پاکسازی سایت ویروسی وردپرس

وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوا است که به دلیل محبوبیت گسترده، همواره هدف حملات هکرها و ویروس‌ها قرار می‌گیرد. بسیاری از افرادی که به دنبال خرید سایت ارزان هستند نیز معمولاً وردپرس را به‌عنوان گزینه‌ای مقرون‌به‌صرفه انتخاب می‌کنند، اما باید توجه داشته باشند که امنیت در این سیستم اهمیت ویژه‌ای دارد. اگر سایت وردپرسی شما آلوده به ویروس یا بدافزار شده باشد، ممکن است با مشکلاتی مانند افت رتبه سئو، کاهش سرعت، نمایش پیغام‌های مخرب به کاربران یا حتی مسدود شدن سایت توسط گوگل مواجه شوید. در این مقاله به صورت جامع و مرحله‌به‌مرحله روش‌های پاکسازی سایت وردپرس ویروسی را بررسی می‌کنیم.

درک آلودگی وب‌سایت وردپرس

شناسایی زودهنگام و درک ماهیت حملات سایبری برای هر وب‌سایت وردپرسی از اهمیت بالایی برخوردار است. آگاهی از علائم هشداردهنده نه تنها به مدیران سایت کمک می‌کند تا به سرعت به مشکلات امنیتی واکنش نشان دهند، بلکه ضرورت پاکسازی جامع را نیز برجسته می‌سازد. نادیده گرفتن این علائم می‌تواند منجر به پیامدهای جدی، از جمله از دست دادن داده‌ها، آسیب به اعتبار برند و جریمه‌های سئو شود.

پیشنهاد مطالعه: افزایش امنیت سایت در زمان جنگ و حملات سایبری

علائم رایج هک شدن سایت وردپرس

تشخیص یک وب‌سایت وردپرسی آلوده به بدافزار اغلب با مشاهده تغییرات غیرمنتظره و فعالیت‌های مشکوک آغاز می‌شود. این علائم می‌توانند از افت ناگهانی در عملکرد سایت تا تغییرات آشکار در محتوا متغیر باشند:

افت ناگهانی ترافیک و رتبه سئو

 یکی از اولین و نگران‌کننده‌ترین نشانه‌ها، کاهش چشمگیر بازدیدکننده و رتبه سایت در موتورهای جستجو است. این وضعیت اغلب ناشی از قرار گرفتن سایت در لیست سیاه (Blacklisting) توسط موتورهای جستجو مانند گوگل است که سایت‌های آلوده را از نتایج جستجو حذف می‌کند. کاهش ترافیک همچنین می‌تواند به دلیل تغییر مسیر کاربران به سایت‌های مخرب باشد.  

افزایش ناگهانی ترافیک غیرمعمول

 در مقابل افت ترافیک، گاهی افزایش ناگهانی و غیرعادی ترافیک از منابع یا مناطق جغرافیایی ناشناخته نیز می‌تواند نشانه‌ای از آلودگی باشد. این نوع ترافیک اغلب ناشی از استفاده سایت به عنوان بخشی از بات‌نت‌ها برای حملات DDoS به سایت‌های دیگر یا ارسال ترافیک جعلی است. این تضاد در علائم ترافیک، یعنی هم افت و هم افزایش ناگهانی، نشان می‌دهد که انواع مختلفی از حملات وجود دارد که هر کدام تأثیر متفاوتی بر ترافیک سایت می‌گذارند. افت ترافیک معمولاً به دلیل لیست سیاه شدن سایت توسط موتورهای جستجو یا ریدایرکت‌های مخرب است که بازدیدکنندگان واقعی را دور می‌کند. در مقابل، افزایش ترافیک اغلب ناشی از استفاده از سایت به عنوان بخشی از بات‌نت برای حملات DDoS یا ارسال ترافیک جعلی است. این تفاوت در علائم ترافیک نشان‌دهنده پیچیدگی تاکتیک‌های هکرها است و تأکید می‌کند که برخی هک‌ها، مانند تزریق لینک‌های مخفی یا ریدایرکت‌های مشروط، خود را از دید مدیر سایت پنهان می‌کنند. این پنهان‌کاری، تشخیص زودهنگام را دشوارتر کرده و نیاز به بررسی دقیق‌تر با ابزارهای تخصصی یا مرورگر ناشناس را برجسته می‌کند.  

تغییرات غیرمنتظره در محتوا یا ظاهر سایت (Defacement)

 هکرها ممکن است صفحه اصلی سایت را تغییر دهند و پیام‌های خود را نمایش دهند. همچنین، محتوای اسپم، لینک‌های مخرب (مانند Pharma Hacks) یا تبلیغات ناخواسته (Malvertising) ممکن است به پست‌ها، صفحات یا حتی فوتر سایت تزریق شوند. این تغییرات گاهی اوقات فقط برای موتورهای جستجو یا بازدیدکنندگان خاصی قابل مشاهده هستند و از دید مدیر سایت پنهان می‌مانند.  

عدم امکان ورود به پنل مدیریت وردپرس: اگر با وجود وارد کردن صحیح نام کاربری و رمز عبور، قادر به ورود به پیشخوان وردپرس نیستید، این می‌تواند نشانه‌ای از حذف یا تغییر رمز عبور حساب کاربری مدیر توسط هکرها باشد.  

