ریکاوری سایت وردپرس هک‌شده در ۶۰ دقیقه (چک‌لیست اضطراری)

مقدمه

کابوسی که هر صاحب وب‌سایت وردپرسی از آن می‌ترسد، به حقیقت پیوسته است. وارد سایتتان می‌شوید و با یک صفحه ناآشنا، محتوای عجیب یا پیام‌های خطای امنیتی مواجه می‌شوید. یا شاید از طرف هاستینگ خود ایمیلی دریافت کرده‌اید که به شما در مورد فعالیت‌های مشکوک هشدار می‌دهد. در این لحظه، ترکیبی از خشم، استرس و وحشت تمام وجودتان را فرا می‌گیرد. اولین سوالی که به ذهنتان می‌رسد این است: “حالا باید چه کار کنم؟”

نفس عمیق بکشید. خبر خوب این است که در اکثر موارد، این فاجعه قابل جبران است. خبر بهتر؟ شما با داشتن یک نقشه راه و چک‌لیست مشخص، می‌توانید کنترل سایت خود را دوباره به دست بگیرید. این مقاله، راهنمای اورژانسی شماست. ما قصد داریم یک چک‌لیست عملی ۶۰ دقیقه‌ای را در اختیار شما قرار دهیم تا قدم به قدم، سایت هک‌شده خود را پاکسازی، امن و دوباره آنلاین کنید.

هشدار: این فرآیند نیازمند دقت و حوصله است. قبل از شروع، بدانید که بهترین دفاع، همیشه پیشگیری است. اما حالا که در این موقعیت قرار گرفته‌اید، بیایید با هم این بحران را مدیریت کنیم.

اقدام فوری (دقیقه ۰): ایزوله کردن صحنه جرم!

قبل از اینکه تایمر ۶۰ دقیقه‌ای را شروع کنیم، اولین و مهم‌ترین کار، محدود کردن آسیب است.
سایت خود را در حالت تعمیر (Maintenance Mode) قرار دهید.
این کار از دو جهت حیاتی است:

1. محافظت از بازدیدکنندگان: از آلوده شدن کامپیوترهای بازدیدکنندگان شما یا هدایت آن‌ها به سایت‌های کلاهبرداری جلوگیری می‌کند.
2. جلوگیری از فعالیت بیشتر هکر: دسترسی هکر را محدود کرده و به شما اجازه می‌دهد در محیطی ایزوله کار کنید.

می‌توانید با استفاده از یک افزونه مانند WP Maintenance Mode یا افزودن یک فایل .maintenance به ریشه سایت، این کار را به سرعت انجام دهید. حالا تایمر را روشن کنید و بیایید شروع کنیم.

چک‌لیست ریکاوری ۶۰ دقیقه‌ای

مرحله ۱: شناسایی و ارزیابی (دقیقه ۱ تا ۱۵)

در این مرحله، ما باید بفهمیم با چه چیزی طرف هستیم. بدون تشخیص درست، درمان ممکن نیست.

1. با هاستینگ خود تماس بگیرید: به پشتیبانی هاست خود اطلاع دهید که سایت شما هک شده است. آن‌ها ممکن است اطلاعات ارزشمندی در مورد زمان و نوع حمله در لاگ‌های سرور داشته باشند و حتی بتوانند به شما در مسدود کردن IPهای مهاجم کمک کنند.
2. اسکن کامل سایت: از یک اسکنر امنیتی معتبر برای پیدا کردن فایل‌های مخرب، بدافزارها و بک‌دورها (Backdoors) استفاده کنید.
   • افزونه‌های امنیتی: اگر به پیشخوان وردپرس دسترسی دارید، از اسکنر افزونه‌هایی مانند Wordfence یا Sucuri Security استفاده کنید.
   • اسکنرهای آنلاین: اگر دسترسی به پیشخوان ندارید، از اسکنرهای راه دور مانند Sucuri SiteCheck استفاده کنید.
3. نتایج اسکن را بررسی کنید: اسکنر لیستی از فایل‌های آلوده، فایل‌های هسته وردپرس که تغییر کرده‌اند و کدهای تزریق‌شده را به شما نشان می‌دهد. این لیست، نقشه راه شما برای مرحله پاکسازی خواهد بود.

