كيفية فحص وإزالة ومنع البرامج الضارة من موقع WordPress الخاص بك

كان هذا الأسبوع مزدحمًا جدًا. وجدت إحدى المؤسسات غير الربحية التي أعرفها نفسها في مأزق كبير، حيث كان موقع WordPress الخاص بها مصابًا ببرامج ضارة. تم اختراق الموقع، وتم تنفيذ نصوص برمجية على الزائرين قامت بأمرين مختلفين:

1. حاول الموقع إصابة مستخدمي Microsoft Windows بـ البرمجيات الخبيثة.
2. أعاد الموقع توجيه جميع المستخدمين إلى موقع يستخدم JavaScript لتسخير جهاز الكمبيوتر الخاص بالزائر منجم الماكرو.

اكتشفت WordPress تم اختراق الموقع عندما زرته بعد النقر على أحدث نشرة إخبارية، وأبلغتهم على الفور بما يحدث. لسوء الحظ، لقد كان هجومًا عنيفًا للغاية وتمكنت من إزالته، ولكنني قمت فورًا بإعادة إصابة الموقع عند بدء البث المباشر. هذه ممارسة شائعة جدًا من قبل قراصنة البرامج الضارة - فهم لا يخترقون الموقع فحسب، بل يقومون أيضًا بإضافة مستخدم إداري إلى الموقع أو تغيير ملف WordPress الأساسي الذي يعيد إدخال الاختراق في حالة إزالته.

ما هي البرامج الضارة؟

البرامج الضارة هي مشكلة مستمرة على الويب. تُستخدم البرامج الضارة لتضخيم معدلات النقر على الإعلانات (احتيال الإعلانات) ، وتضخيم إحصائيات الموقع لزيادة تكلفة المعلنين ، ومحاولة الوصول إلى البيانات المالية والشخصية للزوار ، ومؤخراً - لتعدين العملات المشفرة. يتقاضى عمال المناجم رواتب جيدة مقابل بيانات التعدين ، لكن تكلفة بناء آلات التعدين ودفع فواتير الكهرباء لها كبيرة. من خلال تسخير أجهزة الكمبيوتر سرا ، يمكن لعمال المناجم جني الأموال دون نفقة.

يعد WordPress والمنصات الشائعة الأخرى أهدافًا كبيرة للمتسللين نظرًا لأنهم أساس العديد من مواقع الويب. يحتوي WordPress على بنية السمات والمكونات الإضافية التي لا تحمي الملفات الأساسية تلقائيًا من الثغرات الأمنية. بالإضافة إلى ذلك، فإن مجتمع WordPress متميز في تحديد الثغرات الأمنية وتصحيحها - لكن مالكي المواقع ليسوا يقظين بشأن تحديث مواقعهم بأحدث الإصدارات.

تمت استضافة هذا الموقع على استضافة الويب التقليدية الخاصة بـ GoDaddy (وليس على استضافة GoDaddy إدارة استضافة WordPress) ، والذي يوفر حماية صفرية. بالطبع ، يقدمون ماسح البرامج الضارة وإزالتها الخدمة ، رغم ذلك. شركات استضافة WordPress المُدارة مثل دولاب الموازنة, WP المحرك, LiquidWebو GoDaddy و البانتيون توفر جميعها تحديثات تلقائية للحفاظ على تحديث مواقعك عند تحديد المشكلات وتصحيحها. يحتوي معظمها على فحص للبرامج الضارة وموضوعات ومكونات إضافية مدرجة في القائمة السوداء لمساعدة مالكي المواقع على منع الاختراق. بعض الشركات تذهب إلى أبعد من ذلك - Kinsta – مضيف WordPress مُدار عالي الأداء – كما يقدم ضمانًا أمنيًا.

بالإضافة إلى ذلك ، فإن الفريق في Jetpack ل يقدم خدمة رائعة لفحص موقعك تلقائيًا بحثًا عن البرامج الضارة ونقاط الضعف الأخرى يوميًا. يعد هذا حلاً مثاليًا إذا كنت تستضيف WordPress ذاتيًا على بنيتك التحتية.

يمكنك أيضًا استخدام فحص البرامج الضارة التابع لجهة خارجية في الإضافات مثل الكل في واحد WP الأمان وجدار الحماية، والذي سيبلغ عما إذا كان موقعك مدرجًا في القائمة السوداء لخدمات مراقبة البرامج الضارة النشطة.