وجود فایل‌ها و اسکریپت‌های ناشناخته روی سرور: کشف فایل‌ها یا پوشه‌هایی با نام‌های عجیب و غریب یا اسکریپت‌های PHP در پوشه‌هایی مانند wp-content/uploads که نباید حاوی فایل اجرایی باشند، یک پرچم قرمز جدی است. اینها اغلب بک‌دورهایی هستند که هکرها برای دسترسی مداوم به سایت ایجاد می‌کنند.  

کند بودن و واکنش‌گرا نبودن وب‌سایت

 مصرف بالای منابع سرور توسط اسکریپت‌های مخرب یا حملات DDoS می‌تواند منجر به کاهش شدید سرعت سایت و حتی از دسترس خارج شدن آن شود.  

فعالیت‌های غیرمعمول در لاگ سرور

بررسی لاگ‌های سرور (Access Logs و Error Logs) می‌تواند نشان‌دهنده تلاش‌های ورود ناموفق مکرر (حملات Brute-Force)، درخواست‌های غیرعادی به URLهای ناشناخته یا تغییرات در فایل‌های وردپرس باشد.  

مشکل در ارسال یا دریافت ایمیل‌های وردپرس

 سرورهای هک شده اغلب برای ارسال ایمیل‌های اسپم (Phishing/Spam) استفاده می‌شوند که می‌تواند منجر به قرار گرفتن IP سرور در لیست سیاه (Email Blacklisting) شود.  

حساب‌های کاربری مشکوک در وردپرس

 مشاهده حساب‌های کاربری جدید با نقش مدیر که توسط شما ایجاد نشده‌اند، نشانه‌ای از نفوذ است. هکرها اغلب برای حفظ دسترسی، حساب‌های مدیر مخفی ایجاد می‌کنند که حتی ممکن است از دید مدیران اصلی پنهان بمانند.  

هشدارهای مرورگر یا موتور جستجو

اگر مرورگرها به کاربران هشدار می‌دهند که سایت شما حاوی بدافزار است یا گوگل در نتایج جستجو سایت شما را ناامن اعلام می‌کند، این یک نشانه قطعی است.  

از کار افتادن یا حذف افزونه‌های امنیتی

هکرها ممکن است افزونه‌های امنیتی را غیرفعال یا حذف کنند تا شناسایی نشوند و فعالیت‌های مخرب خود را ادامه دهند.  

کاهش ناگهانی بازدید سایت

کاهش ناگهانی بازدید سایت  و افت رتبه در سئو سایت و نتایج جستجو

بسیاری از این علائم به طور مستقیم به آسیب‌پذیری‌های اساسی مانند رمزهای عبور ضعیف، نرم‌افزار قدیمی یا افزونه‌ها/قالب‌های نال شده مرتبط هستند. این ارتباط نشان می‌دهد که حملات سایبری اغلب از نقاط ضعف شناخته شده در سیستم سوءاستفاده می‌کنند. برای مثال، عدم توانایی در ورود به دلیل حذف حساب کاربری مدیر یا تغییر رمز عبور به حملات Brute-Force یا سرقت اعتبارنامه مرتبط است که خود ناشی از رمزهای عبور ضعیف یا عدم به‌روزرسانی منظم سیستم است. درک این که علائم صرفاً نشانه‌های سطحی نیستند، بلکه ریشه‌های عمیق‌تری در ضعف‌های امنیتی دارند، مدیران سایت را به سمت اتخاذ راهبردهای امنیتی جامع‌تر و پیشگیرانه‌تر سوق می‌دهد.

چرا پاکسازی سایت ویروسی وردپرس حیاتی است؟

پاکسازی یک وب‌سایت وردپرسی آلوده به بدافزار نه تنها یک اقدام ترمیمی، بلکه یک ضرورت استراتژیک برای حفظ سلامت و پایداری کسب‌وکار آنلاین محسوب می‌شود. دلایل حیاتی برای انجام این فرآیند عبارتند از:

جلوگیری از جریمه‌های سئو و افت رتبه

موتورهای جستجو مانند گوگل، وب‌سایت‌های آلوده را به سرعت شناسایی و در لیست سیاه خود قرار می‌دهند. این اقدام منجر به افت شدید ترافیک ارگانیک، از دست رفتن رتبه در نتایج جستجو و در نهایت کاهش درآمد می‌شود. پاکسازی به موقع و ارسال درخواست بازبینی به موتورهای جستجو، شانس خروج از لیست سیاه و بازیابی رتبه را افزایش می‌دهد.  

حفظ اعتماد کاربران و اعتبار برند

سایت‌های آلوده می‌توانند بدافزار را به سیستم بازدیدکنندگان منتقل کنند، آن‌ها را به سایت‌های فیشینگ یا اسپم هدایت کنند، یا اطلاعات حساس آن‌ها را به سرقت ببرند. چنین رخدادهایی به شدت به اعتماد کاربران و شهرت برند آسیب می‌زند و بازگرداندن آن بسیار دشوار است.  

جلوگیری از سوءاستفاده بیشتر

 هکرها اغلب از سایت‌های آلوده به عنوان پلتفرمی برای انجام حملات بعدی استفاده می‌کنند. این شامل ارسال ایمیل‌های اسپم انبوه، میزبانی محتوای مخرب، راه‌اندازی حملات DDoS به سایت‌های دیگر، یا سرقت اطلاعات حساس (مانند اطلاعات مشتریان، رمزهای عبور) می‌شود. پاکسازی سایت این سوءاستفاده‌ها را متوقف می‌کند.  

