روش های پاکسازی وب سایت هک شده

وردپرس پرکاربردترین سیستم مدیریت محتوا در وب است. بیش از 40 درصد از وب سایت های آنلاین از وردپرس استفاده می کنند که آن را به یک هدف اصلی برای مهاجمان تبدیل می کند. انواع مختلفی از هک ها وجود دارد که سایت های وردپرس را هدف قرار می دهند، از آلودگی های هرزنامه گرفته تا حملات پیچیده تر دزد کارت اعتباری. حذف بدافزار و پاک کردن سایت وردپرسی هک شده مورد بسیار مهمی در زمینه سایت و طراحی سایت می باشد. 

دلایل رایج هک شدن وب سایت 

در ادامه به بررسی دلایل رایج هک شدن سایت های وردپرسی می پردازیم. با شناسایی دلایل، راحت تر می توانید نسبت به پاکسازی و حذف بدافزارها اقدام کنید.

CMS، افزونه یا قالب آسیب پذیر

مهاجمان به طور منظم از آسیب‌پذیری‌های موجود در CMS و اجزای شخص ثالث برای به خطر انداختن وب‌سایت‌ها استفاده می‌کنند. حملات خودکار که آسیب‌پذیری‌های وب‌سایت شناخته شده را هدف قرار می‌دهند، یکی از دلایل اصلی هک شدن وب‌سایت‌ها هستند. همیشه CMS و اجزای شخص ثالث خود را با آخرین پچ به روز نگه دارید. پیشنهاد می کنیم دلایل  افت رتبه سئو با تغییر cms سایت را مطالعه کنید.

رمز عبور ضعیف

حملات Brute Force هزاران ترکیب ورود را حدس می زنند تا دسترسی غیرمجاز به یک وب سایت را به دست آورند. اگر از اعتبارنامه های ضعیف یا به راحتی قابل حدس زدن در وب سایت یا پایگاه داده خود استفاده می کنید، به احتمال زیاد قربانی یک حمله brute force می شوید – به خصوص اگر از فایروال وب سایت برای جلوگیری از آن استفاده نمی کنید.

مجوزهای فایل نادرست

وب سرور شما از تعدادی قوانین برای کنترل دسترسی به فایل های وب سایت استفاده می کند. اگر مجوزهای فایل خیلی راحت باشد، هکرها به راحتی می توانند فایل های وب سایت را تغییر دهند.

پیشنهاد مطالعه: افزایش امنیت سایت در زمان جنگ و حملات سایبری

نشانه هک شدن سایت وردپرسی

چگونه متوجه می شوید که وب سایت شما به خطر افتاده است؟ تعداد انگشت شماری از علائم و نشانه های واضح وجود دارد که باید به آنها توجه کرد. البته در دوره سئو به بحث امنیت سایت به طور گسترده و مفصل پرداخته شده است.

نمی توانید وارد پنل مدیریت خود شوید

مهاجمان گاهی اوقات کاربران را حذف می کنند یا رمز عبور را تغییر می دهند تا از دسترسی به یک وب سایت هک شده جلوگیری کنند. سعی کنید رمز عبور خود را بازنشانی کنید – اگر نمی توانید دوباره به حساب کاربری خود دسترسی پیدا کنید، ممکن است از وردپرس حذف شده باشد.

مطلع شدن از طریق پلاگین امنیتی یا نظارت بر یکپارچگی فایل

اگر تغییراتی را در فایل‌های سیستم اصلی پیدا کرده‌اید یا افزونه امنیتی شما را از تغییرات غیرمنتظره فایل مطلع کرده است، این نشانه آن است که مهاجم ممکن است فایل‌های وب‌سایت شما را برای ارسال ایمیل‌های هرزنامه، ایجاد درهای پشتی وب‌سایت یا اجرای کدهای مخرب تغییر داده باشد.

هر فایل جدیدی با نام‌های مشکوک یا اسکریپت‌های سمت سرور در فهرست‌های آپلود، علامت قرمز بزرگی است که وب‌سایت شما در معرض خطر قرار گرفته است.

تماس ارائه دهنده هاست مبنی بر فعالیت غیرمعمول حساب 

شرکت‌های هاستینگ، اسکن‌ها و ممیزی‌های منظمی را برای رفتارهای مخرب یا بدافزار انجام می‌دهند و اغلب وب‌سایت‌هایی را که مشکلات شناخته شده دارند، غیرفعال می‌کنند تا از آلودگی متقابل در محیط‌های میزبانی مشترک جلوگیری کنند.

هشدارهای مرورگر هنگام تلاش برای دسترسی به وب سایت

اگر Google Chrome یا مرورگر دیگری هنگام مشاهده سایت پیام هشداری را نشان می دهد، احتمال اینکه شما هک شده باشید وجود دارد. این همچنین نشان می دهد که سایت شما توسط مرجع شناخته شده ای مانند مرور ایمن Google در لیست سیاه قرار گرفته است.