مرحله ۲: پاکسازی و بازیابی (دقیقه ۱۵ تا ۳۵)

این مرحله، قلب عملیات ریکاوری است. ما باید تمام آلودگی‌ها را از بین ببریم. دو سناریو وجود دارد:

سناریوی اول (بهترین حالت): بازیابی از یک بکاپ سالم

اگر به صورت منظم از سایت خود بکاپ تهیه کرده‌اید، این بهترین و سریع‌ترین راه نجات شماست.

1. یک بکاپ “کاملاً سالم” را شناسایی کنید: به تاریخ بکاپ‌های خود نگاه کنید و نسخه‌ای را پیدا کنید که مطمئن هستید قبل از تاریخ هک شدن سایت گرفته شده است.
2. تمام فایل‌ها و دیتابیس فعلی را حذف کنید: قبل از بازیابی، باید کل محتویات فعلی هاست (فایل‌ها و دیتابیس) را پاک کنید تا هیچ اثری از هک باقی نماند.
3. بکاپ سالم را بازیابی کنید: فرآیند بازیابی را انجام دهید.

سناریوی دوم (حالت سخت): پاکسازی دستی

اگر بکاپ سالمی ندارید، باید آستین‌ها را بالا بزنید و به صورت دستی سایت را تمیز کنید.

1. جایگزینی فایل‌های هسته وردپرس: آخرین نسخه وردپرس را از سایت رسمی WordPress.org دانلود کنید. سپس پوشه‌های wp-admin و wp-includes روی هاست خود را به طور کامل حذف کرده و نسخه‌های جدید را جایگزین کنید.
2. بررسی و جایگزینی افزونه‌ها و قالب‌ها: تمام پوشه‌های افزونه‌ها و قالب‌ها را حذف کنید. سپس آن‌ها را مجدداً از مخزن وردپرس یا منبع اصلی خریداری‌شده، نصب نمایید. هرگز از نسخه‌های نال‌شده استفاده نکنید!
3. بررسی فایل wp-config.phpو .htaccess: این دو فایل، اهداف اصلی هکرها هستند. آن‌ها را باز کرده و به دنبال هرگونه کد مشکوک یا ناآشنا بگردید. بهترین کار، مقایسه آن‌ها با یک نسخه استاندارد و سالم است.
4. پاکسازی پوشه wp-content/uploads: این پوشه را به دقت بررسی کنید. هکرها اغلب فایل‌های PHP مخرب (بک‌دور) را در این پوشه آپلود می‌کنند. هر فایلی غیر از فایل‌های رسانه‌ای (عکس، ویدیو، PDF) را با احتیاط حذف کنید.

مرحله ۳: بستن راه‌های نفوذ (دقیقه ۳۵ تا ۵۰)

پاکسازی کافی نیست. باید تمام درهایی که هکر از آن‌ها وارد شده را قفل کنید، وگرنه دوباره هک خواهید شد.

1. تغییر تمام رمزهای عبور (حیاتی):
   • رمز عبور تمام کاربران ادمین وردپرس
   • رمز عبور دیتابیس (از طریق کنترل پنل هاست)
   • رمز عبور هاست (cPanel/DirectAdmin)
   • رمز عبور FTP/SFTP
2. بررسی کاربران وردپرس: به بخش کاربران در پیشخوان وردپرس بروید و به دنبال هرگونه کاربر ادمین ناشناس بگردید. اگر کاربری مشکوک دیدید، فوراً آن را حذف کنید.
3. تغییر کلیدهای امنیتی وردپرس (Salt Keys): این کلیدها اطلاعات ورود شما را رمزنگاری می‌کنند. می‌توانید با استفاده از ابزار آنلاین وردپرس، کلیدهای جدیدی تولید کرده و آن‌ها را در فایل wp-config.php جایگزین کنید. این کار باعث می‌شود تمام کاربران لاگین شده، از سیستم خارج شوند.