حفظ منابع سرور و عملکرد سایت

 بدافزارها و اسکریپت‌های مخرب می‌توانند منابع سرور (مانند CPU و RAM) را به شدت مصرف کنند. این مصرف بی‌رویه منجر به کندی سرعت بارگذاری سایت، افزایش زمان پاسخگویی و در نهایت از دسترس خارج شدن سایت می‌شود. پاکسازی، منابع سرور را آزاد کرده و عملکرد سایت را به حالت عادی بازمی‌گرداند.  

اجتناب از تعلیق میزبانی

 بسیاری از شرکت‌های هاستینگ، در صورت شناسایی بدافزار در یک وب‌سایت، آن را به سرعت تعلیق می‌کنند. این اقدام برای جلوگیری از گسترش آلودگی به سایر وب‌سایت‌های میزبانی شده بر روی همان سرور و حفظ امنیت کلی شبکه انجام می‌شود. پاکسازی سریع سایت از تعلیق طولانی‌مدت و مشکلات متعاقب آن جلوگیری می‌کند.

بل از هرگونه اقدام مستقیم برای پاکسازی فایل‌ها یا پایگاه داده، انجام دو گام حیاتی برای جلوگیری از آسیب بیشتر، اطمینان از امکان بازیابی سایت و حفظ اعتبار آن ضروری است. این مراحل به عنوان یک سپر محافظتی عمل کرده و فرآیند پاکسازی را ایمن‌تر و موثرتر می‌سازند.

قرار دادن سایت در حالت تعمیر و نگهداری (Maintenance Mode)

قرار دادن وب‌سایت در حالت تعمیر و نگهداری یک اقدام اولیه و بسیار مهم است. این کار سایت را از دید بازدیدکنندگان پنهان می‌کند و پیامی مبنی بر اینکه سایت به زودی باز خواهد گشت، نمایش می‌دهد. این اقدام نه تنها از تجربه کاربری بد جلوگیری می‌کند و مانع از سردرگمی بازدیدکنندگان می‌شود، بلکه مهم‌تر از آن، یک سپر محافظتی دوگانه ایجاد می‌کند. این سپر از آلودگی بیشتر بازدیدکنندگان سایت (از طریق ریدایرکت‌های مخرب یا تزریق بدافزار به مرورگر آن‌ها) جلوگیری می‌کند، که می‌تواند منجر به شکایت کاربران و آسیب بیشتر به اعتبار سایت شود. این گام ساده، یک لایه محافظتی فعال در طول فرآیند پاکسازی است که به حفظ شهرت سایت کمک می‌کند و از گسترش احتمالی بدافزار به سیستم‌های بازدیدکنندگان جلوگیری می‌نماید.  

روش‌های فعال‌سازی حالت تعمیر و نگهداری عبارتند از:

استفاده از افزونه

 افزونه‌هایی مانند WP Maintenance Mode & Coming Soon  یا SeedProd  امکان فعال‌سازی آسان حالت تعمیر و نگهداری را تنها با چند کلیک فراهم می‌کنند. این روش برای کاربران با دانش فنی کمتر مناسب است.  

دستی (از طریق فایل wp-config.php)

 می‌توان با افزودن کد define('WP_MAINTENANCE_MODE', true); به فایل wp-config.php و آپلود یک فایل maintenance.php سفارشی در روت سایت، این حالت را فعال کرد. این روش کنترل بیشتری را فراهم می‌کند.  

از طریق کنترل پنل هاست

 برخی از شرکت‌های هاستینگ (مانند hPanel هاستینگر) امکان فعال‌سازی حالت تعمیر و نگهداری را مستقیماً از طریق کنترل پنل خود فراهم می‌کنند. این گزینه معمولاً سریع و راحت است.  

تهیه نسخه پشتیبان کامل و امن از سایت (Full & Secure Backup) 

تهیه بک‌آپ کامل از وب‌سایت، مهم‌ترین گام پیشگیرانه قبل از هرگونه اقدام پاکسازی است. حتی اگر سایت هک شده باشد، تهیه بک‌آپ فعلی (حتی آلوده) به مدیر سایت امکان می‌دهد تا در صورت بروز خطا در فرآیند پاکسازی، به وضعیت قبلی بازگردد و از دست رفتن دائمی داده‌ها جلوگیری کند. این بک‌آپ نه لزوماً یک نسخه "تمیز" برای بازیابی مستقیم، بلکه یک "بیمه نامه" در برابر از دست رفتن کامل داده‌ها در طول فرآیند پاکسازی است. اگر در حین حذف فایل‌ها یا جداول، اشتباهی رخ دهد یا سایت کاملاً از کار بیفتد، می‌توان به این نقطه بازگشت و دوباره تلاش کرد. این درک، استرس مدیر سایت را کاهش می‌دهد و به او اطمینان می‌دهد که اقدامات پاکسازی، حتی اگر پیچیده باشند، خطر از دست دادن دائمی سایت را ندارند.  

یک بک‌آپ کامل باید شامل پایگاه داده (Database)، تمام فایل‌های وردپرس (فایل‌های هسته، قالب‌ها، افزونه‌ها، آپلودها) و حتی تنظیمات سرور مانند اکانت‌های FTP و ایمیل‌ها باشد.  