پیام هشدار سرچ کنسول گوگل که نشانگر هک سایت یا ارائه بدافزار است

هر زمان که سایتی در معرض خطر قرار گرفته باشد، Google به صاحبان سایتی که دامنه خود را به کنسول جستجوی Google مرتبط کرده اند، اعلان می فرستد. این اعلان‌ها اطلاعات ارزشمندی درباره یافتن محتوای هرزنامه یا کد مخرب در وب‌سایت شما ارائه می‌کنند.

نمایش پیام هشدار هنگام جستجوی دامنه

مقامات جستجو مانند Google و Bing برای کمک به کاهش خطر و محافظت از آنها در برابر صفحاتی که بدافزار یا فیشینگ را ارائه می دهند، هشدارهایی را به کاربران ارائه می دهند. اگر هنگام جستجوی دامنه خود پیام های هشداری در مورد وب سایت های فریبنده یا خطرناک دریافت می کنید، به احتمال زیاد سایت وردپرس شما هک شده است.

شکایت مشتریان از سرقت کارت اعتباری

سرقت کارت اعتباری برای بسیاری از مهاجمان یک تجارت فوق‌العاده پرسود است، زیرا جزئیات حساس کارت اعتباری را می‌توان به راحتی در ازای پول در بازار سیاه فروخت یا برای خریدهای متقلبانه استفاده کرد. حملات به وب‌سایت‌های تجارت الکترونیک معمولاً هدفمند هستند و از آسیب‌پذیری‌های شناخته شده در افزونه‌ها، قالب ها و سایر مؤلفه‌های شخص ثالث استفاده می‌کنند.

وجود جاوا اسکریپت عجیب در کد وب سایت

مهاجمان اغلب از تکنیک های مبهم سازی، قالب بندی و کامنت های کد استفاده می کنند تا بدافزار خود را از دید پنهان کنند. حتی یک قطعه کوچک از جاوا اسکریپت مخرب را می توان برای جمع آوری جزئیات کارت اعتباری یا رمز عبور از یک وب سایت هک شده استفاده کرد.

کند شدن وب سایت

برخی از بدافزارها از منابع سرور قابل توجهی استفاده می کنند. اگر صفحات وب شما به طور ناگهانی بسیار کند شده اند و بارگذاری آنها بیشتر طول می کشد، باید بیشتر بررسی کنید و مشخص کنید که آیا سایت وردپرس شما هک شده است یا خیر.

هدایت وب سایت به جای دیگر

بسیاری از مهاجمان در تلاش برای افزایش سئو و ربودن ترافیک برای دامنه های خود، تغییر مسیرهای مخربی را برای ارسال ترافیک وب سایت شما به تبلیغات یا صفحات اسپم خود تزریق می کنند. اگر شما یا بازدیدکنندگانتان هنگام دسترسی به سایت ناگهان به یک صفحه فرود هرزنامه فرستاده می‌شوید، احتمالاً به یک تغییر مسیر وب‌سایت مخرب آلوده شده‌اید .

مشاهده تغییرات در وب سایت بدون اینکه بدانید چگونه به آنجا رسیده اید

به عنوان مثال، اگر صفحه اصلی اصلاح شده یا با یک صفحه جدید جایگزین شده است، محتوا به صفحات موجود اضافه شده است یا صفحات جدیدی ایجاد شده است، این نشان دهنده سازش است و باید بررسی شود.

پیشنهاد مطالعه: راهکارهای فروش در بحران و جنگ

مراحل حذف بدافزار وردپرس

اگر وب سايت وردپرس شما هک شده باشد، چندين مرحله مهم وجود دارد که بايد انجام دهيد. صرف نظر از اينکه چگونه سايت وردپرس شما به خطر افتاده است، در اينجا چند حرکت کليدي وجود دارد که مي توانيد براي بازگرداندن سايت خود در سريع ترين زمان ممکن انجام دهيد. 

نفس عميق بکشيد و نترسيد

مهم است که قبل از انجام اقداماتي براي تعمير يک وب سايت هک شده، ذهن خود را آرام نگه داريد و خونسرد باشید. برخي از تغييراتي که ما توصيه مي کنيم نياز به تمرکز شما دارد.

وب سايت خود را اسکن کنيد تا مشکل را شناسايي کنيد.

شناسايي نوع هک به شما کمک مي‌کند تا بفهميد تلاش‌هاي خود را کجا متمرکز کنيد و مکان محتواي مخرب و محموله‌ها را مشخص کنيد . اسکن از راه دور و ابزارهاي سمت سرور مي توانند به شما در شناسايي محل عفونت کمک کنند. گمان می کنم مطالعه مقاله روش های اسکن سایت وردپرس برای کدهای مخرب می تواند برای شما مفید باشد.

شناسايي کنيد که آيا فايل هاي Core WordPress به خطر افتاده است يا خير؟

با انجام بررسي يکپارچگي فايل هاي اصلي وردپرس خود، بررسي کنيد که آيا فايل هاي اصلي به طور مخرب اصلاح شده اند . اکثر فايل هاي اصلي هرگز نبايد اصلاح شوند، مگر اينکه اخيراً به روز رساني انجام شده باشد.

