Ngoài phương thức tấn công phổ biến là làm ngập dữ liệu qua hình thức tấn công từ chối dịch vụ (DDoS) thì còn một hình thức khá phổ biến nữa đó là tấn công từ các lỗ hổng bảo mật có trong các mã độc được đính kèm vào theme, plugin hay chính source WordPress bạn đang dùng. Lý do phổ biến nhất để bị dính mã độc thường được cho là cài các plugin, theme trả phí không rõ nguồn gốc, với tâm lý ham của lạ nhưng ngại bỏ tiền thì việc hàng loạt blog bị tấn công là điều hoàn toàn có thể xảy ra.
Vậy thay vì phải chờ đến khi bị tấn công mới biết mình đã bị nhiễm mã độc thì tại sao bạn không nên lên kế hoạch kiểm tra và phòng chống ngay từ hôm nay? Bây giờ WordPress có rất nhiều công cụ giúp bạn dò tìm các đoạn mã được nghi vấn là mã độc rất tốt mà bạn có thể sử dụng nếu như không có nhiều kiến thức về bảo mật để tự tay tìm ra các đoạn mã đó. Trong bài này mình sẽ cho bạn thấy WordPress có 4 plugin hỗ trợ dò tìm và khắc phục các lỗ hổng bảo mật liên quan tới mã độc mà bạn có thể tin dùng.
Nên xem qua: Hướng dẫn bảo mật WordPress toàn diện.
6Scan Security
Đây là một trong những plugin bảo mật ưa thích của mình hay dùng nhất bởi sự tiện lợi cũng như mạnh mẽ của nó. Chức năng của nó là quét toàn bộ các tập tin có trong blog của bạn và hiển thị các lỗi bảo mật theo thứ tự từ khẩn cấp đến bình thường. Không chỉ là cho chúng ta biết blog mình có lỗ hổng bảo mật mà 6scan còn cho ta biết lỗ hổng đó nằm ở file nào và cách fix ra sao.
Còn nếu bạn không có khả năng fix thủ công thì có thể dùng chức năng Auto Fix của 6scan Security nhưng bạn cần trả tiền để nâng cấp tài khoản để sử dụng tính năng này và các tính năng nâng cao khác.
Tóm lại đây là plugin đơn giản, nên sử dụng và nếu bạn có khả năng thì nâng cấp lên tài khoản trả phí là hoàn toàn hợp lý, vừa túi tiền.
Wordfence Security
Không chỉ đảm nhận tốt nhiệm vụ quét và dò tìm các mã độc hay các lỗi liên quan đến code trên blog, mà nó còn là một công cụ thống kê lượt truy cập từ các IP và chặn truy cập theo IP, lãnh thổ rất tốt. Cũng như 6scan Security, các tính năng nâng cao của Wordfence Security cần phải trả tiền để sử dụng.
Tuy nhiên có 1 điều cần lưu ý đó là website của bạn có thể bị treo vì overload khi tiến hành scan bằng plugin này. Nếu bạn sử dụng VPS hay Dedicated Server thì có thể thoát được nhược điểm này.
Theme Authenticity Checker
Mối lo phổ biến của những người hay dùng các theme tải từ trên mạng không rõ nguồn gốc là bị chèn mã độc và được mã hóa các đoạn mã độc đó để người sử dụng không thể đọc được đó là cái gì. Vậy thì bạn nên sử dụng TAC ngay vì nó sẽ quét các tập tin có trong thư mục wp-content/themes và sẽ liệt kê ra các đoạn code bị mã hóa. Ngoài ra nó cũng sẽ liệt kê các đoạn code không cần thiết có trong theme mà bạn có thể xóa đi mà không gây ảnh hưởng gì, đa phần đó là những đoạn code để in các thông tin copyright của tác giả theme.
Nhưng nhược điểm của plugin này là không hỗ trợ bạn fix lỗi, các công việc fix lỗi bạn phải tự làm thủ công.
Timthumb Vulnerability Scanner
Nếu bạn có hay lang thang ở các website bảo mật web thì chắc đã có đôi ba lần nghe qua lỗ hổng bảo mật có trong TimThumb có thể cho phép tin tặc có quyền upload bất cứ tập tin nào lên máy chủ, đương nhiên website của bạn sẽ cực kỳ nguy hiểm nếu như đó là các mã độc có thể chiếm quyền thao tác database, như shell chẳng hạn.
Rất may là các lỗi đó đã được nhà phát triển TimThumb fix kịp thời nhưng nếu bạn đang sử dụng theme có dùng TimThumb để resize ảnh thì bạn nên cẩn thận với nó, ít nhất là hãy cài plugin này vào một lần xem có lỗi nào được tìm ra hay không.
