📋 TÓM TẮT NHANH
- Website bị tấn công phải xử lý trong vòng 1–2 giờ đầu — chậm hơn sẽ ảnh hưởng SEO và mất dữ liệu
- 8 bước theo thứ tự: Bật maintenance mode → Sao lưu → Đổi mật khẩu → Quét mã độc → Xoá sạch → Restore → Vá lỗ hổng → Báo Google
- Nguyên nhân số 1: 97% lỗ hổng bảo mật WordPress đến từ plugin (nguồn: Patchstack, 2025)
- Kết luận: Nếu có bản backup sạch trong 24–48 giờ, website phục hồi hoàn toàn trong vài tiếng
Mở đầu
Hosting bị tấn công là vấn đề xảy ra thường xuyên hơn nhiều người nghĩ. Wordfence ghi nhận hơn 90.000 cuộc tấn công WordPress mỗi phút trên toàn cầu. Riêng Việt Nam có khoảng 552.000 cuộc tấn công mạng trong năm 2025, 52,3% tổ chức bị thiệt hại thực tế (nguồn: Hiệp hội An ninh mạng Quốc gia, 2025).
Nếu website của bạn đang có dấu hiệu bị hack — đừng hoảng loạn. Bài viết này cho bạn đúng 8 bước theo thứ tự, từ cấp cứu ngay bây giờ đến ngăn chặn không bị tái phát.
Dấu Hiệu Nhận Biết Hosting / Website Đang Bị Tấn Công
Trước khi xử lý, xác nhận website có thực sự bị tấn công không:
Dấu hiệu rõ ràng:
- Truy cập vào website bị chuyển hướng sang trang lạ
- Giao diện bị thay đổi hoặc xuất hiện nội dung không rõ nguồn gốc
- Google Search Console gửi email cảnh báo "Phần mềm độc hại được phát hiện"
- Google hiển thị cảnh báo đỏ "Trang này có thể gây hại cho máy tính của bạn"
- Nhà cung cấp hosting gửi cảnh báo tài nguyên bị sử dụng bất thường
Dấu hiệu tinh hơn:
- File index.php hoặc functions.php có đoạn code mã hóa lạ
- Có tài khoản admin WordPress không do bạn tạo
- Trong /wp-content/uploads/ xuất hiện file .php
- Trang web bỗng nhiên chạy chậm hẳn, CPU hosting đột ngột tăng cao
- Google index những URL tiếng Nhật/Trung mà bạn chưa bao giờ tạo
Nếu có 1 trong 3 dấu hiệu đầu → xử lý ngay. Không cần chờ thêm bằng chứng.
💡 Mẹo phòng ngừa: Dùng hosting có Imunify360 sẽ tự động chặn phần lớn tấn công. Xem hosting có bảo mật tốt nhất →
8 Bước Xử Lý Khi Hosting Bị Tấn Công
Bước 1 — Bật Maintenance Mode Ngay Lập Tức
Tại sao: Ngăn người dùng truy cập vào website đang nhiễm mã độc. Bảo vệ uy tín và SEO trong lúc xử lý.
Cách làm: Cài plugin WP Maintenance Mode (miễn phí) → bật lên. Hoặc liên hệ hosting để tạm tắt website.
⚠️ Đừng xoá website hoặc thay đổi gì lớn trước bước 2 — cần sao lưu trạng thái hiện tại để phân tích nguyên nhân sau.
Bước 2 — Sao Lưu Ngay Trạng Thái Hiện Tại (Dù Đã Nhiễm)
Tại sao: Backup trạng thái bị nhiễm giúp bạn phân tích sau, và giúp hosting support tìm nguyên nhân gốc.
Cách làm:
- Qua cPanel/hPanel: Backup Manager → Full Backup → Download về máy
- Qua FTP: Kéo toàn bộ thư mục website về
- Qua UpdraftPlus: Plugins → UpdraftPlus → Backup Now
Bước 3 — Đổi Toàn Bộ Mật Khẩu
Đổi lần lượt:
| Tài khoản | Đổi ở đâu |
|---|---|
| WordPress Admin | WP Admin → Users → Your Profile |
| FTP/SFTP | cPanel / hPanel → FTP Accounts |
| Database (MySQL) | cPanel → MySQL Databases → Users |
| cPanel / hPanel chính | Trang quản lý hosting |
| Email hosting | Trang quản lý hosting |
Yêu cầu: tối thiểu 16 ký tự, chữ hoa + số + ký tự đặc biệt.
