چگونه بفهمیم سایتمان هک شده؟ – امنیت وردپرس (قسمت 6)

چگونه بفهمیم سایتمان هک شده؟ امنیت وردپرس

اکثر مشتریانی که با ما برای کمک بعد از هک شدن سایت‌شان تماس گرفته‌اند این مشکل را زمانی درک کرده‌اند که مرورگر آنها در هنگام بازدید از سایت به آنها اخطار داده است، و یا اینکه شرکت هاستینگ سایت‌شان را از دسترس خارج کرده است. این یک فاجعه محسوب می‌شود زیرا به این معنی است که سایت‌شان به اندازه‌ی کافی آلوده شده است که هکرها به آن آسیب بزنند. آسیبی که آنها زده‌اند باعث شده است که شرکت هاستینگ سایت را از دسترس خارج کند و یا اینکه گوگل سایت را آلوده، اسپمر و یا مهاجم فیشینگ تشخیص داده است.

به همین دلیل است که ما مشتریان خود را تشویق به سرمایه‌گذاری در امنیت سایت‌شان تشویق می‌کنیم. شما می‌توانید از افزونه‌های مختلف زیادی استفاده کنید. به هر حال مهم است که راهی داشته باشید تا در صورت تغییر فایل‌هایتان و یا کشف یک بدافزار و یا هر فعالیت مشکوک دیگری سریعا مطلع شوید.

حالا بیایید تا راههای مختلف برای کشف اینکه سایت‌تان هک شده است را با هم بشناسیم.

روش های واکنشی برای شناسایی اینکه سایت‌ شما هک شده است

حتی قوی‌ترین سیستم هشدار دهی مدیریت هم نمی‌تواند سایت را در 100% زمان مانیتور کند. بهترین ابزارهای مانیتورینگ هم بین دو زمان چک یا اسکن کردن سایت تاخیر دارند. بنابراین ممکن است شما هک شدن سایت‌ خود را از طریق منابع خارجی دیگری بفهمید. خوب حالا در مورد چند روش که ما را از هک شدن سایتمان مطلع می‌کنند صحبت خواهیم کرد. دلیل معرفی این روش‌ها این است که همه‌ی این روش‌ها منبعی برای اطلاع از وضعیت سلامت سایتمان هستند.

گوگل کروم ( یا هر مرورگر دیگری) هشدار می‌دهد که سایت شما هک شده است

اگر هرکدام از بازدیدکنندگان و یا خود شما یکی از هشدارهای زیر را در کروم دیدید، به احتمال بسیار زیاد سایت شما هک و به بدافزار آلوده شده است.

هشدار بالایی اعلام می‌کند که سایت شما برای مقاصد فیشینگ استفاده شده است. ایمیلی حاوی لینکی از سایت شما به یک قربانی فرستاده شده است. هکر با استفاده از سایت شما و بدافزار سعی در تحریک قربانی داشته است تا عملیاتی را که مد نظر دارد توسط قربانی انجام گیرد.

چگونه بفهمیم وردپرس هک شده

هشدار بالا نیز اعلام می‌کند که سایت شما یک بدافزار را میزبانی می‌کند. هکری به سایت شما نفوذ کرده است، بدافزاری را برروی آن نصب کرده است و حالا در حال آلوده کردن سیستم‌های بازدیدکنندگان و کاربران سایت شما می‌باشد.

شرکت هاستینگ سایت شما را بخاطر هک شدن از دسترس خارج کرده است

در اینصورت احتمالا هاستینگ شما گزارش‌هایی را از سمت بازدید‌ کنندگان سایت‌تان مبنی بر هک شدن سایت دریافت کرده است. احتمال دیگر این است که سیستم‌های امنیتی اتوماتیک آنها به این اتفاق پی برده‌اند و به آنها اخطار داده‌اند و یا اینکه هشدار را از سمت سیستم‌هایی خارج از شرکت‌ دریافت کرده‌اند. در هرصورت آنها معمولا بلافاصله بعد از آگاهی از شرایط، سایت شما را از دسترس خارج خواهند کرد.

در نظر داشته باشید که بعضی از شرکت‌های هاستینگ، سیاستی دارند که حساب سایت آلوده شده را سریعا فرمت می‌کنند. دلیل اینکار آنها این است که این آلودگی برروی سایت‌های دیگر نیز سرایت نکند، حتی در شرایطی که سایت شما از دسترس خارج است. به همین دلیل نیز داشتن فایل پشتیبان از سایت‌تان بسیار مهم است.