هل موقعك مُدرج في القائمة السوداء بسبب البرامج الضارة:

تروج العديد من المواقع عبر الإنترنت لفحص موقعك بحثًا عن البرامج الضارة، ولكن ضع في اعتبارك أن معظمها لا يتحقق من موقعك على الإطلاق في الوقت الفعلي. يتطلب فحص البرامج الضارة في الوقت الفعلي أداة زحف تابعة لجهة خارجية لا يمكنها تقديم نتائج فورية. المواقع التي توفر فحصًا فوريًا هي المواقع التي اكتشفت سابقًا أن موقعك يحتوي على برامج ضارة. بعض مواقع فحص البرامج الضارة على الويب هي:

• تقرير الشفافية من Google - إذا كان موقعك مسجلاً لدى مشرفي المواقع ، فسوف ينبهونك فورًا عندما يزحفون إلى موقعك ويجدون برامج ضارة عليه.
• نورتون ويب الآمن - يشغل Norton أيضًا مكونات إضافية لمتصفح الويب وبرامج نظام التشغيل التي تمنع المستخدمين من فتح صفحتك في المساء إذا قاموا بإدراجها في القائمة السوداء. يمكن لمالكي مواقع الويب التسجيل في الموقع وطلب إعادة تقييم موقعهم بمجرد أن يصبح نظيفًا.
• Sucuri - تحتفظ Sucuri بقائمة من مواقع البرامج الضارة جنبًا إلى جنب مع تقرير حول المكان الذي تم إدراجه في القائمة السوداء. إذا تم تنظيف موقعك ، فسترى ملف فرض إعادة المسح رابط أسفل القائمة (بخط صغير جدًا). يحتوي Sucuri على مكون إضافي رائع يكتشف المشكلات ... ثم يدفعك إلى عقد سنوي لإزالتها.
• ياندكس - إذا بحثت في Yandex عن نطاقك وشاهدت "وفقًا لموقع Yandex ، قد يكون هذا الموقع خطيرًا "، يمكنك التسجيل في Yandex webmasters وإضافة موقعك والانتقال إلى الأمن والانتهاكات، واطلب مسح موقعك.
• فيشتانك - سيضع بعض المتسللين نصوصًا برمجية للتصيد الاحتيالي على موقعك لإدراج نطاقك كمجال تصيد احتيالي. إذا قمت بإدخال عنوان URL الدقيق والكامل لصفحة البرامج الضارة التي تم الإبلاغ عنها في Phishtank، فيمكنك التسجيل في Phishtank والتصويت على ما إذا كان هذا الموقع موقعًا للتصيد الاحتيالي حقًا أم لا.

ما لم يكن موقعك مسجلاً وكان لديك حساب مراقبة في مكان ما، فمن المحتمل أن تحصل على تقرير من أحد مستخدمي هذه الخدمات. لا تتجاهل التنبيه... بينما قد لا ترى مشكلة، نادرًا ما تحدث نتائج إيجابية كاذبة. يمكن أن تؤدي هذه المشكلات إلى إلغاء فهرسة موقعك من محركات البحث وحظره من المتصفحات. والأسوأ من ذلك أن عملائك المحتملين والعملاء الحاليين قد يتساءلون عن نوع المنظمة التي يعملون معها.

كيف تتحقق من البرامج الضارة؟

تحدثت العديد من الشركات المذكورة أعلاه عن مدى صعوبة العثور على البرامج الضارة، ولكنها ليست بهذه الصعوبة. تكمن الصعوبة في معرفة كيفية وصوله إلى موقعك! غالبًا ما توجد التعليمات البرمجية الضارة في:

