شناسایی درپشتی در سایت هک شده و پاکسازی آن

آیا وب سایت وردپرس شما هک شده است؟

هکرها اغلب یک درب پشتی نصب می‌کنند تا مطمئن شوند حتی پس از ایمن‌سازی وب‌سایت شما نیز می‌توانند دوباره وارد شوند. مگر اینکه بتوانید آن درپشتی را بردارید، هیچ مانعی برای آنها وجود ندارد.

در این مقاله به شما نشان خواهیم داد که چگونه یک درب پشتی را در یک سایت وردپرس هک شده پیدا کنید و آن را پاکسازی کنید

چگونه بفهمیم وب سایت شما هک شده است؟

اگر یک وب سایت وردپرسی دارید ، پس باید امنیت را جدی بگیرید. به این دلیل که وب سایت ها به طور متوسط ​​44 بار در روز مورد حمله قرار می گیرند.

شما می توانید بهترین روش ها را برای ایمن نگه داشتن سایت خود در راهنمای امنیتی نهایی وردپرس ما بیاموزید .

اما اگر سایت شما قبلا هک شده باشد چه؟

برخی از نشانه‌هایی که سایت وردپرس شما هک شده است شامل کاهش ترافیک یا عملکرد وب‌سایت، اضافه شدن لینک‌های بد یا فایل‌های ناشناخته، خرابی صفحه اصلی، ناتوانی در ورود به سیستم، حساب‌های کاربری جدید مشکوک و موارد دیگر است.

پاک کردن وب سایت هک شده می تواند فوق العاده دردناک و دشوار باشد. ما در راهنمای مبتدیان خود برای پاکسازی سایت وردپرس هک شده شما را گام به گام طی می کنیم . همچنین باید مطمئن شوید که سایت خود را برای هرگونه بدافزاری که هکرها از آن جا گذاشته اند اسکن می کنید.

و فراموش نکنید که درب پشتی را ببندید.

یک هکر هوشمند می داند که شما در نهایت وب سایت خود را پاکسازی خواهید کرد. اولین کاری که آنها ممکن است انجام دهند این است که یک درب پشتی نصب کنند، تا بتوانند پس از ایمن کردن از طریق درب پشتی به وب سایت وردپرس شما، دوباره به صورت مخفیانه وارد شوند

درب پشتی چیست؟

درپشتی کدی است که به یک وب سایت اضافه می شود که به هکر اجازه می دهد در حالی که شناسایی نشده باقی بماند و ورود عادی را دور می زند، به سرور دسترسی پیدا کند. این به هکر اجازه می دهد حتی پس از یافتن و حذف افزونه یا آسیب پذیری مورد سوء استفاده وب سایت شما، دوباره دسترسی پیدا کند.

درهای پشتی مرحله بعدی هک پس از نفوذ کاربر هستند. شما می توانید در راهنمای ما در مورد نحوه هک شدن سایت های وردپرس و نحوه جلوگیری از آن بیاموزید که چگونه ممکن است این کار را انجام داده باشد .

درهای پشتی اغلب از بروزرسانی وردپرس جان سالم به در می برند. این بدان معناست که سایت شما تا زمانی که هر درپشتی را پیدا و پاکسازی نکنید آسیب پذیر خواهد بود

درهای پشتی چگونه کار می کنند؟

برخی هکرها برای در ساده ترین روش اقدام به ایجاد حساب کاربری مدیریتی در سایت شما می کنند. آنها به هکر اجازه می دهند که به طور معمول با تایپ یک نام کاربری و رمز عبور وارد سیستم شود. از آنجایی که نام کاربری مخفی است، شما حتی نمی دانید که شخص دیگری به وب سایت شما دسترسی دارد.

درهای پشتی پیچیده تر می توانند به هکر اجازه دهند تا کد PHP را اجرا کند. آنها به صورت دستی کد را با استفاده از مرورگر وب خود به وب سایت شما ارسال می کنند.

برخی از درهای پشتی دارای یک رابط کاربری کامل هستند که به آنها امکان می دهد ایمیل ها را به عنوان سرور میزبان وردپرس شما ارسال کنند ، پرس و جوهای پایگاه داده SQL و موارد دیگر را اجرا کنند.

