جلوگیری از هک شدن سایت وردپرسی

جلوگیری از هک شدن سایت وردپرسی

اگر شما یک سایت وردپرسی دارید و حس کردید که سایت شما هک شده است نترسید! در این مقاله ما به شما کمک می کنیم که بررسی کنید که آیا سایت شما واقعا هک شده است یا نه؟ هک شدن سایت وردپرسی همیشه یکی از دغدغه‌های بزرگ دارندگان وبسایت بوده است. در ادامه بررسی می‌کنیم چه اقداماتی باید انجام دهید که سایت شما به حالت اولیه و امن برگردد؟ و در آخر به شما راه هایی را معرفی می کنیم که کمک می کند، بتوانید امنیت سایت تان را بالا ببرید. اگر وبسایت وردپرسی ندارید و دوست دارید طراحی وبسایت را در عرض دو ماه بصورت خودآموز یاد بگیرید. دوره‎ ی صفر تا صد طراحی وبسایت با وردپرس را مشاهده کنید.

هک شدن سایت وردپرسی چه نشانه‌هایی دارد؟

بطور کلی هر سایتی که در معرض خطر هک شدن قرار داشته باشد، یا در زمینه امنیت مشکل داشته باشد آنطور که باید کار نمیکند. ولی نکته ای که باید به آن توجه کنید این است که آیا این مشکل بدلیل هک شدن است. اگر سایت شما یک یا چند تا از نشانه های زیر را داشته باشد، احتمالا در معرض خطر است.

• شما نمی توانید به سایت login کنید.
• بدون این که شما تغییری در ساختار سایت ایجاد کرده باشید، سایت تان تغییر کند. این تغییر می تواند هم ظاهری باشد و هم در ساختار سایت.
• سایت شما بطور غیر عادی به یک سایت دیگرredirect شود.
• وقتی شما با یک کاربر می خواهد وارد سایت شود، یک پیام یا خطا برای او نمایش داده شود.
• وقتی که سایت تان را در موتورهای جستجو سرچ می کنید، پیامی به شما داده می شود که سایت شما هک شده است.
• افزونه ای که برای امنیت سایت تان نصب کرده اید شما پیام دهد که سایت تان در معرض خطر است.
• شرکت هاستینگ که از آن خدمات گرفته اید به شما اخطار دهد که فعالیت های مشکوک در سایت شما در حال انجام است.

در اینجای مقاله هرکدام از این موقعیت ها را با جزییات بیشتری بررسی می کنیم.

• امکان login کردن به سایت را ندارید.

ممکن است این مشکلی برای رمز عبور تان پیش آمده باشد. اولین کاری که در این موقعیت باید انجام دهید این است که سعی کنید پسوردتان را ریست کنید. اگر پسورد ریست شد که مشکل شما حل شده است در غیر اینصورت اگر اجازه این کار به شما داده نشد، ممکن است مشکل کمی جدی تر باشد. در اینصورت شما باید بیشتر بررسی کنید که آیا هک شده اید یا نه ؟ بعضی از هکر ها بعد از دسترسی به سایت تان کاربران را حذف می کنند یا رمز عبور آنها را تغییر می دهند که نتوانند به سایت دسترسی داشته باشند.

• سایت تان تغییر کرده است !

یکی از نشانه هایی اصلی هک شدن این است که صفحه ی اصلی سایت تان تغییر کند یا قالبی که برای سایت تان استفاده کرده اید، عوض شده باشد. این تغییرات ممکن است کمی جدی تر نیز باشد. مثلا یک محتوای خاص در سایت تان منتشر شده است یا لینک هایی به اجزای (component) سایت تان اضافه شده باشد. قبل از این مطمئن شوید که شده اید سعی کنید که بوسیله ی سایر administer  ها وارد سایت شوید. اگر قالب سایت شما یا سایر ساختار سایت تان تغییر کرده باشد،احتمالا مورد حمله ی هکر ها شده اید.

• سایت تان به یک لینک خاص redirect میشود.

گاهی اوقات هکر ها با اضافه کردن یک script خاص به سایت تان، باعث میشوند که وقتی کاربران وارد سایت شما می شوند به یک سایت دیگر لینک شوند. البته ممکن است این مشکل بخاطر سروری باشد که شما از آن خدمات گرفته اید و در زمان های مختلفی برخی از لینک های سایت شما به یک سایت دیگر redirect کند. یکی از دلایلی که توصیه میکنند از هاستینگ های معتبر و با کیفیت اشتراک بگیرید، همین موضوع است.

• به کاربران توسط مرورگر اخطار داده می شود.

