Các Plugin và Theme bản quyền cho Wordpress được chia sẻ tràn lan trên mạng dưới dạng nulled. Chỉ cần tìm kiếm tên theme + phiên bản (ví dụ flatsome 3.16.7) thì ngay lập tức sẽ nhận được hàng loạt kết quả. Vấn đề đặt ra là liệu những plugin/theme này có an toàn? Muốn biết có an toàn hay không chúng ta cần phải xác định được nguồn gốc của chúng.
Các nhà phát triển wordpress chào bán công khai sản phẩm trên website của họ, hoặc trên các chợ mã nguồn như themeforest, creativemarket,… Vì thế bất cứ ai cũng có thể mua và download về sử dụng.
- Có người mua để dùng cho các dự án website;
- Có người mua để bán lại với giá rẻ hơn;
- Cũng có người mua để chia sẻ miễn phí. Đúng vậy, bạn không nhầm đâu, họ bỏ tiền ra mua để chia sẻ free cho bạn luôn. Bạn nghĩ họ “điên”? Nhưng sự thật hoàn toàn ngược lại.
Plugin và Theme bao gồm các file php, js, css,... rất dễ chỉnh sửa. Cho nên có trời mới biết được file các bạn down trên mạng về đã bị chỉnh sửa hay chưa. Chúng ta không có cách nào xác minh được nguồn của theme & plugin đó cả. Cho nên hãy xác định tinh thần là luôn luôn có rủi ro. Chúng ta chỉ có thể hạn chế rủi ro đó mà thôi.
Nội dung chính:
Theme Nulled hay Plugin Nulled là gì?
Không phải tất cả nhưng hầu hết các nhà phát triển theme và plugin cho Wordpress đều sẽ thiết kế tính năng bảo vệ cho theme/plugin của mình. Họ cung cấp một giấy phép (license key) cho những khách hàng đã mua sản phẩm. Chỉ khi nhập License key vào thì bạn mới có thể kích hoạt và sử dụng được theme/plugin. Đồng thời, nó cũng giúp nhà phát triển xác minh website mỗi khi bạn cập nhật phiên bản mới.
Theme nulled và Plugin nulled là sản phẩm đã bị chỉnh sửa. Người chỉnh sửa có thể đã xóa bỏ tính năng bảo vệ mà nhà phát triển đã thiết kế trên theme/plugin, hoặc “vượt mặt” chúng bằng một license key giả. Nói một cách dễ hiểu, với phiên bản nulled, bạn không cần có License key mà vẫn kích hoạt, sử dụng được theme/plugin như bình thường.
Mục đích chia sẻ mã nguồn nulled
Đã bao giờ bạn tự hỏi là vì sao họ lại chia sẻ mã nguồn nulled miễn phí như vậy hay chưa? Nếu họ phải bỏ tiền ra mua thì vì sao lại dễ dàng chia sẻ cho người khác như vậy?
- Có người chia sẻ đúng nghĩa là SHARE miễn phí;
- Có người chia sẻ để kiếm traffic vào website;
- Có người chia sẻ để phát tán mã độc;
- …v…v…
Chỉ có một số ít những người đã bỏ tiền ra mua sau đó chia sẻ lại file gốc (mã nguồn sạch, không có mã độc). Còn phần lớn việc chia sẻ đều nhằm mục đích khác, chẳng hạn như kiếm tiền, lây lan mã độc,…
Cũng có trường hợp chính tác giả đi chia sẻ để quảng bá về plugin hay theme của họ. Tuy nhiên trường hợp này nếu xảy ra thì họ cũng không bao giờ chia sẻ phiên bản mới nhất. Các tác giả tin rằng bạn sẽ bị “thôi miên” sau khi được trải nghiệm và sẽ phải chi tiền để mua phiên bản mới nhất. Không thể phủ nhận đây là cách marketing khá khôn ngoan.
Nhìn chung mã nguồn nulled tiềm ẩn nhiều rủi ro vì không thể xác minh được nguồn của tập tin. Phần lớn các trang chuyên chia sẻ plugin, theme bản quyền đều là những file có chứa mã độc. Mã độc ở đây là một khái niệm tương đối thôi các bạn nhé.
- Đôi khi nó chỉ là các đoạn mã tự động chèn quảng cáo vào website của bạn;
- Cũng có khi nó tự động tạo ra nội dung chèn backlink để seo;
- Cũng có thể là những backdoor giúp hacker dễ dàng tấn công và kiểm soát máy chủ của bạn,…
Plugin và Theme được chia sẻ trên các diễn đàn hoặc blog uy tín thì có thể yên tâm hơn một chút, nhưng cũng không chắc chắn sẽ an toàn. Vì bản thân người chia sẻ nhiều khi cũng được chia sẻ lại bởi người khác. Do đó, thay vì chấp nhận rủi ro bạn nên tự mua cho yên tâm. Trong trường hợp thực sự bạn không đủ khả năng mua mà vẫn muốn dùng plugin/theme nulled thì tôi cho bạn lời khuyên như sau.
Kiểm tra theme/plugin cẩn thận
Bước 1: Sau khi tải theme/plugin về bạn vào trang virustotal.com để quét mã độc.
Đây là công cụ quét virus trực tuyến rất nổi tiếng hiện nay, thuộc sở hữu của Google trong dự án hợp tác với hơn 70 công ty bảo mật hàng đầu thế giới như BitDefender, Kaspersky, Symantec, Microsoft, Avast, AVG, Avira, Baidu, Comodo,… thậm chí có cả BKAV và CMC của Việt Nam.