روش‌های تهیه بک‌آپ 

از طریق کنترل پنل هاست (CPanel/DirectAdmin)

 این روش اغلب توصیه می‌شود زیرا یک بک‌آپ کامل از تمامی فایل‌ها و پایگاه داده را فراهم می‌کند. بسیاری از شرکت‌های هاستینگ گزینه‌های بک‌آپ‌گیری داخلی را ارائه می‌دهند که می‌توانند به راحتی از طریق کنترل پنل فعال شوند.  

دستی (FTP و phpMyAdmin)

   بک آپ فایل‌ها با  استفاده از کلاینت FTP مانند FileZilla برای دانلود کل دایرکتوری وردپرس (معمولاً public_html) و بک آپ پایگاه داده ها از طریق phpMyAdmin، پایگاه داده وردپرس را انتخاب کرده و از تب "Export" یک خروجی SQL بگیرید.  

استفاده از افزونه‌های بک‌آپ‌گیری

 افزونه‌های معتبری مانند UpdraftPlus (نسخه رایگان با امکان ذخیره‌سازی ابری) , Duplicator , Jetpack Backup (VaultPress) , Solid Backups , BlogVault , Total Upkeep , BackupBuddy , WP-DBManager , و WP Reset  امکان بک‌آپ‌گیری خودکار و کامل را فراهم می‌کنند.  

نکته مهم این است که بک‌آپ‌های تهیه شده را در مکانی امن و خارج از سرور فعلی (مانند فضای ابری یا درایو محلی) ذخیره کنید. این اقدام حیاتی است زیرا در صورت تعلیق هاست  یا از دست رفتن سرور، بک‌آپ‌های محلی نیز از دسترس خارج می‌شوند و تنها بک‌آپ‌های خارج از سرور می‌توانند تضمین کننده بازیابی اطلاعات باشند.

پیشنهاد مطالعه: اسکن وردپرس برای کدهای مخرب

شناسایی و تشخیص بدافزار در وردپرس

تشخیص دقیق محل و نوع بدافزار گامی حیاتی در فرآیند پاکسازی است. بدون شناسایی کامل آلودگی، خطر بازآلودگی یا باقی ماندن کدهای مخرب بسیار بالا خواهد بود. این بخش به ابزارها و روش‌های مختلف برای شناسایی آلودگی می‌پردازد.

• استفاده از افزونه‌های امنیتی و اسکنرهای آنلاین : ابزارهای خودکار نقش مهمی در شناسایی بدافزارها ایفا می‌کنند، به خصوص برای کاربران با دانش فنی کمتر.
• افزونه‌های امنیتی وردپرس: این افزونه‌ها ابزارهای قدرتمندی برای اسکن فایل‌ها، پایگاه داده، و بررسی یکپارچگی هسته وردپرس هستند.  
• Wordfence: یکی از محبوب‌ترین گزینه‌ها، دارای فایروال تحت وب (WAF) و قابلیت اسکن عمیق فایل‌ها، پایگاه داده، و cron jobs است. نسخه رایگان آن با تأخیر ۳۰ روزه در دریافت امضاهای بدافزار جدید ارائه می‌شود.  
• Sucuri: یک راه‌حل امنیتی جامع با فایروال مبتنی بر ابر (Cloud-based WAF) و قابلیت اسکن از راه دور (Remote Scanning) و سرور-ساید (Server-side Scanning) است.  
• MalCare: اسکنر عمیق با تکنولوژی پیشرفته که می‌تواند بدافزارهای پنهان را شناسایی کند و قابلیت حذف بدافزار با یک کلیک را دارد.  
• اسکنرهای آنلاین:ابزارهایی مانند Sucuri SiteCheck , VirusTotal , Quttera  به صورت ریموت سایت را اسکن کرده و مشکلات امنیتی قابل مشاهده عمومی را گزارش می‌دهند. اینها برای تشخیص سریع مشکلات بیرونی مفید هستند، اما بدافزارهای پنهان در سرور را ممکن است شناسایی نکنند. اسکنرهای آنلاین فقط صفحات عمومی سایت را بررسی می‌کنند، در حالی که افزونه‌های امنیتی اسکن‌های عمیق‌تری در سطح سرور انجام می‌دهند. این تفاوت نشان می‌دهد که یک رویکرد تک‌بعدی برای شناسایی بدافزار کافی نیست. بدافزارها اغلب در بک‌دورها، اسکریپت‌های سرور-ساید، یا تزریقات پایگاه داده پنهان می‌شوند که از طریق اسکن از راه دور قابل تشخیص نیستند. بنابراین، ترکیبی از اسکنرهای آنلاین (برای تشخیص مشکلات بیرونی و لیست سیاه شدن)، افزونه‌های امنیتی (برای اسکن عمیق فایل‌سیستم و دیتابیس)، و بررسی دستی (برای کشف کدهای مبهم و بک‌دورهای پیچیده) ضروری است.  
• اسکنر ویروس cPanel: بسیاری از شرکت‌های هاستینگ اسکنر ویروس داخلی در cPanel ارائه می‌دهند که می‌تواند کل دایرکتوری خانه را اسکن کرده و فایل‌های مخرب را شناسایی و حذف کند.
• بررسی دستی فایل‌ها و پوشه‌های مشکوک: در کنار ابزارهای خودکار، بررسی دستی فایل‌ها برای شناسایی کدهای مخرب و بک‌دورهای پنهان ضروری است.
• فایل‌های هسته وردپرس:  (wp-admin, wp-includes, index.php, wp-blog-header.php, wp-settings.php, wp-load.php, wp-signup.php, wp-trackback.php)  این فایل‌ها به ندرت نیاز به ویرایش دستی دارند. هرگونه تغییر در آن‌ها (مانند کدهای اضافی، کدهای مبهم شده base64_decode, eval, gzinflate) نشانه آلودگی است. بهترین روش، مقایسه فایل‌های موجود با نسخه‌های تمیز و اصلی وردپرس از WordPress.org است. ابزارهایی مانند Diffchecker یا دستور    
• wp-content/uploads: این پوشه فقط باید حاوی فایل‌های رسانه‌ای (تصاویر، ویدئوها) باشد. وجود فایل‌های PHP یا اجرایی در این پوشه نشانه‌ای قوی از بک‌دور است.  
• فایل wp-config.php: این فایل حاوی اطلاعات حساس پایگاه داده و کلیدهای امنیتی (Salts) است. هرگونه کد مخرب یا تغییر در آن باید بررسی شود.  
• فایل .htaccess: این فایل برای تغییر مسیرها و قوانین سرور استفاده می‌شود و هکرها اغلب کدهای ریدایرکت مخرب را در آن تزریق می‌کنند.  
• جستجو برای کدهای مخرب خاص: به دنبال توابعی مانند eval(), base64_decode(), gzinflate(), str_rot13(), preg_replace با آرگومان /e, assert(), shell_exec(), passthru(), system(), exec(), unserialize(), move_uploaded_file() باشید. این توابع اغلب برای مبهم‌سازی یا اجرای کد از راه دور استفاده می‌شوند. استفاده از SSH و دستور   grep می‌تواند برای جستجوی سریع در فایل‌ها مفید باشد.   و بررسی لاگ‌های سرور برای فعالیت‌های غیرمعمول
  لاگ‌های سرور منبع ارزشمندی برای شناسایی فعالیت‌های مشکوک هستند که ممکن است در سطح وب‌سایت قابل مشاهده نباشند.
• لاگ‌های دسترسی (Access Logs): این لاگ‌ها نشان می‌دهند که چه کسی، چه زمانی، و به چه صفحاتی دسترسی داشته است. باید به دنبال IPهای مشکوک، درخواست‌های غیرعادی به فایل‌های ناشناخته یا تلاش‌های مکرر برای ورود ناموفق باشید.  
• لاگ‌های خطا (Error Logs): این لاگ‌ها مشکلات و تغییرات در فایل‌های وردپرس را نشان می‌دهند و می‌توانند به شناسایی فایل‌های خراب یا دستکاری شده کمک کنند.  

