Website không an toàn Chrome — 4 chữ đáng sợ nhất với bất kỳ chủ doanh nghiệp nào có website. Khi Chrome hiển thị cảnh báo “Not Secure” (Không an toàn) trên thanh địa chỉ, 84% khách hàng sẽ rời website ngay lập tức, theo nghiên cứu của GlobalSign. Tệ hơn, Google có thể deindex website của bạn nếu phát hiện malware. Bài viết này phân tích tất cả nguyên nhân và cách xử lý gấp.
Các dạng cảnh báo “Không an toàn” trên Chrome
Dạng 1: “Not Secure” trên thanh địa chỉ
Nguyên nhân: Website dùng HTTP thay vì HTTPS (không có SSL certificate).
Mức nghiêm trọng: Trung bình — website vẫn truy cập được, nhưng mất niềm tin khách hàng.
Dạng 2: “Your connection is not private” (trang cảnh báo đỏ)
Nguyên nhân: SSL certificate hết hạn, tự ký (self-signed), hoặc không khớp domain.
Mức nghiêm trọng: Cao — Chrome block website, user phải click “Advanced → Proceed” mới vào được. 99% user sẽ rời đi.
Dạng 3: “Deceptive site ahead” / “The site ahead contains malware”
Nguyên nhân: Google Safe Browsing phát hiện website chứa malware, phishing, hoặc unwanted software.
Mức nghiêm trọng: Rất cao — Chrome block hoàn toàn, Google deindex website.
Nguyên nhân 1: Không có SSL Certificate
Triệu chứng
- URL bắt đầu bằng
http://(không có ‘s’) - Chrome hiện “Not Secure”
Cách xử lý (15 phút)
Option A: Let’s Encrypt (miễn phí)
sudo apt install certbot python3-certbot-nginx -y
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.comOption B: Cloudflare (miễn phí, nhanh hơn)
- Thêm website vào Cloudflare
- SSL/TLS → Chọn “Flexible” (nhanh) hoặc “Full Strict” (tốt hơn)
- Edge Certificates → Always Use HTTPS → ON
Sau khi cài SSL:
# Redirect HTTP → HTTPS
server {
listen 80;
server_name yourdomain.com www.yourdomain.com;
return 301 https://$server_name$request_uri;
}Nguyên nhân 2: SSL Certificate hết hạn
Triệu chứng
- Chrome hiện trang đỏ “Your connection is not private”
- Error:
NET::ERR_CERT_DATE_INVALID
Cách xử lý (5 phút)
# Kiểm tra ngày hết hạn
echo | openssl s_client -connect yourdomain.com:443 2>/dev/null | openssl x509 -noout -dates
# Nếu dùng Let's Encrypt — renew ngay
sudo certbot renew --force-renewal
# Kiểm tra auto-renew đang hoạt động
sudo systemctl status certbot.timerPhòng tránh
# Setup monitoring SSL expiry
# UptimeRobot: Thêm SSL monitor cho domain
# Cron job kiểm tra hàng ngày
0 8 * * * certbot certificates | grep "INVALID" && echo "SSL EXPIRING!" | send_alertNguyên nhân 3: Mixed Content
Triệu chứng
- URL là HTTPS nhưng Chrome vẫn hiện “Not Secure” hoặc không hiện biểu tượng khóa
- Console hiện warnings: “Mixed Content: The page was loaded over HTTPS, but requested an insecure resource”
Cách phát hiện
- Chrome DevTools: F12 → Console → tìm “Mixed Content”
- Why No Padlock: whynopadlock.com → nhập URL
- JitBit SSL Check: jitbit.com/sslcheck/
Cách xử lý
WordPress:
-- Thay tất cả HTTP links trong database
UPDATE wp_posts SET post_content = REPLACE(post_content, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_postmeta SET meta_value = REPLACE(meta_value, 'http://yourdomain.com', 'https://yourdomain.com');
UPDATE wp_options SET option_value = REPLACE(option_value, 'http://yourdomain.com', 'https://yourdomain.com');Hoặc dùng plugin Better Search Replace (an toàn hơn, có preview).
Cloudflare:
SSL/TLS → Edge Certificates → Automatic HTTPS Rewrites → ON
Nginx:
# Force HTTPS cho tất cả resources
add_header Content-Security-Policy "upgrade-insecure-requests;" always;Nguyên nhân 4: Website bị hack / chứa Malware
Triệu chứng
- Chrome hiện trang đỏ: “Deceptive site ahead” hoặc “The site ahead contains malware”
- Google Search Console có cảnh báo “Security Issues”
- Website redirect đến trang lạ
- Có file lạ trong webroot (shell.php, eval.php)
Cách xử lý (ưu tiên cao)
Bước 1: Xác nhận bị hack
# Kiểm tra Google Safe Browsing
# https://transparencyreport.google.com/safe-browsing/search?url=yourdomain.com
# Kiểm tra file lạ trên server
find /var/www/ -name "*.php" -newer /var/www/index.php -mtime -7
# Tìm code injection
grep -r "eval(" /var/www/ --include="*.php"
grep -r "base64_decode" /var/www/ --include="*.php"
grep -r "shell_exec" /var/www/ --include="*.php"Bước 2: Isolate
# Tạm đưa website vào maintenance mode
# Tránh lây lan và bảo vệ khách hàngBước 3: Clean up
Option A: Restore từ backup sạch (nhanh nhất, an toàn nhất).
