Hướng dẫn quét mã độc WordPress bằng Wordfence chi tiết 2026
Thịnh Văn Hạnh
06/07/2026
2756 Lượt xem
Chia sẻ bài viết
Để quét mã độc WordPress, bạn có thể dùng plugin Wordfence để kiểm tra file core, theme, plugin, URL độc hại, backdoor và các đoạn mã bất thường. Trước khi quét hoặc xóa file nghi nhiễm, hãy backup toàn bộ mã nguồn và database để tránh mất dữ liệu nếu thao tác nhầm. Trong bài viết này, BKNS sẽ hướng dẫn cách quét mã độc WordPress bằng Wordfence, cách kiểm tra thủ công, cách xử lý sau khi phát hiện malware và các bước phòng tránh tái nhiễm.
Tóm Tắt Bài Viết
- Mã độc WordPress là gì?
- Dấu hiệu website WordPress bị nhiễm mã độc
- Khi nào nên quét mã độc website WordPress?
- Cách quét mã độc WordPress thủ công
- Chọn plugin bảo mật WordPress
- Cách quét mã độc WordPress bằng Wordfence
- Xử lý kết quả sau khi quét mã độc WordPress
- Phải làm gì sau khi tìm thấy Malware trong WordPress?
- Cách phòng tránh WordPress bị nhiễm mã độc trở lại
Mã độc WordPress là gì?
Mã độc WordPress là các đoạn mã, file hoặc script độc hại được chèn trái phép vào website WordPress nhằm đánh cắp dữ liệu, tạo tài khoản quản trị ẩn, chuyển hướng truy cập, phát tán spam hoặc kiểm soát website từ xa.
Các dạng mã độc thường gặp trên WordPress gồm:
- Backdoor cho phép hacker quay lại website sau khi đã bị phát hiện.
- Redirect malware tự động chuyển người dùng sang website lạ.
- SEO spam chèn link ẩn, nội dung tiếng nước ngoài hoặc trang rác.
- Malware trong theme, plugin nulled hoặc file tải từ nguồn không rõ ràng.
- Script độc hại trong thư mục uploads, file .php lạ hoặc file giả dạng ảnh.
- Mã độc chèn trong database, bài viết, widget hoặc file cấu hình.
Điểm nguy hiểm là nhiều loại malware hoạt động âm thầm. Website vẫn truy cập bình thường nhưng bên trong đã bị chèn mã, tạo user lạ hoặc gửi dữ liệu ra ngoài.

Dấu hiệu website WordPress bị nhiễm mã độc
Không phải lúc nào website nhiễm mã độc cũng sập ngay. Nhiều trường hợp dấu hiệu ban đầu khá nhỏ, dễ bị bỏ qua. Bạn nên kiểm tra malware nếu website có các biểu hiện sau:
- Website tự động chuyển hướng sang trang cá cược, người lớn, quảng cáo hoặc trang lạ.
- Trình duyệt hiển thị cảnh báo website không an toàn.
- Google Search Console báo lỗi bảo mật hoặc cảnh báo nội dung độc hại.
- Kết quả tìm kiếm Google xuất hiện tiêu đề, mô tả hoặc URL lạ không có trên website.
- Website chậm bất thường dù hosting không quá tải.
- Có tài khoản admin mới nhưng bạn không tạo.
- Plugin hoặc theme tự thay đổi, tự kích hoạt hoặc không thể xóa.
- Xuất hiện file lạ trong hosting, đặc biệt là file .php trong thư mục uploads.
- Website gửi email spam hàng loạt.
- Lượng truy cập giảm mạnh do bị Google hạ uy tín hoặc cảnh báo bảo mật.
- File wp-config.php, .htaccess hoặc functions.php có đoạn mã lạ.
Nếu website có một trong các dấu hiệu trên, bạn không nên chỉ xóa plugin bảo mật rồi cài lại. Cần quét toàn bộ mã nguồn, database, user admin và log truy cập để tìm nguyên nhân gốc.

Khi nào nên quét mã độc website WordPress?
Bạn có thể quét mã độc website WordPress của bạn bất cứ lúc nào.
Thông thường, những người mới bắt đầu làm website WordPress không cài đặt trình quét bảo mật WordPress ngay lập tức. Điều này đồng nghĩa với việc phần mềm độc hại hoặc mã độc có thể không được chú ý trong một khoảng thời gian dài.
