نحوه شناسایی و حذف ریدایرکت های اضافه شده به وردپرس توسط هکرها
تقریباً 30٪ وب سایت های اینترنتی با وردپرس در حال اجرا هستند و آن به محبوب ترین سیستم مدیریت محتوا در جهان تبدیل شده است. متأسفانه، محبوبیت باورنکردنی وردپرس از روند كاهش چشمگیری برخوردار است زیرا این پلتفرم را برای هكرها بسیار جذاب شده است. در این مقاله راجع به حذف ریدایرکت های مخرب وردپرس اطلاعاتی را بدست می آورید.
سایت وردپرسی هک شده نشانه های زیادی دارد. یک حمله معمولی که علیه وب سایت های وردپرس استفاده می شود شامل تغییر فایل ها است که باعث می شود وب سایت به طور خودکار کاربران را به مکان دیگری هدایت کند. به این نوع حمله یک تغییر مسیر مخرب گفته می شود. روش های مختلفی برای انجام تغییر مسیرهای مخرب در وردپرس وجود دارد، از جمله استفاده از افزونه، تم یا نفوذ سمت سرور را می توان نام برد. در این مقاله نحوه عملکرد این نوع حمله توضیح داده شده و نکاتی در مورد آن ارائه خواهد شد.
یک تغییر مسیر مخرب چگونه کار می کند؟
یک هکر جهت هدایت بازدید کنندگان وب سایت شما به یک مکان دیگر، از یک تغییر مسیر مخرب استفاده می کند. پس از تغییر مسیر، بازدید کنندگان شما ممکن است در معرض بدافزارها، اسپم های تبلیغاتی یا حملات فیشینگ قرار بگیرند. برای انجام یک حمله تغییر مسیر مخرب، هکر باید برخی از فایل های وب سایت وردپرس شما را تغییر دهد. برای اینکه بتوانند این کار را انجام دهند، معمولاً از تکنیک های زیر استفاده می کنند:
- دسترسی به سرور، سپس به روزرسانی یا ایجاد یک فایل با تغییر مسیرهای مخرب.
- ایجاد امکان برای نصب افزونه مخرب که کد مخرب را اضافه می کند.
- ایجاد امکان نصب یک تم نامناسب که کد مخرب را اضافه می کند.
- کاربرد پرونده های Javascript، افزونه ها و تم ها برای اضافه کردن تغییر مسیرهای مخرب.
چه نوع تکنیکی برای اضافه کردن تغییر مسیرهای مخرب استفاده می شود؟
انواع مختلفی از تکنیک های تغییر مسیر مخرب در وب سایت های وردپرس وجود دارد. رایج ترین آن ها عبارتند از:
1) اصلاح htaccess. وب سایت
هر وب سایت وردپرس یک پرونده htaccess. دارد که در پوشه ای که WordPress نصب شده است، قرار دارد. وردپرس از این پرونده برای تغییر نحوه برخورد سرور وب با فایل ها استفاده می کند. همچنین برای ایجاد پیوندهای ثابت و مورد استفاده WordPress نیز استفاده می شود. هکرهایی که به سرور شما دسترسی پیدا می کنند می توانند این فایل را تغییر دهند تا یک تغییر مسیر مخرب را اضافه کنند. تغییر مسیر همه بازدید کنندگان را به وب سایت دیگری هدایت می کند.
هکرها ممکن است فایل های htaccess. دیگری را که حاوی یک تغییر مسیر مخرب در مکان های دیگر مانند / wp-content/ یا /wp-includes/ هستند، اضافه کنند.
2) اصلاح پرونده های PHP وردپرس
ریدایرکت های مخرب اغلب در پرونده های PHP در وردپرس از جمله index.php ،header.php ،footer.php وactions.php یافت می شوند. هکرها این فایل ها را هدف قرار می دهند، زیرا اغلب توسط وردپرس اجرا می شوند. ممکن است هکرها با استفاده از یک رشته رمزگذاری شده و تابع ارزیابی PHP () عملکرد، header.php نصب شده در وردپرس شما را تغییر دهند.