برخی از هکرها بیش از یک فایل Backdoor را به جا می گذارند. بعد از اینکه یکی را آپلود کردند، دیگری را برای اطمینان از دسترسی خود اضافه می کنند

درهای پشتی کجا پنهان هستند؟

در هر موردی که ما پیدا کردیم، درب پشتی به شکلی شبیه یک فایل وردپرس استتار شده بود. کدهای درهای پشتی در یک سایت وردپرس معمولاً در مکان های زیر ذخیره می شوند:

• تم وردپرس ، اما احتمالاً آن چیزی نیست که در حال حاضر استفاده می کنید. وقتی وردپرس را به‌روزرسانی می‌کنید، کد موجود در قالب بازنویسی نمی‌شود، بنابراین مکان خوبی برای قرار دادن درب پشتی است. به همین دلیل توصیه می‌کنیم تمام تم‌های غیرفعال را حذف کنید.
• افزونه های وردپرس مکان مناسب دیگری برای مخفی کردن درب پشتی هستند. مانند تم ها، آنها توسط به روز رسانی های وردپرس بازنویسی نمی شوند و بسیاری از کاربران تمایلی به ارتقاء افزونه ها ندارند.
• پوشه آپلود ممکن است حاوی صدها یا هزاران فایل رسانه ای باشد، بنابراین مکان مناسب دیگری برای پنهان کردن درب پشتی است. وبلاگ نویسان تقریباً هرگز محتوای آن را بررسی نمی کنند زیرا آنها فقط یک تصویر را آپلود می کنند و سپس از آن در یک پست استفاده می کنند.
• فایل wp-config.php حاوی اطلاعات حساسی است که برای پیکربندی وردپرس استفاده می شود. این یکی از فایل های بسیار مهم برای هکرها است.
• پوشه wp-includes حاوی فایل های PHP مورد نیاز برای اجرای صحیح وردپرس است. این مکان دیگری است که ما درهای پشتی را می یابیم زیرا اکثر صاحبان وب سایت ها بررسی نمی کنند که این پوشه حاوی چه چیزی است

نمونه هایی از درهای پشتی که ما پیدا کردیم

در اینجا چند نمونه از جایی که هکرها درهای پشتی را آپلود کرده اند آورده شده است. در یکی از سایت هایی که پاک کردیم، درب پشتی در پوشه wp-includes بود. این درب پشتی با نام wp-user.php نام گذاری شده بود که در ظاهر طبیعی به نظر برسد. اما آن فایل در واقع در نصب معمولی وردپرس وجود ندارد.

در نمونه ای دیگر، ما یک فایل PHP به نام hello.php در پوشه uploads پیدا کردیم. آن را به عنوان پلاگین Hello Dolly پنهان کرده بود. عجیب این است که هکر آن را به جای پوشه افزونه ها در پوشه آپلود قرار داده است.

ما همچنین درهای پشتی پیدا کرده این که از پسوند فایل استفاده نمی کنند. به عنوان مثال wp-content.old.tmp و همچنین درهای پشتی با پسوند zip نیز پیدا کردیم

همانطور که می بینید، هکرها هنگام مخفی کردن یک درب پشتی می توانند رویکردهای بسیار خلاقانه ای را اتخاذ کنند.

در بیشتر موارد، فایل ها با کد Base64 کدگذاری می شدند که می تواند انواع عملیات را انجام دهد. به عنوان مثال، آنها می توانند پیوندهای هرزنامه اضافه کنند، صفحات اضافی ایجاد کنند، سایت اصلی را به صفحات هرزنامه هدایت کنند و موارد دیگر.

با این اوصاف، بیایید نگاهی به نحوه پیدا کردن درب پشتی در یک سایت وردپرس هک شده و رفع آن بیاندازیم

چگونه یک درب پشتی را در یک سایت وردپرس هک شده پیدا کنیم و آن را برطرف کنیم

اکنون می دانید که درب پشتی چیست و در کجا ممکن است پنهان شود. بخش سخت پیدا کردن آن است! پس از آن، پاک کردن آن به آسانی حذف فایل یا کد است.

1. کدهای بالقوه مخرب را اسکن کنید

ساده ترین راه برای اسکن وب سایت خود برای درهای پشتی و آسیب پذیری، استفاده از افزونه اسکنر بدافزار وردپرس است . ما Sucuri را توصیه می کنیم زیرا به ما کمک کرد تا 450000 حمله وردپرس را در 3 ماه مسدود کنیم ، از جمله 29690 حمله مرتبط با درب پشتی.