Option B: Dọn dẹp thủ công:
- Xóa tất cả file lạ
- Cài lại WordPress core (wp-cli:
wp core download --force) - Cài lại plugins từ nguồn chính thức
- Đổi tất cả passwords
- Update tất cả phần mềm
Bước 4: Request Google review
- Google Search Console → Security Issues
- Xem chi tiết vấn đề
- Fix tất cả issues
- Click “Request a Review”
- Đợi 24–72 giờ Google review
Bước 5: Phòng tránh tái phát
- Update tất cả plugins, themes, CMS
- Cài firewall (Cloudflare WAF, WordFence)
- Hardening server (bài viết: 15 bước bảo mật website)
- Monitoring liên tục
Nguyên nhân 5: Certificate không khớp domain
Triệu chứng
- Error:
NET::ERR_CERT_COMMON_NAME_INVALID - SSL certificate cấp cho domain khác
Cách xử lý
# Kiểm tra certificate hiện tại
echo | openssl s_client -connect yourdomain.com:443 2>/dev/null | openssl x509 -noout -subject -issuer
# Nếu certificate sai domain — cấp lại
sudo certbot --nginx -d yourdomain.com -d www.yourdomain.com --force-renewalNguyên nhân phổ biến:
- Website dùng www nhưng cert chỉ cho non-www (hoặc ngược lại)
- Subdomain chưa có cert riêng
- Wildcard cert nhưng sub-subdomain (a.b.domain.com) không được cover
Checklist xử lý “Không an toàn”
| # | Kiểm tra | Công cụ | Thời gian fix |
|---|---|---|---|
| 1 | Có SSL certificate? | Browser URL bar | 15 phút |
| 2 | SSL chưa hết hạn? | SSL Labs | 5 phút |
| 3 | Certificate đúng domain? | openssl | 5–10 phút |
| 4 | Không có mixed content? | Why No Padlock | 30–60 phút |
| 5 | HTTP redirect HTTPS? | Browser test | 5 phút |
| 6 | HSTS header có? | Security Headers | 5 phút |
| 7 | Không bị Google Safe Browsing flag? | GSC | 1–7 ngày |
| 8 | SSL Labs grade A? | ssllabs.com | 30 phút |
Tác động của “Không an toàn” đến business
| Metric | Có SSL | Không SSL | Tác động |
|---|---|---|---|
| Bounce rate | 30% | 52% | +73% |
| Conversion rate | 2.5% | 1.0% | -60% |
| Trust score (khảo sát) | 8.2/10 | 4.1/10 | -50% |
| SEO ranking | Bình thường | Bất lợi | -5–15 vị trí |
| Email deliverability | Bình thường | Bị spam filter | -30–50% |
FAQ — Câu hỏi thường gặp
Google review request mất bao lâu?
Thông thường 24–72 giờ. Nếu website có lịch sử sạch: 24 giờ. Nếu bị flag nhiều lần: có thể đến 2 tuần. Trong thời gian đợi, Chrome vẫn hiện cảnh báo.
SSL hết hạn có ảnh hưởng SEO không?
Có, nhưng tạm thời. Nếu fix trong 24 giờ, ranking phục hồi nhanh. Nếu để 1 tuần+, Google có thể deindex trang → mất 2–4 tuần phục hồi ranking. Phòng tránh: monitoring SSL expiry + auto-renew.
Website WordPress bị hack nhiều không?
WordPress chiếm 43% internet → là target #1 cho hackers. 97% attacks WordPress nhắm vào: plugins cũ (56%), themes cũ (14%), WordPress core cũ (5%), hosting (22%). Giải pháp: update tất cả hàng tuần, dùng WAF, 2FA cho admin.
Kết luận
“Website không an toàn” trên Chrome là vấn đề khẩn cấp cần xử lý ngay — mỗi phút chờ đợi là mất khách hàng và doanh thu. 5 nguyên nhân trong bài viết này cover 99% trường hợp, và hầu hết fix được trong 15–60 phút.
Nếu bạn gặp khó khăn trong xử lý cảnh báo bảo mật hoặc cần dịch vụ bảo mật website chuyên nghiệp, hãy liên hệ Trinh Digital — chúng tôi xử lý trong ngày, đảm bảo website an toàn và đáng tin cậy.