Nhiều người dùng không nhận thấy bất cứ điều gì khác thường cho đến khi xuất hiện một số dấu hiệu đáng ngờ.
Các dấu hiệu phổ biến cho thấy website WordPress của bạn đã bị hack đó là:
- Traffic của website đột ngột giảm nhanh.
- Website xuất hiện các đường dẫn độc hại.
- Trang chủ website của bạn bị tấn công giao diện Defaced.
- Không thể đăng nhập vào tài khoản WordPress.
- Xuất hiện nhiều tài khoản người dùng đáng ngờ trong WordPress.
- Xuất hiện các tệp tin và thư mục lạ trên máy chủ.
- Website của bạn chậm hoặc không phản hồi.
- Nhật ký máy chủ xuất hiện hoạt động bất thường.
- Không thể gửi đi hoặc nhận email WordPress.
- Các nhiệm vụ theo lịch trình có dấu hiệu đáng ngờ.
- Xuất hiện những quảng cáo lạ trên website của bạn.
Ngay cả khi website WordPress của bạn không bị hack hoặc không bị ảnh hưởng, bạn cũng nên tìm hiểu và thực hiện cách quét website WordPress của mình để tìm mã độc. Điều này sẽ giúp bạn bảo vệ website của mình, phòng tránh các cuộc tấn công có thể xảy ra trong tương lai.

Cách quét mã độc WordPress thủ công
Việc quét mã độc WordPress thủ công đòi hỏi bạn phải có nhiều thời gian và kiến thức kỹ thuật. Tuy nhiên quét mã độc WordPress theo cách này thì bạn có thể dễ dàng biết được thông tin chi tiết về nơi đã xảy ra việc tấn công.
Để quét mã độc WordPress bằng phương pháp thủ công, bạn hãy thực hiện theo các bước sau đây:
Bước 1: Thực hiện tải và sao lưu trang web về máy tính
Trước khi thiết lập hay điều chỉnh các file quan trọng của website, bạn cần phải sao lưu website và hãy giữ một bản backup database của bạn được lưu trữ cục bộ.
Có 2 cách để tiến hành sao lưu website, đó là sử dụng trình quản lý file manager và FTP client.
- File manager: Nhấp chuột phải vào thư mục public_html nhấp chuột phải để chọn compress. Sau khi hoàn tất, nhấp chuột phải và tải xuống để lưu nó vào máy tính.
- FTP: Đi đến Site Manager > Connect. Sau đó, thực hiện tương tự như cách trên để tải xuống thư mục. Điểm khác biệt ở đây là bạn sẽ cần sử dụng một ứng dụng FTP client như FileZilla.
Nếu bạn có quyền truy cập vào website của mình, hãy sử dụng các plugin như UpdraftPlus, Backup Buddy hoặc VaultPress để tiết kiệm thời gian.
Bước 2: Tiến hành quét mã độc WordPress website trên máy tính
BKNS khuyên bạn nên quét mã độc website bằng phần mềm diệt virus. Sử dụng hệ thống chống và quét Malware như Kaspersky, Windows Defender hoặc MalwareBytes để xác định mã độc.
Nếu quá trình quét mã độc thành công, bạn sẽ tìm thấy mã độc và loại bỏ chúng khỏi website của bạn. Sau đó, bạn hãy tiến hành upload bản website mới này lên hosting.

Bước 3: Loại bỏ sự lây nhiễm của mã độc
Để loại bỏ sự lây nhiễm của mã độc khỏi website WordPress của mình, bạn cần thực hiện những điều sau đây:
- Truy cập các file của website thông qua FTP hoặc file manager.
- Xóa mọi file và thư mục trong thư mục website, trừ wp-config.php và wp-content.
- Mở wp-config.php hoặc wp-config-sample.php có thể tìm thấy trên Kho lưu trữ WordPress để so sánh nội dung của nó với cùng một file từ bản cài đặt mới.
- Tìm kiếm các đoạn mã code dài, lạ hoặc có dấu hiệu đáng ngờ và tiến hành loại bỏ chúng. Sau khi kiểm tra xong file, bạn cũng nên thay đổi mật khẩu của cơ sở dữ liệu.
