تقریباً 30٪ وب سایت های اینترنتی با وردپرس در حال اجرا هستند و آن به محبوب ترین سیستم مدیریت محتوا در جهان تبدیل شده است. متأسفانه، محبوبیت باورنکردنی وردپرس از روند كاهش چشمگیری برخوردار است زیرا این پلتفرم را برای هكرها بسیار جذاب شده است. در این مقاله راجع به حذف ریدایرکت های مخرب وردپرس اطلاعاتی را بدست می آورید.
سایت وردپرسی هک شده نشانه های زیادی دارد. یک حمله معمولی که علیه وب سایت های وردپرس استفاده می شود شامل تغییر فایل ها است که باعث می شود وب سایت به طور خودکار کاربران را به مکان دیگری هدایت کند. به این نوع حمله یک تغییر مسیر مخرب گفته می شود. روش های مختلفی برای انجام تغییر مسیرهای مخرب در وردپرس وجود دارد، از جمله استفاده از افزونه، تم یا نفوذ سمت سرور را می توان نام برد. در این مقاله نحوه عملکرد این نوع حمله توضیح داده شده و نکاتی در مورد آن ارائه خواهد شد.
یک هکر جهت هدایت بازدید کنندگان وب سایت شما به یک مکان دیگر، از یک تغییر مسیر مخرب استفاده می کند. پس از تغییر مسیر، بازدید کنندگان شما ممکن است در معرض بدافزارها، اسپم های تبلیغاتی یا حملات فیشینگ قرار بگیرند. برای انجام یک حمله تغییر مسیر مخرب، هکر باید برخی از فایل های وب سایت وردپرس شما را تغییر دهد. برای اینکه بتوانند این کار را انجام دهند، معمولاً از تکنیک های زیر استفاده می کنند:
انواع مختلفی از تکنیک های تغییر مسیر مخرب در وب سایت های وردپرس وجود دارد. رایج ترین آن ها عبارتند از:
هر وب سایت وردپرس یک پرونده htaccess. دارد که در پوشه ای که WordPress نصب شده است، قرار دارد. وردپرس از این پرونده برای تغییر نحوه برخورد سرور وب با فایل ها استفاده می کند. همچنین برای ایجاد پیوندهای ثابت و مورد استفاده WordPress نیز استفاده می شود. هکرهایی که به سرور شما دسترسی پیدا می کنند می توانند این فایل را تغییر دهند تا یک تغییر مسیر مخرب را اضافه کنند. تغییر مسیر همه بازدید کنندگان را به وب سایت دیگری هدایت می کند.
هکرها ممکن است فایل های htaccess. دیگری را که حاوی یک تغییر مسیر مخرب در مکان های دیگر مانند / wp-content/ یا /wp-includes/ هستند، اضافه کنند.
ریدایرکت های مخرب اغلب در پرونده های PHP در وردپرس از جمله index.php ،header.php ،footer.php وactions.php یافت می شوند. هکرها این فایل ها را هدف قرار می دهند، زیرا اغلب توسط وردپرس اجرا می شوند. ممکن است هکرها با استفاده از یک رشته رمزگذاری شده و تابع ارزیابی PHP () عملکرد، header.php نصب شده در وردپرس شما را تغییر دهند.
یکی دیگر از مسیرهای رایج جهت تغییر مسیر مخرب برای آلوده کردن یک سایت، این است که صاحب وب سایت به صورت ناخواسته یک افزونه یا تم جعلی نصب کند. در وردپرس نمونه ای از این اتفاق از طریق افزونه ای به نام ilovedc صورت می گیرد. پس از نصب این افزونه، از تابع insert_with_marker () ورپرس برای تغییر پرونده .htaccess سایت استفاده می کند. رفع این نوع حمله با حذف پلاگین و بازگرداندن .htaccess قبلی به وب سایت شما انجام می شود.
یکی دیگر از حمله های ریدایرکت مخرب در سال 2017 مشخص شد. این حمله کد JavaScript مخرب را به هر پرونده .js که می تواند در وب سایت شما پیدا کند، تزریق می کند. کد مخرب را می توان با رشته های رمزگذاری شده hex طولانی که در پرونده ها قرار دارد، تشخیص داد. این بخش از کد چیزی شبیه به کد زیر است:
این کد پرونده های JavaScript اضافی را از یک سرور راه دور بارگیری می کند. این اسکریپت جدید سپس تغییر مسیرهای مخرب را انجام می دهد.
به نظر می رسد که این حمله خاص به طور معمول با حمله brute-force به پرونده های xmlrpc.php یا login.php آغاز می شود. هکر تا زمانی که به بخش مدیریت وردپرس دسترسی پیدا نکند، به سایت حمله می کند.