Bước 4 — Quét Và Xoá Mã Độc Bằng Wordfence
- WP Admin → Plugins → Add New → tìm "Wordfence Security" → Install → Activate
- Wordfence → Scan → Start New Scan
- Đợi quét xong → xem danh sách file bị nghi ngờ
- Với mỗi file: chọn "Repair" (file WordPress core) hoặc "Delete" (file lạ)
⚠️ Nếu Wordfence báo "file này khác với bản gốc WordPress" → đây là dấu hiệu file bị chỉnh sửa.
Kiểm tra thêm tại Sucuri SiteCheck (miễn phí).
Bước 5 — Restore Từ Backup Sạch (Nếu Có)
Đây là bước hiệu quả nhất nếu có backup sạch trong 48 giờ trước khi bị tấn công.
Lưu ý: Sau khi restore, chạy lại Wordfence scan một lần nữa và kiểm tra /wp-content/uploads/ — xoá mọi file .php, .js, .html lạ trong thư mục này.
Bước 6 — Cập Nhật Và Vá Lỗ Hổng
- WordPress Core: Dashboard → Updates → Update Now
- Tất cả Plugin: Updates → chọn tất cả → Update
- Tất cả Theme: Updates → chọn tất cả → Update
- Xoá plugin không dùng: Plugin không active vẫn có thể bị khai thác
97% lỗ hổng WordPress đến từ plugin (Wordfence, 2025). Không dùng plugin/theme lậu dưới bất kỳ hình thức nào.
Bước 7 — Tắt Tính Năng Không Cần Thiết
- Bật xác thực 2 lớp (2FA): WP Admin → Wordfence → Login Security → Enable 2FA
- Đổi URL trang đăng nhập: Dùng plugin WPS Hide Login để đổi /wp-admin thành URL bí mật
Bước 8 — Báo Google Và Yêu Cầu Xem Xét Lại
- Vào Google Search Console
- Security Issues → xem chi tiết
- Sau khi sửa hết → "Request a Review"
- Thời gian Google xem xét: 3–5 ngày làm việc
Nên Chọn Hosting Nào Để Giảm Rủi Ro Bị Tấn Công?
| Tính năng | Tại sao quan trọng |
|---|---|
| Imunify360 / Imunify AV | Quét và chặn mã độc ở cấp server |
| ModSecurity WAF | Tường lửa chặn SQL injection, XSS |
| LiteSpeed + CloudLinux | Cô lập tài nguyên, nếu website khác bị hack bạn không bị ảnh hưởng |
| Backup tự động hàng ngày | Có backup = có thể phục hồi ngay |
| SSL miễn phí | Bảo vệ dữ liệu truyền giữa user và server |
👉 Xem gói hosting Hostinger (có Imunify360) →
👉 Xem gói AZDIGI Pro (CloudLinux + Imunify) →
Kết Luận
Phòng tránh dài hạn:
- Backup tự động hàng ngày (UpdraftPlus free + Google Drive)
- Không dùng plugin/theme null lậu
- Cập nhật WordPress + plugin + theme ngay khi có bản mới
- Chọn hosting có Imunify360 và backup hàng ngày
👉 Xem so sánh hosting bảo mật tốt nhất 2026 →
💡 Đọc thêm: Sau khi khôi phục, nên chuyển sang hosting có Imunify360 để tránh tái phát. Xem thêm bảng chi phí hosting 2026 để so sánh các gói bảo mật.
❓ Câu Hỏi Thường Gặp
Hosting bị tấn công có mất dữ liệu không?
Không nhất thiết — phần lớn hacker không xoá dữ liệu. Nếu có backup trong 48 giờ, dữ liệu phục hồi gần như hoàn toàn.
Tôi không có backup thì phải làm sao?
Liên hệ ngay nhà cung cấp hosting — nhiều hosting giữ backup từ 7–30 ngày. AZDIGI và Hostinger đều có backup tự động.
Wordfence free có đủ dùng không?
Đủ cho phần lớn trường hợp — quét file, phát hiện mã độc, có firewall cơ bản.
Sau khi restore sạch, website có bị hack lại không?
Có thể nếu không vá lỗ hổng ban đầu. Làm đủ Bước 5 và Bước 6 để giảm rủi ro tái phát.
Hosting bị DDoS và hosting bị hack có khác nhau không?
DDoS là tấn công làm quá tải server bằng traffic ảo. Hack là xâm nhập vào file/database. DDoS do hosting xử lý; hack cần bạn xử lý theo 8 bước trên.
Mất bao lâu để website phục hồi hoàn toàn?
Phục hồi kỹ thuật: 2–6 giờ nếu có backup. Gỡ cảnh báo Google: 3–5 ngày. Phục hồi traffic SEO: 2–8 tuần.
📧 Nhận Cập Nhật Miễn Phí
Mã Giảm Giá & Review Hosting Mới Nhất
Mỗi tuần 1 email — không spam, hủy bất cứ lúc nào


