چگونه می توان در سایت وردپرس هک شده Backdoor پیدا کرد و آن را برطرف کرد

از

بارها و بارها ، ما به کاربران کمک کرده ایم سایت های هک شده وردپرس خود را برطرف کنند. در بیشتر مواقع که آنها با ما تماس می گیرند ، آنها سایت را تمیز کرده اند و هکر قادر به ورود به آن شده است. این اتفاق می افتد اگر شما آن را به درستی تمیز نکرده باشید یا نمی دانید به دنبال چه چیزی هستید . در بیشتر مواردی که متوجه شدیم ، یک درب پشتی وجود دارد که توسط هکر ایجاد شده است و به آنها اجازه می دهد تا احراز هویت طبیعی را پشت سر بگذارند. در این مقاله ، ما به شما نشان خواهیم داد که چگونه یک درب پشت در یک سایت هک شده وردپرس پیدا کنید و آن را برطرف کنید.

Backdoor چیست؟ h4>

Backdoor به روشی برای دور زدن احراز هویت طبیعی و به دست آوردن توانایی دسترسی از راه دور به سرور در حالی که شناسایی نشده است ، گفته می شود. اکثر هکرهای هوشمند همیشه درب پشتی را به عنوان اولین چیز بارگذاری می کنند. این به آنها امکان می دهد حتی پس از پیدا کردن و حذف افزونه مورد سو استفاده ، دسترسی مجدد پیدا کنند. Backdoors اغلب از بروزرسانی ها دوام می آورند ، بنابراین تا زمانی که این خرابکاری را مرتفع نکنید سایت شما آسیب پذیر است.

برخی از درهای پشتی به کاربران اجازه می دهند نام کاربری مدیر مخفی ایجاد کنند. در حالی که درهای پشتی پیچیده تر می توانند به هکرها اجازه دهند هر کد PHP ارسال شده از مرورگر را اجرا کنند. دیگران دارای رابط کاربری کامل هستند که به آنها امکان می دهد به عنوان سرور شما ایمیل بفرستند ، درخواست های SQL را اجرا کنند و هر کار دیگری را که می خواهند انجام دهند.

Backdoor Screenshot

این کد کجا پنهان شده است؟ h4>

درهای پشتی نصب شده در وردپرس معمولاً در مکانهای زیر ذخیره می شوند:

  1. مضامین – به احتمال زیاد در موضوع فعلی استفاده نمی کنید. هکرها می خواهند این کد برای زنده ماندن در به روزرسانی های اصلی وجود داشته باشد. بنابراین اگر تم قدیمی کوبریک را در فهرست موضوعات خود نشسته اید ، یا تم غیرفعال دیگری دارید ، کدها احتمالاً در آن قرار دارند. به همین دلیل است که ما توصیه می کنیم همه مضامین غیرفعال را حذف کنید.
  2. پلاگین – پلاگین ها به سه دلیل مکان خوبی برای پنهان کردن کد توسط هکر هستند. یکی به این دلیل که مردم واقعاً به آنها نگاه نمی کنند. دو مورد به این دلیل است که مردم دوست ندارند افزونه های خود را به روز کنند ، بنابراین از این نسخه های به روز شده زنده می مانند (افراد آنها را به روز نگه می دارند). سه ، برخی از پلاگین های کدگذاری نشده وجود دارد که احتمالاً برای شروع آسیب پذیری های خاص خود را دارند.
  3. فهرست بارگذاری ها – به عنوان یک وبلاگ نویس ، هرگز فهرست بارگذاری های خود را بررسی نمی کنید. چرا تو میخواهی؟ شما فقط تصویر را بارگذاری کرده و از آن در پست خود استفاده می کنید. شما احتمالاً هزاران تصویر در پوشه آپلودها تقسیم بر سال و ماه دارید. برای هکر بارگیری درب پشتی در پوشه بارگذاری بسیار آسان است زیرا در بین هزاران پرونده رسانه پنهان می شود. به علاوه شما آن را مرتباً چک نمی کنید. بیشتر افراد پلاگین نظارتی مانند Sucuri ندارند. سرانجام ، فهرست بارگذاری ها قابل نوشتن است ، بنابراین می تواند همانطور که قرار است کار کند. این امر آن را به یک هدف عالی تبدیل می کند. بسیاری از درهای پشتی که پیدا می کنیم در آنجا هستند.
  4. wp-config.php – این نیز یکی از پرونده های بسیار هدفمند توسط هکرها است. همچنین این یکی از اولین مکانهایی است که به بیشتر افراد گفته می شود که آنها را نگاه کنند.
  5. شامل پوشه – / wp-περιλαμβάνει / پوشه مکان دیگری است که درهای پشتی را می یابیم. برخی از هکرها همیشه بیش از یک پرونده درب پشتی باقی می گذارند. هنگامی که یکی را بارگذاری کردند ، برای اطمینان از دسترسی ، پشتیبان دیگری اضافه می کنند. پوشه Included یکی دیگر از پوشه هایی است که اکثر افراد برای دیدن آن زحمت نمی کشند.