آنها یک افزونه امنیتی Sucuri رایگان برای وردپرس ارائه می دهند که به شما امکان می دهد وب سایت خود را برای تهدیدات رایج اسکن کنید و امنیت وردپرس خود را سخت تر کنید. نسخه پولی شامل یک اسکنر سمت سرور است که هر روز یک بار اجرا می شود و به دنبال درهای پشتی و سایر مسائل امنیتی است.

در راهنمای ما در مورد نحوه اسکن سایت وردپرس خود برای کدهای مخرب بیشتر بیاموزید .

2. پوشه پلاگین های خود را حذف کنید

جستجو در پوشه های افزونه خود به دنبال فایل ها و کدهای مشکوک زمان بر است. و از آنجایی که هکرها بسیار زیرک هستند، هیچ تضمینی وجود ندارد که یک درب پشتی پیدا کنید.

بهترین کاری که می توانید انجام دهید این است که دایرکتوری پلاگین های خود را حذف کنید و سپس پلاگین های خود را مجدداً از ابتدا نصب کنید. این تنها راهی است که مطمئن شوید هیچ درب پشتی در افزونه های شما وجود ندارد.

شما می توانید با استفاده از یک سرویس گیرنده FTP یا مدیر فایل میزبان وردپرس خود به فهرست پلاگین های خود دسترسی پیدا کنید .

پس از لاگین از طریق FTP به پوشه wp-content بروید و سپس بروی پوشه plugins کلیک و Delete را انتخاب نمایید

3. پوشه تم های خود را حذف کنید

به همین ترتیب، به جای صرف زمان برای جستجوی درب پشتی در میان فایل های تم خود، بهتر است فقط آنها را حذف کنید.

پس از حذف پوشه plugins، به همان روش اقدام به حذف پوشه thems نمایید

شما نمی دانید که آیا درب پشتی در آن پوشه وجود داشت یا خیر، اما اگر وجود داشت، اکنون از بین رفته است. شما فقط در زمان صرفه جویی کردید و یک نقطه حمله اضافی را حذف کردید.

اکنون می توانید تم هایی را که نیاز دارید دوباره نصب کنید.

4. پوشه Uploads را برای فایل های PHP جستجو کنید

در مرحله بعد، باید به پوشه uploads نگاهی بیندازید و مطمئن شوید که هیچ فایل PHP داخل آن وجود ندارد.

مسیر پوشه آپلود در وردپرس

wp-content ->> uploads

دلیل خوبی برای قرار گرفتن یک فایل PHP در این پوشه وجود ندارد زیرا برای ذخیره فایل های رسانه ای مانند تصاویر طراحی شده است. اگر یک فایل PHP در آنجا پیدا کردید، باید حذف شود.

در داخل پوشه، برای هر سال و ماهی که فایل‌ها را آپلود کرده‌اید، چندین پوشه پیدا خواهید کرد. شما باید هر پوشه را برای فایل های PHP بررسی کنید

برخی از مشتریان FTP ابزارهایی را ارائه می دهند که به صورت بازگشتی در پوشه جستجو می کنند. برای مثال، اگر از FileZilla استفاده می‌کنید، می‌توانید روی پوشه کلیک راست کرده و «Add files to queue» را انتخاب کنید. هر فایلی که در زیر شاخه‌های پوشه یافت می‌شود به صف در قسمت پایین اضافه می‌شود.

اکنون می توانید در لیست به دنبال فایل هایی با پسوند php بگردید.

همچنین، کاربران پیشرفته ای که با SSH آشنایی دارند می توانند از دستور زیر استفاده نمایند

find uploads -name "*.php" -print

5. فایل htaccess را حذف کنید

برخی از هکرها ممکن است کدهای تغییر مسیر را به فایل .htaccess شما اضافه کنند که بازدیدکنندگان شما را به وب سایت دیگری می فرستد.

با استفاده از یک سرویس گیرنده FTP یا مدیر فایل، به سادگی فایل را از دایرکتوری ریشه وب سایت خود حذف کنید و به طور خودکار دوباره ایجاد می شود

اگر به دلایلی دوباره ایجاد نشد، باید به تنظیمات » پیوندهای یکتا در پنل مدیریت وردپرس خود بروید. با کلیک بر روی دکمه “ذخیره تغییرات” یک فایل .htaccess جدید ذخیره می شود.