مرحله ۴: بازبینی نهایی و بازگشت به حالت آنلاین (دقیقه ۵۰ تا ۶۰)

حالا که سایت را تمیز و امن کرده‌ایم، وقت بازگشت است.

1. یک اسکن نهایی انجام دهید: دوباره با اسکنر امنیتی خود یک اسکن کامل انجام دهید تا مطمئن شوید هیچ اثری از آلودگی باقی نمانده است.
2. حالت تعمیر را غیرفعال کنید: سایت را از حالت Maintenance خارج کرده و آن را دوباره آنلاین کنید.
3. بررسی عملکرد سایت: تمام بخش‌های سایت، از فرم‌ها گرفته تا فرآیند خرید (اگر فروشگاه دارید) را تست کنید تا مطمئن شوید همه چیز به درستی کار می‌کند.

پس از طوفان: کارهایی که بعد از ریکاوری باید انجام دهید

کار شما تمام نشده است. برای تکمیل فرآیند و جلوگیری از تکرار این کابوس، این اقدامات را انجام دهید:

1. بررسی Google Search Console: وارد حساب کاربری سرچ کنسول خود شوید و در بخش “Security issues” ببینید آیا گوگل سایت شما را به عنوان سایت مخرب شناسایی کرده است یا خیر. اگر هشداری وجود داشت، پس از پاکسازی کامل، درخواست بازبینی (Request a Review) ثبت کنید.
2. ریشه مشکل را پیدا کنید: از خود بپرسید هکر چگونه وارد شد؟ آیا از یک افزونه آسیب‌پذیر استفاده می‌کردید؟ آیا رمز عبور شما ضعیف بود؟ آیا وردپرس شما به‌روز نبود؟ شناخت ریشه مشکل، کلید جلوگیری از تکرار آن است.

نتیجه‌گیری

تبریک می‌گوییم! شما یکی از پراسترس‌ترین تجربیات مدیریت یک وب‌سایت را پشت سر گذاشتید. فرآیند ریکاوری سایت هک‌شده، یک عملیات اورژانسی و پیچیده است که به شما نشان می‌دهد امنیت وردپرس چقدر شکننده و در عین حال حیاتی است. این تجربه تلخ، یک درس بزرگ به همراه دارد: پیشگیری همیشه، همیشه و همیشه آسان‌تر، ارزان‌تر و هوشمندانه‌تر از درمان است.

شما با صرف ساعت‌ها استرس و کار فنی، سایت خود را نجات دادید. اما آیا نمی‌خواهید با صرف کسری از این زمان، یک بار برای همیشه یاد بگیرید که چگونه یک دژ نفوذناپذیر بسازید تا دیگر هرگز این کابوس را تجربه نکنید؟

شما به تازگی طعم تلخ ناامنی را چشیده‌اید و می‌دانید که یک لحظه غفلت چقدر می‌تواند پرهزینه باشد. حالا بهترین زمان است تا دانش خود را یک سطح بالاتر ببرید و از یک “واکنش‌دهنده به بحران” به یک “معمار امنیت” تبدیل شوید.

اگر می‌خواهید تمام تکنیک‌های پیشگیرانه، از سفت‌کاری هسته وردپرس و انتخاب افزونه‌های امن گرفته تا تنظیمات پیشرفته فایروال و مانیتورینگ حرفه‌ای را یاد بگیرید، ما شما را به دوره جامع افزایش امنیت وردپرس دعوت می‌کنیم. در این دوره از پیشرو آکادمی، به شما یاد می‌دهیم که چگونه فکر یک هکر را بخوانید و تمام راه‌های نفوذ را قبل از اینکه حتی به آن‌ها فکر کنند، مسدود کنید.

روی آرامش خاطر خود سرمایه‌گذاری کنید. اجازه ندهید این اتفاق دوباره تکرار شود. همین امروز در دوره ما ثبت‌نام کنید و کنترل کامل امنیت سایت خود را برای همیشه در دست بگیرید!