3) نصب افزونه یا تمی که پرونده های دیگر را تغییر می دهد
یکی دیگر از مسیرهای رایج جهت تغییر مسیر مخرب برای آلوده کردن یک سایت، این است که صاحب وب سایت به صورت ناخواسته یک افزونه یا تم جعلی نصب کند. در وردپرس نمونه ای از این اتفاق از طریق افزونه ای به نام ilovedc صورت می گیرد. پس از نصب این افزونه، از تابع insert_with_marker () ورپرس برای تغییر پرونده .htaccess سایت استفاده می کند. رفع این نوع حمله با حذف پلاگین و بازگرداندن .htaccess قبلی به وب سایت شما انجام می شود.
4) آلوده کردن فایل های JavaScript با کد مخرب
یکی دیگر از حمله های ریدایرکت مخرب در سال 2017 مشخص شد. این حمله کد JavaScript مخرب را به هر پرونده .js که می تواند در وب سایت شما پیدا کند، تزریق می کند. کد مخرب را می توان با رشته های رمزگذاری شده hex طولانی که در پرونده ها قرار دارد، تشخیص داد. این بخش از کد چیزی شبیه به کد زیر است:
این کد پرونده های JavaScript اضافی را از یک سرور راه دور بارگیری می کند. این اسکریپت جدید سپس تغییر مسیرهای مخرب را انجام می دهد.
به نظر می رسد که این حمله خاص به طور معمول با حمله brute-force به پرونده های xmlrpc.php یا login.php آغاز می شود. هکر تا زمانی که به بخش مدیریت وردپرس دسترسی پیدا نکند، به سایت حمله می کند.
هنگامی که هکرها در بخش مدیریت هستند، ویرایشگر تم را باز کرده و پرونده 404.php تم فعلی را تغییر می دهند. آنها همچنین ممکن است اقدام به آپلود افزونه ها و مضامین آلوده کنند. هکرها حتی در سایر پرونده ها می توانند نسخه های پشتیبان برای خود تهیه کنند تا در فرصتی دیگر بتوانند به وب سایت دسترسی پیدا کنند.
چندین نسخه از اسکریپت های انژکتور جاوا اسکریپت به پرونده هایی مانند index.php ،dp.php ،cache.php و 404.php اضافه می شوند. این اسکریپت های انژکتور همچنان به جستجوی پرونده های جدید .js می روند تا آن ها را با تغییر مسیر مخرب آلوده کنند.
حذف ریدایرکت های مخرب وردپرس اضافه شده توسط هکرها
خوشبختانه حذف ریدایرکتهای WordPress معمولاً یک فرایند ساده است.
1- گذرواژههای خود را تغییر داده و کاربران ثبت نام شده را بررسی کنید
اگر یک هکر توانسته است به بخش مدیریت شما دسترسی پیدا کند، باید کلمه عبور را برای همه کاربران WordPress تغییر دهید. همچنین باید اطمینان حاصل کنید که هیچ کاربر دیگری توسط هکر اضافه نشده است. برای اینکه از امنیت مطمئن باشید، باید کلیدهای عبوری و رمزهای عبور جدیدی را برای حساب های FTP، پایگاه داده و حساب های میزبانی ایجاد کنید.
2- پلاگین ها و تم های ناخواسته را از وب سایت حذف کنید
وجود تم یا افزونه های ناخواسته ممکن است، نشانگر در خطر بودن سایت شما باشد. همه این پرونده ها را حذف کنید.
3- وب سایت خود را با یک ابزار مناسب اسکن کنید
بسیاری ابزار وجود دارد که وب سایت شما را برای شناسایی بدافزارها و فایل های خطرناک اسکن می کند.
4- برای اسکن پرونده های خود از افزونه وردپرس استفاده کنید
افزونه های متنوعی وجود دارد که پرونده های سیستم وردپرس شما را اسکن می کنند تا از صحت آنها اطمینان حاصل کنند. این اسکنرها کدهای مخرب را که به پرونده هایی مانند index.php ،db.php ،header.php و footer.php اضافه شده اند، شناسایی می کنند. افزونه امنیتی و مانیتورینگ برای وردپرس می تواند فایله ای اصلی وردپرس تغییر یافته یا آلوده را اسکن و شناسایی کند.