• الدورية - قبل أي شيء ، أشر إلى ملف صفحة الصيانة وعمل نسخة احتياطية لموقعك. لا تستخدم الصيانة الافتراضية لـ WordPress أو البرنامج الإضافي للصيانة، حيث سيستمر هؤلاء في تنفيذ WordPress على الخادم. تريد التأكد من عدم قيام أحد بتنفيذ أي ملف PHP على الموقع. أثناء ذلك، تحقق من الخاص بك . هتكس ملف على خادم الويب للتأكد من عدم احتوائه على رمز خادع قد يعيد توجيه حركة المرور.
• البحث ملفات موقعك عبر SFTP أو FTP وتحديد أحدث تغييرات الملفات في المكونات الإضافية أو السمات أو ملفات WordPress الأساسية. افتح هذه الملفات وابحث عن أي تعديلات تضيف برامج نصية أو أوامر Base64 (تُستخدم لإخفاء تنفيذ البرنامج النصي للخادم).
• المقارنات ملفات WordPress الأساسية في الدليل الجذر ، ودليل wp-admin ، وأدلة wp-include لمعرفة ما إذا كانت توجد أي ملفات جديدة أو ملفات مختلفة الحجم. استكشاف أخطاء كل ملف وإصلاحها. حتى إذا عثرت على قرصنة وأزلته ، فاستمر في البحث لأن العديد من المتسللين يغادرون الأبواب الخلفية لإعادة إصابة الموقع. لا تقم ببساطة بالكتابة فوق WordPress أو إعادة تثبيته ... غالبًا ما يضيف المتسللون نصوصًا ضارة في الدليل الجذر ويستدعون البرنامج النصي بطريقة أخرى لإدخال الاختراق. عادةً ما تقوم البرامج النصية للبرامج الضارة الأقل تعقيدًا بإدراج ملفات البرامج النصية بتنسيق header.php على or footer.php. ستعمل البرامج النصية الأكثر تعقيدًا على تعديل كل ملف PHP على الخادم باستخدام كود إعادة الحقن بحيث يصعب عليك إزالته.
• حذف نصوص إعلانات الطرف الثالث التي قد تكون المصدر. لقد رفضت تطبيق شبكات إعلانات جديدة عندما قرأت أنه تم اختراقها عبر الإنترنت.
• تحقق جدول قاعدة بيانات مشاركاتك للنصوص المضمنة في محتوى الصفحة. يمكنك القيام بذلك عن طريق إجراء عمليات بحث بسيطة باستخدام PHPMyAdmin والبحث عن عناوين URL للطلب أو علامات البرنامج النصي.

كيف يمكنك إزالة البرامج الضارة

تم مؤخرًا اختراق مدونة WordPress الخاصة بصديق عزيز لي. لقد كان هجومًا ضارًا للغاية يمكن أن يؤثر على ترتيبه في البحث، وبالطبع على زخمه في حركة المرور. إليك نصيحتي بشأن ما يجب فعله إذا تم اختراق WordPress:

