỉ được cảnh báo khi plugin đã dính hoặc lây nhiễm phần mềm độc hại.
Tấn công Brute force rất phổ biến đối với các website WordPress và do đó, ứng dụng tường lửa web và bảo vệ đăng nhập được tự động kích hoạt trong plugin miễn phí này. Nó giúp bảo vệ trang web của bạn 24/7 khỏi bot và tin tặc.
Phiên bản cao cấp sẽ tự động xóa phần mềm độc hại đã được tìm thấy trên trang web của bạn. Một số tùy chọn sẽ có thêm trên bản cao cấp như: chặn IP, bảo vệ đăng nhập và làm giảm bề mặt tấn công tiềm năng (website hardening).
#5. Anti-Malware Security
id="ftoc-heading-8" class="ftwp-heading">
Anti-Malware Security là một plugin bảo mật WordPress rất mạnh mẽ khác, có thể giúp bạn quét website WordPress để tìm mã độc và phần mềm độc hại.
Plugin tìm kiếm các đoạn code đáng ngờ, tập lệnh, mối đe dọa từ file .htaccess, backdoors (cửa hậu) và nhiễm độc known-patterns trong tất cả các thư mục và tệp tin trên trang web bạn. Tính năng quét toàn diện có thể mất một lúc để hoàn thành.
Tác giả tạo ra plugin này luôn tích cực duy trì, cải thiện và cập nhật để phát hiện các mối đe dọa mới khi chúng được phát hiện.
Hãy nhớ rằng, plugin có thể hiển thị rất nhiều mối đe dọa tiềm ẩn nhưng cũng có thể những hiển thị đó là không đúng. Bạn sẽ phải so sánh thủ công các tệp đó với các tệp nguồn để tìm chính xác những tệp tin nào có nguy cơ tiềm ẩn cao trên website của bạn.
Plugin cũng bao gồm thêm tùy chọn tường lửa, đó là tường lửa cấp phần mềm, nhưng sẽ kém hiệu quả hơn so với tường lửa cấp DNS.
Scan virus online – Tool quét mã độc website wordpress online
id="ftoc-heading-9" class="ftwp-heading">
Ngoài cách dùng plugin quét mã độc WordPress, còn một cách khác để tìm mã độc tìm ẩn trên website của bạn, đó là check virus online thông qua các website.
Mỗi công cụ scan này sẽ có những điểm nổi bật riêng của nó. Chúng đều miễn phí hoặc cho bạn dùng thử đến 14 ngày (không cần thẻ tín dụng).
1. Sucuri SiteCheck
Sucuri SiteCheck là một trong những công cụ quét website miễn phí rất nổi tiếng, được nhiều người tin dùng.
Để quét malware, bạn chỉ nhập URL vào là xong.
Sucuri SiteCheck giúp bạn:
- Quét malware trên website
- Kiểm tra virus trên website
- Kiểm tra trang web có bị liệt vào danh sách blacklist hay không
- Kiểm tra theme wordpress và các plugin đã được cập nhập chưa
- Kiểm tra mã nguồn website có lỗi hay không
- Check mã độc website
Lưu ý: Sucuri SiteCheck không thể quét mã độc hoàn toàn được, vì nó chỉ quét được những file có trên server.
2. Mozilla Observatory
Observatory là một dự án miễn phí giúp kiểm tra bảo mật website của bạn, đến từ Mozilla – công ty công nghệ rất nổi tiếng với trình duyệt Firefox.
Trên Observatory tích hợp gần như tất cả các thử nghiệm riêng của chính mình. Ngoài ra, có thêm một số thử nghiệm được tích hợp từ bên thứ 3 như SSL Labs.
Website của bạn sẽ được chẩn đoán chi tiết trong 4 phần:
- HTTP Observatory
- SSH Observatory
- TLS Observatory
- Third-party Tests
Observation miễn phí 100%. Vì thế nếu có thời gian hãy bắt đầu ngay với Observation để kiểm tra mã độc wordpress.
3. Detectify
Khác với 2 công cụ ở trên, Detectify có tính phí, lên tới $60/tháng. Nhưng, “đắt xắt ra miếng” đấy.
Detectify sẽ quét website bạn lên tới 1500+ lỗ hổng bảo mật, bao gồm: CORS, Top 10 của OWASP và Amazon S3.
Phương pháp scan của Detectify rất độc đáo và chất lượng. Đây là công cụ được viết bởi hơn 150 hacker mũ trắng trên khắp thế giới, đóng góp để xây dựng nên hệ thống quét tự động này.
Mặc dù phải trả phí nhưng bạn có thể quét mã độc với bản dùng thử miễn phí 14 ngày (không cần thẻ tín dụng).
Để scan được website, bạn cần xác minh trang web của mình. Việc làm này cũng rất đơn giản, như cài đặt Google Analytics (như thêm thẻ meta và tải file lên…).
