Khoảng 2 tháng nay, mình nhận được rất nhiều tin nhắn từ anh em trong cộng đồng nhờ hỗ trợ xử lý website bị hack, index tiếng Nhật, hoặc đột nhiên biến thành “web cờ bạc” khi Google quét.

=> Đây là một dạng tấn công khá phổ biến trên WordPress, nhưng không phải ai cũng nhận ra, vì website nhìn hoàn toàn bình thường đối với người dùng.

Nhân đây, mình chia sẻ lại một case study thực tế mà mình đã xử lý gần đây – để mọi người hiểu rõ nguyên nhân, cách hacker chèn mã độc, cơ chế cloaking hoạt động như thế nào, và quan trọng nhất là quy trình khắc phục triệt để.

image 7

Nội dung bài học

1. Website nhìn vẫn bình thường, nhưng Googlebot lại thấy… web cờ bạc

Điểm đặc biệt nhất trong case này là:

  • Người dùng truy cập → website bình thường.
  • Chủ website kiểm tra → mọi thứ đều ổn.
  • Nhưng khi đổi user-agent sang Googlebot, giao diện lập tức biến thành một website casino tiếng Nhật, giống y hệt hình mình nhận được từ khách.

Đây là hình thức tấn công cloaking – hacker cố tình che giấu nội dung xấu với người dùng, chỉ hiển thị cho Googlebot để thao túng kết quả tìm kiếm.

Kết quả là:
Google index toàn nội dung tiếng Nhật, giảm trust, traffic rớt mạnh.

Mình check trên Google Search Console thì giao diện là 1 website bet
Mình check trên Google Search Console thì giao diện là 1 website bet

2. Nguyên nhân chính: plugin chứa mã độc ẩn

Sau khi quét sâu bằng Wordfence và kiểm tra thủ công trong thư mục /wp-content/plugins/, tìm thấy thủ phạm:

Plugin “Current Year, Symbols and IP Shortcode”
(được cài từ tháng 12/2024)

Bên trong có file lạ 540189.php, đóng vai trò:

  • Chèn mã cloaking vào nhiều file PHP.
  • Hiển thị giao diện cờ bạc khi phát hiện Googlebot.
  • Tự lan sang thư mục plugins và uploads.
  • Chỉnh sửa file .htaccess để redirect ẩn.

Đây là dạng malware rất tinh vi vì nó không đổi giao diện website, khiến chủ web khó phát hiện.

Team mình phát hiện được file mã độc trong plugin
Team mình phát hiện được file mã độc trong plugin

3. Khu vực bị nhiễm mã độc

Mã độc lan:

  • /wp-content/plugins/
  • Một phần /uploads/
  • .htaccess
  • Nhiều file PHP bị chèn đoạn mã cloaking

Cơ chế hoạt động:

  • User thật truy cập → sạch
  • Googlebot truy cập → web cờ bạc tiếng Nhật

4. Quy trình xử lý triệt để

Dọn sạch mã độc

  • Quét toàn bộ website bằng Wordfence (High Sensitivity).
  • Xóa file 540189.php và các file bị nhiễm.
  • Gỡ plugin chứa mã độc.
  • Gỡ mã cloaking trong hàng loạt file PHP.
  • Dọn lại .htaccess.

Cập nhật & vá lỗ hổng

  • Update WordPress, theme, plugin.
  • Xoá plugin lỗi thời, không rõ nguồn gốc.

Tăng cường bảo mật

  • Bật Wordfence Firewall → “Enabled and Protecting”.
  • Kích hoạt theo dõi thay đổi file (File Change Detection).
  • Chặn quốc gia có tỷ lệ tấn công cao.
  • Thiết lập lịch quét tự động hàng ngày.

Làm việc với Google

  • Reindex toàn bộ URL chính.
  • Dùng Removals để xoá URL rác.
  • Kiểm tra lại bằng user-agent Googlebot → website sạch.

5. Kết quả đạt được

  • Website đã sạch hoàn toàn.
  • Không còn giao diện cờ bạc khi test bằng Googlebot.
  • Wordfence báo “No Critical Issues Found”.
  • Google trả lại kết quả tiếng Việt chuẩn.
  • Tường lửa bảo mật hoạt động ổn định.

6. Lời khuyên cho anh em làm web & SEO

Làm ngay

  • Đổi toàn bộ mật khẩu: admin, hosting, email.
  • Kiểm tra form liên hệ, thanh toán.
  • Backup phiên bản sạch để dự phòng.

Duy trì định kỳ

  • Quét Wordfence 1–2 lần/tuần.
  • Cập nhật plugin/theme thường xuyên.
  • Không cài plugin từ nguồn không uy tín.
  • Hạn chế cấp quyền admin cho nhiều người.
Hãy đánh giá nội dung