بررسی فايل هاي اصلاح شده اخیر

فايل هاي جديد يا اخيراً اصلاح شده خارج از هسته وردپرس ممکن است بخشي از هک باشد. مي‌توانيد از SSH، cPanel، FileZilla و ابزارهاي ديگر براي شناسايي اينکه آيا فايل‌هايي اخيراً اصلاح شده‌اند يا خير، استفاده کنيد .

از ابزارهاي تشخيصي براي بررسي وضعيت امنيتي سايت خود استفاده کنيد.

از ابزارهاي تشخيصي ارائه شده توسط Google، Bing، Norton و ساير مقامات جستجو براي بررسي وضعيت امنيتي سايت وردپرس خود استفاده کنيد . اين ابزارها گزارش ها و رتبه بندي هاي ارزشمندي را براي کمک به شما در شناسايي مشکلات امنيتي ارائه مي دهند.

بدافزار را از سايت و پايگاه داده وردپرس خود حذف کنيد.

پاکسازي آلودگي‌هاي بدافزار از فايل‌هاي وردپرس، افزونه ‌ها، قالب ها و پايگاه داده يک گام مهم است. مي‌توانيد افزونه‌ها يا قالب ‌هاي سفارشي‌شده را از يک نسخه پشتيبان تميز بازيابي کنيد تا از پاک کردن تغييراتي که ايجاد کرده‌ايد جلوگيري کنيد.

Backdoor مخفي را پيدا و حذف کنيد.

هکرها اغلب يک Backdoor را ترک مي کنند که به آنها اجازه مي دهد دوباره به وب سايت وردپرس شما دسترسي پيدا کنند. Backdoor ها مي توانند اشکال و اندازه هاي مختلفي داشته باشند و شما به راحتي مي توانيد بيش از يک نوع Backdoor را در يک وب سايت هک شده پيدا کنيد .

ليست سياه و هشدارهاي بدافزار را حذف کنيد.

Google، McAfee، Norton و ساير فروشندگان، وب سايت هايي را که هک شده و به بدافزار آلوده شده اند در ليست سياه قرار مي دهند. براي هر وب سايتي که در ليست سياه قرار گرفته اند، بايد درخواست بررسي را پر کنيد.

CMS، افزونه ها و قالب هاي خود را به روز کنيد.

نرم افزار قديمي يکي از دلايل اصلي عفونت وب سايت است. CMS، افزونه ها،قالب ها و ساير نرم افزارهاي خود را براي اعمال آخرين وصله هاي امنيتي و محافظت از محيط خود در برابر آسيب پذيري هاي شناخته شده به روز کنيد.

اجزاي استفاده نشده را حذف کنيد.

با حذف نرم افزارها، افزونه ها يا قالب هاي بلااستفاده از وب سايت وردپرس خود، نقاط ورودي کمتري براي مهاجمان ايجاد کنيد. يک نسخه پشتيبان فعال نگه داريد تا در صورت بروز مشکل به راحتي آن را بازيابي کنيد.

رمز عبور را تغيير دهيد و کليدهاي مخفي جديد توليد کنيد.

تغيير گذرواژه‌هاي خود براي همه حساب‌هاي کاربري، FTP/STFP، SSH، cPanel و پايگاه‌هاي داده يک گام مهم براي بازيابي از هک است . همه حساب ها بايد از رمزهاي عبور قوي و منحصر به فرد براي محافظت از نقاط ورودي شما استفاده کنند.

وب سايت وردپرسي خود را امن کنيد.

اقداماتي را براي کاهش سطح حمله وب سايت خود انجام دهيد . افزایش امنیت وردپرس مي‌تواند شامل اضافه کردن قوانين پيکربندي سرور، تنظيم احراز هويت چند عاملي، جداسازي وب‌سايت شما از آلودگي متقابل، محدود کردن IPها و راه‌اندازي CAPTCHA براي جلوگيري از حملات خودکار باشد. 

يک نسخه پشتيبان از وب سايت ايجاد کنيد.

پشتيبان‌گيري شبکه ايمني شماست و بازيابي پس از يک حادثه امنيتي يا از دست دادن داده را آسان مي‌کند. استراتژي هاي پشتيبان خوب هسته يک وضعيت امنيتي خوب هستند و به شما کمک مي کنند تا براي سناريوهاي اضطراري آماده شويد.

از فايروال وب سايت استفاده کنيد.

فايروال هاي وب سايت يک دفاع محيطي در اطراف وب سايت وردپرس شما ايجاد مي کنند و مي توانند به کاهش DDoS، سوء استفاده هاي آسيب پذيري، حملات brute force و ساير تهديدها کمک کنند. شما همچنين از مزاياي ذخيره سازي که مي تواند رتبه بندي موتورهاي جستجوي شما را بهينه کند و بهينه سازي عملکرد سايت وردپرس شما را ارائه دهد، لذت خواهيد برد!