Nên cẩn thận với các theme, plugin không rõ nguồn gốc
Các tin tặc cũng chỉ lợi dụng tính ham của rẻ, của chùa của chúng ta để thực hiện hành vi “đồi bại” đó. Vì vậy trước khi bạn đảm bảo rằng không muốn bị dính mã độc dù chỉ một lần, thì hãy chắc là không sử dụng bất cứ theme hay plugin nào không rõ nguồn gốc, nhất là các thứ được tải về các trang chia sẻ các plugin null đầy rẫy trên mạng. Mà nếu có tải miễn phí thì hãy tải ở các nơi có uy tín, được đảm bảo như Thach Pham Blog chẳng hạn. 
Hy vọng với các plugin đơn giản này sẽ giúp bạn thêm phần tự tin để phát triển blog ngày một tốt hơn.
Tìm mã độc trong WordPress với 4 plugin thông dụng,
Tìm ở Google
- cach kiem tra plugin co ma doc hay khong
- wordpress bị dính mã độc
- thêm plugin cho wordpress
- plugin bao ve wordpress
- plugin 6-scan bao loi
- Plug in tìm mã độc
- phong tranh ddos wordpress
- phần mềm null
- Ma doc trong avartar
- Kiem tra Plugin trong wordpress
bài viết này hay, cám ơn bạn nha
mình hỏi ngoài lề tí
Cái google authorship , trong số hơn 40 page của mình chỉ có 3-4 page là index google vơi authorship 
Thạch có cách nào để tất cả các trang còn lại hiện authorship trên google không nhỉ
Hải TRần đã add contributer link trong G+ profiles chưa? Nếu rồi thì add thêm cái text-link trên footer là xog thôi à
đã sử dụng plugin để add , có 5 trang index là có hiện google +, còn lại gần 40 trang thì chỉ index hiện bình thường
Không phải trang nào cũng có thể xác nhận thành Authorship cả, thường thì Google phải nhận ra rằng trang đó là nội dung do tự bạn viết thì mới hiện avatar.
Mình cài cái Theme checker xong thì tìm không thấy đâu nữa, chắc mã độc nó ăn luôn. Kinh thế chứ.
Trong Appearance đó cậu
Trước giờ toàn xài null, sau bài viết này mới biết là null không đáng tin cậy
Không ai cho không mình cái gì đâu bạn, kể cả mình có share plugin đi chăng nữa thì cũng có mục đích cả thôi, chỉ khác mục đích của mình không phải là phát tán mã độc. Có điều kiện thì cứ mua mà dùng, thế sẽ tốt hơn.
Ở blog của mình lên PR4 nhé, chả biết là thật hay cái SEOQake nó lỗi nữa.
Của mình sao chưa thấy lên ta.
Trang của em từ 1 -> 2 haiza. Hóng gói quà tặng PM SEO và Marketing của bác Thạch
Site Phạm đang 3 xuống 2 hay vẫn 2 nhỉ
Mình vẫn chưa đc chút PR nào 
Của em vẫn 2, chưa update gì cả.
Nản quá nhỉ. Nhiều site củ chuối từ 0 lên tới 4 mà site ngon lành thì google lại cho dậm chân tại chỗ
Hy vọng là những site đang dậm chân tại chỗ sẽ nhận đc Pr vào sáng mai khi ngủ dậy (Đó là niềm an ủi lớn nhất 
)
Site mình cũng lên được 1 rồi, vui ghê
Mình dùng prchecker để check.
Ơ, em đợi 3GB quà của bác mấy hôm rồi, ngày ngày ra net mà mãi bác k up là sao XD
Up gần xong rồi, còn 1 part nữa thôi
Uầy, 3GB quà tặng gì ế
Bật mí đi, mai mình hóng sớm, chứ nhiều lần có quà ngon thì Phạm hạn chế lên giờ phải theo sát 
Site mình lên pr3 rồi, mừng quá nhưng không biết qua hôm sau có tụt xuống 2 lại không nữa
những plugin rất hữu ích , có cái nào full mà free kg admin giới thiệu thêm cho mọi người nhé, tks admin nhiều
Full mà free thì chắc không có rồi.
Phạm cho mình hỏi khi post bài thì những ô như sau mình phải điền và đánh dấu làm sao vậy
Phạm cho mình hỏi khi post bài thì những ô như sau mình phải điền và đánh dấu làm sao vậy
https://lh4.googleusercontent.com/-lDP-Cz7zw3I/URB7c6NQmaI/AAAAAAAACdc/nKWbFHxMkEo/s590/Capture.JPG
Để nguyên đi bác, tick vào là google nó ….
