کاملترین راهکارهای حذف بدافزار از وردپرس

حذف بدافزار از سایت وردپرس هک شده کار ساده ای نیست. و اکنون که گوگل برای جلوگیری از انتشار بدافزار توسط متخلفین مکرر، یک ممنوعیت 30 روزه برای بررسی سایت اعمال می کند، پاکسازی کامل سایت هک شده از همیشه مهمتر است.

خدمات حذف بدافزار وردپرس

اگر به دلیل هک نمی توانید به ادمین وردپرس خود دسترسی پیدا کنید، توصیه می کنم از یک متخصص حرفه ای برای پاک سازی سایت استفاده کنید. شما میتوانید با رعایت برخی نکات و استفاده از ابزارهای اختصاصی اقدام به حذف بدافزارهای وردپرس یا توقف فعالیت آن‌ها شوید. معمولا راه های متعددی برای آلوده کردن سایت‌های بر پایه ی وردپرس وجود دارد که اگر اقدام به رفع آن‌ها نکنید، امکان دارد در آینده برای شما دردسرساز شوند. پایش مداوم سیستم می‌تواند فعالیت‌های غیرعادی را مشخص کند و به یافتن بدافزارها کمک نمایید.بعضی از علائم احتمالی آلودگی سایت‌ها به شرح زیر است:

1. مصرف بالای منابع سرور
2. اضافه شدن برخی افزونه‌ها بدون اجازه کاربر
3. تغییرات ناشناس روی فایل‌های ذخیره شده در سرور
4. ورود غیرمجاز به سیستم
5. اسکریپت‌های شخص ثالث در فرانت اِند
6. از دست رفتن اطلاعات

با وجود نشانه‌های گفته شده، برخی سرویس‌ها به صورت اختصاصی اقدام به بررسی و اسکن دیگر سایت‌ها برای پیدا کردن بدافزارها میکند، که از میان آن‌ها می‌توان به Sucuri اشاره کرد. البته نشانه های گفته شده همیشه دلیلی بر وجود بدافزار نیست و گاهی اوقات بر اثر باگ‌هایی در افزونه‌ها یا اضافه کردن افزونه‌های پرمصرف به سایت رخ می‌دهد؛ در نتیجه بهتر است قبل از هر کاری، از وجود بدافزار در سایت خود اطمینان کسب کنید و افزونه‌های مختلف را برای بررسی باگ‌ها آزمایش نمایید.

اگر می خواهید خودتان سایت را پاک سازی کنید، در اینجا مراحلی را توصیه می کنم:

مراحل حذف بدافزار از سایت وردپرس

مرحله 1: از فایل های سایت و پایگاه داده پشتیبان تهیه کنید

اگر می توانید با استفاده از ویژگی پکاپ گیری سایت میزبان وب، از سایت کامل نسخه پشتیبان تهیه کنید. این کاملترین نسخه پشتیبان از کل سرور شما خواهد بود. با این حال، ممکن است پر حجم باشد، بنابراین آماده باشید که دانلود زمان بر باشد.
اگر می توانید وارد سیستم شوید، از یک افزونه پشتیبان وردپرس استفاده کنید. اگر نمی توانید وارد سایت شوید، ممکن است هکرها پایگاه داده را به خطر بیاندازند، در این صورت، ممکن است بخواهید از یکی از مراحله ی که در بالا ذکر کردم استفاده کنید.

با استفاده از این مراحل یک نسخه پشتیبان جداگانه و اضافی از پایگاه داده تهیه کنید.

اگر می‌توانید وارد شوید، از Tools > Export برای صادر کردن یک فایل XML از تمام محتوای خود نیز استفاده کنید.
برخی از سایت ها ممکن است پرحجم باشند. خود فایل آپلود ممکن است بیش از 1 گیگابایت باشد. پوشه wp-content مهمترین پوشه روی سرور شما است زیرا حاوی تمام آپلودهای شما است. اگر نمی‌توانید یک پلاگین پشتیبان را اجرا کنید و میزبان وب شما ویژگی «بکاپ گیری» ندارد، می‌توانید از مدیریت فایل میزبان وب برای ایجاد یک آرشیو فشرده از پوشه wp-content خود استفاده کنید و سپس آن فایل فشرده را دانلود کنید.

اگر چندین نصب وردپرس روی سرور دارید، باید از هر یک نسخه پشتیبان تهیه کنید.