هاستینگ معمولا از طریق ایمیل، شما را از ماجرای از دسترس خارج شدن سایت‌تان باخبر خواهد کرد.

نتایج جستجوی گوگل نشان می‌دهد که سایت شما هک شده و یا خطرناک است

اگر شما و یا یکی از بازدید کنندگان سایت‌ شما متوجه این نتایج جستجو شوند، به احتمال زیاد سایت‌تان هک شده است.

نتایج جستجوی گوگل نشان می‌دهد که سایت شما هک شده

نتایج جستجوی گوگل نشان می‌دهد که سایت شما هک شده

گوگل معمولا سایت‌های هک شده را از لیست نتایج خود به راحتی پاک می‌کند. اما در برخی موارد نیز ممکن است سایت در لیست نتایج باشد ولی درکنار توضیحی که می‌گوید ” این سایت هک شده است” و یا اینکه” این سایت ممکن است به کامپیوتر شما آسیب بزند”. وقتی که شما برروی سایت کلیک می‌کنید، مرورگر شما یکی از دو هشدار بالایی را نیز خواهد داد. برخی از دیگر مرورگرها ممکن است در مورد سایت هشدار ندهند، به همین دلیل است که این هشدار در لیست جستجو نیز قرار گرفته است.

پیغام “This site may be hacked” به این معنی است که گوگل چیزی خارج از عرف همیشگی در سایت شما یافته است، ممکن است تغییراتی در صفحات وجود داشته باشد و یا تغییراتی در سئو برای اسپم و ریدایرکت کردن. این سایت‌ها معمولا هشدار استاندارد گوگل مبنی بر وجود بدافزار در سایت را نشان نمی‌دهند.

پیغام “This site may harm your computer” به این معنی است که گوگل در این سایت بدافزار پیدا کرده است و اگر شما از سایت بازدید می‌کنید یعنی ریسک این کار را برعهده گرفته‌اید و اگر برروی لینک سایت کلیک کنید در ادامه هشدار گوگل را مبنی بر ناامن بودن سایت، خواهید دید.

کنسول جستجوی گوگل به شما در مورد وجود بدافزار در سایت هشدار می‌دهد

حتما با کنسول جستجوی گوگل  که به آن Google webmaster tools نیز می‌گویند آشنا هستید. اگر سایتی دارید و برای آن کنسول جستجوی گوگل راه اندازی نکرده‌اید، بهتر است دست به کار شوید. این کنسول به شما در مورد مشکلاتی که گوگل ممکن است در ایندکس کردن سایت شما لحاظ کند اطلاع و همچنین آمار و ارقام بازدیدهای سایت شما از طریق جستجو را نشانتان می‌دهد.

این کنسول می‌تواند هشدارهای لازم را به شما ایمیل کند، مثلا اگر سایت‌تان آلوده به بدافزار شده باشد. به بخش “Search Console Preferences ” بروید و در آنجا قسمت email alerts را فعال کنید. این کار باعث می‌شود تا در صورت اینکه گوگل بدافزاری برروی سایت شما شناسایی کرد، سریعا از آن باخبر شده و شاید بتوانید قبل از اینکه برای ورود به سایت‌تان هشدار نشان دهند، این مساله را حل کنید.

وقتی که وارد کنسول جستجوی گوگل شدید، به قسمت “Security Issues” مراجعه کرده و اگر در آنجا هشداری مانند عکس پایین بود، نشان دهنده این است که سایت‌تان آلوده شده است.

کنسول جستجوی گوگل به شما در مورد وجود بدافزار در سایت هشدار می‌دهد

اسکنر بدافزار به شما هشدار آلودگی و یا هک شدن نشان خواهد داد

اگر شما از افزونه و یا دیگر محصولات امنیتی برای اسکن بدافزار در سایت‌تان استفاده می‌کنید، ممکن است هشداری در مورد اینکه سایت‌تان آلوده شده است دریافت کرده باشید. این بهترین روش آگاهی از هک شدن سایت است زیرا معمولا کمترین طول زمان را بین آلوده شدن و شناسایی آلودگی دارد.

معمولا این هشدارها را از طریق ایمیل دریافت خواهید کرد، پس مهم است که چشمتان را از روی هشدارهای سایت برندارید. حتما به تنظیمات اسکنرها رفته و مشخص کنید که در چه شرایطی دوست دارید تا ایمیل دریافت کنید.