پیشنهاد مطالعه: افزایش امنیت وردپرس

روش‌های پاکسازی فایل‌های آلوده وردپرس

پس از شناسایی بدافزار، گام بعدی حذف فیزیکی کدهای مخرب از فایل‌های وب‌سایت است. این فرآیند نیازمند دقت و آگاهی فنی است تا از حذف ناخواسته فایل‌های سیستمی و آسیب به عملکرد سایت جلوگیری شود.

جایگزینی فایل‌های هسته وردپرس با نسخه‌های سالم

فایل‌های هسته وردپرس (مانند wp-admin, wp-includes, index.php, wp-config.php) اغلب توسط هکرها دستکاری می‌شوند. جایگزینی آن‌ها با نسخه‌های تمیز، مطمئن‌ترین راه برای حذف کدهای مخرب از این بخش‌ها است. چندین منبع توصیه می‌کنند که فایل‌های هسته وردپرس را با نسخه‌های تمیز "جایگزین" کنید، نه اینکه سعی کنید کد مخرب را به صورت دستی از آن‌ها "حذف" کنید. این رویکرد نشان‌دهنده پیچیدگی و ریسک بالای پاکسازی دستی کدهای مخرب از فایل‌های هسته است. کدهای مخرب اغلب مبهم شده‌اند  و ممکن است در چندین مکان پنهان شده باشند یا حتی قابلیت "بازآلودگی" (reinfectors) داشته باشند. جایگزینی کامل با یک نسخه تمیز و تأیید شده از WordPress.org، خطر باقی ماندن بدافزار یا معرفی خطاهای جدید را به شدت کاهش می‌دهد. این توصیه به مدیران سایت کمک می‌کند تا از تلاش‌های بیهوده و پرخطر برای پاکسازی دستی فایل‌های هسته اجتناب کنند و به جای آن، رویکردی ایمن‌تر و مؤثرتر را در پیش بگیرند.  

مراحل جایگزینی عبارتند از:

دانلود نسخه تمیز وردپرس

 آخرین نسخه وردپرس را از وب‌سسایت رسمی WordPress.org دانلود کنید. از طریق FTP/File Manager، تمام فایل‌ها و پوشه‌های موجود در public_html (یا روت سایت) را حذف کنید، به جز پوشه wp-content و فایل wp-config.php. این فایل‌ها حاوی محتوا و تنظیمات منحصر به فرد سایت هستند که باید حفظ شوند.  و  فایل‌های وردپرس دانلود شده را (پس از خارج کردن از حالت فشرده) به سرور آپلود کنید.  سپس  فایل wp-config.php قدیمی را با دقت بررسی کنید و مطمئن شوید که کد مخربی ندارد. سپس آن را به نصب جدید متصل کنید یا اطلاعات پایگاه داده (نام پایگاه داده، نام کاربری، رمز عبور) را به فایل    wp-config.php جدید منتقل کنید.  