Lưu ý: Đây chỉ là công cụ quét trực tuyến chứ không phải phần mềm diệt virus nên không có tính năng xóa file. Nó chỉ phân tích các file và thông báo cho bạn biết file của bạn có bị dính mã độc hay không thôi. Bạn có thể quét từng file đơn lẻ hoặc nén tất cả trong 1 file ZIP.
Nếu quét bằng virustotal phát hiện có mã độc thì tốt nhất bạn không nên sử dụng nữa. Tìm kiếm file khác cho đỡ mất thời gian.
Bước 2: Cài plugin/theme vào website của bạn. Sau đó cài tiếp plugin Wordfence Security vào rồi quét.
Đây là một trong những plugin bảo mật tốt nhất dành cho Wordpress hiện nay. Về cơ bản thằng này quét các file core của Wordpress, quét cả thư mục themes, plugins. Nó có thư viện hơn 44.000 mẫu biến thể mã độc phổ biến với WP và dễ dàng phát hiện các backdoor nổi tiếng như C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx,…
Nói chung plugin miễn phí thì thằng này là số 1 rồi. Kể cả bản Free thì sau khi quét xong nó vẫn gửi mail thông báo kết quả cũng như cảnh báo các lỗ hổng bảo mật cho bạn. Ngoài ra, bạn cũng có thể lập lịch quét định kỳ 3 ngày quét một lần để đảm bảo website luôn an toàn.
Nếu quét xong bằng WordFence vẫn không thấy mã độc thì bạn có thể tạm yên tâm sử dụng plugin/theme đó.
Chỉ là tạm thời yên tâm thôi chứ không thể chắc chắn được điều gì bạn nhé. Vì dữ liệu về virus, mã độc hay các lỗ hổng bảo mật thường không bao giờ đầy đủ. Ngay cả nhà phát triển đôi khi cũng không phát hiện ra mà phải nhờ vào cộng đồng người sử dụng, các nhà nghiên cứu bảo mật,… thông báo thì họ mới kịp thời vá lỗi, nâng cấp. Đó là lý do các bạn cần cập nhật Wordpress thường xuyên.
Khuyến cáo cập nhật plugin WordPress để bảo mật
Đã dùng WordPress thì phải luôn thường xuyên cập nhật phiên bản plugin, theme và core WordPress lên phiên bản mới nhất. Đây là việc cần thiết để giúp website không tồn tại các lỗ hổng bảo mật, tránh bị các tổ chức tội phạm, hacker khai thác.
Trong tháng 5/2023 vừa qua, có một số plugin chứa lỗ hổng bảo mật đã được công bố và đã tung ra các phiên bản cập nhật để vá lỗi. Trong đó, có rất nhiều plugin phổ biến nhiều người sử dụng chứa lỗ hổng có thể bị khai thác chiếm quyền điều khiển website, bao gồm các plugin như Elementor, Jetpack, JetForm Builder, Duplicator Pro, Rank Math SEO Pro,…
Vì vậy nếu bạn có sử dụng một trong các plugin trên thì hãy tiến hành cập nhật lên phiên bản mới ngay lập tức để vá lỗi. Danh sách các plugin và theme tồn tại lỗ hổng bảo mật được công bố trong tháng 5/2023 các bạn có thể xem tại đây.
Với kinh nghiệm 13 năm sử dụng Wordpress, tôi đã chứng kiến và hỗ trợ khôi phục rất nhiều website bị dính mã độc. Nhiều website bị tụt hạng từ khóa seo, bị xóa dữ liệu, bị chèn backlink bẩn, quảng cáo,… để lại những hậu quả nghiêm trọng. Việc tìm và diệt mã độc, làm sạch mã nguồn Wordpress là một chuyện, nhưng đôi khi nó làm chúng ta rất mệt mỏi. Và một trong những nguyên nhân phổ biến là dùng plugins, theme cũ.
Gần đây các trường hợp website Wordpress bị nhiễm mã độc diễn biến rất phức tạp và thường xuyên hơn. Vì vậy các bạn nên lưu ý tăng cường bảo mật cho website bằng cách theo dõi các phiên bản cập nhật trên website để vá lỗi kịp thời.
Tóm lại
Như các bạn cũng biết, Wordpress thường xuyên được nâng cấp cho nên các nhà phát triển plugin/theme cũng phải nâng cấp liên tục để tương thích với phiên bản WP hiện tại. Do đó nếu các bạn sử dụng phiên bản cũ thì hãy coi chừng! Khá là rủi ro đấy!
Nếu lỗi nó hiện ra lù lù trước mặt thì quá đơn giản. Nhưng thật không may là các lỗ hổng bảo mật thường ở đâu đó mà ngay cả những người code ra nó có khi cũng chẳng biết. Đến khi bị hack rồi thì nói làm gì nữa! Bởi vậy, hãy nhớ là luôn luôn sử dụng phiên bản mới nhất. Đừng nghĩ rằng cứ vô hiệu hóa tính năng update thì sẽ an toàn nhé. Càng phiên bản cũ càng dễ dính những lỗi bảo mật nghiêm trọng.
Và đương nhiên, nếu bạn định phát triển website một cách nghiêm túc thì nên bỏ tiền ra mua theme cho an tâm (chỉ khoảng 50$ thôi). Mà ngay tại Việt Nam cũng có rất nhiều người bán theo kiểu họ đã mua rồi và nay bán lại với giá rẻ hơn gấp nhiều lần, nếu bạn cần thì liên hệ nhé, tôi sẽ giới thiệu cho.