اگر احساس مي‌کنيد چيزهاي زيادي بايد در نظر بگيريد، نگران نباشيد. ما هر يک از اين مراحل را با عمق بيشتري پوشش خواهيم داد.

مرحله اول: هک وردپرس را پیدا و شناسایی کنید

اولین قدم برای حذف بدافزار از سایت وردپرسی خود، شناسایی نوع هک است. این به شما کمک می کند عفونت را محدود کنید تا پیدا کردن آن آسان تر شود.

1.1 سایت وردپرس خود را امن کنید

می توانید از ابزارهایی استفاده کنید که سایت شما را از راه دور اسکن می کنند تا بارهای مخرب و بدافزارها را پیدا کنید. به عنوان مثال، Sucuri یک افزونه رایگان وردپرس دارد که می توانید آن را در مخزن رسمی وردپرس بیابید. همچنین می توانید سایت خود را با ابزارهای آنلاین اسکن کنید تا مکان محتوای مخرب و محموله ها را بیابید.

نحوه اسکن وردپرس برای بدافزار با Sucuri Sitecheck

اگر اسکنر از راه دور کارساز نبود، آزمایشات دیگر را در این بخش ادامه دهید. همچنین می توانید به صورت دستی برگه iFrames / Links / Scripts در اسکن بدافزار(Malware Scan) را بررسی کنید تا عناصر ناآشنا یا مشکوک را جستجو کنید.

در صورت داشتن چند سایت وردپرسی بر روی یک سرور، توصیه ما این است که همه آنها را اسکن کنید (SiteCheck در چنین مواقعی می تواند به شما کمک کند). آلودگی متقاطع یکی از علل اصلی عفونت مجدد است. ما صاحب وب سایت ها را تشویق می کنیم که سایت های خود را در هاست خود جدا کنند.

یک اسکنر از راه دور سایت را مرور می کند تا مشکلات امنیتی احتمالی در سایت وردپرس شما را شناسایی کند. برخی از مشکلات ممکن است در مرورگر نشان داده نشوند. در عوض، آنها بر روی سرور ظاهر می شوند (به عنوان مثال، backdoor، فیشینگ، و اسکریپت های مبتنی بر سرور) جامع ترین رویکرد برای اسکن شامل اسکنرهای از راه دور و سمت سرور است.

نحوه اسکن سایت خود برای مشاهده درخواست های صفحه

• به وب سایت تست وب سایت مراجعه کنید.
• وارد وب سایت خود شوید و روی Start Test کلیک کنید.
• جزئیات درخواست را بررسی کنید.
• به درخواست های مشکوک یا غیرقابل تشخیص توجه کنید.
  این ابزار خارجی بینش هایی را در مورد آنچه در سایت وردپرس شما بارگذاری می شود ارائه می دهد. از اینجا، می‌توانید تمام درخواست‌های صفحه‌ای را که هنگام بارگذاری سایت شما انجام می‌شود، بررسی کنید که می‌تواند به شما در محدود کردن دامنه‌های مخرب/ناخواسته در سایت شما کمک کند.

نکته مهم: اگر نام دامنه در حال بارگذاری در سایت خود را نمی شناسید و می خواهید درباره آن تحقیق کنید، از مراجعه مستقیم به دامنه خودداری کنید. در عوض، نکات ذکر شده در زیر را برای کاهش خطر انجام دهید.

نحوه بررسی بارگذاری دامنه های خارجی در سایت

روش های مختلفی وجود دارد که به شما کمک می کند سایت خود را برای بارگذاری خارجی بررسی کنید. می توانید از یک یا چند ابزار زیر استفاده کنید.

SiteCheck

هر نام دامنه مشکوکی را با SiteCheck جستجو کنید تا ببینید آیا آنها در لیست مسدود شده اند یا خیر.

Google

نتایج Google را برای یک نام دامنه با استفاده از site:example.com در گوگل جستجو کنید، سپس نتایج را بررسی کنید. اگر به دامنه اعتماد ندارید، روی این نتایج کلیک نکنید. به سادگی آنها را بررسی کنید تا ببینید آیا ممکن است با کد سایت شما مرتبط باشند یا خیر. (مثال: دامنه های استفاده شده توسط نویسندگان افزونه، نویسندگان قالب و غیره)

URLScan.io

نتایج URL را با URLScan.io جستجو کنید تا اطلاعات زیادی در مورد یک سایت به دست آورید. شما می توانید ببینید که سایت در کجا میزبانی شده است، درخواست ها چه می کنند و رفتار کلی سایت را بدون دسترسی مستقیم به آن ببینید.

VirusTotal

نتایج یک دامنه را با VirusTotal، جستجوگر فروشنده رایگان لیست بلاک، جستجو کنید. نتایج برای موارد زیر نشان داده خواهد شد.

• تشخیص: وضعیت لیست مسدودی وب سایت را از بیش از 70 فروشنده بررسی کنید
• جزئیات: تاریخچه و پاسخ HTTP را از یک سایت مشاهده کنید.
• پیوندها: پیوندهای خروجی را بررسی کنید.
• انجمن: نظرات مردم در مورد ایمنی یک سایت را مرور کنید.