در تمام مواردی که پیدا کردیم ، درب پشتی شبیه به یک فایل وردپرس مبدل شده است.

به عنوان مثال: در یک سایت که ما تمیز کردیم ، درب پشتی در پوشه wp-περιλαμβάνει بود و wp-user.php نامیده می شد (این در نصب عادی وجود ندارد). user.php وجود دارد اما هیچ wp-user.php در پوشه / wp-περιλαμβάνει / وجود ندارد. در یک نمونه دیگر ، یک فایل php به نام hello.php در پوشه بارگذاری ها پیدا کردیم. به عنوان افزونه Hello Dolly مبدل شد. اما چرا هک در پوشه بارگذاری است؟ D’oh.

همچنین می تواند از نام هایی مانند wp-content.old.tmp ، data.php ، php5.php یا مواردی از این دست استفاده کند. فقط به این دلیل که کد PHP در آن است لازم نیست که با PHP خاتمه یابد. همچنین می تواند یک فایل .zip باشد. در بیشتر موارد ، این پرونده ها با کد base64 رمزگذاری می شوند که معمولاً همه نوع عملیات را انجام می دهند (به عنوان مثال پیوندهای هرزنامه را اضافه کنید ، صفحات اضافی اضافه کنید ، سایت اصلی را به صفحات ناخواسته هدایت کنید و غیره).

اکنون احتمالاً فکر می کنید که وردپرس ناامن است زیرا امکان ایجاد درهای پشتی را می دهد. شما اشتباه مرده اید. نسخه فعلی وردپرس هیچ آسیب پذیری شناخته شده ای ندارد. Backdoors اولین قدم هک نیست. معمولاً مرحله دوم است. اغلب هکرها سو in استفاده ای را در یک افزونه یا اسکریپت شخص ثالث پیدا می کنند که به آنها امکان بارگذاری درب پشتی را می دهد. نکته: هک TimThumb. هرچند می تواند همه نوع باشد. به عنوان مثال ، یک پلاگین با کد ضعیف می تواند افزایش امتیاز کاربر را مجاز کند. اگر سایت شما ثبت نام باز داشته باشد ، هکر فقط می تواند به صورت رایگان ثبت نام کند. برای به دست آوردن امتیازات بیشتر (که سپس به آنها امکان بارگذاری پرونده ها را می دهد) از یک ویژگی بهره ببرید. در موارد دیگر ، به خوبی می تواند اعتبار شما را به خطر بیندازد. همچنین ممکن است شما از یک ارائه دهنده میزبانی بد استفاده می کنید. به لیست پیشنهادی میزبانی وب ما مراجعه کنید.

چگونه درب پشتی را پیدا و تمیز کنیم؟ h4>

اکنون که می دانید درب پشتی چیست و کجا می توان آن را یافت. شما باید شروع به جستجوی آن کنید. پاکسازی آن به آسانی حذف پرونده یا کد است. با این حال ، قسمت دشوار یافتن آن است. می توانید با یکی از موارد زیر شروع کنید افزونه های وردپرس اسکنر بدافزار . از این موارد ، ما را توصیه می کنیم Sucuri (بله پرداخت می شود).

همچنین می توانید از Exploit Scanner استفاده کنید ، اما به یاد داشته باشید که از کدهای base64 و eval نیز در پلاگین ها استفاده می شود. بنابراین گاهی اوقات بسیاری از موارد مثبت کاذب را برمی گرداند. اگر شما توسعه دهنده افزونه ها نیستید ، پس واقعاً برای شما سخت است که بدانید کد موجود در هزاران کد کد ، جای خود را ندارد. بهترین کاری که می توانید انجام دهید این است که فهرست پوشه های خود را حذف کنید و پلاگین های خود را دوباره از ابتدا نصب کنید. بله ، این تنها راهی است که می توانید مطمئن باشید مگر اینکه وقت زیادی برای گذران وقت داشته باشید.