1. ابق هادئا! لا تبدأ بحذف الأشياء وتثبيت جميع أنواع الأشياء التي تعد بتنظيف التثبيت الخاص بك. أنت لا تعرف من كتبه وما إذا كان يضيف المزيد من الأشياء الضارة إلى مدونتك أم لا. خذ نفسًا عميقًا، وانظر إلى منشور المدونة هذا، و ببطء وبشكل متعمد اذهب إلى أسفل القائمة المرجعية.
2. أزل المدونة. فورا. أسهل طريقة للقيام بذلك باستخدام WordPress هي إعادة تسمية ملف Index.php الخاص بك في الدليل الجذر الخاص بك. لا يكفي مجرد وضع صفحة Index.html... بل تحتاج إلى إيقاف جميع الزيارات إلى أي صفحة في مدونتك. بدلاً من صفحة Index.php الخاصة بك، قم بتحميل ملف نصي يفيد بأنك غير متصل بالإنترنت للصيانة وسوف يعود قريبًا. السبب وراء حاجتك إلى إزالة المدونة هو أن معظم هذه الاختراقات لا تتم يدويًا؛ يتم ذلك من خلال البرامج النصية الضارة التي ترفق نفسها بكل ملف قابل للكتابة في التثبيت الخاص بك. يمكن لأي شخص يزور إحدى الصفحات الداخلية لمدونتك أن يعيد إصابة الملفات التي تعمل على إصلاحها.
3. قم بعمل نسخة احتياطية لموقعك. لا تقم فقط بعمل نسخة احتياطية لملفاتك، بل قم أيضًا بعمل نسخة احتياطية لقاعدة البيانات الخاصة بك. قم بتخزينه في مكان خاص إذا كنت بحاجة إلى الرجوع إلى بعض الملفات أو المعلومات.
4. قم بإزالة كافة السمات. تعد السمات وسيلة سهلة للمتسلل لكتابة التعليمات البرمجية وإدراج التعليمات البرمجية في مدونتك. تتم أيضًا كتابة معظم السمات بشكل سيئ من قبل المصممين الذين لا يفهمون الفروق الدقيقة في تأمين صفحاتك أو التعليمات البرمجية الخاصة بك أو قاعدة البيانات الخاصة بك.
5. قم بإزالة كافة المكونات الإضافية. الإضافات هي أسهل وسيلة للمتسلل لبرمجة نصية وإدخال كود في مدونتك. تتم كتابة معظم المكونات الإضافية بشكل سيئ من قبل مطوري الاختراق الذين لا يفهمون الفروق الدقيقة في تأمين صفحاتك أو شفرتك أو قاعدة بياناتك. بمجرد أن يجد المخترق ملفًا به بوابة ، فإنه ينشر ببساطة برامج الزحف التي تبحث في المواقع الأخرى عن هذه الملفات.
6. أعد تثبيت WordPress. عندما أقول إعادة تثبيت WordPress ، أعني ذلك - بما في ذلك المظهر الخاص بك. لا تنس ملف wp-config.php ، وهو ملف لا تتم الكتابة فوقه عند النسخ فوق WordPress. في هذه المدونة ، وجدت أن البرنامج النصي الضار مكتوبًا في Base 64 ، لذا بدا وكأنه كتلة نصية وتم إدراجه في رأس كل صفحة ، بما في ذلك wp-config.php.
7. مراجعة قاعدة البيانات الخاصة بك. ستحتاج إلى مراجعة جدول الخيارات وجدول منشوراتك بشكل خاص - البحث عن أي مراجع أو محتوى خارجي غريب. إذا لم تكن قد نظرت إلى قاعدة البيانات الخاصة بك من قبل ، فاستعد للعثور على PHPMyAdmin أو مدير استعلام قاعدة بيانات آخر داخل لوحة إدارة مضيفك. إنه ليس ممتعًا - لكنه أمر لا بد منه.
8. ابدأ تشغيل WordPress بسمة افتراضية ولا توجد ملحقات إضافية مثبتة. إذا ظهر المحتوى الخاص بك ولم تشاهد أي عمليات إعادة توجيه آلية إلى مواقع ضارة ، فمن المحتمل أنك بخير. إذا حصلت على إعادة توجيه إلى موقع ضار ، فربما ترغب في مسح ذاكرة التخزين المؤقت للتأكد من أنك تعمل من أحدث نسخة من الصفحة. قد تحتاج إلى استعراض سجل قاعدة البيانات الخاص بك عن طريق السجل لمحاولة تحديد أي محتوى قد يكون موجودًا ويمهد الطريق إلى مدونتك. من المحتمل أن قاعدة بياناتك نظيفة ... لكنك لا تعرف أبدًا!
9. تثبيت الموضوع الخاص بك. إذا تم نسخ الشفرة الضارة ، فمن المحتمل أن يكون لديك سمة مصابة. قد تحتاج إلى الانتقال سطراً بسطر خلال المظهر الخاص بك للتأكد من عدم وجود تعليمات برمجية ضارة. قد يكون من الأفضل لك أن تبدأ حديثًا. افتح المدونة حتى تصل إلى منشور ولاحظ ما إذا كنت لا تزال مصابًا.
10. تثبيت الملحقات الخاصة بك. قد ترغب في استخدام مكون إضافي ، أولاً ، مثل خيارات نظيفة أولاً ، لإزالة أي خيارات إضافية من المكونات الإضافية التي لم تعد تستخدمها أو تريدها. لا تصاب بالجنون ، هذا البرنامج المساعد ليس الأفضل ... غالبًا ما يتم عرضه ويسمح لك بحذف الإعدادات التي تريد التمسك بها. قم بتنزيل جميع ملحقاتك من WordPress. قم بتشغيل مدونتك مرة أخرى!

إذا رأيت المشكلة مرة أخرى، فمن المحتمل أنك قمت بإعادة تثبيت مكون إضافي أو سمة معرضة للخطر أو كان هناك شيء مخفي في محتوى موقعك المخزن في قاعدة البيانات. إذا لم تنتهي المشكلة أبدًا، فمن المحتمل أنك حاولت اتباع بعض الاختصارات لاستكشاف هذه المشكلات وإصلاحها. لا تأخذ طريقا مختصرا.

هؤلاء المتسللين أناس سيئون! عدم فهم كل مكون إضافي وملف موضوع يعرضنا جميعًا للخطر ، لذا كن يقظًا. قم بتثبيت المكونات الإضافية ذات التقييمات الرائعة والكثير من التثبيتات وسجل رائع من التنزيلات. اقرأ التعليقات التي ربطها الناس معهم.