Hì, thank nhé, mình thấy lạ là từ đợt chuyển qua genesis site mình index chậm quá, đợt dùng theme mua của themeforet thì cứ 3 > 10p là index rồi, giờ toàn trên 1 giờ mấy có mặt, Không biết có lên dùng plugin seo nào ko bác nhỉ
Do bạn đổi theme nên nó index chậm lại đó, bạn cứ post bài đều đặn một thời gian nó lại nhanh lên ấy mà.
Tin bác visao nhỏ coi sao, mong nó sẽ ổn định lại
Liệu có phải dùng thêm plugin seo nào ko nhỉ 
Đừng đánh gì cả nếu không muốn bài đó biến mất trên Google.
Bạn có thể dùng All in one seo pack, và một số plugins seo khác, bảo bác Thach chỉ cho
Quá hay thank 2 bác, mình cũng đang tính ăn tết xong sẽ chuyển em giaitrimobile.net qua sài wordpress
Còn nhờ vả cac bác nhiều lắm 
Gần tết rồi mình cũng đi kiếm cái trang trí cho blog đã 
mình đang dùng cái Infinite cũng khá hay.
Thanks !
Thích cái 6Scan Security, dùng cũng thấy tốt. Thanks Thạch Phạm.
Hihi, pro Thạch đảm bảo hàng tại thachpham.com là ko hề có virus đó nhé
Thạch ơi, mình sử dụng plugin 6Scan Security và scan lần đầu mới cài vào. Bây giờ muốn scan lại nhưng không tìm thấy chức năng scan ở đâu cả. Scan lần đầu nó báo có lỗi, mình đã fix thủ công rồi, nhưng vào dashboard nó vẫn báo mẫy lỗi đó hoài. Bạn chỉ mình nhé. Thanks
Cái này nó tự scan cho mình chứ mình không tự scan thủ công được. Muốn tiện hơn thì phải upgrade lên pro thôi :(
Bạn đợi nó scan lại lần tiếp theo sẽ hết.
Phai cai 4 plugin co a hjxhjx
Chỉ cần cài 1 cái thôi bạn.
Chào Thạch, những bài viết của bạn hay quá. Mình mới tìm hiểu về wordpress thôi, cũng đang dần hoàn chỉnh blog.
Đọc xong một số bài viết của bạn, thì thật sự mê wordpress mất rồi.
Mình vừa install pulgin 6scan, kết quả là site mình dính 3 lỗi.
Bạn xem giúp mình cách sửa với. Thanks bạn nhiều lắm .
À, sắp tới mình làm thẻ visa, mới mua đc host. Thấy thằng justhost theo link giới thiệu của bạn có vẻ tốt, giá cũng mềm. Giờ đang hoàn thiện nốt code về bảo mật vs SEO .
Hy vọng bạn có nhiều bài viết hay hơn nữa!
Quên mất, cái link ảnh.
Thạch xem giúp mình nhé
http://www.upanh.com/slider/?e=malihu&s=upload&start=5vx0eqaxeiv
Mình sửa đc rồi. Nó có hướng dẫn mà ko để ý
Rất vui vì bạn đã sửa được, mình nghĩ lỗi này ai cũng có thể sửa được vì nó có hướng dẫn rất chi tiết
Còn Justhost thì cũng khá tốt, tuy nhiên để thêm nhiều lựa chọn thì bạn cũng nên xem qua Siteground và Eleven2 nhé. Cám ơn bạn đã ủng hộ.
Mình vừa đăng ký theo link của Thạch, nhưng nó ghi giá là 4.95$/mo – 12 tháng. Ko thấy thông tin free 3 tháng :(
Cái ” Coupon Code: FREEDOMAIN ” nó mặc định thế này. Có phải là khác nhau ở cái Code này ko ?
Nếu bạn muốn free 3 tháng thì click vào đây nhé: http://manage.aff.biz/z/1032/CD48204/
Thạch Phạm recently posted…Hostgator giảm giá 35% tất cả các gói hosting – Số lượng có hạn
À, justhost hiện tại ko khuyến mãi đúng ko . Thế chuyển sang eleven2 vậy
Nó khuyến mãi….suốt 1 năm nay rồi, nhưng mà nên dùng Eleven2 vẫn hơn. Nhớ chọn server Singapore nhé. http://thachpham.com/hosting/eleven2
Thạch Phạm recently posted…Hostgator giảm giá 35% tất cả các gói hosting – Số lượng có hạn
có plugin nào chống ddos cho wordpress không thế bạn
Hiện tại thì không đâu bạn, nếu bạn muốn chống DDOS 1 cách hiệu quả nhất thì hãy sử dụng dịch vụ của CloudFlare hoặc Incapsula nhưng giá cao lắm đấy.
Thạch Phạm recently posted…6 bước để viết nội dung theo chuẩn SEO
Bác Thạch nên làm một bài về cách chống DDOS, sợ nhất là cái này !