5- به صورت دستی پرونده های آسیب پذیر را بازرسی کنید
اگر مشکل همچنان ادامه داشته باشد، می توانید پرونده هایی را که اغلب حاوی این نوع حمله هستند، به صورت دستی بررسی کنید. این شامل پرونده های .htaccess، پرونده های index.php و db.php شما می شود. این حمله همچنین در پرونده های header.php و footer.php تم شما ظاهر می شود. به دنبال رشته های رمزگذاری شده طولانی و تماس های جاوا اسکریپت به وب سایت های راه دور باشید.
6- پرونده ها، افزونه ها و تم های وردپرس خود را مجدداً نصب کنید
اگر مشکل همچنان ادامه دارد، به نسخه پشتیبان تهیه شده قدیمی وب سایت خود برگردید. اگر نسخه پشتیبان از وب سایت خود ندارید، نصب مجدد کامل تمام پرونده ها، افزونه ها و تم های وردپرس را انجام دهید.
7- وب سایت خود را دوباره به Google ارسال کنید
اگر Google تغییر مسیرهای مخربی را در وب سایت شما کشف کرده است ، ممکن است یک مجازات اعمال کند. این مجازات می تواند از یک پیام هشدار دهنده باشد که در کنار نتایج وب سایت شما در نتایج موتور جستجو قرار دارد تا قرار گرفتن وب سایت شما در لیست سیاه. پس از تعمیر وب سایت خود، به کنسول موتور جستجوی Google بروید و از ویژگی حذف URL ها استفاده کنید تا هرگونه ارجاعی را که Google به صفحات آلوده دارد از بین ببرید. سپس می بایست درخواست بازبینی برای وب سایت خود ارائه دهید.
اطمینان از این نوع حمله دوباره اتفاق نمی افتد
در ادامه حذف ریدایرکت های مخرب وردپرس باید گفت، مهم است که برای اطمینان از اینکه این حمله در آینده دیگر اتفاق نیفتد نیز، اقداماتی را انجام دهید. مراحل زیر به طور قابل توجهی خطر حمله مجدد را کاهش می دهد.
1) رمزهای عبور خود را بهبود بخشید
گذرواژههای خود را پیچیده تر کنید تا هکرها نتوانند به آسانی آن را تشخیص دهند. رمزهای عبور شما نیز باید به طور مرتب تغییر یابد.
2) نرم افزار امنیتی WordPress را نصب کنید
ما افزونه امنیتی WordPress را ارائه می دهیم که به شما در تقویت وردپرس کمک می کند. این افزونه پرونده های اصلی وردپرس شما را اسکن می کند و شما را از هرگونه تغییر غیر منتظره آگاه می کند. همچنین دارای Brute Force Protection و انواع ابزارهای امنیتی دیگر برای ایمن نگه داشتن وب سایت شما است.
3) افزونه بررسی تم WordPress را نصب کنید
همچنین می توانید Theme Check را نصب کنی، که تم های شما را آزمایش می کند تا از آخرین استانداردهای تم اطمینان حاصل کند. این افزونه می تواند کد های مخرب را در پرونده های Javascript ،header.php ،index.php و footer.php شما کشف کند.
4) هرگز افزونه ها یا تم ها را از منبع غیر قابل اعتماد نصب نکنید
تا حد امکان افزونه های خود را از سایت رسمی وردپرس به دست آورید. افزونه ها یا تم ها را نصب نکنید، مگر اینکه واقعاً به عملکردی که ارائه می دهند، نیاز دارید. اگر از افزونه یا تمی استفاده نمی کنید، آن را از وب سایت خود حذف کنید.
5) همه تم ها و افزونه ها را به روز کنید
تم ها و افزونه های وردپرس بعضی اوقات حاوی آسیب پذیری هایی هستند که می توانند توسط هکرها مورد سوء استفاده قرار بگیرند. آنها را به روز کنید تا خطر بروز آسیب پذیری در آن به حداقل برسد.
