چگونه یک درب پشتی را در یک سایت وردپرس هک شده پیدا کنیم و آن را برطرف کنیم

آیا وب سایت وردپرس شما هک شده است؟

هکرها اغلب یک درب پشتی نصب می‌کنند تا مطمئن شوند حتی پس از ایمن‌سازی وب‌سایت خود می‌توانند دوباره وارد شوند. مگر اینکه بتوانید آن درپشتی را بردارید، هیچ مانعی برای آنها وجود ندارد.

در این مقاله از ایوسی، به شما نشان خواهیم داد که چگونه یک درب پشتی را در یک سایت وردپرس هک شده پیدا کنید و آن را تعمیر کنید.

چگونه بفهمیم وب سایت شما هک شده است؟

اگر یک وب سایت وردپرسی دارید، پس باید امنیت را جدی بگیرید. به این دلیل که وب سایت ها به طور متوسط ​​۴۴ بار در روز مورد حمله قرار می گیرند.

شما می توانید بهترین روش ها را برای ایمن نگه داشتن سایت خود با مقالات ما بیاموزید. برخی از مقالات ما در این خصوص: htaccess چیست و برای چه مواردی استفاده می شود؟ ۲ روش کارآمد برای رفع مشکل آپلود SVG در وردپرس چگونه یک تحلیلگر امنیت سایبری شویم؟ آشنایی با نکات مهم امنیت دیجیتال برای کسب و کار های کوچک فقدان استعداد امنیتی: تهدیدی غیرمنتظره برای امنیت سایبری شرکت ها هر آنچه که باید در مورد FFUF بدانید ۶ نوع سئو منفی که باید مراقب آنها باشید تست امنیتی چیست؟ (با انواع و مشاغل مرتبط) نحوه استفاده از ابزار wpscan در کالی لینوکس چرا و چگونه WPScan را برای امنیت وردپرس نصب کنیم؟ ۲۸ ابزار امنیت سایبری که می‌توانید در محل کار استفاده کنید (به‌علاوه ویژگی‌های کلیدی) ۱۱ دلیل اصلی برای هک شدن سایت های وردپرس (و نحوه جلوگیری از آن) ۱۲ نشانه هک شدن سایت وردپرس شما (و نحوه رفع آن)

اما اگر سایت شما قبلا هک شده باشد چه؟

برخی از نشانه‌هایی که سایت وردپرس شما هک شده است شامل کاهش ترافیک یا عملکرد وب‌سایت، اضافه شدن لینک‌های بد یا فایل‌های ناشناخته، خرابی صفحه اصلی، ناتوانی در ورود به سیستم، حساب‌های کاربری جدید مشکوک و موارد دیگر است.

پاک کردن وب سایت هک شده می تواند فوق العاده دردناک و دشوار باشد. ما در راهنمای مبتدیان خود برای تعمیر سایت وردپرس هک شده شما را گام به گام طی می کنیم. همچنین باید مطمئن شوید که سایت خود را برای هرگونه بدافزاری که هکرها از آن جا گذاشته اند اسکن می کنید.

و فراموش نکنید که درب پشتی را ببندید.

یک هکر هوشمند می داند که شما در نهایت وب سایت خود را پاکسازی خواهید کرد. اولین کاری که آنها ممکن است انجام دهند این است که یک درب پشتی نصب کنند، تا بتوانند پس از ایمن کردن درب ورودی به وب سایت وردپرس خود، دوباره به صورت مخفیانه وارد شوند.

درب پشتی چیست؟

درپشتی کدی است که به یک وب سایت اضافه می شود که به هکر اجازه می دهد در حالی که شناسایی نشده باقی بماند و ورود عادی را دور می زند، به سرور دسترسی پیدا کند. این به هکر اجازه می دهد حتی پس از یافتن و حذف افزونه یا آسیب پذیری مورد سوء استفاده وب سایت خود، دوباره دسترسی پیدا کند.

درهای پشتی مرحله بعدی هک پس از نفوذ کاربر هستند. شما می توانید در راهنمای ما در مورد نحوه هک شدن سایت های وردپرس و نحوه جلوگیری از آن بیاموزید که چگونه ممکن است این کار را انجام داده باشد.

درهای پشتی اغلب از ارتقاء وردپرس جان سالم به در می برند. این بدان معناست که سایت شما تا زمانی که هر درپشتی را پیدا و تعمیر نکنید آسیب پذیر خواهد بود.