6. فایل wp-config.php را بررسی کنید

فایل wp-config.php یک فایل اصلی وردپرس است که حاوی اطلاعاتی است که به وردپرس اجازه می دهد با پایگاه داده، کلیدهای امنیتی نصب وردپرس شما و گزینه های توسعه دهنده ارتباط برقرار کند.

فایل در پوشه ریشه وب سایت شما یافت می شود. با انتخاب گزینه های Open یا Edit در سرویس گیرنده FTP خود می توانید محتویات فایل را مشاهده کنید.

اکنون باید محتویات فایل را با دقت نگاه کنید تا ببینید آیا چیزی وجود دارد که نامناسب به نظر می رسد. ممکن است مفید باشد که فایل را با wp-config-sample.php فایل پیش فرضی که در همان پوشه قرار دارد مقایسه کنید.

شما باید هر کدی را که مطمئن هستید به آن تعلق ندارد حذف کنید

7. یک فایل پشتیبان را بازیابی کنید

اگر به طور منظم از وب سایت خود نسخه پشتیبان تهیه می کنید و هنوز نگران این هستید که وب سایت شما کاملاً تمیز نیست، بازیابی یک نسخه پشتیبان راه حل خوبی است.

شما باید وب سایت خود را به طور کامل حذف کنید و سپس یک نسخه پشتیبان را که قبل از هک شدن وب سایت شما گرفته شده است، بازیابی کنید. این یک گزینه برای همه نیست، اما شما را 100٪ مطمئن می کند که سایت شما ایمن است.

برای اطلاعات بیشتر، به راهنمای مبتدیان ما در مورد نحوه بازیابی وردپرس از فایل بکاپ (پشتیبان) مراجعه کنید .

چگونه از هک در آینده جلوگیری کنیم؟

اکنون که وب سایت خود را پاکسازی کرده اید، زمان آن رسیده است که امنیت سایت خود را برای جلوگیری از هک شدن در آینده ارتقا دهید. وقتی صحبت از امنیت وب سایت می شود، ارزان بودن یا بی تفاوت بودن هزینه ای ندارد.

1. به طور منظم از وب سایت خود نسخه پشتیبان تهیه کنید

اگر قبلاً به طور منظم از وب سایت خود نسخه پشتیبان تهیه نکرده اید، امروز روز شروع کار است.

وردپرس راه حل داخلی پشتیبان گیری ندارد. با این حال، چندین پلاگین پشتیبان وردپرس عالی وجود دارد که به شما امکان می دهد به طور خودکار از وب سایت وردپرس خود نسخه پشتیبان تهیه و بازیابی کنید.

Duplicator یکی از بهترین افزونه های پشتیبان وردپرس است. این به شما امکان می دهد تا برنامه های پشتیبان گیری خودکار را تنظیم کنید و در صورت بروز اتفاق بد به شما کمک می کند تا سایت وردپرس خود را بازیابی کنید.

همچنین یک نسخه رایگان از Duplicator وجود دارد که می توانید برای شروع از آن استفاده کنید.

اگر به دنبال جایگزینی هستید، UpdraftPlus را نیز توصیه می کنیم . در راهنمای ما در مورد نحوه پشتیبان گیری و بازیابی سایت وردپرس خود با UpdraftPlus بیشتر بیاموزید .

2. یک پلاگین امنیتی نصب کنید

زمانی که مشغول کار بر روی کسب و کار خود هستید، احتمالاً نمی توانید همه چیزهایی را که در وب سایت شما اتفاق می افتد را نظارت کنید. به همین دلیل است که توصیه می کنیم از یک افزونه امنیتی مانند Sucuri استفاده کنید .

ما Sucuri را توصیه می کنیم زیرا آنها در کاری که انجام می دهند خوب هستند. نشریات بزرگی مانند CNN، USA Today، PC World، TechCrunch، The Next Web و دیگران موافق هستند.

3.  امن سازی ورود به وردپرس

همچنین مهم است که ورود به وردپرس خود را ایمن تر کنید. بهترین راه برای شروع این است که هنگام ایجاد حساب کاربری در وب سایت شما، از رمزهای عبور قوی استفاده کنید . همچنین توصیه می کنیم از ابزار مدیریت رمز عبور مانند 1Password استفاده کنید.