Thanh Son recently posted…Mạng quảng cáo Yllix cho website hoặc blog của bạn
Hi bạn, mình có tải 1 plugin Autobloged (nulled) trên mạng về. Cài vào thì chạy bình thường nhưng không hiểu sao site cứ bị hiện lên cái khung
“Found
The document has moved here.” ( bạn check dùm ở http://natalie.thaile.info/wordpress/)
Mình nghĩ là do cái plugin này cài. Nhưng không biết cách bỏ nó. Nhờ bạn chỉ giúp nhé hoặc nếu không bạn có plugin autobloged nào có thể giớ thiệu cho mình không ?
Thanks bạn
Dùng hàng nulled không rõ nguồn gốc là vậy, bị chèn mã độc tứ tung vào. Bạn tải file ở dưới nhé:
https://www.dropbox.com/s/c20k2pstx7cqaav/Autoblogged.zip
Thạch Phạm recently posted…[Plugin Giveaway] AuthorhReview Pro – Viết bài review chuyên nghiệp
Anh Thạch ơi cho em hỏi. Cái http://www.hostinger.vn/ này có tốt ko anh? Nó mới về VN mình mấy tháng. >____< Em thấy gói free của nó xài khá đc đấy anh. Tiền thân của nó là 00wehost00
Nó là reseller của 000webhost chứ có phải là tiền thân gì đâu. Anh chưa thử chưa biết nhưng chắc sẽ test trong thời gian tới. Cứ thấy 000webhost thế nào thì nó như vậy, 000webhost cũng tốt, tốc độ khá nhưng chỉ có điều PHP File Size hơi thấp, nhiều khi gây timeout. Nhưng free như vậy là ok rồi.
Thạch Phạm recently posted…Kinh nghiệm kích thích độc giả bình luận tại Thach Pham Blog
À, nhân tiện em cũng cảm ơn anh về rất nhiều bài viết anh đã chia sẻ trên blog nhé!
Nó rất có ích cho em. Hồi trước em có xài hostgator đăng ký 6 tháng, nhưng bị vấp phải bước verify đành phải từ biệt nó. 
Ko biết anh có dịch vụ đk hộ. Thì em đã mần với nó rùi. Đành ngập ngùi xài Upreseller 1 năm. Nó sắp hết hạn trong năm nay. Nếu sang năm em vẫn còn đam mê với host chắc chắn em sẽ quay lại nhờ anh đăng ký hộ em bên gator nhé! Em cảm ơn anh nhiều! 
Em thấy nó có ich là anh vui rồi. Upreseller tuy nhỏ nhưng anh thấy nó khá tốt, anh có dùng 2 gói ở đó cho site đứa em của anh và thấy luôn rất hài lòng
Chỉ có điều là hơi không đảm bảo so với các nhà cung cấp uy tín hơn thôi nhưng vẫn hợp với site nhỏ lẻ.
Thạch Phạm recently posted…Hosting tại Godaddy – Hosting giá rẻ cho người có kinh nghiệm
Hiện PayPal anh đã được gỡ limit nhưng anh sẽ lấy phí khi đăng ký hộ đấy.
hix hix mình đang seo nên đăng ký hosting free của 000webhost làm thử mà 5 hôm nay bị ddos không vào được trang quản trị mà chỉ vào được web mới lạ
(vào cpane nó thông báo thế này đây) thế này là phải đợi nó fix à mọi người
Servers under the DDOS attack
We’re currently experiencing issues due to a DDoS attack targeting our servers. This is resulting in some of our customers sites being slow or even unavailable. Our admin team currently blocking attack source and server should back online shortly.
This is a global issue and most of the incoming traffic is being directed to the WordPress login page which is why during the attack WordPress logins will be disabled and wp-login.php script will redirect to our error page. We are monitoring the situation and doing everything we can to minimize the downtime as much as possible. You can read more about the problem @ http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br
Please do not submit and tickets about this issue and do not increase our work load as we are fully dedicated in resolving this problem. We thank you for your patience and understanding in the matter
p/s : kiến thức seo ở thachpham.com rất hay …like
Nếu nó báo vậy thì chỉ biết là chờ nó khắc phục thôi. :(
Thạch Phạm recently posted…Cài đặt LAMP + Wordpress trên VPS CentOS 6
Cám ơn bạn đã ủng hộ nhé.
Mình sử dụng KIS nên mỗi khi vào trang nào có mã độc nó cũng báo :x. Cái WordPress hiện tại dùng nhiều plugin quá rồi. Chẳng muốn dùng thêm nữa. Nhưng vẫn cảm ơn bạn vì bài viết
Geeks Việt recently posted…Plugin Cache nào tốt nhất cho WordPress ?