درهای پشتی چگونه کار می کنند؟

برخی از درهای پشتی به سادگی نام های کاربری مدیریت پنهان هستند. آنها به هکر اجازه می دهند که به طور معمول با تایپ یک نام کاربری و رمز عبور وارد سیستم شود. از آنجایی که نام کاربری پنهان است، شما حتی نمی دانید که شخص دیگری به وب سایت شما دسترسی دارد.

درهای پشتی پیچیده تر می توانند به هکر اجازه دهند تا کد PHP را اجرا کند. آنها به صورت دستی کد را با استفاده از مرورگر وب خود به وب سایت شما ارسال می کنند.

دیگران دارای یک رابط کاربری کامل هستند که به آنها امکان می دهد ایمیل ها را به عنوان سرور میزبان وردپرس شما ارسال کنند، پرس و جوهای پایگاه داده SQL و موارد دیگر را اجرا کنند.

برخی از هکرها بیش از یک فایل Backdoor را به جا می گذارند. بعد از اینکه یکی را آپلود کردند، دیگری را برای اطمینان از دسترسی خود اضافه می کنند.

درهای پشتی کجا پنهان هستند؟

در هر موردی که ما پیدا کردیم، درب پشتی به شکلی شبیه یک فایل وردپرس استتار شده بود. کدهای درهای پشتی در یک سایت وردپرس معمولاً در مکان های زیر ذخیره می شوند:

1. یک تم وردپرس، اما احتمالاً آن چیزی نیست که در حال حاضر استفاده می کنید. وقتی وردپرس را به‌روزرسانی می‌کنید، کد موجود در قالب بازنویسی نمی‌شود، بنابراین مکان خوبی برای قرار دادن درب پشتی است. به همین دلیل توصیه می‌کنیم تمام تم‌های غیرفعال را حذف کنید.
2. افزونه های وردپرس مکان مناسب دیگری برای مخفی کردن درب پشتی هستند. مانند تم ها، آنها توسط به روز رسانی های وردپرس بازنویسی نمی شوند و بسیاری از کاربران تمایلی به ارتقاء افزونه ها ندارند.
3. پوشه آپلود ممکن است حاوی صدها یا هزاران فایل رسانه ای باشد، بنابراین مکان مناسب دیگری برای پنهان کردن درب پشتی است. وبلاگ نویسان تقریباً هرگز محتوای آن را بررسی نمی کنند زیرا آنها فقط یک تصویر را آپلود می کنند و سپس از آن در یک پست استفاده می کنند.
4. فایل wp-config.php حاوی اطلاعات حساسی است که برای پیکربندی وردپرس استفاده می شود. این یکی از فایل های بسیار هدفمند توسط هکرها است.
5. پوشه wp-includes حاوی فایل های PHP مورد نیاز برای اجرای صحیح وردپرس است. این مکان دیگری است که ما درهای پشتی را می یابیم زیرا اکثر صاحبان وب سایت ها بررسی نمی کنند که پوشه حاوی چه چیزی است.

مرتبط: نحوه غیرفعال کردن اجرای PHP در فهرست های خاص وردپرس

نمونه هایی از درهای پشتی که ما پیدا کردیم

در اینجا چند نمونه از جایی که هکرها درهای پشتی را آپلود کرده اند آورده شده است. در یکی از سایت هایی که پاک کردیم، درب پشتی درwp-includesپوشه بود. این فایلwp-user.php نامیده شد که به اندازه کافی بی‌گناه به نظر می‌رسد، اما آن فایل در واقع در نصب معمولی وردپرس وجود ندارد.

در نمونه ای دیگر، ما یک فایل PHP به نام hello.phpدر پوشه آپلود پیدا کردیم. آن را به عنوان پلاگین Hello Dolly پنهان کرده بود. عجیب این است که هکر آن را به جای پوشه افزونه ها در پوشه آپلود قرار داده است.

ما همچنین درهای پشتی را پیدا کرده ایم که از .phpپسوند فایل استفاده نمی کنند. یک مثال فایلی به نام بود، و همچنین درهای پشتی را در فایل‌هایی با پسوند wp-content.old.tmp یا .zip پیدا کرده‌ایم .

همانطور که می بینید، هکرها هنگام مخفی کردن یک درب پشتی می توانند رویکردهای بسیار خلاقانه ای را اتخاذ کنند.

در بیشتر موارد، فایل ها با کد Base64 کدگذاری می شدند که می تواند انواع عملیات را انجام دهد. به عنوان مثال، آنها می توانند پیوندهای هرزنامه اضافه کنند، صفحات اضافی اضافه کنند، سایت اصلی را به صفحات هرزنامه هدایت کنند و موارد دیگر.