نکته در مورد فایل htaccess: از فایل htaccess خود یک نسخه پشتیبان تهیه کرده و آن را دانلود کنید. این یک فایل نامرئی است، بنابراین تنها در صورتی می‌توانید آن را در مدیریت فایل میزبان وب مشاهده کنید که هنگام راه‌اندازی File Manager، موارد نامرئی را انتخاب کنید. نام این فایل را تغییر دهید تا نقطه در ابتدا حذف شود و بتوانید آن را در رایانه خود ببینید، در غیر این صورت در رایانه شما نیز قابل دید نخواهد بود. سپس آن را دانلود کنید. ممکن است به یک نسخه پشتیبان از فایل htaccess. نیاز داشته باشید، در صورتی که حاوی محتوایی باشد، باید دوباره در سایت پاک سازی شده خود کپی کنید. برخی از هاست ها از htaccess، برای تعیین نسخه PHP مورد استفاده شما استفاده می کنند، بنابراین سایت بدون آن به درستی کار نخواهد کرد. برخی از افراد صفحه 301 تغییر مسیر سئو را در فایل htaccess خود قرار می دهند. همچنین فایل htaccess ممکن است هک شده باشد، بنابراین بهتر است این فایل را بررسی کنید.

مرحله 2: فایل های پشتیبان را دانلود و بررسی کنید

پس از پشتیبان‌گیری از سایت، نسخه پشتیبان را در رایانه خود دانلود کنید، روی فایل فشرده دوبار کلیک کنید تا باز شود. باید ببینی:

تمامی فایل های هسته وردپرس می توانید وردپرس را از WordPress.org دانلود کنید و فایل های موجود در دانلود را بررسی کنید و آنها را با فایل های خود مطابقت دهید. شما واقعاً به این فایل ها نیاز نخواهید داشت، اما ممکن است بعداً آنها را برای تحقیقات خود در مورد هک بخواهید.
فایل wp-config.php. این مهم است زیرا حاوی نام، نام کاربری و رمز عبور پایگاه داده وردپرس شما است که در فرآیند بازیابی از آنها استفاده خواهیم کرد.
فایل htaccess. این فیل قابل مشاهد نخواهد بود. تنها راه برای اطلاع از اینکه آیا از این فایل نسخه پشتیبان تهیه کرده اید یا نه، مشاهده پوشه پشتیبان خود با استفاده از یک برنامه FTP (مانند FileZilla) یا برنامه ویرایش کد (مانند Brackets) است که به شما امکان می دهد فایل های نامرئی را مشاهده کنید (گزینه نمایش فایل های مخفی را بررسی کنید) تا در رابط برنامه اطلاعات لازم را کسب کنبد.
پوشه wp-content در پوشه wp-content، باید حداقل سه پوشه را ببینید: تم ها، آپلودها و افزونه ها را در این پوشه ها بررسی کنید. آیا تم، افزونه ها و تصاویر آپلود شده خود را می بینید؟ اگر چنین است، پس این نشانه خوبی است که از سایت خود نسخه پشتیبان خوبی دارید. این معمولاً تنها پوشه ماموریتی است که برای بازیابی سایت خود (علاوه بر پایگاه داده) به آن نیاز دارید.
پایگاه داده. شما باید یک فایل SQL داشته باشید که صادراتی از پایگاه داده شما باشد. ما در این فرآیند قرار نیست پایگاه داده را حذف کنیم، اما خوب است که یک نسخه پشتیبان داشته باشیم.