Tiếp theo, bạn đến thư mục wp-content và thực hiện các tác vụ trên những thư mục sau đây:
- Plugins: Liệt kê tất các các plugin đã cài đặt và xóa thư mục con. Sau đó, bạn có thể tải xuống và tiến hành cài đặt lại chúng. Bạn không nên tải những plugin lậu hay có nguồn gốc không rõ ràng trên mạng.
- Themes: Xóa mọi thứ ngoại trừ theme hiện tại của bạn và kiểm tra các đoạn code đáng ngờ hoặc bạn có thể xóa thực mục này hoàn toàn nếu bạn đã có một bản sao lưu sạch hoặc không ngại việc phải cài đặt lại.
- Uploads: Kiểm tra xem có file nào không phải của bạn tải lên.
- Index.php: Hãy xóa file này sau khi bạn đã xóa các plugin.
Bước 4: Sử dụng bộ mã nguồn WordPress để upload lại lên website
Bạn hãy tải xuống mã nguồn WordPress gốc thông qua FTP hoặc trình quản lý file và upload lên website.
Đi tới file manager và tìm file WordPress zip, sau đó nhấn Upload Files. Sao chép tất cả mọi thứ khác ngoài file vào zip vào public_html. Nhấp vào chuột phải hoặc nút Extract và nhập vào tên thư mục để xác định vị trí lưu.
Bước 5: Đặt lại mật khẩu cho WordPress
Bạn hãy đăng xuất mọi tài khoản và kiểm tra những tài khoản người dùng không hoạt động hoặc tài khoản đáng ngờ và tiến hành đặt lại mật khẩu của mình.
Bước 6: Cài đặt lại các Plugin và Theme
Hoàn thành 5 bước vừa kể trên là bạn đã hoàn tất quá trình quét mã độc WordPress và loại bỏ chúng khỏi website. Lúc này, bạn có thể cài đặt lại tất cả các plugin và theme đã xóa mà bạn có.
Chọn plugin bảo mật WordPress
Cho dù có malware ẩn trên website WordPress hay không, thì bạn vẫn nên chọn và sử dụng phần mềm bảo vệ website trước các loại mã độc nguy hiểm hiện nay.
Đối với người dùng WordPress, có 2 lựa chọn hàng đầu là WordFence và Sucuri. Cả hai loại này đều được người dùng đánh giá rất cao về khả năng bảo mật cũng như phát hiện và quét mã độc trên WordPress rất tốt.
Cách quét mã độc WordPress bằng Wordfence
Sử dụng plugin Wordfence giúp quá trình tìm kiếm mã độc trở nên dễ dàng và nhanh chóng hơn trên WordPress.
Bước 1: Tải và cài đặt plugin Wordfence Security tại đây: https://wordpress.org/plugins/wordfence/.
Bước 2: Truy cập trang Dashboard của Wordfance để xem qua các thông số chính.
Bước 3: Truy cập vào Scan để bắt đầu quét mã độc WordPress.
Hướng dẫn Scan malware bằng Wordfence:
- Nhấn vào Scan.
- Nhấn START NEW SCAN
- Xem các tiêu chí quét mã độc của Wordfence.
- Xem nhật ký quét tại Results Found.
- Xóa các tệp có thể xóa.
Xử lý kết quả sau khi quét mã độc WordPress
Sau khi thấy kết quả của quá trình quét mã độc WordPress, đã đến lúc bạn cần phải xử lý các file và mã độc này ngay.

Hướng dẫn xử lý malware bằng Wordfence:
Bước 1: Tìm kiếm các file được nghi ngờ chứa mã độc.
Nếu bạn thấy thông báo là High Priority với dấu chấm màu đỏ như hình dưới, thì hãy xem qua file đó sớm và xử lý nhanh chóng.
Bước 2: Chọn các file nghi ngờ chứa mã độc và nhấn vào DELETE ALL DELETABLE FILES phía trên.
Lưu ý: Cần backup website trước khi thực hiện việc xử lý malware để đảm bảo rằng chúng ta không xóa nhầm các file quan trọng khác. Wordfence cũng sẽ nhắc bạn cần làm như vậy.
Bước 3: Nhấn vào Delete Files để Wordfence xử lý.
Lúc này, nếu bạn muốn kiểm tra kỹ hơn thì có thể nâng cấp lên bản cao cấp hơn của Wordfence. Hoặc muốn kiểm tra sâu hơn, bạn có thể dùng plugin Sucuri để xem liệu nó có bắt được bất kỳ thứ gì trong Wordfence bị bỏ sót lại hay không.