با این اوصاف، بیایید نگاهی به نحوه پیدا کردن درب پشتی در یک سایت وردپرس هک شده و رفع آن بیاندازیم.

چگونه یک درب پشتی را در یک سایت وردپرس هک شده پیدا کنیم و آن را برطرف کنیم

اکنون می دانید که درب پشتی چیست و در کجا ممکن است پنهان شود. بخش سخت پیدا کردن آن است! پس از آن، پاک کردن آن به آسانی حذف فایل یا کد است.

۱. کدهای بالقوه مخرب را اسکن کنید

ساده ترین راه برای اسکن وب سایت خود برای درهای پشتی و آسیب پذیری، استفاده از افزونه اسکنر بدافزار وردپرس است. ما Securi را توصیه می کنیم زیرا به ما کمک کرد تا هزاران حمله وردپرس را در ۳ ماه مسدود کنیم، که بیش از نیمی از آنها حمله مربوط به درب پشتی بود.

آنها یک افزونه رایگان Sucuri Security برای وردپرس ارائه می دهند که به شما امکان می دهد وب سایت خود را برای تهدیدهای رایج اسکن کنید و امنیت وردپرس خود را سخت تر کنید. نسخه پولی شامل یک اسکنر سمت سرور است که هر روز یک بار اجرا می شود و به دنبال درهای پشتی و سایر مسائل امنیتی است.

در راهنمای ما در مورد نحوه اسکن سایت وردپرس خود برای کدهای بالقوه مخرب بیشتر بیاموزید .

۲. پوشه پلاگین های خود را حذف کنید

جستجو در پوشه های افزونه خود به دنبال فایل ها و کدهای مشکوک زمان بر است. و از آنجایی که هکرها بسیار زیرک هستند، هیچ تضمینی وجود ندارد که یک درب پشتی پیدا کنید.

بهترین کاری که می توانید انجام دهید این است که دایرکتوری پلاگین های خود را حذف کنید و سپس پلاگین های خود را مجدداً از ابتدا نصب کنید. این تنها راهی است که مطمئن شوید هیچ درب پشتی در افزونه های شما وجود ندارد.

شما می توانید با استفاده از یک سرویس گیرنده FTP یا مدیر فایل میزبان وردپرس خود به فهرست پلاگین های خود دسترسی پیدا کنید. اگر قبلاً از FTP استفاده نکرده‌اید، ممکن است بخواهید راهنمای ما در مورد نحوه استفاده از FTP برای آپلود فایل‌ها در وردپرس را ببینید.

برای رفتن به پوشه وب سایت خود باید از نرم افزار استفاده wp-contentکنید. پس از آن، باید روی pluginsپوشه کلیک راست کرده و “Delete” را انتخاب کنید.

۳. پوشه تم های خود را حذف کنید

به همین ترتیب، به جای صرف زمان برای جستجوی درب پشتی در میان فایل های تم خود، بهتر است فقط آنها را حذف کنید.

پس از اینکه پوشه خود را حذف کردید plugin، به سادگی پوشه را برجسته کرده themesو به همان روش حذف کنید.

شما نمی دانید که آیا درب پشتی در آن پوشه وجود داشت یا خیر، اما اگر وجود داشت، اکنون از بین رفته است. شما فقط در زمان صرفه جویی کردید و یک نقطه حمله اضافی را حذف کردید.

اکنون می توانید تم هایی را که نیاز دارید دوباره نصب کنید.

۴. پوشه Uploads را برای فایل های PHP جستجو کنید

در مرحله بعد، باید به پوشه نگاهی بیندازید uploadsو مطمئن شوید که هیچ فایل PHP داخل آن وجود ندارد.

دلیل خوبی برای قرار گرفتن یک فایل PHP در این پوشه وجود ندارد زیرا برای ذخیره فایل های رسانه ای مانند تصاویر طراحی شده است. اگر یک فایل PHP در آنجا پیدا کردید، باید حذف شود.

مانند پوشه های pluginsو ، پوشه را در پوشه themesپیدا خواهید کرد. در داخل پوشه، برای هر سال و ماهی که فایل‌ها را آپلود کرده‌اید، چندین پوشه پیدا خواهید کرد. شما باید هر پوشه را برای فایل های PHP بررسی کنید.uploadswp-content

برخی از مشتریان FTP ابزارهایی را ارائه می دهند که به صورت بازگشتی در پوشه جستجو می کنند. برای مثال، اگر از FileZilla استفاده می‌کنید، می‌توانید روی پوشه کلیک راست کرده و «افزودن فایل‌ها به صف» را انتخاب کنید. هر فایلی که در زیر شاخه‌های پوشه یافت می‌شود به صف در قسمت پایین اضافه می‌شود.