پیشنهاد مطالعه: لیست کامل عناصر css

1.2 یکپارچگی فایل اصلی وردپرس را بررسی کنید

نصب های وردپرس از بسیاری از فایل های اصلی تشکیل شده است که بین نسخه ها ثابت می مانند. اکثر فایل های اصلی در وردپرس هرگز نباید اصلاح شوند. فایل‌های اصلی در داخل webroot به همراه فهرست‌های wp-includes و wp-admin وجود دارند. برای اطمینان از اینکه هیچ فایل اصلی به طور مخرب اصلاح نشده است، باید یک بررسی یکپارچگی انجام شود.

چند راه مختلف برای بررسی دستی وجود دارد که آیا فایل های اصلی در یک وب سایت مبتنی بر CMS اصلاح شده اند یا خیر.

نحوه مقایسه دو فایل متنی با Diffchecker

• از وب سایت Diffchecker دیدن کنید.
• متن فایل هسته تمیز را در کادر متن اصلی قرار دهید.
• متن فایل اصلی اصلاح شده را در کادر Changed Text قرار دهید.
• دکمه Find Difference را به سمت پایین انتخاب کنید.
• تفاوت های متن را مقایسه کنید
• هر گونه تفاوت کد مشکوک را یادداشت کنید .
• اگر متوجه تغییراتی در فایل اصلی خود شدید، ممکن است آلوده شده باشد. به بررسی فایل های اصلی بیشتر ادامه دهید زیرا ممکن است دیگران نیز آلوده شده باشند. اگر هیچ چیزی اصلاح نشده باشد، فایل های اصلی شما تمیز هستند.

نحوه مقایسه دو فایل از طریق SSH

• از طریق SSH وارد سرور خود شوید.
• در یک دایرکتوری آزمایشی، متن فایل هسته تمیز را در یک فایل txt آزمایشی قرار دهید.
• در همان دایرکتوری آزمایشی، متن فایل اصلی اصلاح شده را در یک فایل آزمایشی .txt جدید قرار دهید.
• دستور زیر را اجرا کنید:

حذف بدافزار و پاک کردن سایت وردپرسی هک شده

$ diff test1.txt test2.txt

در صورت وجود تغییرات، این فایل ممکن است هک شود.
گاهی اوقات، تغییرات جزئی در این فایل ها ممکن است نشان دهنده هک نباشد – این نادر است اما ممکن است رخ دهد. با این حال، کد مبهم در یک فایل اصلی نشانگر این است که ممکن است چیزی مخرب در آنجا وجود داشته باشد. کد مبهم به گونه ای نوشته شده است که برای درک نیاز به رمزگشایی دارد، و اغلب توسط مهاجمان هنگام پنهان کردن کد مخرب خود استفاده می شود.

اگر با کد مبهم در فایل های خود مواجه شدید، در اینجا چند ابزار برای کمک به رمزگشایی محتوا وجود دارد:

• Base64 Decode : رشته های کدگذاری شده base64 را رمزگشایی می کند.

• UnPHP : کدهای مخرب PHP مبهم را رمزگشایی می کند.

• مترجم CharCode : رمزگشایی CharCode.

• OnlinePHP.io : شرکت PHP را رمزگشایی و آزمایش می کند.

• UnPacker : کدهای آشفته را باز می کند.

1.3 فایل های اصلاح شده اخیر را بررسی کنید

فایل های جدید یا اخیراً اصلاح شده ممکن است بخشی از هک باشند. راه های زیادی برای بررسی فایل های اخیراً اصلاح شده وجود دارد، مانند بررسی cPanel یا SSH.

نحوه بررسی فایل های اصلاح شده اخیر از طریق SSH با دستور ls

• از طریق SSH وارد سرور خود شوید و به فهرست اصلی سایت خود بروید.
• دستور زیر را اجرا کنید

$ ls -1tlah | head -10

• فایل های اصلاح شده اخیر را مرور کنید، از بالا شروع کنید.

نحوه بررسی فایل های اصلاح شده اخیر از طریق SSH با دستور find

• از طریق SSH وارد سرور خود شوید و به فهرست اصلی سایت خود بروید.
• دستور زیر را اجرا کنید.

$ find . -type f -mtime -90

• نتایج یک خروجی با فایل‌هایی را نشان می‌دهد که در ۹۰ روز گذشته اصلاح شده‌اند.
• این فایل ها را مرور کنید. تغییرات ناآشنا در 90 روز گذشته ممکن است مشکوک باشد.

نحوه بررسی فایل های اخیراً اصلاح شده از سی پنل

• وارد cPanel شوید و به File Manager بروید.
• به فهرست اصلی سایت خود بروید و روی Last Modified کلیک کنید.
• فایل‌هایی را با تاریخ‌هایی که اخیراً تغییر کرده‌اند، از بالا مشاهده کنید.