Nếu website bạn đang lưu nhiều thông tin nhạy cảm của khách hàng, đầu tư Detectify để bảo mật website là điều nên làm.
4. SSLTrust
Tiếp đến là SSLTrust – công ty cung cấp SSL (Secure Sockets Layer – tiêu chuẩn của công nghệ bảo mật toàn cầu giúp mã hoá giữa máy chủ Web server và trình duyệt).
Ngoài cung cấp SSL, họ còn có một công cụ để scan website online, tìm ra lỗi bảo mật có trên website bằng 66+ dịch vụ khác nhau.
SSLTrust sẽ dựa trên kho dữ liệu khổng lồ có từ bên thứ 3 để quét:
- OpenPhish
- Google Safe Browsing
- Avira
- Opera blacklist
- Sucuri SiteCheck
- Comodo
- …
Tuy nhiên, điểm hạn chế của tool này là mọi bài test khác chỉ đánh giá: pass/fail. Do đó, bạn nên kết hợp thêm với một số tool có khả năng quét tất cả các file có trên server.
5. WPScan
WPScan là công ty chuyên kiểm tra lỗ hổng bảo mật trên WordPress, được tài trợ bởi Automattic – công ty của Woocommerce và WordPress.com.
Vì nó tập trung hoàn toàn vào WordPress nên sẽ không phải là sự lựa chọn tốt nếu bạn đang dùng nền tảng khác.
Bạn có thể thoải mái cài đặt, cấu hình… công cụ này vì bộ source code có sẵn trên GitHub hoặc có thể sử dụng plugin miễn phí WPScan chính chủ trênWordPress.org
Có 2 lựa chọn rất tốt để bạn lựa chọn cho cloud service:
- WPScan.io – quét miễn phí mỗi tháng và sẽ mất phí cho quét hàng ngày (được đề xuất từ nhà cung cấp)
- WPSec – Dịch vụ từ bên thứ 3 của Triop AB
Hướng dẫn cách loại bỏ mã độc trên web WordPress
id="ftoc-heading-10" class="ftwp-heading">
Điều đầu tiên bạn cần làm là thay đổi ngay lập tức tất cả mật khẩu WordPress của bạn. Bao gồm tài khoản người dùng WordPress, tài khoản lưu trữ WordPress, tài khoản người dùng FTP hoặc SSH và mật khẩu cơ sở dữ liệu WordPress của bạn.
Điều này đảm bảo rằng, nếu một trong những mật khẩu này bị xâm phạm, thì tin tặc sẽ không thể sử dụng nó để lấy lại quyền truy cập.
Tiếp theo, bạn cần tạo một bản sao lưu WordPress hoàn chỉnh bằng cách sử dụng plugin hoặc thủ công thông qua phpMyAdmin và FTP. Bước này đảm bảo rằng, nếu có điều gì đó xảy ra trong quá trình dọn dẹp, bạn vẫn có thể quay lại trạng thái trước khi bị nhiễm mã độc.
Sau đó, nếu có điều kiện mình khuyên bạn nên thuê một chuyên gia bảo mật WordPress để dọn dẹp website cho bạn. Bạn có thể tham khảo Sucuri, mỗi gói trả phí của họ đều bao gồm dịch vụ loại bỏ phần mềm độc hại. Ngay cả khi trang web của bạn đã bị ảnh hưởng, họ sẽ làm sạch nó cho bạn.
Hoặc, bạn cũng có thể tự mình làm sạch nó. Đó là công việc khó khăn và có thể mất rất nhiều thời gian của bạn. Hãy giữ bình tĩnh và làm theo các hướng dẫn của WPBeginner – Beginner’s Guide to Fixing Your Hacked WordPress Site.
Hoặc bạn có thể tham khảo 2 bài viết sau:
- Hướng dẫn xử lý mã độc trên website WordPress bằng plugin của Thạch Phạm
- How to Clean a Hacked WordPress Site trên Sucuri.Net
Lời khuyên: Nên cẩn thận với các theme, plugin không rõ nguồn gốc
Lời kết
id="ftoc-heading-11" class="ftwp-heading">
Vậy là mình đã giới thiệu đến bạn 5 plugin quét mã độc WordPress rồi. Là người dùng WordPress bạn thấy bài viết này thế nào?
Mình hy vọng bài viết này sẽ giúp bạn hiểu và biết cách quét website WordPress của mình để tìm ra những phần mềm độc hại và các mã độc hại tiềm ẩn. Nếu bạn có plugin nào hữu ích hơn thì cho mình biết bằng cách comment bên dưới.
Chúc bạn thành công! Share để những người dùng WordPress cùng biết nhé!
Nguồn bài viết: Tổng hợp từ dinhlongplus.com
Xem tiếp...