Đây có lẽ là trang bị tấn công một cách tệ hại nhất khi kẻ tấn công đã bằng 1 cách nào đó upload được file wp-admin.php để ghi đè lên file mặc định. Kết quả là tvd12 đã bị chiếm quyền điều khiển. Thật là tệ hại khi website của mình tạo ra giờ lại cho người khác kiểm soát :(.

Nguyên nhân đến từ đâu:

1. Theme là do mình tự viết, cũng chỉ có lấy ra danh sách bài viết, tìm kiếm bài viết, toàn GET nên có thể không phải là nguyên nhân.
2. Plugin viết bài là markdown: đây có thể là nguyên nhân, tuy nhiên mình đọc nguồn thì có vẻ khá ổn.
3. Plugin Yoast SEO: cái này khá nổi tiếng nên có vẻ cũng không sao
4. Còn lại thì core và các plugin mặc định của Wordpress.

Cách khắc phục: Mình buộc phải ssh vào server và replace file wp-admin.php bị hack bằng file mặc định của WP nhưng chỉ được vài ngày thì lại bị replace.

Hậu quả:

1. Kẻ tấn công có thể làm mọi thứ mà họ muốn với website.
2. Rất may là mình đã giới hạn quyền của thư mục WP và database không mở cho ip bên ngoài vào, nên họ không thể trực tiếp truy cập và thay đổi db.

Cho đến thời điểm này, do đã quá mệt mỏi với WP và cũng đã chuyển sang dùng nền tảng của YM nên mình cũng ngừng tìm hiểu luôn, các anh em nào có kinh nghiệm có thể chia sẻ nguyên nhân mà các anh em tìm được giúp mình với nhé, cám ơn anh em!