Bộ công cụ khẩn cấp WordPress — Phát hiện mã độc, phục hồi Core, xoay vòng bảo mật & kiểm tra sức khỏe website tự động.
v1.4.0
Giới thiệu • Tính năng • Cài đặt • Sử dụng • Cách hoạt động • Nhật ký thay đổi
WP-Medic CLI là bộ công cụ cấp cứu dành cho website WordPress. Khi website của bạn bị nhiễm mã độc, bị hack, hoặc gặp lỗi nghiêm trọng, chỉ cần 1 dòng lệnh là toàn bộ hệ thống được làm sạch và khôi phục.
Không giống các công cụ quét virus thông thường (chỉ tìm và xóa file nghi ngờ), WP-Medic sử dụng phương pháp "Phá hủy và Tái tạo" (Nuke & Pave) — xóa sạch toàn bộ mã nguồn hệ thống và tải lại bản gốc 100% từ WordPress.org, đảm bảo không còn bất kỳ mã độc nào sót lại.
Dữ liệu của bạn (bài viết, hình ảnh, sản phẩm, cấu hình) luôn được bảo toàn 100%.
- ✅ Plesk Obsidian — Tối ưu nhất
- ✅ cPanel / WHM — Hỗ trợ
- ✅ Linux Standalone — Hỗ trợ (không cần Panel)
- ✅ Imunify360 — Tự động phối hợp (nếu có cài đặt)
| Tính năng | Mô tả |
|---|---|
| 🧹 Tái tạo Core tự động | Xóa trắng wp-admin, wp-includes và tải lại bản sạch từ WordPress.org |
| 🦠 Quét mã độc chuyên sâu | Phát hiện & loại bỏ webshell, db.php drop-in độc hại, zip:// wrapper injection, và các payload hacker phổ biến |
| 🔐 Xoay vòng mật khẩu | Tự động đổi mật khẩu Database, hệ thống, đổi khóa Salts và reset mật khẩu quản trị viên |
| 🩺 Kiểm tra sức khỏe | Tự động kiểm tra website có sống sau khi xử lý. Nếu phát hiện lỗi → tự động rollback mật khẩu về bản cũ |
| 🛡️ Phối hợp Imunify360 | Tự động giải trừ cảnh báo Imunify360 trước khi xử lý, tránh xung đột khóa file |
| 👤 Kiểm tra tài khoản | Cảnh báo và hướng dẫn đổi tên đăng nhập nguy hiểm (admin, root) sang tên an toàn |
| 🗑️ Dọn dẹp Database | Xóa bình luận Spam, bài đăng rác, và đóng cửa comment/pingback vĩnh viễn |
| 🔒 Khóa cứng wp-config | Ép quyền chmod 400 cho wp-config.php sau khi hoàn tất, bảo vệ thông tin đăng nhập DB |
| 🤖 Hỗ trợ tự động hóa | Xuất kết quả JSON, hỗ trợ chế độ --auto-yes để điều khiển từ xa qua Bot/API |
Truy cập SSH (quyền root) trên Server và chạy:
curl -sL https://raw.githubusercontent.com/tuyenht/wp-medic-cli/main/install.sh | bashHệ thống sẽ tự động:
- Tải công cụ về
/usr/local/bin/wp-medic - Xác minh file tải về là mã nguồn hợp lệ
- Cài đặt gói phụ trợ (
jq) nếu chưa có
| Thành phần | Yêu cầu |
|---|---|
| Hệ điều hành | AlmaLinux / Ubuntu / CentOS / Debian |
| Quyền | Root (bắt buộc) |
| WP-CLI | Cần có sẵn (Plesk cài mặc định). Nếu thiếu, một số tính năng sẽ bị hạn chế nhưng script vẫn hoạt động |
| Panel | Plesk / cPanel / không cần Panel — tự động phát hiện |
| Imunify360 | Tùy chọn — nếu có sẽ tự động phối hợp |
wp-medic --domain example.comwp-medic --domain example.com --dry-runwp-medic --all-domainswp-medic --domain example.com --auto-yes --confirm-username my_adminwp-medic --domain example.com --output json --auto-yes--domain <tên miền> Xử lý 1 website cụ thể
--all-domains Xử lý toàn bộ website WordPress trên Server
--dry-run Chỉ phân tích, KHÔNG xóa/sửa gì
--auto-yes, -y Bỏ qua xác nhận, chạy tự động
--confirm-username <tên> Tên đăng nhập mới (dùng với --auto-yes)
--output json Xuất kết quả dạng JSON
--version Hiển thị phiên bản
--help Hiển thị trợ giúp
WP-Medic thực hiện tuần tự 9 bước cho mỗi website:
wp-medic --domain example.com
│
├── Bước 0: Phối hợp Imunify360 (nếu có)
│ └── Giải trừ cảnh báo cũ để tránh xung đột
│
├── Bước 1: Dọn dẹp Database
│ └── Xóa spam, đóng comment/pingback
│
├── Bước 2: Tái tạo Core (Nuke & Pave)
│ └── Xóa wp-admin + wp-includes → tải lại bản sạch
│
├── Bước 3: Quét mã độc chuyên sâu
│ └── Diệt webshell, db.php drop-in, zip:// injection
│
├── Bước 4: Dọn dẹp thư mục gốc (Whitelist Mode)
│ └── Chỉ giữ file WordPress chuẩn, xóa file lạ
│
├── Bước 5: Dọn Uploads & Caches
│ └── Xóa file PHP trong uploads, xóa cache cũ
│
├── Bước 6: Xoay vòng mật khẩu
│ └── Đổi mật khẩu DB, hệ thống, salts, admin WP
│
├── Bước 7: Kiểm tra sức khỏe
│ └── Kiểm tra HTTP 200 → tự động rollback nếu lỗi
│
└── Bước 8: Khóa cứng bảo mật
└── chmod 400 wp-config.php
- 🆕 Tích hợp module quét mã độc chuyên sâu (db.php, webshell, zip:// injection)
- 🆕 Tự động phối hợp với Imunify360 (nếu có cài đặt)
- 🆕 Hỗ trợ đa nền tảng: Plesk / cPanel / Standalone Linux
- 🆕 Kiểm tra sức khỏe website sau khi xử lý + tự động rollback
- 🔧 Sửa lỗi đồng bộ mật khẩu Database (dùng SQL trực tiếp)
- 🔧 Bảo vệ wp-config.php — không bao giờ mở rộng quyền đọc
- 🔧 Sửa lỗi
--reassigndùng User ID thay vì login name
- Phiên bản đầu tiên ổn định
- Core: Nuke & Pave, Database Forensics, IAM Password Rotation
- Hỗ trợ JSON output và Dry-run mode
- Tác giả: TuyenHT
⚠️ Khuyến cáo: Mặc dù công cụ được thiết kế bảo toàn 100% dữ liệu người dùng, bạn vẫn nên sao lưu (backup) website trước khi thực hiện càn quét toàn Server.