تغییر کلیدهای امنیتی (Salts)

 برای ابطال کوکی‌های ورود فعلی و افزایش امنیت، کلیدهای امنیتی (Salts) را در wp-config.php تغییر دهید. این کار باعث می‌شود تمام کاربران (از جمله هکر) از سیستم خارج شوند و نیاز به ورود مجدد با رمز عبور جدید داشته باشند.  

بازنشانی Permalinks

 پس از ورود به پیشخوان وردپرس، به تنظیمات > پیوندهای یکتا بروید و تغییرات را ذخیره کنید تا فایل .htaccess بازسازی شود. این اقدام اطمینان می‌دهد که ساختار URLهای سایت به درستی کار می‌کند.  

پاکسازی افزونه‌ها و قالب‌های آلوده یا مشکوک

افزونه‌ها و قالب‌ها نقاط ورود رایج برای هکرها هستند، به خصوص اگر از منابع نامعتبر (نال شده) باشند یا به‌روز نباشند. تمام افزونه‌ها و قالب‌های غیرفعال، ناشناخته یا مشکوک را از طریق FTP/File Manager از پوشه‌های wp-content/plugins و wp-content/themes حذف کنید. این شامل افزونه‌هایی می‌شود که ممکن است توسط هکرها برای ایجاد بک‌دور یا پنهان کردن فعالیت‌هایشان نصب شده باشند. سپس  افزونه‌ها و قالب‌های مورد نیاز را فقط از مخزن رسمی وردپرس (WordPress.org) یا از وب‌سایت توسعه‌دهنده اصلی (برای نسخه‌های پرمیوم) دانلود و نصب کنید. از استفاده از نسخه‌های نال شده یا از منابع نامعتبر به شدت خودداری شود.  اگر تغییرات سفارشی در قالب یا افزونه‌های خود ایجاد کرده‌اید، آن‌ها را با دقت به نسخه‌های جدید و تمیز منتقل کنید. هرگز فایل‌های قدیمی و آلوده را مستقیماً آپلود نکنید، بلکه کدهای سفارشی را به صورت دستی به نسخه‌های تمیز اضافه کنید.  

پوشه wp-content/uploads به طور پیش‌فرض فقط باید حاوی فایل‌های رسانه‌ای (تصاویر، ویدئوها) باشد و نباید شامل فایل‌های اجرایی (مانند PHP) باشد. هکرها اغلب بک‌دورها را در این مکان پنهان می‌کنند، زیرا بسیاری از مدیران سایت انتظار ندارند فایل‌های اجرایی در این پوشه پیدا کنند. این فایل‌های PHP اغلب به عنوان بک‌دور عمل می‌کنند و به هکرها امکان دسترسی مجدد به سایت را می‌دهند. این امر بر ضرورت بررسی دقیق پوشه uploads و اعمال محدودیت‌های اجرای PHP در آن (از طریق .htaccess) تأکید می‌کند. این یک اقدام پیشگیرانه حیاتی است که می‌تواند از ایجاد بک‌دورهای پنهان و دسترسی‌های آتی هکرها جلوگیری کند و امنیت سایت را به طور قابل توجهی افزایش دهد.

 پوشه wp-content/uploads و زیرپوشه‌های آن (که معمولاً بر اساس سال و ماه هستند) را از طریق FTP/File Manager بررسی کنید. به دنبال فایل‌های مشکوک با پسوندهای غیرمعمول (.php,.exe,.js) باشید. هر فایل اجرایی یا ناشناخته‌ای را که در این پوشه پیدا کردید، حذف کنید. برای جلوگیری از اجرای اسکریپت‌های مخرب در آینده، یک فایل .htaccess با محتوای deny from all و <Files *.php> deny from all </Files> در پوشه wp-content/uploads ایجاد کنید. این اقدام از اجرای هرگونه فایل PHP در این دایرکتوری جلوگیری می‌کند. فایل .htaccess یک فایل پیکربندی قدرتمند است که هکرها اغلب از آن برای ایجاد ریدایرکت‌های مخرب، مسدود کردن دسترسی مدیر، یا تزریق کدهای مخفی استفاده می‌کنند.  فایل .htaccess را در روت سایت خود (معمولاً public_html) از طریق FTP/File Manager باز کنید. آن را با یک نسخه تمیز و اصلی .htaccess وردپرس مقایسه کنید. هرگونه کد ریدایرکت ناشناخته، قوانین deny غیرعادی، یا کدهای مبهم را حذف کنید. پس از پاکسازی، برای اطمینان از بازسازی صحیح، به تنظیمات > پیوندهای یکتا در پیشخوان وردپرس بروید و تغییرات را ذخیره کنید. این اقدام باعث بازسازی فایل  .htaccess با قوانین استاندارد وردپرس می‌شود.