مرحله 3: تمام فایل های موجود در پوشه public_html را حذف کنید

پس از اینکه تأیید کردید یک نسخه پشتیبان خوب و کامل از سایت خود دارید، تمام فایل های موجود در پوشه public__html خود را (به جز پوشه cgi-bin و هر پوشه مربوط به سرور که به وضوح فایل های هک شده ندارند) را با استفاده از مدیر فایل میزبان حذف کنید. ما مدیریت فایل را توصیه می کنم زیرا بسیار سریعتر از حذف فایل ها از طریق FTP است. اگر با SSH راحت هستید، این کار نیز سریع خواهد بود. حتماً فایل‌های نامرئی را مشاهده کنید تا فایل‌های htaccess را نیز حذف کنید.
اگر سایت های دیگری دارید که در همان حساب میزبانی می کنید، می توانید فرض کنید که همه آنها نیز در معرض خطر قرار گرفته اند. شما باید همه سایت ها را پاک سازی کنید، بنابراین از همه آنها نسخه پشتیبان تهیه کنید، نسخه های پشتیبان را دانلود کنید و مراحل زیر را برای هر یک انجام دهید. من می دانم که این به نظر زیاده روی باشد، اما، به طور جدی، تلاش برای اسکن و یافتن همه فایل های هک شده در یک سرور کاملاً طاقت فرسا است. فقط مطمئن شوید که هر یک از پشتیبان گیری شما کامل باشد. و فقط یک وب‌سایت را پاکسازی نکرده باشید و دیگری را با آرامش پاکسازی کنید، زیرا در مدت زمانی که برای پاکسازی یک وب‌سایت صرف می‌کنید، وب‌سایتی که هنوز آلوده است می‌تواند مجدداً سایتی را که پاک کرده‌اید آلوده کند. با آن مانند طاعون رفتار کنید.

مرحله 4: وردپرس را دوباره نصب کنید

با استفاده از نصب کننده با یک کلیک در کنترل پنل میزبانی وب خود، وردپرس را مجدداً در دایرکتوری public_html نصب کنید، اگر این محل اصلی نصب وردپرس بود یا در دایرکتوری فرعی یا اگر وردپرس در یک دامنه افزودنی نصب شده است.
با ارجاع به نسخه پشتیبان سایت خود، فایل wp-config.php را در نصب جدید وردپرس ویرایش کنید تا از اعتبار پایگاه داده سایت قبلی خود استفاده کنید. با این کار نصب وردپرس جدید به پایگاه داده قدیمی متصل می شود. ما توصیه نمی‌کنم فایل wp-config.php قدیمی خود را دوباره آپلود کنید، زیرا فایل جدید دارای پیچیدگی های رمزگذاری ورود جدید است و قطعاً عاری از هرگونه کد هک شده است.

مرحله 5: جهت حذف بدافزار از وردپرس رمزهای عبور و پیوندهای دائمی را بازنشانی کنید

وارد سایت خود شوید و نام کاربری و رمز عبور را بازنشانی کنید. اگر کاربرانی را مشاهده کردید که آنها را نمی شناسید، پایگاه داده شما در معرض خطر قرار گرفته است و باید با یک متخصص تماس بگیرید تا مطمئن شوید هیچ کد ناخواسته ای در پایگاه داده شما باقی نمانده است.
به Settings > Permalinks بروید و روی Save Changes کلیک کنید. این فایل htaccess. شما را بازیابی می کند، بنابراین URL های سایت شما دوباره کار می کنند. مطمئن شوید که فایل‌های روی سرور خود را حذف می‌کنید که فایل‌های نامرئی را نشان داده‌اید، بنابراین هیچ فایل htaccess. هک‌شده‌ای را پشت سر نگذاشته‌اید. htaccess یک فایل نامرئی است که بسیاری از چیزهای روی سرور را کنترل می کند و می تواند هک شود تا افراد را به طور مخرب از سایت شما به سایت های دیگر هدایت کند.
مطمئن شوید که تمام رمزهای عبور FTP و حساب میزبانی را نیز حفظ کنید.

مرحله 6: پلاگین ها را دوباره نصب کنید

همه افزونه های خود را از مخزن وردپرس یا دانلودهای تازه از توسعه دهنده افزونه پریمیوم مجدداً نصب کنید. پلاگین های قدیمی را نصب نکنید. افزونه هایی که دیگر نگهداری نمی شوند را نصب نکنید.

مرحله 7: تم ها را دوباره نصب کنید

تم خود را از یک دانلود جدید دوباره نصب کنید. اگر فایل‌های طرح زمینه خود را سفارشی کرده‌اید، به فایل‌های پشتیبان خود مراجعه کنید و تغییرات را در کپی جدید طرح زمینه تکرار کنید. تم قدیمی خود را آپلود نکنید، زیرا ممکن است تشخیص ندهید که کدام فایل ها هک شده اند.