Bước 4: Các file bị nhiễm phần mềm độc hại đã được xóa hoàn toàn, giờ bạn cần giải quyết các vấn đề nhỏ hơn.
Trong trường hợp này, phiên bản WordPress đã lỗi thời (9). Wordfence cảnh báo về điều này vì các phiên bản WordPress lỗi thời có thể chứa các vấn đề bảo mật nghiêm trọng. Ngoài ra, Wordfence cho biết về các phiên bản plugin và theme đã lỗi thời (10).
Lưu ý: Bản update WordPress được đánh dấu High priority. Các bản update plugin là Medium. Điều này là do đối với các vụ hack website WordPress, các hacker thường nhắm vào lỗ hổng từ CMS hơn các plugin hay theme.
Bên cạnh 2 cách quét mã độc thủ công và thông qua các plugin thì việc sử dụng hosting tích hợp phần mềm quét mã độc sẽ mang lại hiệu quả bảo vệ tối ưu cho website. Một trong những đơn vị cung cấp dịch vụ này được nhiều người tin dùng hiện nay trên thị trường chính là BKNS. Với hơn 10 năm hoạt động trong nghề, BKNS đã và đang đồng hành cùng hàng chục nghìn khách hàng, đối tác trong và ngoài nước.
Nhằm giúp khách hàng có thể yên tâm kinh doanh trên môi trường internet, BKNS mang tới các gói dịch vụ với nhiều lợi ích thiết thực như:
- Môi trường hoạt động tốc độ, ổn định và bảo mật toàn diện cho website với nền tảng phần cứng mạnh mẽ, hiện đại kết hợp cùng hệ thống tường lửa độc quyền cùng phần mềm quét mã độc tự động.
- An toàn dữ liệu trong mọi trường hợp với phần mềm backup dữ liệu tự động.
- Hạn chế tối đa rủi ro trước mọi vấn đề phát sinh với đội ngũ kỹ thuật viên túc trực 24/7. Toàn bộ tông tin sẽ được tiếp nhận, xử lý và phản hồi lại trong thời gian ngắn nhất.
- Tiết kiệm thời gian thiết kế và quản trị website với bộ công cụ trị giá 750$ gồm nhiều theme và plugin cực hấp dẫn.
Liên hệ với đội ngũ BKNS để được tư vấn cấu hình hosting tối ưu để bảo vệ website của bạn khỏi mã độc ngay hôm nay!
Phải làm gì sau khi tìm thấy Malware trong WordPress?
Một số cách bảo vệ website bạn sau khi kiểm tra mã độc WordPress xong:
- Thay đổi tất cả passwords: Bạn có thể không biết làm thế nào mà phần mềm độc hại lại có ở đây. Nhưng có thể password của quản trị viên và người dùng đã bị xâm nhập theo một cách nào đó. Vì vậy, cần phải thay đổi tất cả. Sử dụng plugin MASS Users Password Reset để làm điều đó và nó sẽ thông báo cho mọi người theo email mà họ đã đăng ký.
- Bật xác thực hai yếu tố (2FA): Bằng cách kích hoạt 2FA trên website của bạn, điều đó có nghĩa là ngay cả khi password bị xâm nhập, kẻ tấn công sẽ không thể xâm nhập sâu hơn vào website của bạn. Bước này đang trở nên bắt buộc khi các cuộc tấn công vào các trang WordPress ngày càng tăng.
- Kiểm tra người dùng đã đăng ký: Để an toàn, hãy kiểm tra những người dùng trên website của bạn có quyền chỉnh sửa file và các quyền khác. Nếu kẻ tấn công vào bên trong website của bạn, tạo tài khoản người dùng cho chính họ thì 2FA và việc thay đổi password sẽ được thực thi. Vì vậy, hãy kiểm tra và loại bỏ chúng. Bằng cách loại bỏ những tác hại, chúng ta xóa tài khoản người dùng đó và xóa họ ra khỏi cơ sở dữ liệu.
- Backup website: Bây giờ bạn đã chắc chắn rằng website của mình đã sạch, hãy sao lưu nó, bạn cần có một bản backup hoàn toàn sạch sẽ để có thể sử dụng khi cần.
- Quest mã độc thường xuyên: Hy vọng rằng bạn sẽ cài đặt Wordfence hoặc bất kỳ plugin bảo mật nào mà bạn muốn sử dụng. Phiên bản miễn phí của WordFence có khả năng tự động quét website và gửi kết quả qua email cho bạn.

