Phát hiện website bị hack luôn gây căng thẳng, nhất là khi khách hàng thấy cảnh báo, redirect lạ hoặc trang bị lỗi. Nhưng vài hành động đầu tiên rất quan trọng.

Mục tiêu là khoanh vùng thiệt hại, giữ đủ thông tin để hiểu điều gì đã xảy ra, và đưa website trở lại trạng thái sạch.

1. Đừng vội khôi phục backup mới nhất

Khôi phục backup có thể hữu ích, nhưng cũng có thể đưa mã độc quay lại nếu backup được tạo sau thời điểm bị tấn công.

Trước khi khôi phục, hãy xác định thời điểm sự cố có khả năng bắt đầu. Kiểm tra ngày sửa file, đăng nhập admin bất thường, cảnh báo hosting, Search Console và phản ánh từ khách hàng.

2. Đưa website về trạng thái có kiểm soát

Nếu website đang redirect người truy cập, phát mã độc hoặc rò rỉ dữ liệu, hãy tạm thời hạn chế truy cập công khai trong khi xử lý. Việc này bảo vệ khách truy cập và giảm thiệt hại uy tín.

Với website ecommerce hoặc thành viên, cần cẩn thận với chế độ bảo trì để không làm mất đơn hàng, form submit hoặc dữ liệu khách hàng.

3. Đổi thông tin truy cập

Hãy đổi mật khẩu hosting, tài khoản quản trị CMS, FTP/SFTP, SSH, database, email liên quan đến website và các dịch vụ triển khai.

Nếu có thể, bật xác thực nhiều lớp. Xóa ngay các tài khoản quản trị không quen thuộc.

4. Làm sạch file và database

Mã độc có thể ẩn trong theme, plugin, thư mục uploads, cron job, database, mu-plugin, cache và file cấu hình server.

Một lần làm sạch đúng nghĩa cần kiểm tra tất cả các vị trí này. Chỉ xóa phần bị phá giao diện thường sẽ để lại backdoor.

5. Vá nguyên nhân xâm nhập

Website đã sạch vẫn có thể bị nhiễm lại nếu điểm yếu ban đầu còn đó. Nguyên nhân phổ biến gồm plugin lỗi thời, mật khẩu yếu, admin panel bị lộ, theme/plugin nulled, form handler có lỗ hổng và phân quyền file sai.

Khôi phục nên luôn đi kèm phân tích nguyên nhân và gia cố bảo mật.

6. Yêu cầu review sau khi đã sạch

Nếu trình duyệt, Google, nhà cung cấp bảo mật hoặc hosting đã gắn cờ website, hãy gửi yêu cầu review sau khi chắc chắn website đã sạch. Gửi quá sớm có thể làm quá trình gỡ cảnh báo chậm hơn.

Khôi phục không chỉ là mở lại website

Đích đến thực sự không phải là “trang chủ tải được lại”. Đích đến là website sạch, điểm yếu đã được vá, backup đã xác minh, và giám sát có thể phát hiện dấu hiệu bất thường sớm.