یکی از مشتریانتان با شما تماس گرفته و خبر از هک شدن سایت‌تان می‌دهد

بازدیدکنندگان سایت‌تان معمولا بیشتر از شما به سایت شما سر میزنند. اگر روزانه چندین هزار بازدید کننده داشته باشید و سایت‌‌تان طوری هک شده باشد که همگی بتوانند آن را ببینند، در اینصورت احتمالا یکی از مشتریان و بازدیدکنندگان سایت‌تان با شما تماس خواهد گرفت و شما را مطلع خواهد ساخت. اینکار به احتمال زیاد قبل از هشدار گوگل صورت خواهد پذیرفت. با مشتریان خود صحبت کرده و به آنها بگویید که سریعا وارد عمل می‌شوید و سپس سریعا سایت‌تان را از دسترس خارج کنید.

روشهایی برای آگاهی از هک شدن سایت پیش از اخطار گوگل یا مشتریان

استفاده از یک اسکنر سورس کد

آلودگی ها معمولا به خوبی پنهان میشوند و به دید کاربران سایت دیده نمی‌شوند. شما می‌توانید از یک اسکنر بدافزار برای اسکن کردن سورس کد خود استفاده کنید. این اسکنر بصورت اتوماتیک تمام کدهای PHP و یا دیگر کدهای شما برای الگوهای بدافزاری اسکن خواهد کرد و به شما در صورت وجود چنین الگویی هشدار خواهد داد.

اسکنرهای سورس کد از مکانیزم‌‌های متعددی برای تشخیص هک شدن استفاده می‌کنند. روش اصلی برای تشخیص، جستجو برای الگو و امضای یک بدافزار معروف است که در کد شما صدق کند. آلودگی‌های جدید با این روش شناسایی نمی‌شوند، بنابراین روش دیگر که نسبت به روش قبلی پیچیده‌تر است، مقایسه سورس کد شما با یک ورژن سالم همان سورس کد است.

برای مثال اسکنر افزونه Wordfence، سورس کد هسته‌ی وردپرس، پوسته و افزونه شما را با یک نسخه‌ی سالم از همان محصولات مقایسه می‌کند و در صورت پیدا کردن هرگونه تغییری آن را به شما اطلاع می‌دهد. این روش آلودگی‌های جدیدتر را که هنوز الگوی مشخصی برای آنان وجود ندارد، تشخیص می‌دهد. انجام اسکن دستی با استفاده از اسکنر سورس کد یکی از موثرترین روشها برای تشخیص و تمیز کردن بدافزار و هک شدن است.

استفاده از سرویس مانیتورینگ که شامل مشاهده تغییرات در سایت نیز هست

ما از یک سرویس مانیتورینگ برروی سایت‌مان استفاده می‌کنیم که down-time را به ما اطلاع می‌‌دهد. همچنین این سرویس قابلیتی نیز دارد که در صورت تغییر یک صفحه بیشتر از درصد مشخص شده، به ما اطلاع دهد. بسیاری از صفحات هیچگاه تغییر نمی‌کنند و یا اینکه تغییر کوچکی در تاریخ و سال کپی رایت خواهند داشت. ما تمام این صفحات را مانیتور میکنیم تا در صورت بروز تغییری بیش از حداقل مورد نظر، از آن آگاه شویم.

مانیتور ترافیک سایت و جستجو برای نقاط اوج

اگر سایت شما بصورت دراماتیک یک افزایش ترافیک شدید را تجربه کند، سریعا باید سورس کد خود را اسکن کنید تا مطمئن شوید که هک نشده‌اید. سایت‌های هک شده معمولا این افزایش شدید ناگهانی را تجربه می‌کنند.

یکی از دلایل افزایش ترافیک ناگهانی این است که سایت شما وارد یک کمپین اسپمینگ شده است. هکر اسپمهای زیادی را حاوی لینک سایت شما میفرستند که یا حاوی بدافزار هستند و یا اینکه به سمت یک سایت مخرب ریدایرکت می‌کنند. هکرها با اینکار از سیستم‌های تشخیص اسپم در امان می‌مانند. سایت شما یک دامنه تمیز و بدون مشکل است و سیستم‌های اسپمینگ تا به حال اسم سایت شما را به عنوان سایت مخرب نشنیده و لیست نکرده‌اند. در نتیجه وقتی لینک سایت شما در پیغام‌های اسپم وجود دارد، دیگر فیلتر نمی‌شود و شما یک ترافیک بسیار زیاد را برروی سایت‌تان مشاهده خواهید کرد.