اگر مرورگر به شما هشدار میدهد که سایت شما در معرض خطر است، ممکن است یکی از نشانه های هک شدن سایت تان باشد. البته این مشکل ممکن است بخاطر قالبی باشد که از آن استفاده می کنید. گاهی اوقات بخش های مختلف قالب های وردپرسی با همه ی مرورگر ها سازگار نیست. علاوه براین ممکن است این اخطار بدلیل بروز مشکل در ssl یا دامنه ی سایت تان باشد.

• موتورهای جستجو به شما هشدار می دهند.

وقتی که شما سایت تان را در گوگل جستجو می کنید، اگر سایت شما هک شده باشد یا مشکل امنیتی داشته باشد، به احتمال زیاد گوگل به شما هشدار می دهد. این موضوع به این دلیل می تواند باشد که sitemap سایت شما هک شده است و گوگل در crawl کردن سایت شما به مشکل خورده است.

چرا سایت های وردپرسی امکان دارد، هک شوند؟

• پسورد ضعیف

این شایع ترین دلیلی است که یک سایت هک می شود. اکثر کاربران از پسورد های معروف و معمول استفاده می کنند تا این پسورد را فراموش نکند. رمز عبور قوی برای همه ی کاربران سایت تان واجب و ضروری است و این کار به ادمین های سایت تان محدود نمیشود.

• استفاده از نرم افزار های تاریخ گذشته

بروز رسانی قسمت های مختلف سایت تان از جمله خود وردپرس، پلاگین ها و قالب های استفاده شده در سایت تان و اجزای دیگر سایت تان از مهم ترین کار هایی است که بطور دوره ای باید انجام دهید . اگر شما این کار را انجام ندهید احتمالا سایت بسیار آسیب پذیری خواهید داشت.

• کد های ضعیف و نا امن

پلاگین های و همینطور قلب های سایت تان، مهم ترین عاملی است که سایت شما را آسیب پذیر می کند. منبعی که شما قالب ها و پلاگین های سایت تان را از آن تهییه می کنید، حتما باید معتبر باشد. اگر شما از پلاگین ها و قالب های رایگان استفاده کنید ممکن است از لحاظ امنیتی به مشکل بربخورید. قبل انتخاب قالب سایت تان، حتما با افرادی که در این زمینه اطلاعات کافی مشورت کنید. علاوه بر این سعی کنید همیشه از سایت های معتبر استفاده کنید.

وقتی سایت تان هک شد چه اقداماتی باید انجام دهید؟

در ادامه ی این مقاله ما گام هایی را به شما معرفی می کنیم که به شما کمک می کند، به شرایط اولیه برگردید. این گام با توجه به روشی که سایت شما هک شده است متفاوت است، به همین دلیل ممکن است لازم نباشد همه ی این گام ها را انجام دهید.

• در مواقعی که مورد حمله ی هکر ها قرار می گیرید نباید بترسید و هول شوید!

شما ساده ترین جمله و البته بیهوده ترین جمله ای به یک فرد که ترسیده می توایند بگویید این است که “نترس”. ولی برای مدیریت کردن شرایط  شما باید ذهن بازی داشته باشید که بتوانید درست تصمیم گیری کنید.

• سایت تان را روی maintenance mode قرار دهید.

طبیعی است که شما دوست نداشته باشید، کاربران بفهمند که سایت شما مورد  حمله قرار گرفته است. بهترین کاری که می توانید انجام دهید این است که سایت تان را روی maintenance mode قرار دهید تا مشکل سایت تان حل شود. البته اگر تنوانید به سایت تان login کنید، نمی توانید این کار را انجام دهید. البته پلاگین هایی مثل Coming Soon Page & Maintenance Mode هستند که این کار را برای شما انجام دهند. بااین کار خیال شما راحت می شود که در صورت بروز مشکل سایت تان بطور خودکار به حالت maintenance میرود.

• پسورد تان را ریست کنید.

اگر شما نمیدانید هکر از طریق کدام کاربر به سایت شما دسترسی پیدا کرده است، بهتر است که پسورد تمامی کاربران را تغییر دهید تا هکر دیگر نتواند به سایت شما دسترسی داشته باشد. البته ریست کردن پسورد های شما نباید فقط به پسوردی برای لاگین کردن نیاز دارید،منتهی شود. شما باید پسورد های database و SFTP و همینطور پسورد هاست تان را تغییر دهید.

• پلاگین ها و همینطور قالب سایت تان را بروزرسانی کنید.

مرحله بعدی این است که مطمئن شوید تمامی پلاگین ها و همینطور قالبی که برای سایت تان استفاده می کنید بروز است. برای این کار باید از داشبورد، وارد بخش update شوید و مطمئن شوید که تمامی بخش های سایت تان بروز رسانی شده است. بهتر است قبل از این که هر اقدام دیگری برای بهبود شرایط انجام دهید، ابتدا مطمئن شوید که ابزاری که استفاده می کنید، بروز هستند. زیرا در غیر اینصورت هر اقدامی دیگری که انجام دهید بی نتیجه خواهد ماند.