فهرست بارگذاری ها را جستجو کنید

یکی از افزونه های اسکنر یک پرونده سرکش را در پوشه بارگذاری پیدا می کند. اما اگر با SSH آشنا هستید ، فقط باید دستور زیر را بنویسید: 

 بارگذاری ها را پیدا کنید -نام "* .php" -print

دلیل خوبی برای قرار گرفتن یک پرونده .php در پوشه بارگذاری شما وجود ندارد. این پوشه در بیشتر موارد برای پرونده های رسانه ای طراحی شده است. اگر یک پرونده .php در آن وجود دارد ، باید آن را ذخیره کنید.

حذف مضامین غیرفعال

همانطور که در بالا ذکر کردیم ، غالباً مضامین غیرفعال هدف قرار می گیرند. بهترین کار این است که آنها را حذف کنید (yup این شامل تم پیش فرض و کلاسیک است). اما صبر کنید ، من بررسی نکردم که در پشتی در آنجا باشد یا نه. اگر بود ، حالا دیگر از بین رفته است. شما فقط وقت خود را از نگاه صرفه جویی کردید و یک نقطه حمله اضافی را از بین بردید.

. پرونده htaccess

گاهی اوقات کدهای تغییر مسیر به آنجا اضافه می شوند. فقط پرونده را حذف کنید ، و آن خود دوباره ایجاد می شود. اگر اینگونه نیست ، به پنل مدیریت وردپرس خود بروید. تنظیمات »پیوندهای ثابت. روی دکمه ذخیره در آنجا کلیک کنید. این پرونده .htaccess را دوباره ایجاد می کند.

پرونده wp-config.php

این پرونده را با پرونده پیش فرض wp-config-sample.php مقایسه کنید. اگر چیزی را مشاهده کردید که جای خود نیست ، خلاص شوید.

اسکن پایگاه داده برای بهره برداری و هرزنامه

یک هکر هوشمند هرگز فقط یک نقطه امن نخواهد داشت. آنها موارد متعددی را ایجاد می کنند. هدف قرار دادن یک پایگاه داده پر از داده یک ترفند بسیار آسان است. آنها می توانند عملکردهای بد PHP ، حسابهای اداری جدید ، پیوندهای SPAM و غیره را در پایگاه داده ذخیره کنند. بله ، گاهی اوقات کاربر مدیر را در صفحه کاربر خود نمی بینید. خواهید دید که 3 کاربر وجود دارد و فقط می توانید 2 مورد را مشاهده کنید. احتمال هک شدن شما وجود دارد.

اگر نمی دانید با SQL چه کاری انجام می دهید ، احتمالاً می خواهید به یکی از این اسکنرها اجازه دهید کار شما را انجام دهند. Exploit Scanner plugin یا Sucuri (نسخه پولی) هر دو از این امر مراقبت می کنند.

فکر می کنید آن را تمیز کرده اید؟ دوباره فکر کنید

بسیار خوب ، بنابراین هک از بین رفته است. پیو دست نگه دارید ، هنوز فقط آرام نگیرید. مرورگر خود را در حالت ناشناس باز کنید تا ببینید آیا هک دوباره برمی گردد. گاهی اوقات ، این هکرها باهوش هستند. آنها هک را برای ورود به سیستم کاربران نشان نمی دهند. فقط کاربران خارج شده آن را می بینند. یا بهتر از این ، سعی کنید کاربری مرورگر خود را به عنوان Google تغییر دهید. بعضی اوقات ، هکرها فقط می خواهند موتورهای جستجو را هدف قرار دهند. اگر همه چیز عالی به نظر می رسد ، پس شما خوب هستید.

Just FYI: اگر می خواهید 100٪ مطمئن باشید که هک نشده است ، سایت خود را حذف کنید. و آن را تا جایی برگردانید که بدانید هک در آنجا نبود. این ممکن است برای همه گزینه ای نباشد ، بنابراین شما باید در لبه زندگی کنید.