Cách phòng tránh WordPress bị nhiễm mã độc trở lại
Sau khi làm sạch mã độc, bạn cần bảo vệ website để tránh bị nhiễm lại. Nếu chỉ xóa malware mà không xử lý nguyên nhân gốc, website có thể tiếp tục bị tấn công sau vài ngày.
- Cập nhật WordPress, theme và plugin thường xuyên: Phiên bản cũ dễ có lỗ hổng bảo mật, hacker có thể lợi dụng để chèn mã độc.
- Không dùng theme, plugin nulled: Các bản crack, không rõ nguồn gốc thường tiềm ẩn mã độc hoặc backdoor.
- Xóa theme và plugin không dùng: Những thành phần dư thừa vẫn có thể trở thành điểm yếu bảo mật nếu còn nằm trên hosting.
- Dùng mật khẩu mạnh: Tài khoản admin, hosting, FTP và database nên dùng mật khẩu khó đoán, không dùng ngày sinh, số điện thoại hoặc tên thương hiệu.
- Bật xác thực hai lớp: Tính năng này giúp bảo vệ tài khoản quản trị tốt hơn, kể cả khi mật khẩu bị lộ.
- Giới hạn số lần đăng nhập sai: Cách này giúp giảm nguy cơ bị dò mật khẩu tự động.
- Không dùng tên đăng nhập “admin”: Đây là username phổ biến, rất dễ bị hacker nhắm đến.
- Phân quyền tài khoản đúng vai trò: Chỉ cấp quyền quản trị cho người thật sự cần. Người viết bài hoặc quản lý nội dung không nên dùng quyền admin.
- Cài plugin bảo mật: Bạn có thể dùng Wordfence hoặc plugin bảo mật uy tín để quét malware, cảnh báo rủi ro và chặn đăng nhập bất thường.
- Bật firewall nếu cần: Website hay bị tấn công, website bán hàng hoặc website có traffic lớn nên dùng firewall để lọc truy cập độc hại.
- Backup website định kỳ: Luôn có bản sao lưu mã nguồn và database để khôi phục khi website gặp sự cố.
- Theo dõi Google Search Console: Công cụ này giúp phát hiện cảnh báo bảo mật, URL spam hoặc vấn đề bất thường trên website.
- Kiểm tra log hosting khi có dấu hiệu lạ: Log có thể giúp tìm IP đáng ngờ, file bị truy cập bất thường hoặc thời điểm website bị tấn công.
- Không cấp quyền file quá rộng: Quyền file sai có thể khiến mã độc dễ tạo, sửa hoặc ghi thêm file trên hosting.
- Chọn hosting bảo mật tốt: Hosting nên có quét malware, backup, firewall và hỗ trợ kỹ thuật khi website gặp sự cố.
Với website doanh nghiệp hoặc website bán hàng, bạn nên quét bảo mật định kỳ ít nhất mỗi tháng một lần. Nếu website có dữ liệu khách hàng, đơn hàng hoặc thanh toán online, cần kiểm tra thường xuyên hơn để phát hiện rủi ro sớm.
Quét mã độc WordPress bằng Wordfence là bước quan trọng để phát hiện sớm file nhiễm malware, backdoor, redirect độc hại và các vấn đề bảo mật trên website. Tuy nhiên, để xử lý triệt để, bạn không nên chỉ phụ thuộc vào plugin. Hãy kết hợp quét tự động với kiểm tra thủ công các khu vực nhạy cảm như wp-config.php, .htaccess, wp-content/uploads, theme, plugin và user admin.
Nếu website chỉ gặp lỗi nhẹ, bạn có thể tự backup, quét, kiểm tra và xử lý theo từng bước. Nhưng nếu website bị nhiễm nặng, tái nhiễm nhiều lần hoặc ảnh hưởng đến dữ liệu kinh doanh, nên nhờ kỹ thuật viên kiểm tra chuyên sâu để tránh mất dữ liệu và đảm bảo website sạch mã độc thật sự.
Một website WordPress an toàn không chỉ cần được làm sạch sau khi nhiễm mã độc, mà còn cần được cập nhật, backup, giám sát và bảo vệ thường xuyên.



