• کاربران سایت تان را حذف کنید.

اگر کاربر جدیدی به لیست ادمین های سایت شما اضافه شده است که شما آن را اضافه نکرده اید، حتما این کاربر را حذف کنید. البته باید به این نکته توجه کنید که این کاربر جزو ادمین های سایت شما نبوده باشد که اطلاعات اکانتش را تغییر داده است. برای این کار وارد صفحه ی مربوط به کاربرها شوید. روی لینک administrator کلیک کنید تا لیست کاربران سایت شما برای شما نمایش داده است. اگر فردی در این لیست وجود دارد که نمی شناسید، از چک باکسی که در کنار آنها قرار دارد برای حذف کردن آنها استفاده کنید.

• فایل هایی اضافی را حذف کنید.

برای این که بفهمید که آیا فایل های اضافه ویا بی نیازی در بین فایل های شما وجود دارد یا نه ؟ به یک پلاگین در زمینه امنیت مثل WordFence نیاز دارید. این پلاگین به شما کمک می کند که فایل های سایت تان را اسکن کنید و فایل هایی اضافی سایت تان حذف کنید.

• Sitemap سایت تان را اصلاح کنید و دوباره آن را به گوگل معرفی کنید.

یکی از دلایلی که سایت شما موتورهای جستجو سایت شما را در وضعیت قرمز قرار می دهند این است که سایت مپ شما هک شده است. کاری که شما در این مواقع باید انجام دهید این است که به کمک پلاگین سئو سایت تان سایت مپ سایت تان را بازسازی کنید. بعد از این کار باید سایت مپ جدید را به سرچ کنسول گوگل اضافه کنید و از  گوگل بخواهید که دوباره روی سایت تان crawl کند. البته برای انجام شدن این کار باید حدود 2 هفته صبر کنید.

• قالب ها و پلاگین های سایت تان را دوباره نصب کنید.

اگر سایت شما به کماکان مشکل دارد شما باید همه ی پلاگین ها و قالب سایت تان را غیرفعال کنید، آنها را حذف و دوباره نصب کنید. البته قبل از انجام این کار سایت تان را mode maintenance قرار دهید. اگر از پلاگین ها و قالب رایگان استفاده می کنید سعی آنها را با پلاگین ها و قالب های مشابه جایگزین کنید و یا از پلاگین ها و قالب های معتبر و پولی استفاده کنید.

• WordPress را دوباره نصب کنید.

اگر همه ی این روش ها جواب نداد باید سراغ خود وردپرس بروید. احتمالا wordpress core به مشکل خورده است و شما باید آن را دوباره نصب کنید و آن را جایگزین کنید. برای این کار بهتر است از طریق SFTP وردپرس سایت تان را جایگزین کنید و البته مطمئن شوید که همه ی فایل های جدید جایگزین فایل های قدیمی شده اند. البته به این نکته توجه کنید که بهتر است از فایل های wp-config.php و htaccess. بک آپ بگیرید و از این 2 فایل در وردپرس جدید استفاده کنید. دلیل استفاده از SFTP این است که محتوای سایت شما از دست نرود و فقط فایل های مربوط به خود وردپرس عوض شوند.

• دیتابیس سایت تان را clean کنید.

اگر دیتابیس سایت شما مورد حمله ی هکر ها قرار گرفت، شما مجبورید آن را clean کنید. البته این کار باعث می شود که فایل های بیهوده ای که در دیتابیس سایت تان بودند، از بین بروند و شما سایت سریعتری داشته باشید. برای این کار می توانید از پلاگین WP-Optimize استفاده کنید.

چگونه بفهمیم دیتابیس سایت مان هک شده است؟ اگر شما پلاگین های مربوط به حوزه امنیت استفاده می کنید، از آن ها کمک بگیرید و سایت تان را اسکن کنید. اگر دیتابیس سایت شما در معرض خطر قرار داشت، این پلاگین به شما اطلاع می دهند. هک شدن سایت وردپرسی همیشه دو مولفه دیتابیس یا فایل‌های وردپرس را تحت تاثیر قرار می‌دهد. یک بکاپ از phpmyadmin همیشه داشته باشید. 

چگونه از هک شدن سایت های وردپرسی جلوگیری کنیم ؟

تا اینجای مقاله کاربردی ترین روش های موجود برای ریکاوری کردن یک وبسایت وردپرسی را به شما معرفی کردیم. آخرین مطلبی که در این مقاله با هم بررسی می کنیم، راه های پیشگیری از هک شدن است.