مرحله 8: تصاویر خود را از پشتیبان آپلود کنید

باید فایل های تصویری قدیمی خود را در پوشه جدید wp-content > uploads در سرور کپی کنید. با این حال، شما نمی خواهید هیچ فایل هک شده ای را در این فرآیند کپی کنید. باید هر سال/ماه پوشه پشتیبان خود را به دقت بررسی کنید و داخل هر پوشه را بررسی کنید و مطمئن شوید که فقط فایل های تصویری وجود دارد و هیچ فایل PHP یا فایلی وجود ندارد. فایل های جاوا اسکریپت یا هر چیز دیگری که در کتابخانه رسانه خود آپلود نکرده اید. این کار میتواند برای شما خسته کننده باشد. هنگامی که پوشه هر سال/ماه را سامان دادید، می توانید این پوشه ها را با استفاده از FTP در سرور آپلود کنید.

مرحله 9: جهت تکمیل حذف بد افزار از وردپرس کامپیوتر خود را اسکن کنید

کامپیوتر خود را برای ویروس ها، تروجان ها و بدافزارها اسکن کنید.

مرحله 10: افزونه های امنیتی را نصب و اجرا کنید

افزونه Shield WordPress Security را توسط iControlWP نصب و فعال کنید. تمام تنظیمات آن را بررسی کنید. توصیه می‌کنم ویژگی Audit را برای چند ماه اجرا کنید تا تمام فعالیت‌های سایت را پیگیری کنید.
فایروال Anti-Malware Security و Brute-Force را اجرا کنید و سایت را به طور کامل اسکن کنید. سایت را با Sucuri’s Sitecheck اسکن کنید تا مطمئن شوید چیزی را از دست نداده اید. شما نیازی به دو پلاگین فایروال ندارید، بنابراین پس از تأیید سایت تمیز، افزونه Anti-Malware را غیرفعال کنید. Shield در آینده در صورت تغییر هر فایل اصلی به شما اطلاع خواهد داد.

تعمیر سریع و آثار هک برای حذف بدافزار از سایت وردپرس

Sucuri یک راهنمای گام به گام عالی برای حذف هک دارد که شامل جزئیات نحوه استفاده از افزونه Sucuri برای تسهیل فرآیندهای بالا است. افزونه Sucuri دارای چند ویژگی عالی Post Hack است، از جمله:

اسکن فایل اصلی جهت حذف بدافزار از وردپرس

• دسترسی سریع به گزارش های خطا
• ابزاری برای بازنشانی تمام رمزهای عبور کاربر
• قابلیت نصب مجدد خودکار تمامی افزونه های رایگان
• توانایی بازنشانی پیچیدگی های رمزگذاری
• اگر می خواهید فرآیند بازیابی هک بالا را ساده کنید، کاری که می توانید انجام دهید این است:

از افزونه Sucuri برای اسکن فایل‌های اصلی و جایگزینی/حذف فایل‌هایی که اصلاح شده‌اند یا متعلق به آنها نیستند، استفاده کنید.
از برگه Post Hack افزونه Sucuri و تب Site Audit برای جایگزینی همه افزونه های رایگان، بازنشانی رمزهای عبور کاربر، بازنشانی نمک های رمزگذاری استفاده کنید.

افزونه های پرمیوم را دوباره آپلود کنید.

محتویات هر پوشه را در پوشه wp-content را با دقت زیاد بررسی کنید (به جز پوشه‌های افزونه فردی که در مرحله 2 بالا جایگزین می‌کردید).
هر فایل تم را به دقت ارزیابی کنید.
تم ها و افزونه های استفاده نشده را حذف کنید.
پوشه آپلودهای خود را به دقت بررسی کنید.
فایل htaccess. و هر فایل دیگری که در پوشه public_html باقی مانده است را به صورت دستی بررسی کنید.
هدف از روش اسلش و رایت ما این است که بسیاری از افراد به طور ناخواسته فایل های هک شده را در صورتی که به طور روشمند و آگاهانه انتخاب نمی کنند که چه چیزی را دوباره به سرور آپلود کنند، پشت سر بگذارند. با این حال، اگر شما کاملاً نکته بین هستید و با فایل های وردپرس خود و شکل ظاهری آنها بسیار آشنا هستید (به عنوان مثال با نحوه سفارشی کردن تم ها و اینکه کد قالب چگونه باید باشد) آشنا هستید، می توانید با استفاده از این رویکرد ساده، هک را پاکسازی کنید. .