هنگامی که هکرها در بخش مدیریت هستند، ویرایشگر تم را باز کرده و پرونده 404.php تم فعلی را تغییر می دهند. آنها همچنین ممکن است اقدام به آپلود افزونه ها و مضامین آلوده کنند. هکرها حتی در سایر پرونده ها می توانند نسخه های پشتیبان برای خود تهیه کنند تا در فرصتی دیگر بتوانند به وب سایت دسترسی پیدا کنند.
چندین نسخه از اسکریپت های انژکتور جاوا اسکریپت به پرونده هایی مانند index.php ،dp.php ،cache.php و 404.php اضافه می شوند. این اسکریپت های انژکتور همچنان به جستجوی پرونده های جدید .js می روند تا آن ها را با تغییر مسیر مخرب آلوده کنند.
خوشبختانه حذف ریدایرکتهای WordPress معمولاً یک فرایند ساده است.
اگر یک هکر توانسته است به بخش مدیریت شما دسترسی پیدا کند، باید کلمه عبور را برای همه کاربران WordPress تغییر دهید. همچنین باید اطمینان حاصل کنید که هیچ کاربر دیگری توسط هکر اضافه نشده است. برای اینکه از امنیت مطمئن باشید، باید کلیدهای عبوری و رمزهای عبور جدیدی را برای حساب های FTP، پایگاه داده و حساب های میزبانی ایجاد کنید.
وجود تم یا افزونه های ناخواسته ممکن است، نشانگر در خطر بودن سایت شما باشد. همه این پرونده ها را حذف کنید.
بسیاری ابزار وجود دارد که وب سایت شما را برای شناسایی بدافزارها و فایل های خطرناک اسکن می کند.
افزونه های متنوعی وجود دارد که پرونده های سیستم وردپرس شما را اسکن می کنند تا از صحت آنها اطمینان حاصل کنند. این اسکنرها کدهای مخرب را که به پرونده هایی مانند index.php ،db.php ،header.php و footer.php اضافه شده اند، شناسایی می کنند. افزونه امنیتی و مانیتورینگ برای وردپرس می تواند فایله ای اصلی وردپرس تغییر یافته یا آلوده را اسکن و شناسایی کند.
اگر مشکل همچنان ادامه داشته باشد، می توانید پرونده هایی را که اغلب حاوی این نوع حمله هستند، به صورت دستی بررسی کنید. این شامل پرونده های .htaccess، پرونده های index.php و db.php شما می شود. این حمله همچنین در پرونده های header.php و footer.php تم شما ظاهر می شود. به دنبال رشته های رمزگذاری شده طولانی و تماس های جاوا اسکریپت به وب سایت های راه دور باشید.
اگر مشکل همچنان ادامه دارد، به نسخه پشتیبان تهیه شده قدیمی وب سایت خود برگردید. اگر نسخه پشتیبان از وب سایت خود ندارید، نصب مجدد کامل تمام پرونده ها، افزونه ها و تم های وردپرس را انجام دهید.
اگر Google تغییر مسیرهای مخربی را در وب سایت شما کشف کرده است ، ممکن است یک مجازات اعمال کند. این مجازات می تواند از یک پیام هشدار دهنده باشد که در کنار نتایج وب سایت شما در نتایج موتور جستجو قرار دارد تا قرار گرفتن وب سایت شما در لیست سیاه. پس از تعمیر وب سایت خود، به کنسول موتور جستجوی Google بروید و از ویژگی حذف URL ها استفاده کنید تا هرگونه ارجاعی را که Google به صفحات آلوده دارد از بین ببرید. سپس می بایست درخواست بازبینی برای وب سایت خود ارائه دهید.
در ادامه حذف ریدایرکت های مخرب وردپرس باید گفت، مهم است که برای اطمینان از اینکه این حمله در آینده دیگر اتفاق نیفتد نیز، اقداماتی را انجام دهید. مراحل زیر به طور قابل توجهی خطر حمله مجدد را کاهش می دهد.
گذرواژههای خود را پیچیده تر کنید تا هکرها نتوانند به آسانی آن را تشخیص دهند. رمزهای عبور شما نیز باید به طور مرتب تغییر یابد.
ما افزونه امنیتی WordPress را ارائه می دهیم که به شما در تقویت وردپرس کمک می کند. این افزونه پرونده های اصلی وردپرس شما را اسکن می کند و شما را از هرگونه تغییر غیر منتظره آگاه می کند. همچنین دارای Brute Force Protection و انواع ابزارهای امنیتی دیگر برای ایمن نگه داشتن وب سایت شما است.