اکنون می توانید در لیست به دنبال فایل هایی با پسوند php پیمایش کنید.

همچنین، کاربران پیشرفته ای که با SSH آشنایی دارند می توانند دستور زیر را بنویسند:

۵. فایل htaccess را حذف کنید

برخی از هکرها ممکن است کدهای تغییر مسیر را به فایل .htaccess شما اضافه کنند که بازدیدکنندگان شما را به وب سایت دیگری می فرستد.

با استفاده از یک سرویس گیرنده FTP یا مدیر فایل، به سادگی فایل را از دایرکتوری ریشه وب سایت خود حذف کنید و به طور خودکار دوباره ایجاد می شود.

اگر به دلایلی دوباره ایجاد نشد، باید به تنظیمات » پیوندهای ثابت در پنل مدیریت وردپرس خود بروید. با کلیک بر روی دکمه “ذخیره تغییرات” یک فایل .htaccess جدید ذخیره می شود.

۶. فایل wp-config.php را بررسی کنید

فایل wp-config.php یک فایل اصلی وردپرس است که حاوی اطلاعاتی است که به وردپرس اجازه می دهد با پایگاه داده، کلیدهای امنیتی نصب وردپرس شما و گزینه های توسعه دهنده ارتباط برقرار کند.

فایل در پوشه ریشه وب سایت شما یافت می شود. با انتخاب گزینه های Open یا Edit در سرویس گیرنده FTP خود می توانید محتویات فایل را مشاهده کنید.

اکنون باید محتویات فایل را با دقت نگاه کنید تا ببینید آیا چیزی وجود دارد که نامناسب به نظر می رسد. ممکن است مفید باشد که فایل را با فایل پیش فرض wp-config-sample.phpکه در همان پوشه قرار دارد مقایسه کنید.

شما باید هر کدی را که مطمئن هستید به آن تعلق ندارد حذف کنید.

۷. یک وب سایت پشتیبان را بازیابی کنید

اگر به طور منظم از وب سایت خود نسخه پشتیبان تهیه می کنید و هنوز نگران این هستید که وب سایت شما کاملاً تمیز نیست، بازیابی یک نسخه پشتیبان راه حل خوبی است.

شما باید وب سایت خود را به طور کامل حذف کنید و سپس یک نسخه پشتیبان را که قبل از هک شدن وب سایت شما گرفته شده است، بازیابی کنید. این یک گزینه برای همه نیست، اما شما را ۱۰۰٪ مطمئن می کند که سایت شما ایمن است.

برای اطلاعات بیشتر، به راهنمای مبتدیان ما در مورد نحوه بازیابی وردپرس از پشتیبان مراجعه کنید.

چگونه از هک در آینده جلوگیری کنیم؟

اکنون که وب سایت خود را پاکسازی کرده اید، زمان آن رسیده است که امنیت سایت خود را برای جلوگیری از هک شدن در آینده ارتقا دهید. وقتی صحبت از امنیت وب سایت می شود، ارزان بودن یا بی تفاوت بودن هزینه ای ندارد.

۱. به طور منظم از وب سایت خود نسخه پشتیبان تهیه کنید

اگر قبلاً به طور منظم از وب سایت خود نسخه پشتیبان تهیه نکرده اید، امروز روز شروع کار است.

وردپرس راه حل داخلی پشتیبان گیری ندارد. با این حال، چندین پلاگین پشتیبان وردپرس عالی وجود دارد که به شما امکان می دهد به طور خودکار از وب سایت وردپرس خود نسخه پشتیبان تهیه و بازیابی کنید.

UpdraftPlus یکی از بهترین افزونه های پشتیبان وردپرس است. این به شما امکان می دهد تا برنامه های پشتیبان گیری خودکار را تنظیم کنید و در صورت بروز اتفاق بد به شما کمک می کند تا سایت وردپرس خود را بازیابی کنید.

۲. یک پلاگین امنیتی نصب کنید

زمانی که مشغول کار بر روی کسب و کار خود هستید، احتمالاً نمی توانید همه چیزهایی را که در وب سایت شما می رود نظارت کنید. به همین دلیل است که توصیه می کنیم از یک افزونه امنیتی مانند Sucuri استفاده کنید.

ما Sucuri را توصیه می کنیم زیرا آنها در کاری که انجام می دهند خوب هستند. نشریات بزرگی مانند CNN، USA Today، PC World، TechCrunch، The Next Web و دیگران موافق هستند.