نحوه بررسی فایل های اصلاح شده اخیر با Filezilla

• کلاینت FileZilla را باز کنید و از طریق FTP، FTP یا sFTP به وب سایت خود متصل شوید.
• در منوی بالا به View بروید و سپس Filename filters را انتخاب کنید…
• در منوی باز شده، ویرایش قوانین فیلتر را انتخاب کنید…
• برای ایجاد فیلتر جدید گزینه New را انتخاب کنید .
• فیلتر جدید خود را چگونه به خاطر بسپارید، مانند فیلتر تاریخ
• معیارهای فیلتر را اضافه کنید.
• برای شرایط فیلتر: گزینه Filter out items را انتخاب کنید که با هیچ یک از موارد زیر مطابقت ندارند.
• تاریخ را از اولین منوی کشویی انتخاب کنید و تاریخی را وارد کنید که با آنچه به دنبال آن هستید مطابقت دارد
• در قالب “YYYY-MM-DD”. تیک کادری که می گوید Directories را بردارید و OK را انتخاب کنید. به عنوان مثال: اگر امروز 15 ژانویه 2022 است و می خواهید فایل هایی را که در 15 روز گذشته اصلاح شده اند پیدا کنید، 2022-01-01 را در جعبه متن قرار دهید .
• کادر کنار فیلتر تازه ایجاد شده خود را علامت بزنید، Apply را انتخاب کنید و سپس OK را انتخاب کنید تا پنجره بسته شود.

این کار تمام فایل‌هایی را که در 15 روز گذشته اصلاح نشده‌اند فیلتر می‌کند و به شما این امکان را می‌دهد تا در هنگام جستجوی بدافزار به سرعت در هر دایرکتوری نگاه کنید تا ببینید چه چیزی اخیراً اصلاح شده است. برای تغییر تاریخ فیلتر یا شروع جستجوی جدید باید این مراحل را دنبال کنید.

1.4 صفحات تشخیصی گوگل را بررسی کنید

اگر وب سایت وردپرس شما توسط گوگل یا سایر مقامات امنیتی وب سایت هک و در لیست مسدود شده است ، می توانید از ابزارهای تشخیصی آنها برای بررسی وضعیت امنیتی وب سایت خود استفاده کنید.

نحوه بررسی گزارش شفافیت گوگل

• وب سایت وضعیت سایت مرور ایمن را ملاحظه کنید.
• با وارد کردن آدرس سایت جستجو کنید.

در این صفحه می توانید موارد زیر را بررسی نمایید:

• جزئیات ایمنی سایت: بررسی اطلاعاتی در زمینه تغییر مسیرهای مخرب، هرزنامه ها و دانلودها.
• جزئیات تست: جدیدترین اسکن گوگل می باشد که بدافزار را پیدا کرده است.

اگر سایت خود را به ابزارهای رایگان وب مستر اضافه کرده اید، می توانید رتبه بندی ها و گزارش های امنیتی آنها را برای وب سایت خود بررسی کنید.

اگر از قبل حسابی برای این ابزار نظارت رایگان ندارید، به شدت توصیه می کنیم که ثبت نام کنید:

• مرکز وب مسترهای گوگل
• ابزارهای وب مستر بینگ
• وب مستر Yandex
• نورتون ایمن وب

اگر وب سایت شما در هر یک از فروشندگان عمده لیست بلاک فهرست شده است، می توانید از VirusTotal برای تجزیه و تحلیل مشکل استفاده کنید.

نحوه بررسی وب سایت خود در VirusTotal

• از وب سایت VirusTotal دیدن کنید.
• روی تب URL کلیک کنید،
• آدرس سایت خود را وارد کنید و جستجو کنید.

در این صفحه می توانید موارد زیر را بررسی نمایید:

• تشخیص: وضعیت لیست مسدودی وب سایت را از بیش از 70 فروشنده بررسی کنید.
• جزئیات: تاریخچه و پاسخ HTTP را از سایت خود مشاهده کنید.
• پیوندها : پیوندهای خروجی را بررسی کنید.
• انجمن: نظرات مردم در مورد ایمنی سایت خود را مرور کنید.

مرحله دوم: بدافزار را از سایت و پایگاه داده وردپرس خود حذف کنید

اکنون که می‌دانید چگونه مکان محتوای مخرب را شناسایی کنید، می‌توانید بدافزار را حذف کنید و دوباره یک سایت وردپرسی تمیز داشته باشید.

نکته مهم: بهترین راه برای حذف بدافزار و شناسایی فایل های هک شده در وردپرس، مقایسه وضعیت فعلی سایت با یک نسخه پشتیبان قدیمی و شناخته شده است. اگر یک نسخه پشتیبان در دسترس است، می توانید از آن برای مقایسه این دو نسخه و شناسایی آنچه که اصلاح شده است استفاده کنید. بازیابی ممکن است سریعترین گزینه برای فعال کردن مجدد سایت شما باشد.