كيف تمنع تعرض موقعك للاختراق وتثبيت البرامج الضارة؟

قبل أن تضع موقعك على الهواء مباشرة ... حان الوقت الآن لتقوية موقعك لمنع إعادة الحقن الفوري أو اختراق آخر:

• تحقق كل مستخدم على الموقع. غالبًا ما يقوم المتسللون بحقن البرامج النصية التي تضيف مستخدمًا إداريًا. أزل أي حسابات قديمة أو غير مستخدمة وأعد تعيين محتواها لمستخدم حالي. إذا كان لديك مستخدم اسمه مشرف، أضف مسؤولًا جديدًا بتسجيل دخول فريد وقم بإزالة حساب المسؤول تمامًا.
• إعادة تعيين كلمة مرور كل مستخدم. يتم اختراق العديد من المواقع لأن المستخدم استخدم كلمة مرور بسيطة تم تخمينها في هجوم ، مما يتيح لشخص ما الوصول إلى WordPress والقيام بما يحلو له.
• تعطيل القدرة على تحرير المكونات الإضافية والسمات عبر WordPress Admin. تسمح القدرة على تحرير هذه الملفات لأي متسلل بالقيام بنفس الشيء إذا حصل على حق الوصول. اجعل ملفات WordPress الأساسية غير قابلة للكتابة حتى لا تتمكن البرامج النصية من إعادة كتابة التعليمات البرمجية الأساسية. الكل في واحد يحتوي على مكون إضافي رائع حقًا يوفر WordPress تصلب مع الكثير من الميزات.
• يدويا قم بتنزيل وإعادة تثبيت أحدث الإصدارات من كل مكون إضافي تحتاجه وقم بإزالة أي مكونات إضافية أخرى. قم بإزالة المكونات الإضافية الإدارية تمامًا التي تتيح الوصول المباشر إلى ملفات الموقع أو قاعدة البيانات ، فهذه تعتبر خطيرة بشكل خاص.
• حذف واستبدل جميع الملفات في الدليل الجذر الخاص بك باستثناء مجلد wp-content (so root ، wp-include ، wp-admin) بتثبيت جديد من WordPress تم تنزيله مباشرةً من موقعهم.
• فرق - قد ترغب أيضًا في إجراء فرق بين نسخة احتياطية من موقعك عندما لا تكون لديك برامج ضارة والموقع الحالي ... سيساعدك هذا في معرفة الملفات التي تم تحريرها والتغييرات التي تم إجراؤها. Diff هي وظيفة تطوير تقارن الدلائل والملفات وتوفر لك مقارنة بين الاثنين. مع عدد التحديثات التي تم إجراؤها على مواقع WordPress ، فهذه ليست دائمًا الطريقة الأسهل - ولكن في بعض الأحيان تبرز شفرة البرامج الضارة حقًا.
• صيانة موقعك! يحتوي الموقع الذي عملت عليه في نهاية هذا الأسبوع على إصدار قديم من WordPress به ثغرات أمنية معروفة ، ومستخدمون قدامى لا ينبغي لهم الوصول بعد الآن ، وموضوعات قديمة ، ومكونات إضافية قديمة. كان من الممكن أن يكون أي من هؤلاء هو الذي فتح الشركة للتعرض للاختراق. إذا كنت لا تستطيع الحفاظ على موقعك ، فتأكد من نقله إلى شركة استضافة مُدارة ستقوم بذلك! كان من الممكن أن ينقذ إنفاق بضعة دولارات إضافية على الاستضافة هذه الشركة من هذا الإحراج.

بمجرد أن تعتقد أنك قد حصلت على كل شيء تم إصلاحه وتقويته ، يمكنك إعادة تشغيل الموقع عن طريق إزالة ملف . هتكس إعادة توجيه. بمجرد أن تكون حية ، ابحث عن نفس العدوى التي كانت موجودة سابقًا. عادةً ما أستخدم أدوات فحص المتصفح لمراقبة طلبات الشبكة من خلال الصفحة. أقوم بتتبع كل طلب عبر الشبكة للتأكد من أنه ليس برنامجًا ضارًا أو غامضًا ... إذا كان الأمر كذلك ، فسيتم إعادته إلى الأعلى ويقوم بالخطوات من جديد.

تذكر - بمجرد أن يصبح موقعك نظيفًا ، فلن تتم إزالته تلقائيًا من القوائم السوداء. يجب عليك الاتصال بكل منهم وتقديم الطلب وفقًا لقائمتنا أعلاه.

الحصول على اختراق مثل هذا ليس ممتعًا. تتقاضى الشركات عدة مئات من الدولارات لإزالة هذه التهديدات. عملت ما لا يقل عن 8 ساعات لمساعدة هذه الشركة في تنظيف موقعها.