علاوه بر ابزارهای مانیتورینگ ترافیک که پایه جاوا اسکریپتی دارند مانند گوگل آنالیتیک،  شما باید ترافیک سایت‌تان را برای حضور botها نیز مانیتور کنید که معمولا توسط گوگل آنالیتیک ثبت نمی‌شوند. شرکت ارائه دهنده هاست شما نیز ممکن است چنین ابزاری را داشته باشد و بتواند چنین سرویسی به شما ارائه دهد.

سایت خود را منظم چک کنید

اگر هرگونه تغییری و یا هرگونه نوشته‌‌ی عجیبی را در صفحات خود دیدید، باید سریعا سایت‌تان را به منظور یافتن آلودگی اسکن کنید. همچنین error های PHP نیز می‌تواند نشانه ای از آلوده شدن سایت شما باشد که این اخطارها معمولا در بالای صفحات ظاهر می‌شوند، کمی بالاتر از محتوای اصلی.

به طور روزانه حداقل چند تا از صفحات و نوشته‌های خود را چک کنید تا در صورت بروز چنین مشکلاتی بتوانید سریع‌تر دست به کار شوید.

از یک Remote Scanner استفاده کنید

ریموت اسکنرها سایت شما را بصورت render شده بررسی می‌کنند. به این صورت که آنها به html کدی که سایت‌تان تولید می‌کند نگاه می‌کنند و نه به سورس کد اصلی سایت. این باعث می‌شود که اگر بدافزار در کدهای html جاسازی شده باشد، شناسایی شود.

هکرها اکثر کد بدافزار خود را طوری می‌نویسند که برای بازدید کنندگانی خاص در بازه زمانی خاص و با شرایط خاص نشان داده شود. به همین دلیل ممکن است که ریموت اسکنرها به دلیل فعال نبودن بدافزار در آن شرایط زمانی و آدرسی، نتوانند آن را تشخیص دهند. با این حال ریموت اسکنرها بسیاری از بدافزارهای غیرپیچیده را شناسایی می‌کنند و به همین دلیل نیز بهتر است از آنها نیز استفاده کنید.

در اینجا چندتا از اسکنرهای فایل و ریموت اسکنرها را که به شما در تشخیص آلودگی‌ها کمک می‌کنند، معرفی میکنیم:

  • سایت VirusTotal.com قابلیتی برای اسکن بر اساس Url دارد که سایت شما را در برابر پایگاه داده‌ای از ویروس‌‌ها چک می‌کند و در نهایت نتیجه را به شما اعلام می‌کند.
  • SpamHaus لیستی از سایت‌‌های استفاده شده برای مقاصد اسپمینگ را دارد. اگر hostname و یا ip شما در این لیست نبود، به این معنی است که تا به حال گزارشی در مورد اسپمینگ در مورد سایت شما ارائه و یا بدافزاری برروی آن اعلام نشده است.
  • Google Safe browsing ابزاری است که با وارد کردن hostname و آدرس دامنه خود می‌توانید بدانید که آیا سایت‌تان برای مقاصد فیشینگ استفاده شده است و یا حاوی بدافزار هست یا خیر. همچنین این ابزار به شما در مورد تاریخچه‌ی گوگل در آخرین اسکنی که از سایت شما کرده است، اطلاعاتی خواهد داد.
  • urlquery.net یک آنالیز بسیار مفید برایتان انجام می‌دهد. سایت را با سیستم‌های تشخیص نفوذ  Snort و Suricata چک کرده، فایل های capture شده را نشان می‌دهد، لیست‌های سیاهی که سایت شما در آنها حضور دارد را نشان می‌دهد و کلی کار دیگر.
  • aw-snap.info شامل یک ابزار مشاهده فایلهاست که تگ‌ها و iframe ها را هایلایت می‌کند. اجازه بررسی HTTP هدرها را می‌دهد. بین user agent های مختلف می‌توانید سوییچ کنید و … .

نشانه های هک شدن سایت وردپرسی

نتیجه گیری

در این مقاله سعی کردیم تا ابزارهای مختلفی را برای بررسی سایت جهت آگاهی سریع از هک شدن سایت معرفی کنیم. مدیریت یک سایت برای هک نشدن، نیازمند تلاش بی وقفه و سختی نیست، ولی توسعه یک راهکار روتین برای چک کردن سایت می‌تواند باعث شود که از مشکلات زودتر آگاه شده و قبل از ایجاد صدمه بیشتر، راه حلی برای آن اجرا کنید.

مقالات امنیت وردپرس

میلاد کاظمی
وردپرس سیستم مدیریت محتوای محبوب من هستش و اینجا سعی خواهم کرد در امن تر کردن هرچه بیشتر وبسایت های فارسی کمکتون کنم.

یک پاسخ بنویسید

avatar