مراحل ذکر شده در زیر نیاز به دسترسی به ساختار فایل و پایگاه داده وردپرس دارد. برای مشاهده ساختار فایل خود به همراه اعتبار پایگاه داده برای دسترسی به پایگاه داده خود به دسترسی از طریق sFTP/FTP/SSH نیاز دارید.

2.1 پاک کردن فایل های هک شده وردپرس

وردپرس از فایل ها و پوشه های زیادی تشکیل شده است که همه با هم کار می کنند تا یک وب سایت کاربردی ایجاد کنند. اکثر این فایل‌ها فایل‌های اصلی هستند که در نصب‌های یک نسخه سازگار هستند.

اگر آلودگی در فایل‌های اصلی شما وجود دارد، می‌توانید با دانلود یک نصب جدید از سایت رسمی وردپرس و جایگزینی هر فایل در معرض خطر با کپی‌های تمیز، بدافزار را به صورت دستی برطرف کنید. فقط فایل wp-config.php یا پوشه wp-content خود را بازنویسی نکنید و حتماً از قبل یک نسخه پشتیبان کامل تهیه کنید.

نحوه پاکسازی فایل های هسته ی هک شده وردپرس

• با مشاهده فایل wp-includes/version.php نسخه سایت وردپرس خود را یادداشت کنید.
• به سایت رسمی وردپرس بروید و نسخه ای را که با فایل wp-includes/version.php شما مطابقت دارد دانلود کنید.
• نصب وردپرس را در رایانه خود استخراج کنید.
• از طریق sFTP/FTP یا از طریق حساب میزبانی خود وارد ساختار فایل خود شوید.
• هر فایل اصلی آلوده را با یک کپی تمیز جایگزین کنید.

نحوه پاکسازی دستی افزونه ها و فایل های تم وردپرس هک شده

• یک کپی پلاگین/موضوع تمیز را از یک نسخه پشتیبان در حال کار یا از سایت رسمی وردپرس دانلود کنید.
• کپی پلاگین/موضوع را در رایانه خود استخراج کنید.
• از طریق sFTP/FTP یا از طریق حساب میزبانی خود وارد ساختار فایل خود شوید.
• پوشه پلاگین/موضوع قابل اجرا را در ./wp-content/plugins یا ./wp-content/themes با کپی تمیز جایگزین کنید.
• هر فایل سفارشی یا پریمیوم (نه در مخزن رسمی) را با یک ویرایشگر متن باز کنید.
• کدهای مشکوک را از فایل های سفارشی حذف نمایید.
• آزمایشی مبنی بر تأیید سایت پس از تغییرات فعال است.

نحوه تمیز کردن افزونه هک شده وردپرس از طریق داشبورد

• وارد داشبورد وردپرس خود شوید و به بخش افزونه های نصب شده در زیر افزونه ها بروید.
• افزونه های قابل اجرا را غیرفعال و حذف کنید.
• هر افزونه را از داشبورد نصب و فعال کنید یا یک کپی تمیز از یک نسخه پشتیبان کار آپلود کنید.

نکته مهم: اگر افزونه یا طرح زمینه به هر نحوی سفارشی شده است، از یک نسخه پشتیبان تمیز بازیابی کنید تا از پاک شدن تغییراتی که ایجاد کرده اید جلوگیری کنید.

احتیاط: هیچ محتوایی را در پوشه wp-content جایگزین نکنیدیا فایل wp-config.php را جایگزین نکنید.

پیشنهاد مطالعه: راهنمای کامل تگ‌های HTML

2.2 جداول پایگاه داده هک شده را تمیز کنید

برای حذف یک آلودگی بدافزار از پایگاه داده وردپرس خود، از پنل مدیریت پایگاه داده خود برای اتصال به پایگاه داده استفاده کنید. همچنین می توانید از ابزارهایی مانند PHPMyAdmin یا Adminer استفاده کنید.

چگونه به صورت دستی یک بدافزار را از پایگاه داده وردپرس خود حذف کنیم

• وارد پنل مدیریت پایگاه داده خود شوید.
• قبل از ایجاد تغییرات از پایگاه داده یک نسخه پشتیبان تهیه کنید.
• جستجوی محتوای مشکوک (به عنوان مثال، کلمات کلیدی هرزنامه، لینک های مخرب).
• ردیفی را که حاوی محتوای مشکوک است باز کنید.
• هر گونه محتوای مشکوک را به صورت دستی حذف کنید.
• آزمایشی مبنی بر سایت پس از تغییرات فعال می باشد.
• هر ابزار دسترسی به پایگاه داده را که ممکن است آپلود کرده باشید حذف کنید.

مبتدیان می توانند از اطلاعات محموله ارائه شده توسط اسکنر بدافزار استفاده کنند. کاربران متوسط همچنین می توانند به صورت دستی به دنبال توابع مخرب رایج PHP مانند eval، base64_decode، gzinflate، preg_replace، str_replace و غیره بگردند.

ممکن است متوجه شوید که وب سایت شما در تاریخ خاصی هک شده و پست های اسپم غیرقابل تشخیص به سایت شما تزریق شده است. این ممکن است در صورتی رخ دهد که رمز عبور مدیر در معرض خطر قرار گیرد.