همچنین می توانید Theme Check را نصب کنی، که تم های شما را آزمایش می کند تا از آخرین استانداردهای تم اطمینان حاصل کند. این افزونه می تواند کد های مخرب را در پرونده های Javascript ،header.php ،index.php و footer.php شما کشف کند.
تا حد امکان افزونه های خود را از سایت رسمی وردپرس به دست آورید. افزونه ها یا تم ها را نصب نکنید، مگر اینکه واقعاً به عملکردی که ارائه می دهند، نیاز دارید. اگر از افزونه یا تمی استفاده نمی کنید، آن را از وب سایت خود حذف کنید.
تم ها و افزونه های وردپرس بعضی اوقات حاوی آسیب پذیری هایی هستند که می توانند توسط هکرها مورد سوء استفاده قرار بگیرند. آنها را به روز کنید تا خطر بروز آسیب پذیری در آن به حداقل برسد.
تهیه نسخه پشتیبان از وب سایت به طور مرتب ضروری است، تا بتوانید به سرعت این نوع حملات را پشت سر بگذارید. از میزبان وبی استفاده کنید که نسخه پشتیبان تهیه رایگان کند. شما باید نسخه پشتیبان خود را حداقل در سه مکان جداگانه ذخیره کنید.
برخی از هاست های وب در میزبانی وردپرس تخصص دارند و دارای ابزارهای خودکار هستند که نصب وردپرس را برای شما اسکن می کنند. این ابزارها می توانند حملات تغییر مسیر مخرب را شناسایی کرده و آنها را قبل از هرگونه آسیب بردارند.
در این مقاله به طور کامل راجع به حذف ریدایرکت های مخرب وردپرس صحبت شد. اگر به دنبال اطلاعات کلی از امنیت وردپرس و یا ووکامرس هستید به مقاله لینک داده شده می توانید مراجعه نمایید.
نمایش دیدگاهها
سلام واقعا دمتون گرم مشکلم با غیرفعال و فعال کردن افزونه ها حل شد.
اگر افزونه های Contextual Related Posts و Related Posts نصب و فعال دارید را حتما غیر فعال نمایید.
این حفره فایل های جاوا اسکریپت رو درگیر میکنه
با افزونه Anti-Malware Security and Brute-Force Firewall چک کردم
فایل های پایین مشکل داشتن
public_html/wp-admin/includes/class-pclzip.php
public_html/wp-content/litespeed/js/1f865a5e98408579ede325de417d05a1.js
public_html/wp-content/litespeed/js/89791f465b0ece2a120bbdb64ac67d93.js
public_html/wp-content/litespeed/js/a69dbb6f3cebfde4c327fc0f1f86db9b.js
public_html/wp-content/litespeed/js/fbe11c31c05f0f4690c8106ab4e6cc72.js
public_html/wp-content/plugins/cmb2/js/jquery-ui-timepicker-addon.min.js
public_html/wp-content/plugins/prdctfltr/includes/js/prdctfltr.js
public_html/wp-content/plugins/seo-by-rank-math/includes/modules/analytics/assets/js/admin-bar.js
public_html/wp-content/plugins/seo-by-rank-math/includes/modules/analytics/assets/js/stats.js
public_html/wp-content/plugins/seo-by-rank-math/vendor/cmb2/cmb2/js/jquery-ui-timepicker-addon.min.js
public_html/wp-content/plugins/seo-by-rank-math-pro/assets/admin/js/divi.js
public_html/wp-content/plugins/seo-by-rank-math-pro/assets/admin/js/elementor.js
public_html/wp-content/plugins/seo-by-rank-math-pro/assets/admin/js/gutenberg.js
public_html/wp-content/plugins/seo-by-rank-math-pro/includes/modules/analytics/assets/js/stats.js
public_html/wp-content/plugins/wp-parsidate/assets/js/gutenberg-jalali-calendar.build.js
public_html/wp-content/plugins/wp-schema-pro/admin/assets/js/timpepicker.min.js
public_html/wp-content/themes/emperor/assets/js/vendor/alljs.min.js
public_html/wp-includes/js/json2.js
public_html/wp-includes/js/json2.min.js
public_html/wp-includes/js/tw-sack.js
public_html/wp-includes/js/tw-sack.min.js
public_html/wp-includes/js/jquery/jquery.form.min.js
public_html/wp-includes/js/jquery/jquery.schedule.js
public_html/wp-includes/js/tinymce/tiny_mce_popup.js
سلام چطور میتونم بفهمم که فایل htaccess بنده دستکاری شده یا نه
سلام. می توانید نمونه های آماده این فایل را در وب سایت های مختلف مشاهده و با فایل خودتان مقایسه کنید.