پاکسازی پایگاه داده وردپرس از تزریقات مخرب

پایگاه داده وردپرس نه تنها محتوای سایت را ذخیره می‌کند، بلکه می‌تواند حاوی کدهای مخربی باشد که پس از جایگزینی فایل‌های هسته، دوباره تزریق شوند یا بک‌دورهای جدیدی ایجاد کنند. حتی اگر فایل‌ها تمیز شوند، اگر پایگاه داده آلوده بماند، سایت می‌تواند دوباره آلوده شود. این نشان می‌دهد که پایگاه داده نه تنها محتوای سایت را ذخیره می‌کند، بلکه می‌تواند حاوی کدهای مخربی باشد که پس از جایگزینی فایل‌های هسته، دوباره تزریق شوند یا بک‌دورهای جدیدی ایجاد کنند. به عنوان مثال، تزریق اسکریپت‌های جاوا اسکریپت مخرب به    wp_posts  می‌تواند منجر به ریدایرکت‌ های مداوم شود، حتی اگر فایل    

index.php تمیز شده باشد. این امر بر اهمیت پاکسازی جامع و کامل پایگاه داده تأکید می‌کند و آن را به عنوان یک گام ضروری و نه اختیاری در فرآیند پاکسازی معرفی می‌کند. نادیده گرفتن پاکسازی پایگاه داده، تلاش‌های پاکسازی فایل‌ها را بی‌اثر می‌کند و منجر به بازآلودگی مکرر می‌شود، که می‌تواند بسیار ناامیدکننده و پرهزینه باشد.
هکرها ممکن است کدهای مخرب را مستقیماً به جداول پایگاه داده (مانند wp_posts, wp_options, wp_users, wp_comments) تزریق کنند. این تزریقات می‌توانند شامل ریدایرکت‌ها، لینک‌های اسپم، کدهای جاوا اسکریپت مخرب یا حتی کاربران جعلی باشند. phpMyAdmin (یا ابزارهایی مانند Adminer) رایج‌ترین ابزار برای دسترسی و مدیریت پایگاه داده است.  

مراحل پاکسازی با استفاده از phpMyAdmin

پشتیبان‌گیری از پایگاه داده: قبل از هرگونه تغییر، یک بک‌آپ تازه از پایگاه داده بگیرید. پایگاه داده وردپرس خود را در phpMyAdmin انتخاب کنید. به دنبال توابعی مانند base64_decode(), eval(), gzinflate() باشید. این توابع به خودی خود مخرب نیستند، اما استفاده از آن‌ها در پایگاه داده وردپرس (به خصوص در ستون‌های محتوایی) یک نشانه قوی از تزریق کد مخرب است. هکرها از این توابع برای "مبهم‌سازی" (obfuscation) کدهای خود استفاده می‌کنند تا از شناسایی توسط اسکنرهای ساده فرار کنند و خواندن و درک کد برای انسان دشوار شود. این امر به مدیر سایت کمک می‌کند تا فراتر از جستجوی کلمات کلیدی آشکار، به دنبال الگوهای کدهای مبهم باشد. این کار نیازمند دانش فنی بیشتری است و بر اهمیت استفاده از ابزارهای رمزگشایی یا کمک گرفتن از متخصصان امنیتی تأکید می‌کند.

 به دنبال URLهای ناشناخته، تگ‌های <script> یا <iframe> در ستون‌هایی مانند post_content در جدول wp_posts یا comment_content در جدول wp_comments باشید.  برای جستجوهای پیچیده‌تر، می‌توان از عبارات منظم (Regex) در کوئری‌های SQL استفاده کرد. پس از شناسایی، ورودی‌های مخرب را به صورت دستی حذف کنید یا کوئری‌های DELETE یا UPDATE مناسب را اجرا کنید.    هکرها ممکن است تنظیمات سایت را تغییر دهند یا کاربران جعلی ایجاد کنند. جدول wp_options می‌تواند حاوی تنظیمات تغییر مسیر مخرب یا URLهای تزریق شده باشد، در حالی که wp_users ممکن است شامل حساب‌های کاربری مدیر پنهان باشد. 

پایگاه داده وردپرس با گذشت زمان می‌تواند با داده‌های غیرضروری مانند نظرات اسپم، بازبینی‌های پست‌های قدیمی، پیش‌نویس‌های خودکار و داده‌های موقت (transients) پر شود. این داده‌ها نه تنها پایگاه داده را بزرگ و کند می‌کنند، بلکه گاهی اوقات می‌توانند حاوی لینک‌های اسپم یا کدهای مخرب باشند.  

حذف نظرات اسپم و تأیید نشده می‌توان از طریق پیشخوان وردپرس (بخش "نظرات") یا مستقیماً از phpMyAdmin (جدول wp_comments) انجام داد. بازبینی‌های زیاد می‌توانند حجم پایگاه داده را به شدت افزایش دهند. می‌توان آن‌ها را از طریق افزونه‌هایی مانند WP-Optimize یا WP Sweep حذف کرد یا با ویرایش wp-config.php تعداد آن‌ها را محدود کرد و حذف تگ‌ها و دسته‌بندی‌های استفاده نشده  را می‌توان از طریق پیشخوان وردپرس یا phpMyAdmin حذف کرد.  

 افزونه‌هایی مانند WP-Optimize , WP Sweep , Advanced Database Cleaner , و WP Rocket (با قابلیت بهینه‌سازی دیتابیس)  می‌توانند به صورت خودکار داده‌های اضافی را پاکسازی و پایگاه داده را بهینه کنند.  