۳. ورود به وردپرس را امن تر کنید

همچنین مهم است که ورود به وردپرس خود را ایمن تر کنید. بهترین راه برای شروع این است که هنگام ایجاد حساب کاربری در وب سایت شما، از رمزهای عبور قوی استفاده کنید. همچنین توصیه می کنیم از ابزار مدیریت رمز عبور مانند ۱Password استفاده کنید.

کار بعدی که باید انجام دهید این است که احراز هویت دو مرحله ای را اضافه کنید . این از وب سایت شما در برابر رمزهای عبور سرقت شده و حملات brute force محافظت می کند . این بدان معناست که حتی اگر یک هکر نام کاربری و رمز عبور شما را بداند، باز هم نمی تواند وارد وب سایت شما شود.

در نهایت، باید تلاش برای ورود به وردپرس را محدود کنید. وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند رمز عبور را وارد کنند. قفل کردن یک کاربر پس از پنج بار تلاش ناموفق برای ورود به سیستم، شانس هکرها برای بررسی جزئیات ورود شما را به میزان قابل توجهی کاهش می دهد.

۴. از ناحیه مدیریت وردپرس خود محافظت کنید

محافظت از ناحیه مدیریت از دسترسی غیرمجاز به شما امکان می دهد بسیاری از تهدیدات امنیتی رایج را مسدود کنید. ما فهرستی طولانی از نکاتی در مورد نحوه ایمن نگه داشتن مدیریت وردپرس داریم .

به عنوان مثال، می توانید با رمز عبور از پوشه wp-admin محافظت کنید . این یک لایه حفاظتی دیگر را به مهم ترین نقطه ورود به وب سایت شما اضافه می کند.

همچنین می توانید دسترسی به بخش مدیریت را به آدرس های IP استفاده شده توسط تیم خود محدود کنید. این روش دیگری برای قفل کردن هکرهایی است که نام کاربری و رمز عبور شما را کشف می کنند.

۵. ویرایشگر تم و پلاگین را غیرفعال کنید

آیا می دانستید که وردپرس دارای یک قالب داخلی و ویرایشگر افزونه است؟ این ویرایشگر متن ساده به شما امکان می دهد قالب و فایل های افزونه خود را مستقیماً از داشبورد وردپرس ویرایش کنید.

اگرچه این مفید است، اما می تواند منجر به مشکلات امنیتی بالقوه شود. به عنوان مثال، اگر یک هکر به قسمت مدیریت وردپرس شما نفوذ کند، می تواند از ویرایشگر داخلی برای دسترسی به تمام داده های وردپرس شما استفاده کند.

پس از آن، آنها می توانند بدافزار را توزیع کنند یا حملات DDoS را از وب سایت وردپرس شما راه اندازی کنند.

برای بهبود امنیت وردپرس، توصیه می کنیم ویرایشگرهای فایل داخلی را به طور کامل حذف کنید.

۶. اجرای PHP را در پوشه های خاص وردپرس غیرفعال کنید

به طور پیش فرض، اسکریپت های PHP را می توان در هر پوشه ای در وب سایت شما اجرا کرد. می توانید با غیرفعال کردن اجرای PHP در پوشه هایی که به آن نیازی ندارند، وب سایت خود را ایمن تر کنید.

به عنوان مثال، وردپرس هرگز نیازی به اجرای کدهای ذخیره شده در uploadsپوشه شما ندارد. اگر اجرای PHP را برای آن پوشه غیرفعال کنید، آنگاه یک هکر نمی‌تواند یک درب پشتی را اجرا کند، حتی اگر با موفقیت یکی را در آنجا آپلود کند.

۷. وب سایت خود را به روز نگه دارید

هر نسخه جدید وردپرس ایمن تر از نسخه قبلی است. هر زمان که آسیب‌پذیری امنیتی گزارش شود، تیم اصلی وردپرس سخت تلاش می‌کند تا یک به‌روزرسانی را منتشر کند که مشکل را برطرف کند.

این بدان معنی است که اگر وردپرس را به روز نگه نمی دارید، از نرم افزاری با آسیب پذیری های امنیتی شناخته شده استفاده می کنید. هکرها می‌توانند وب‌سایت‌هایی را که نسخه قدیمی‌تر را اجرا می‌کنند جستجو کرده و از این آسیب‌پذیری برای دسترسی به آن استفاده کنند.

به همین دلیل است که همیشه باید از آخرین نسخه وردپرس استفاده کنید.

فقط وردپرس را به روز نگه ندارید. شما باید مطمئن شوید که افزونه ها و تم های وردپرس خود را نیز به روز نگه دارید.