کار بعدی که باید انجام دهید این است که احراز هویت دو مرحله ای را اضافه کنید . این از وب سایت شما در برابر رمزهای عبور سرقت شده و حملات brute force محافظت می کند . این بدان معناست که حتی اگر یک هکر نام کاربری و رمز عبور شما را بداند، باز هم نمی تواند وارد وب سایت شما شود.

در نهایت، باید تلاش برای ورود به وردپرس را محدود کنید . وردپرس به کاربران این امکان را می دهد که هر چند بار که می خواهند رمز عبور را وارد کنند. قفل کردن یک کاربر پس از پنج بار تلاش ناموفق برای ورود به سیستم، شانس هکرها برای بررسی جزئیات ورود شما را به میزان قابل توجهی کاهش می دهد.

4. از ناحیه مدیریت وردپرس خود محافظت کنید

محافظت از ناحیه مدیریت از دسترسی غیرمجاز به شما امکان می دهد بسیاری از تهدیدات امنیتی رایج را مسدود کنید. ما فهرستی طولانی از نکاتی در مورد نحوه ایمن نگه داشتن مدیریت وردپرس داریم .

به عنوان مثال، می توانید با رمز عبور از پوشه wp-admin محافظت کنید . این یک لایه حفاظتی دیگر را به مهم ترین نقطه ورود به وب سایت شما اضافه می کند.

همچنین می توانید دسترسی به بخش مدیریت را به آدرس های IP استفاده شده توسط تیم خود محدود کنید. این روش دیگری برای قفل کردن هکرهایی است که نام کاربری و رمز عبور شما را کشف می کنند.

5. ویرایشگر تم و پلاگین را غیرفعال کنید

آیا می دانستید که وردپرس دارای قالب داخلی و ویرایشگر افزونه است؟ این ویرایشگر متن ساده به شما امکان می دهد قالب و فایل های افزونه خود را مستقیماً از داشبورد وردپرس ویرایش کنید.

اگرچه این مفید است، اما می تواند منجر به مشکلات امنیتی بالقوه شود. به عنوان مثال، اگر یک هکر به قسمت مدیریت وردپرس شما نفوذ کند، می تواند از ویرایشگر داخلی برای دسترسی به تمام داده های وردپرس شما استفاده کند.

پس از آن، آنها می توانند بدافزار را توزیع کنند یا حملات DDoS را از وب سایت وردپرس شما راه اندازی کنند.

برای بهبود امنیت وردپرس، توصیه می کنیم ویرایشگرهای فایل داخلی را به طور کامل حذف کنید .

6. اجرای PHP را در پوشه های خاص وردپرس غیرفعال کنید

به طور پیش فرض، اسکریپت های PHP را می توان در هر پوشه ای در وب سایت شما اجرا کرد. می توانید با غیرفعال کردن اجرای PHP در پوشه هایی که به آن نیازی ندارند، وب سایت خود را ایمن تر کنید.

به عنوان مثال، وردپرس هرگز نیازی به اجرای کدهای ذخیره شده در پوشه uploads شما ندارد. اگر اجرای PHP را برای آن پوشه غیرفعال کنید، آنگاه یک هکر نمی‌تواند یک درب پشتی را اجرا کند، حتی اگر با موفقیت یکی را در آنجا آپلود کند.

7. وب سایت خود را به روز نگه دارید

هر نسخه جدید وردپرس ایمن تر از نسخه قبلی است. هر زمان که آسیب‌پذیری امنیتی گزارش شود، تیم اصلی وردپرس سخت تلاش می‌کند تا یک به‌روزرسانی را منتشر کند که مشکل را برطرف کند.

این بدان معنی است که اگر وردپرس را به روز نگه نمی دارید، از نرم افزاری با آسیب پذیری های امنیتی شناخته شده استفاده می کنید. هکرها می‌توانند وب‌سایت‌هایی را که نسخه قدیمی‌تر را اجرا می‌کنند جستجو کرده و از این آسیب‌پذیری برای دسترسی به آن استفاده کنند.

به همین دلیل است که همیشه باید از آخرین نسخه وردپرس استفاده کنید .

فقط وردپرس را به روز نگه ندارید. شما باید مطمئن شوید که افزونه ها و تم های وردپرس خود را نیز به روز نگه دارید.

امیدواریم این آموزش به شما کمک کرده باشد که یاد بگیرید چگونه یک درب پشتی را در یک وب سایت وردپرس هک شده پیدا کنید و تعمیر کنید.