• مطمئن شوید همه ی پسورد ها قوی و امن هستند.

اگر ادمین ها و کاربران سایت شما اغلب از پسورد های ضعیف استفاده می کنند، بهتر است همه ی پسورد ها را ریست کنید و از پسورد های قوی استفاده کنید. علاوه براین میتوانید از پلاگین هایی استفاده کنید که کاربران را مجبور می کنند تا از پسوردهای strong استفاده کنند. علاوه براین می توانید از احراز هویت 2 مرحله ای استفاده کنید.

• سایت تان را بروز نگه دارید.

این مهم است که سایت تان بروز باشد. وقتی برای پلاگین ها و قالب سایت شما نسخه ی جدیدی منتشر می شود، حتما آن ها را به آخرین نسخه update کنید. شما می توانید سایت تان را بطور خودکار بروز رسانی کنید. برای این کار می توانید با تغییر دادن فایل wp-config.php ویا با استفاده از پلاگین هایی که برای این کار طراحی شده است. البته این کار خیلی توصیه نمیشود زیرا شما باید ابتدا نسخه جدید را تست کنید و در صورت درست کار کردن این نسخه آن را ذخیره کنید. بعد از انجام بروز رسانی ها همیشه از سایت تان بک آپ بگیرید.

• از پلاگین ها و قالب های نامعتبر استفاده نکنید.

قبل از نصب کردن پلاگین هایی که می خواهید، مطمئن شوید که از گلاگین ها با نسخه ی وردپرس شما سازگار است و بخوبی کار می کنند. علاوه براین همیشه از منبع های مطمئن استفاده کنید. همواره سعی کنید از قالب ها و افزونه های معتبر و کاربردی استفاده کنید. با کاربردی ترین پلاگین‌های وردپرس آشنا شوید. مطمئن باشید از هزینه کردن در این زمینه پشیمان نمیشوید.

• فایل های اضافی و بی مصرف را حذف کنید.

اگر شما قالب و یا افزونه ای دارید که آن ها را نصب کرده اید ولی از آن استفاده نمی کنید و غیرفعال است، آن را حذف کنید. همچنین اگر فایل های از نسخه های قبلی وردپرس در هاست شما قرار داشت، آن ها را نیز حذف کنید. بطور کلی هر فایلی که استفاده نمی شود را حذف کنید.

• روی سایت تان SSL نصب کنید.

SSL یک لایه امنیتی به سایت شما اضافه می کند و البته رایگان است. اگر شرکت هاستینگ که شما از آن خدمات گرفته اید، SSL در اختیار شما قرار نمیدهد می توانید از پلاگین SSL Zen استفاده کنید.

• از هاست های ازران استفاده نکنید.

وقتی شما از هاست های ارزان و یا اشتراکی استفاده می کنید، فضای سرور با صد ها کاربر به اشتراک گذاشته می شود. این سرور های علاوه براین که باعث کندی سایت شما می شوند، احتمال مورد حمله قرار کرقتن توسط هکر ها را بالا می برند. اکثر هاست های ازران از نظر امنیت ضعیف هستند و تیم پشتیبانی خیلی قوی ای پشت آن ها نیست.

• روی سایت تان Firewall راه اندازی کنید.

پلاگین هایی که در زمینه امنیت طراحی شده اند و یا سرویس های مثل Sucuri به شما این امکان را میدهند که روی سایت تان فایروال راه اندازی کنید. با این احتمال مورد حمله قرار گرفتن توسط هکر ها تا حد زیادی کاهش می یابد.

• پلاگین های امنیتی نصب کنید.

اگر شما یک پلاگین امنیتی روی سایت تان نصب کنید، هر اتفاق مشکوکی را به شما گزارش می دهد. این اتفاقات شامل login کردن و یا حتی فایل های مشکوک میشود. با این کار شما می توانید با توجه به شرایطی که رخ داده است، بهترین تصمیم را بگیرید.

• بکاپ منظم از وبسایت تهیه کنید.

همیشه از وبسایت خود طبق یک برنامه ریزی منظم بکاپ بگیرید. توجه داشته باشید که هک شدن سایت وردپرسی ممکن است اتفاق بیوفتد. اما داشتن بکاپ منظم در زمان‌های درست ممکن است شما را از مشکلات بزرگی نجات دهد.

کلام اخر :

قطعا مورد حمله قرار گرفتن یک سایت تجربه خیلی بدی برای صاحب آن است. عملا در این شرایط کاربران به سایت شما دسترسی ندارند این باعث ضعیف شدن کسب و کار شما می شود. البته اگر به نکاتی که در این مقاله گفته شد، توجه کنید و از آن ها استفاده کنید، احتمال مورد حمله قرار گرفتن بسیار کم است.