ایمن‌سازی حساب‌های کاربری و دسترسی‌ها

حساب‌های کاربری نقطه ورود اصلی برای هکرها هستند. ایمن‌سازی آن‌ها پس از هک، حیاتی است تا از دسترسی مجدد و نفوذهای آتی جلوگیری شود. این بخش به تفصیل به اقدامات لازم برای محافظت از اعتبارنامه‌ها و مدیریت کاربران می‌پردازد. هکرها ممکن است اعتبارنامه‌های ورود را از طریق بدافزار، حملات Brute-Force یا فیشینگ به دست آورده باشند. تغییر تمامی رمزهای عبور، دسترسی آن‌ها را قطع می‌کند و یک اقدام جامع برای ابطال دسترسی‌های متعدد است. این اقدام نشان می‌دهد که هک وردپرس به ندرت به یک نقطه دسترسی محدود می‌شود. اگر هکر به سرور یا FTP دسترسی پیدا کرده باشد، می‌تواند اعتبارنامه‌های دیگر را نیز به دست آورده باشد. تغییر جامع رمز عبورها، مانند یک "بازنشانی کامل"، تمام مسیرهای دسترسی شناخته شده هکر را مسدود می‌کند. تغییر کلیدهای امنیتی (Salts) در  wp-config.php  نیز کوکی‌های ورود فعال را باطل می‌کند و اطمینان می‌دهد که حتی اگر هکر همچنان به یک نشست فعال دسترسی داشته باشد، از سیستم خارج می‌شود. این گام جامع، یک اقدام پیشگیرانه قدرتمند است که از پایداری نفوذ جلوگیری می‌کند و کنترل کامل بر سایت را بازمی‌گرداند.  

توصیه می‌شود از رمزهای عبور قوی و منحصر به فرد استفاده شود که ترکیبی از حروف بزرگ و کوچک، اعداد و نمادها باشند و حداقل ۱۲ کاراکتر طول داشته باشند.  

 تقویت امنیت سایت برای جلوگیری از حملات آینده

پاکسازی سایت از بدافزار تنها نیمی از نبرد است؛ نیمه دیگر، تقویت امنیت سایت برای جلوگیری از حملات آتی و حفظ پایداری درازمدت است. امنیت یک فرآیند مداوم است و نیاز به هوشیاری و به‌روزرسانی دائمی دارد. هکرها دائماً در حال کشف آسیب‌پذیری‌های جدید و توسعه روش‌های نفوذ هستند. بنابراین، سایت باید به طور مستمر در برابر این تهدیدات جدید محافظت شود. به‌روزرسانی‌ها پچ‌های امنیتی را فراهم می‌کنند، اسکن‌ها بدافزارهای جدید را شناسایی می‌کنند، و نظارت بر فعالیت‌ها، تلاش‌های نفوذ را در مراحل اولیه تشخیص می‌دهد. این امر به مدیر سایت کمک می‌کند تا یک "ذهنیت امنیتی پیشگیرانه" را اتخاذ کند. به جای اینکه فقط پس از هک شدن واکنش نشان دهد، باید به طور فعالانه و منظم اقدامات امنیتی را پیاده‌سازی و نگهداری کند.  

به‌روزرسانی منظم وردپرس، افزونه‌ها و قالب‌ها

نرم‌افزار قدیمی یکی از شایع‌ترین دلایل هک شدن است. به‌روزرسانی‌ها شامل پچ‌های امنیتی برای آسیب‌پذیری‌های شناخته شده هستند و اطمینان می‌دهند که سایت با آخرین پروتکل‌های امنیتی محافظت می‌شود.  همیشه از منابع رسمی دانلود و به‌روزرسانی کنید تا از سلامت کد اطمینان حاصل شود.  قبل از اعمال به‌روزرسانی‌های اصلی، آن‌ها را در یک محیط Staging (تست) آزمایش کنید تا از عدم وجود مشکلات سازگاری اطمینان حاصل کنید. افزونه‌ها و قالب‌های غیرفعال یا استفاده نشده را حذف کنید تا سطح حمله (Attack Surface) سایت کاهش یابد. هرچه کد کمتری روی سرور باشد، نقاط ضعف کمتری برای بهره‌برداری وجود دارد.  

تنظیم صحیح مجوزهای فایل و پوشه (File Permissions)

مجوزهای نادرست فایل و پوشه می‌توانند به هکرها اجازه تغییر یا آپلود فایل‌های مخرب را بدهند. تنظیم صحیح این مجوزها یک لایه دفاعی حیاتی است.  

• پوشه‌ها: 755 (مالک: خواندن، نوشتن، اجرا؛ گروه: خواندن، اجرا؛ دیگران: خواندن، اجرا).  
• فایل‌ها: 644 (مالک: خواندن، نوشتن؛ گروه: خواندن؛ دیگران: خواندن).  
• فایل wp-config.php: 440 یا 400 برای حداکثر امنیت، تا از خوانده شدن توسط کاربران دیگر در سرور جلوگیری شود.  
• هرگز 777: هیچ پوشه یا فایلی نباید مجوز 777 داشته باشد، حتی پوشه uploads، زیرا این مجوز به هر کسی اجازه خواندن، نوشتن و اجرا را می‌دهد و یک آسیب‌پذیری بزرگ است.  این تنظیمات را می‌توان از طریق FTP client (مانند FileZilla) یا File Manager در کنترل پنل هاست اعمال کرد.

ارسال درخواست بازبینی به گوگل

اگر گوگل سایت شما را به دلیل ویروس در لیست سیاه قرار داده، پس از پاکسازی کامل، باید درخواست بازبینی (Request Review) از طریق Google Search Console ارسال کنید تا سایت از لیست سیاه خارج شود.

جمع بندی

پاکسازی سایت وردپرس ویروسی یک کار حساس و تخصصی است که نیاز به دقت و دانش فنی دارد. اگر خودت تخصص کافی نداری، بهتر است از یک متخصص امنیت وب کمک بگیری. اما با رعایت مراحل بالا، می‌توانی به صورت اصولی و امن سایتت را پاکسازی کرده و از آسیب‌های بعدی جلوگیری کنی.