6) از نصب پشتیبان وردپرس خود به طور مرتب اطمینان حاصل کنید
تهیه نسخه پشتیبان از وب سایت به طور مرتب ضروری است، تا بتوانید به سرعت این نوع حملات را پشت سر بگذارید. از میزبان وبی استفاده کنید که نسخه پشتیبان تهیه رایگان کند. شما باید نسخه پشتیبان خود را حداقل در سه مکان جداگانه ذخیره کنید.
7) تغییر به میزبانی وبی که از امنیت وردپرس بهتری برخوردار باشد
برخی از هاست های وب در میزبانی وردپرس تخصص دارند و دارای ابزارهای خودکار هستند که نصب وردپرس را برای شما اسکن می کنند. این ابزارها می توانند حملات تغییر مسیر مخرب را شناسایی کرده و آنها را قبل از هرگونه آسیب بردارند.
در این مقاله به طور کامل راجع به حذف ریدایرکت های مخرب وردپرس صحبت شد. اگر به دنبال اطلاعات کلی از امنیت وردپرس و یا ووکامرس هستید به مقاله لینک داده شده می توانید مراجعه نمایید.
سلام واقعا دمتون گرم مشکلم با غیرفعال و فعال کردن افزونه ها حل شد.
اگر افزونه های Contextual Related Posts و Related Posts نصب و فعال دارید را حتما غیر فعال نمایید.
این حفره فایل های جاوا اسکریپت رو درگیر میکنه
با افزونه Anti-Malware Security and Brute-Force Firewall چک کردم
فایل های پایین مشکل داشتن
public_html/wp-admin/includes/class-pclzip.php
public_html/wp-content/litespeed/js/1f865a5e98408579ede325de417d05a1.js
public_html/wp-content/litespeed/js/89791f465b0ece2a120bbdb64ac67d93.js
public_html/wp-content/litespeed/js/a69dbb6f3cebfde4c327fc0f1f86db9b.js
public_html/wp-content/litespeed/js/fbe11c31c05f0f4690c8106ab4e6cc72.js
public_html/wp-content/plugins/cmb2/js/jquery-ui-timepicker-addon.min.js
public_html/wp-content/plugins/prdctfltr/includes/js/prdctfltr.js
public_html/wp-content/plugins/seo-by-rank-math/includes/modules/analytics/assets/js/admin-bar.js
public_html/wp-content/plugins/seo-by-rank-math/includes/modules/analytics/assets/js/stats.js
public_html/wp-content/plugins/seo-by-rank-math/vendor/cmb2/cmb2/js/jquery-ui-timepicker-addon.min.js
public_html/wp-content/plugins/seo-by-rank-math-pro/assets/admin/js/divi.js
public_html/wp-content/plugins/seo-by-rank-math-pro/assets/admin/js/elementor.js
public_html/wp-content/plugins/seo-by-rank-math-pro/assets/admin/js/gutenberg.js
public_html/wp-content/plugins/seo-by-rank-math-pro/includes/modules/analytics/assets/js/stats.js
public_html/wp-content/plugins/wp-parsidate/assets/js/gutenberg-jalali-calendar.build.js
public_html/wp-content/plugins/wp-schema-pro/admin/assets/js/timpepicker.min.js
public_html/wp-content/themes/emperor/assets/js/vendor/alljs.min.js
public_html/wp-includes/js/json2.js
public_html/wp-includes/js/json2.min.js
public_html/wp-includes/js/tw-sack.js
public_html/wp-includes/js/tw-sack.min.js
public_html/wp-includes/js/jquery/jquery.form.min.js
public_html/wp-includes/js/jquery/jquery.schedule.js
public_html/wp-includes/js/tinymce/tiny_mce_popup.js
سلام چطور میتونم بفهمم که فایل htaccess بنده دستکاری شده یا نه
سلام. می توانید نمونه های آماده این فایل را در وب سایت های مختلف مشاهده و با فایل خودتان مقایسه کنید.