چگونه می توان از هک کردن در آینده جلوگیری کرد؟ h4>

توصیه شماره 1 ما این است که از نسخه پشتیبان تهیه کنید ( VaultPress یا BackupBuddy

) و استفاده از سرویس نظارت را شروع کنید. همانطور که قبلاً گفتیم ، شما نمی توانید همه چیزهایی را که در سایت شما قرار می گیرد هنگام انجام چندین کار دیگر کنترل کنید. به همین دلیل ما از Sucuri استفاده می کنیم. ممکن است به نظر برسد که ما آنها را تبلیغ می کنیم. اما ما نیستیم. بله ، ما از هر کسی که برای Sucuri ثبت نام می کنیم کمیسیون وابسته دریافت می کنیم. ، اما این دلیل نیست که ما آن را توصیه می کنیم. ما فقط محصولاتی را پیشنهاد می دهیم که از آنها استفاده می کنیم و دارای کیفیت هستند. نشریات مهم مانند CNN ، USAToday ، PC World ، TechCrunch ، TheNextWeb و دیگران نیز این افراد را توصیه می کنند. به این دلیل که آنها در کارهایی که انجام می دهند مهارت دارند.

مقاله ما را در 5 دلیل استفاده ما از Sucuri برای بهبود امنیت وردپرس خود استفاده کنید

چند کار دیگر که می توانید انجام دهید:

  1. از گذرواژه های قوی استفاده کنید – گذرواژه های قوی را به کاربران خود مجبور کنید. استفاده از ابزار مدیریت رمز عبور مانند 1Password را شروع کنید.
  2. احراز هویت 2 مرحله ای a > – اگر رمز ورود شما به خطر بیفتد ، کاربر همچنان باید کد تأیید را از تلفن شما داشته باشد.
  3. محدود کردن ورود به سیستم – این پلاگین به شما امکان می دهد قفل را قفل کنید کاربر پس از X شماره تلاش ناموفق برای ورود ، از سیستم خارج شود.
  4. غیرفعال کردن ویرایشگرهای قالب و پلاگین – این از مشکلات تشدید کاربر جلوگیری می کند. حتی اگر امتیازات کاربر افزایش یابد ، آنها نمی توانند موضوع یا پلاگین های شما را با استفاده از WP-Admin اصلاح کنند.
  5. Password Protect WP-Admin – می توانید از کل پوشه محافظت کنید. همچنین می توانید محدودیت دسترسی توسط IP .
  6. غیرفعال کردن اجرای PHP در بعضی دایرکتوری های وردپرس – این کار اجرای PHP را در فهرست های بارگذاری و سایر فهرست های دلخواه شما غیرفعال می کند. اساساً بنابراین حتی اگر کسی قادر به بارگذاری پرونده در پوشه بارگذاری شما باشد ، نمی تواند آن را اجرا کند.
  7. به روز شده بمانید – آخرین نسخه وردپرس را اجرا کنید و افزونه های خود را ارتقا دهید.

در آخر ، وقتی صحبت از امنیت می شود ارزان نباشید. ما همیشه می گوییم که بهترین اقدام امنیتی پشتیبان گیری عالی است. لطفاً لطفاً پشتیبان گیری منظم از سایت خود داشته باشید. اکثر شرکت های میزبان این کار را برای شما انجام نمی دهند. شروع استفاده از یک راه حل قابل اعتماد مانند BackupBuddy یا VaultPress . به این ترتیب اگر هرگز هک شوید ، همیشه یک نقطه بازیابی دارید. همچنین اگر می توانید ، فقط Sucuri را دریافت کرده و خود را نجات دهید همه دردسرها آنها سایت شما را کنترل کرده و در صورت هک شدن آن را تمیز می کنند. اگر برنامه 5 سایت را دریافت کنید ، هر ماه 3 دلار می شود.

امیدواریم که این مقاله به شما کمک کرده باشد. اگر چیزی برای افزودن دارید ، در صورت تمایل می توانید در زیر نظر دهید. img src = “https://cdn2.wpbeginner.com/wp-content/plugins/classic-smilies/img/icon_smile.gif” alt = “:)” class = “wp-smiley” />

منبع:
https://www.wpbeginner.com/wp-tutorials/how-to-find-a-backdoor-in-a-hacked-wordpress-site-and-fix-it/.

دیدگاهتان را بنویسید