6 cảnh báo cho chủ doanh nghiệp khi thuê IT quản trị web — Case thật

Câu chuyện thật: Web 5 năm vận hành ổn định, thuê thêm IT là sự cố nối tiếp

Một chủ doanh nghiệp ở miền Trung thuê đơn vị X làm website từ 2020. Suốt 5 năm web chạy ổn định, đơn vị X support miễn phí 24/7, host nâng từ 5GB lên 10GB cũng không tính phí.

Đầu năm 2026, chủ DN quyết định thuê IT riêng vào quản trị web — vì nghĩ "có người trong nhà cho chủ động hơn". Vài tuần sau, web bị hack. Đơn vị X hỗ trợ check, xử lý tạm, đưa hướng tư vấn triệt để. Sau đó IT yêu cầu được cấp toàn quyền: admin web, hosting, database. Đơn vị X bàn giao đầy đủ. Khách cam kết:

Vài tháng sau, web không vào được. IT gọi đơn vị X cầu cứu (dù đã có toàn quyền admin + host). Khi check, đơn vị X phát hiện dung lượng host 10GB bị phình lên 12GB — trong đó có một thư mục lạ tên V2 nằm ngoài public_html chiếm tận 6GB, kèm theo nhiều file .php không rõ nguồn gốc.

IT thừa nhận folder V2 đó là do mình tạo, nhưng không giải thích được mục đích cụ thể. Đơn vị X xóa folder lạ, nâng host lên 15GB miễn phí, hỗ trợ kỹ thuật xử lý hack.

Khi đơn vị X show báo cáo chi tiết về điểm hack + cách xử lý, IT phản ứng tiêu cực, để lại một câu khó chịu rồi thoát group:

Câu chuyện chưa kết thúc — chủ DN vẫn phải tự xoay với người IT mà mình thuê, web vẫn chưa chạy lại hoàn toàn lúc bài viết này được viết. Đây không phải case duy nhất. Tình huống IT nghỉ việc xóa sạch database, gắn backlink ẩn để bán cho bên khác, hoặc clone theme đem đi bán — không hiếm.

6 cảnh báo cho chủ doanh nghiệp khi thuê IT quản trị web

• Biết rõ năng lực của IT mình thuê Trước khi giao quyền, hỏi cụ thể: bạn IT này đã từng xử lý hack chưa? Quản trị bao nhiêu site? Có làm WordPress / Next.js / Laravel không? Đừng giao web cho người không có hồ sơ rõ ràng.
• Đổi mật khẩu admin ngay sau khi nhận bàn giao Đây là điều cơ bản nhất nhưng đa phần chủ DN bỏ qua. Pass admin được cấp 5 năm trước mà chưa đổi = mọi nhân sự cũ vẫn vào được. Quy tắc: nhận bàn giao → đổi pass admin + database trong 24 giờ.
• Không rút toàn quyền của đơn vị thiết kế nếu vẫn dùng host của họ Logic đơn giản: đơn vị thiết kế web hiểu rõ source code + hạ tầng nhất. Nếu host vẫn do họ cung cấp, giữ họ trong team quản trị (ít nhất ở vai trò backup) sẽ giảm rủi ro khi có sự cố. Rút quyền họ rồi gọi cầu cứu khi web sập là tình huống tệ cho cả 2 bên.
• Hiểu rõ ai chịu trách nhiệm bảo mật web Sau khi nghiệm thu và bàn giao, trách nhiệm bảo mật là của chủ DN — không phải đơn vị thiết kế hay nhà cung cấp hosting. Trừ khi có hợp đồng bảo trì riêng. Đây là điểm khiến nhiều chủ DN bất ngờ.
• Chủ DN cần kiến thức cơ bản về web Không cần biết code, nhưng cần biết: web đang dùng platform gì, host ở đâu, ai có quyền admin, database backup ở đâu. Thiếu kiến thức cơ bản = IT có thể "làm gì cũng được" mà chủ DN không biết.
• Có quy trình bàn giao + audit định kỳ Mỗi quý nên check 1 lần: backup data còn không, có file lạ trên host không, plugin / package có update không, GSC / GA có quyền của ai. 10 phút audit mỗi quý tiết kiệm hàng chục giờ xử lý sự cố sau này.

Lựa chọn thay thế: Outsource bảo trì web cho 1 đơn vị uy tín

Lương 1 IT inhouse: 8–15tr/tháng + bảo hiểm + thưởng. Nhưng IT 1 người khó cover hết: code, hạ tầng, bảo mật, SEO, content. Khi IT đó nghỉ, kiến thức bị mất theo người.

Giải pháp linh hoạt hơn cho doanh nghiệp vừa và nhỏ: outsource bảo trì web cho đơn vị chuyên nghiệp. Chi phí thấp hơn 1 nhân sự inhouse, có team hỗ trợ luân phiên, có cam kết bằng hợp đồng.

Bên mình có gói bảo trì web trọn gói

Nếu anh chị đang vận hành web doanh nghiệp và muốn yên tâm không lo sự cố, Leo Studio (AI Agency) có 2 gói:

• Bảo trì cơ bản — 500k–1tr/tháng: update plugin / package, backup hàng tuần, check bảo mật cơ bản, hỗ trợ sự cố nhỏ
• Quản trị toàn diện — 1.5–4tr/tháng: tất cả gói cơ bản + check bảo mật chuyên sâu + quản lý GSC/GA + tối ưu tốc độ + hỗ trợ content + audit định kỳ

Chi phí thấp hơn 1 IT inhouse, có hợp đồng cam kết SLA, và quan trọng nhất: không bị mất kiến thức khi 1 cá nhân nghỉ việc.