WordPress โดน hack หน้าเว็บ redirect เอง

อาการที่หน้าเว็บไซต์ที่ทำจาก WordPress ของเรา redirect ไปที่หน้าอื่นเอง มักจะเกิดจากมัลแวร์ โดยอาจเกิดขึ้นจากการที่เราไม่ได้ตั้งค่าความปลอดภัยให้เว็บไซต์เลย หรือตั้งค่าแล้วแต่ยังเอาไม่อยู่ ถ้าโดนแล้วแนะนำให้ค่อยๆตั้งสติแล้วทำตามขั้นตอนนี้

ก่อนทำทุกๆอย่างถ้าสามารถสำรองข้อมูลได้ ให้สำรองข้อมูลก่อน

WordPress โดน hack
Image by standret on Freepik

สิ่งที่ต้องทำเมื่อเว็บติดมัลแวร์

หาไฟล์ backup แล้วกู้คืน

ปกติแล้วโฮสติ้งส่วนใหญ่จะมีการ backup ข้อมูลไว้ให้อัตโนมัติ อย่างน้อยก็ทุกๆ 7 วัน ให้ติดต่อทางโฮสเพื่อกู้คืนไฟล์ให้ แนะนำให้ถามหาไฟล์สำรองหลายๆเวอร์ชั่น เผื่อกรณีที่ไฟล์ backup ล่าสุดก็เป็นไฟล์ที่ติดมัลแวร์ไปแล้ว

เมื่อโฮสกู้คืนไฟล์ backup ให้เสร็จแล้ว ลองเข้าเว็บดูก่อนว่ายังเจอปัญหา redirect เองหรือเปล่า ถ้าไม่เป็นสามารถทำข้อต่อไปได้เลย แต่ถ้ามันยัง redirect อยู่แล้วไม่มีไฟล์ backup อื่นแล้วก็ทำตามขั้นตอนต่อไปได้เช่นกัน แต่จะยุ่งยากขึ้นในขั้นตอนของการตรวจสอบ Database

แสกนมัลแวร์

ดาวน์โหลดปลั๊กอินที่ช่วยแสกนมัลแวร์ได้ เช่น Wordfence มาแสกนเว็บไซต์ ในช่วงแรกอาจจะแสกนหาทุกวัน ไปจนครบ 1 อาทิตย์ ถ้าไม่พบแล้วอาจจะ deactivate ปลั๊กอินไปก่อน เนื่องจากค่อนข้างเปลืองทรัพยากรของเซิร์ฟเวอร์ แล้วค่อยเปิดปลั๊กอินมาแสกนเป็นครั้งๆไปอาทิตย์ละครั้ง

ถ้าโฮสติ้งของเราใช้งาน Plesk Control Panel ลองแสกนผ่าน extension ที่ชื่อว่า ImunifyAV ตัวนี้จะหามัลแวร์ค่อนข้างเก่ง บางกรณี Wordfence อาจจะหาไม่เจอ แต่ ImunifyAV หาเจอ

เปลี่ยนรหัสทุกระดับ

ตั้งแต่รหัสหลังบ้าน WordPress, Database, FTP และรหัสอื่นๆที่เกี่ยวข้อง

เปลี่ยนไฟล์ชุดใหม่

เข้าไปที่ FTP แล้วลบไฟล์ WordPress ทั้งหมดออก ยกเว้น

  • โฟลเดอร์ wp-content (สำคัญมากว่าห้ามลบ ข้อมูลทุกอย่างของเราอยู่ในนี้)
  • wp-config.php
  • .htaccess (ถ้าใช้ nginx อาจไม่มีไฟล์นี้ ไม่เป็นไร)

แล้วดาวน์โหลดไฟล์จาก https://th.wordpress.org/download/ อัพโหลดเข้าไปใหม่ เผื่อกรณีที่มีการวางไฟล์แปลกๆหรือมีการเพิ่มโค้ดแปลกๆเอาไว้ สำหรับไฟล์ wp-config.php และ .htaccess ที่เราเก็บไว้ ลองตรวจไฟล์แล้วเทียบกับไฟล์เดิมๆว่ามีอะไรผิดปกติหรือเปล่า

หาไฟล์แปลกๆในโฟลเดอร์ wp-content

ปกติในโฟลเดอร์ wp-content เดิมๆเลยจะมีโฟลเดอร์ย่อยเพียงแค่

  • 📁 plugins
  • 📁 themes
  • 📁 uploads
  • 🗊 index.php

ถ้าเจอไฟล์หรือโฟลเดอร์แปลกๆ อาจจะเป็นแคชหรืออื่นๆ สามารถลบทิ้งได้เลย (สำรองข้อมูลก่อน)

เปลี่ยนไฟล์ธีมและปลั๊กอิน

เมื่อเปลี่ยนไฟล์ WordPress แล้ว แนะนำให้ลบโฟลเดอร์ 📁 plugins ถ้าเป็นไปได้ให้ลบ 📁 themes ทิ้งด้วย (สำรองข้อมูล + จดรายชื่อปลั๊กอินไว้ก่อน) แล้วค่อยโหลดไฟล์แบบคลีนๆมาติดตั้งใหม่

หาโค้ดแปลกๆที่มักถูกฝังใน Database

  • <iframe
  • base64_decode
  • eval()
  • <script

ติดตั้งปลั๊กอิน iThemes seurity และตั้งค่าความปลอดภัยให้ถูกต้อง

หลังจากมั่นใจแล้วว่าเว็บไซต์ของเราปลอดมัลแวร์ สิ่งที่ต้องทำต่อไปคือการป้องกันไม่ให้เกิดขึ้นอีกในอนาคต ซึ่งสามารถทำได้เบื้องต้นโดยการตั้งค่าความปลอดภัยให้ถูกต้อง ก็จะช่วยให้เว็บไซต์ของเราปลอดภัยขึ้นมาอีกระดับ โดยปลั๊กอิน iTheme security จะเป็นปลั๊กอินฟรีที่ช่วยเราตั้งค่าความปลอดภัยต่างๆของ WordPress ได้ง่ายขึ้น

อาการอื่นๆ เมื่อเว็บไซต์โดน hack
Image by rawpixel.com on Freepik

อาการโดน Hack แบบอื่นๆ

  • เข้าเว็บผ่าน chrome แล้วขึ้นหน้าสีแดงเตือนว่าโดนมัลแวร์
  • หน้าเว็บเปลี่ยนไปแบบแปลกๆบางส่วน หรือเปลี่ยนทั้งหน้าไปเลย
  • มี Popup แปลกๆเด้ง
  • ล็อกอิน WordPress กับ username, password เดิมไม่ได้
  • มี user แปลกๆโผล่มา
  • เว็บโหลดช้าแปลกๆ ทั้งๆที่เช็ก Analytics หรือเครื่องมืออื่นๆแล้วพบว่า Traffic ไม่ได้เยอะขนาดนั้น
  • เจอเว็บตัวเองติด Google ด้วยคีเวิร์ดประหลาด
  • ติดตั้งปลั๊กอินความปลอดภัย แล้วมีการแจ้งเตือน File change

ถ้าโดน hack แล้วมีอาการตามลิสต์นี้ก็สามารถแก้ไขด้วยวิธีด้านบนได้เหมือนกัน แต่บางกรณีก็อาจจะไม่หายถ้าไม่ได้โดน hack แค่ระดับ WordPress แต่โดนทั้งเซิร์ฟเวอร์เลย โดยเฉพาะ VPS, Cloud ต่างๆ