WordPress là gì?
WordPress là một nền tảng quản lý nội dung (CMS – Content Management System) mã nguồn mở, được sử dụng phổ biến nhất trên thế giới hiện nay, chiếm hơn 43% số lượng website trên toàn cầu. Do là mã nguồn mở, nên bất kỳ ai cũng có thể truy cập mã nguồn và tìm hiểu cách thức nó hoạt động. Chính vì vậy, Hacker cũng có thể dễ dàng nghiên cứu để phát hiện và khai thác các lỗ hổng bảo mật trên mã nguồn mở này.
Xem thêm:
- Cách xử lý khi Google Ads từ chối quảng cáo do phần mềm độc hại
- Hướng dẫn xử lý website bị Google cảnh báo nguy hiểm
- Xử lý spam index trong Google Search Console
- Bảo mật website với wordfence
- Một số PLugin bảo mật tốt
- Một số cách bảo mật website
- Top 5 phần mềm diệt Malware tốt nhất
- Dấu hiệu nhận biết website bị Hack
- Một số công cụ phát hiện bảo mật website
Những nguyên nhân khiến website WordPress bị hack?
Có rất nhiều nguyên nhân khác nhau có thể dẫn đến việc website của bạn bị hack. Dưới đây là một số nguyên nhân chính:
1. Sử dụng Plugin/Theme không rõ nguồn gốc
Chắc hẳn rất nhiều bạn ở đây đang hoặc đã từng sử dụng Theme, Plugin “lậu”. Chúng là những sản phẩm trả phí nhưng lại được chia sẻ miễn phí một cách tràn lan trên mạng. Kẻ xấu nắm bắt được tâm lý phần đa người dùng thích sử dụng miễn phí, nên khi chia sẻ Plugin, Theme, chúng thường lợi dụng và đính kèm luôn cả malware, backdoor, backlink ẩn và các script độc hại khác. Nếu bạn không kiểm tra và cứ thế cài đặt vào website của mình, thì nguy cơ website bị hack là rất cao.
2. Không update WordPress/Plugin/Theme thường xuyên
Đối với việc update các tài nguyên miễn phí hay có phí, ngoài mục đích bổ sung tính năng mới, cải thiện hiệu suất, thì việc update còn giúp khắc phục các lỗ hổng bảo mật còn tồn đọng ở các phiên bản cũ. Tuy nhiên, có một sự thật là có đến hơn 60% người dùng không quan tâm hoặc rất ngại việc nâng cấp này. Có thể họ sợ sau khi update website sẽ bị lỗi hoặc cũng có thể là do lười. Nhưng dù là với nguyên nhân gì, thì việc này cũng đang tạo cơ hội cho Hacker.
3. WordPress/Plugin/Theme tồn tại lỗ hổng bảo mật
Không có một hệ thống nào hoàn hảo cả. Dù bạn có sử dụng WordPress/Plugin/Theme chính hãng, có bản quyền và luôn cập nhật thường xuyên… thì các tài nguyên này vẫn có thể tồn đọng các lỗ hổng bảo mật. Và hacker hoàn toàn có thể khai thác để tấn công website của bạn.
4. Sử dụng tên đăng nhập mặc định và mật khẩu quá đơn giản
Nhiều bạn thường có thói quen sử dụng tên đăng nhập mặc định (vd: admin, administrator…) và mật khẩu quá đơn giản (vd: 123456, website123, admin123 ) để cho dễ nhớ, mà không hề biết rằng các thông tin này hacker sẽ dễ dàng dò tìm được thông qua phương thức tấn công brute force phổ thông.
5. Không cài Plugin bảo mật
Việc cài đặt Plugin bảo mật là cực kỳ cần thiết cho website, nhưng cũng tương tự như việc update thì phần lớn người dùng không quan tâm đến việc này. Với các Plugin bảo mật hiện nay đều được trang bị đầy đủ các tính năng giúp bạn chống Brute-force attack, XSS, Spam bình luận, Scan và tìm ra các file mã độc hoặc lỗ hổng được chèn vào website…Chúng được xem như một lớp bảo vệ giúp website của bạn an toàn hơn.
6. Không sử dụng phần mềm antivirus trên máy tính
Nếu máy tính bị nhiễm Virus, Trojan, Malware… chúng hoàn toàn có thể xâm nhập vào website của bạn thông qua việc upload file, theo dõi lịch sử duyệt web, phân tích cookie trình duyệt và cả việc ăn cắp thông tin đăng nhập khi bạn gõ từ bàn phím… Do đó, nếu máy tính của bạn không được bảo vệ tốt bởi một phần mềm diệt virus chất lượng và được cập nhật thường xuyên, website của bạn nhiều khả năng sẽ là nạn nhân tiếp theo.
Thống kê mới nhất 2025
Theo thống kê mới nhất năm 2025, người ta ước tính mỗi ngày có khoảng 13.000 website WordPress bị tấn công. Chi tiết các bạn có thể tham khảo tại:
- https://www.elegantthemes.com/blog/wordpress/wordpress-security-threats
- https://www.searchlogistics.com/learn/statistics/wordpress-statistics
Tổng kết
Con số này cho thấy WordPress là mục tiêu tấn công hàng đầu do sự phổ biến rộng rãi của nền tảng này. Việc bị tấn công không còn là điều hiếm gặp mà đang xảy ra hàng ngày, hàng giờ, và ảnh hưởng đến tất cả các website nếu không có biện pháp bảo mật phù hợp. Hầu hết các cuộc tấn công đều được thực hiện tự động thông qua các công cụ quét lỗ hổng, không phân biệt quy mô lớn hay nhỏ. Chính vì vậy, bảo mật website không phải là lựa chọn, mà là việc bắt buộc. Người quản trị cần chủ động sử dụng Plugin/Theme rõ nguồn gốc, cập nhật thường xuyên, cài đặt các plugin bảo mật và đảm bảo hệ thống Server/VPS được cấu hình an toàn nếu muốn website vận hành ổn định và lâu dài.