نحوه انتقال پست های وردپرس به سطل زباله بعد از تاریخ معین

• وارد پنل مدیریت پایگاه داده خود شوید.
• قبل از ایجاد تغییرات از پایگاه داده یک نسخه پشتیبان تهیه کنید.
• به SQL Command در بالا سمت چپ بروید.
• پیشوند پایگاه داده وردپرس خود را یادداشت کنید. wp_ بیشترین استفاده را دارد.
• توجه داشته باشید که پست های هرزنامه از چه تاریخی شروع شده اند.

دستور SQL زیر را اجرا کنید:

به‌روزرسانی «wp_posts» SET «post_status» = «سطل زباله» WHERE «post_status» = «انتشار» و «post_type» = «پست» و «تاریخ_پست» > '08/03/2018';

نکته مهم: اطمینان حاصل کنید که تاریخ موجود در دستور SQL بالا را با تاریخی که برای زمانی که متوجه شروع پست های هرزنامه شده اید جایگزین کنید. در مثال بالا، تمام پست‌هایی را که تاریخ 9 مارس 2018 و کمتر دارند حذف می‌کند.

همچنین مطمئن شوید که قالب تاریخ را با نحوه نمایش داشبورد خود مطابقت دهید، که در سمت راست بالای بخش پست‌های شما یافت می‌شود.

احتیاط: توجه داشته باشید که این توابع به دلایل قانونی توسط افزونه ها نیز استفاده می شود، بنابراین مطمئن شوید که تغییرات را آزمایش کرده یا کمک بگیرید تا به طور تصادفی سایت خود را خراب نکنید. هنگامی که با رکوردهای پایگاه داده سروکار دارید، جایگزین کردن داده ها همیشه ساده نیست، به خصوص اگر در جدول wp_options باشد.

2.3 ایمن کردن حساب های کاربری وردپرس

مهاجمان اغلب کاربران مخرب سرپرست و/یا کاربران FTP را ایجاد می‌کنند تا در تاریخ بعدی دوباره به سایت شما دسترسی پیدا کنند، بنابراین بررسی دسترسی حساب کاربری از طریق هر نقطه ورود احتمالی به سایت شما ضروری است. اگر یک سایت وردپرس آلوده شود و پاک شود اما کاربران مخرب مدیر/FTP باقی بمانند، سایت به سرعت دوباره آلوده می شود.

کاربرانی را که نمی شناسید حذف کنید تا هکرها دیگر دسترسی نداشته باشند، از جمله:

کاربران FTP
کاربران SSH
ادمین وردپرس
کاربران
کاربران اضافی پایگاه داده

نحوه حذف دستی کاربران مشکوک از وردپرس

• قبل از ادامه از سایت و پایگاه داده خود نسخه پشتیبان تهیه کنید.
• به عنوان ادمین وارد وردپرس شوید و روی Users کلیک کنید.
• حساب های کاربری مشکوک جدید را پیدا کنید.
• ماوس را روی کاربر مشکوک نگه دارید و روی Delete کلیک کنید.
• اگر کاربری محتوای مرتبط با آن را داشته باشد، از شما خواسته می شود که هر محتوای مرتبط را نگه دارید یا حذف کنید. توصیه می شود برای جلوگیری از از دست دادن اطلاعات ناخواسته، محتوا را نگه دارید و سپس آن را مدیریت کنید.
• اگر فکر می کنید هر یک از حساب های کاربری شما به خطر افتاده است، می توانید رمز عبور آنها را بازنشانی کنید. استفاده از افزونه Sucuri WordPress یکی از راه های انجام این کار می باشد.
• توصیه ما این است که فقط یک کاربر سرپرست وجود داشته باشد و سایر نقش‌های کاربر با کمترین امتیاز مورد نیاز (به عنوان مثال مشارکت‌کننده، نویسنده، ویرایشگر) تنظیم شود.

توجه: برخی از آلودگی‌های بدافزاری، اگر در پلتفرم میزبانی موجود باشد، حساب‌های ایمیل مخرب را اضافه می‌کنند. (به عنوان مثال، عفونت فاکس Anonymous.) وارد حساب میزبانی خود شوید و در صورت وجود، حساب های ایمیل را مشاهده کنید. هر کاربری را که نمی شناسید حذف کنید.

2.4 backdoor مخفی را در سایت وردپرس خود حذف کنید

همواره هکرها راهی برای بازگشت به سایت می گذارند. در اغلب موارد، ما چندین backdoor از انواع مختلف را در سایت های هک شده وردپرس پیدا می کنیم.

اغلب backdoor ها در فایل‌هایی با نام‌های مشابه فایل‌های اصلی وردپرس تعبیه می‌شوند اما در دایرکتوری‌های اشتباهی قرار دارند. مهاجمان همچنین می توانند backdoor ها را به فایل هایی مانند wp-config.php و دایرکتوری هایی مانند wp-content/themes، wp-content/plugins و wp-content/uploads تزریق کنند.