پیدا کردن علت هک

اگر در یافتن علت هک وردپرس حرفه ای نباشید می تواند برای شما مشکل باشد، اما اگر چشم تیز بینی داشته باشید مطمئناً دور از دسترس شما نیست.هنگامی که نوع هکی که با آن مواجه شده اید را شناسایی کردید، می توانید به راحتی علت وقوع آن را محدود کنید. در بسیاری از دلایل،چرایی به وجود آمدن به اندازه پاکسازی مهم نیست، اما اگر علت از رایانه شخصی شما باشد، می تواند مهم باشد.
به طور مثال: شخصی که سایتش توسط افزونه مرورگری که او سهواً روی رایانه خود نصب کرده بود آلوده شده بود. او اساساً سایت خود را با تزریق جاوا اسکریپت به ویرایشگر ویژوال خود هر بار که صفحه ای را در سایت ویرایش می کرد، هک شده بود! این کد در ویرایشگر ویژوال نامرئی بود (اگرچه در تب Text قابل مشاهده بود)، و حتی اگر آن را پاک می کرد، او دوباره خودش را هک می کرد. جستجوی گوگل در مورد متنی که در کد تزریق شده پیدا کرد، سپس به مقاله ای در وب سایت Sucuri هدایت شد که به او کمک کرد تا علت وقوع هک را بفهمد تا سیستم خود را برای تعمیر به یک متخصص فناوری اطلاعات ببرد.
همچنین، اگر همان پلاگین یا تمی را که آسیب پذیر بود را مجددا نصب کنید و از هک شدن سایت خود آگاه نباشید، سایت خیلی سریع دوباره هک می شود. بنابراین دانستن علت بیشتر به این است که شما را آگاه کند که بعد از تمام تلاشی که برای پاکسازی انجام دادید، اشتباهات مشابه را تکرار نکنید.

اگر می‌خواهید به دلایل هک را دقیق تر بررسی کنید، موارد زیر را انجام دهید:

نسخه پشتیبان خود را برای فایل های هک شده بررسی کنید. آنها نام های عجیب و غریب دارند و از سایر فایل های نصب وردپرس شما متمایز می شوند یا ممکن است تاریخ های اخیر تغییر یافته باشند. اگر این فایل ها را در یک ویرایشگر کد مانند Dreamweaver، TextWrangler، BBEdit، Coda و غیره باز کنید، ممکن است به سرعت از طریق کدگذاری رنگی کد یا مقدار زیادی کد متوجه شوید که چیزی عجیب و غریب است. اسکرین شات های زیر را ببینید.
در گوگل عبارات خاص، فایل های همراه یا نام فایل ها را جستجو کنید. گاهی اوقات ممکن است فقط نام یک کلاس div باشد که در کد هک شده در سایت هک شده پیدا می کنید.


گزارش‌های دسترسی خام در cPanel میزبان را بررسی کنید تا متوجه شوید هکرها به چه فایل‌هایی دسترسی داشتند (به دنبال عبارات POST در فایل‌های گزارش بگردید). این یک سرنخ خواهد بود که دقیقاً چه چیزی و چه زمانی به خطر افتاده است. می توانید آدرس IP دسترسی به این فایل ها را جستجو کنید تا متوجه شوید هکر از کجا آمده است.
بیشتر هک‌ها به دلیل پلاگین‌ها و تم‌های قدیمی ایجاد می‌شوند، بنابراین افزونه‌هایی را که در سایت هک شده‌تان استفاده کرده‌اید جستجو کنید و ببینید آیا ممکن است سایت به دلیل نسخه قدیمی‌تر Gravity Forms، Revolution Slider، اسکریپت timthumb.php در یک تم یا افزونه در معرض خطر قرار گرفته باشد و غیره. بسیاری از سایت ها از طریق آسیب پذیری های رایج و شناخته شده هک می شوند. همه اینها میوه کم آویزان برای هکرها است.
پایگاه داده را برای کاربران پنهان مدیریت و سایر محتوای هک شده بالقوه جستجو کنید. Sucuri نکات بسیار خوبی در مورد نحوه اسکن پایگاه داده خود برای کدهای مخرب پنهان دارد. اگر سعی می کنید پایگاه داده خود را تغییر دهید، مانند 3x از آن نسخه پشتیبان تهیه کنید.
منبع: 
https://parmoonweb.com/%d8%ad%d8%b0%d9%81-%d8%a8%d8%af%d8%a7%d9%81%d8%b2%d8%a7%d8%b1-%d8%a7%d8%b2-%d9%88%d8%b1%d8%af%d9%be%d8%b1%d8%b3/