خیلی از سایت های وردپرسی هک میشه اما صاحب سایت متوجه نیست و خب اقدامی برای پاکسازی انجام نمیده و این تاخیر باعث بدتر شدن شرایط سایت و امتیاز منفی در گوگل میشه
در یک کلام اگر به سایتتون نرسید، هکر به حساب سایتتون میرسه
بعضی از صاحبین سایت که انگار یادشون میره سایت دارند و پیام میده که من 2 سال پیش یک سایت بالا آوردم الان هیچ اثری ازش نیست و باید چکار کنم؟
یا کسی که میگه من ماهی 1 بار به سایت سر میزنم اگر پیامی داشتم جواب بدم چون اصلا فرصت رسیدگی ندارم.
من (محسن موذنی) در این مقاله 25 نشانه و علامت رو توضیح میدم که میشه متوجه شد یک سایت هک شده و لازمه که سریعا پاکسازی شده و سپس افزایش امنیت و پیشگیری انجام بدید. ابتدا لیست نشانه های هک شدن سایت رو ببینیم و بعدش توضیحات هر کدومش رو
نشانه های هک شدن سایت
- ایجاد نوشته های خودکار در سایت
- نتایج چینی یا ژاپنی سایت در گوگل
- فایل های غیرعادی در هاست
- اضافه شدن ادمین یا کاربران سایت
- هشدار گوگل هنگام باز کردن سایت
- هشدار آنتی ویروس هنگام باز کردن سایت
- جابجایی اطلاعات مشتریان
- عدم دسترسی به پیشخوان
- تغییر دسترسی مدیرکل سایت
- عدم دسترسی به دیتابیس
- تغییر و افزودن افزونه
- خطای 404 در لینک و صفحات داخلی سایت
- ایجاد لینک های 404
- افت ناگهانی بازدید و فروش
- هشدار امنیتی گوگل در سرچ کنسول
- کندی سرعت پیشخوان وردپرس
- ریدایرکت شدن به سایت های دیگر
- پر شدن منابع هاست
- از دسترس خارج شدن سایت
- تغییر ظاهر سایت هک شده
- بهم ریختگی و تغییر ظاهر سایت
- خطای عدم ارتباط با دیتابیس
- ارسال شدن ایمیل از هاست
- مسدود شدن هاست
نحوه تشخیص سایت هک شده
ایجاد نوشته های خودکار در سایت
در بعضی سایت های هک شده مشاهده کردم نوشته های مختلفی که معمولا به زبانی غیر از فارسی هست، به صورت خودکار تولید و منتشر شده که صاحب سایت هرچقدر پاک میکنه مجدد برمیگرده و گاهی تعدادش بیش از 100 نوشته هست اما 1 دونه هم که باشه باید شک کنید.
نتایج چینی یا ژاپنی سایت در گوگل
این علامت زیاد دیده شده که خیلی از سایت ها بعد از مدتی از هک شدنشون(مثلا 2هفته به بالا) وقتی اسم سایت رو در گوگل جسنجو میکنیم، و یا در زمان نشون دادن مقالاتشون میبینیم تیتر و توضیحات رو به زبان ژاپنی یا چینی نوشته که وقتی کلیک میکنیم، یا وارد یک صفحه نامربوط و گاهی مبتذل میشه و یا به صفحه 404 میرسه
این نوع هک اسمش هست مسمومیت سئو یا SEO poisoning
هشدار آنتی ویروس هنگام باز کردن سایت
گاهی شما یک سایت را باز کرده و آنتی ویروس کامپیوتر اگر داشته باشید (مثلا NOD32) یک صفحه اخطار نشان میده که این سایت دارای آلودگی یا مشکل امنیتی هست.
این اخطار گاهی در حین کار و ادیت کردن فایل های هاست هم ممکنه پیش بیاد. مثل عکس زیر:
هشدار گوگل هنگام باز کردن سایت
گاهی اوقات هم این هشدار از طرف گوگل نشون داده میشه که خب یعنی وضعیت سایت اصلا خوب نیست و مدت زیادی هست که هک شده و به شدت باعث افت رتبه و از بین رفتن مشتری میشه مثل عکس های زیر:
اضافه شدن ادمین یا کاربران سایت
گاهی تعداد زیادی کاربر فیک در سایت ثبت میشه که عادی نیست.
گاهی تعداد مدیران کل یک سایت خود به خود بیشتر شده و شما نمیدونید از کجا امده
نکته: هر از گاهی یک نگاه به بخش کاربران سایت داشته باشید که اگر مورد مشکوکی پیدا شد سریعا اقدام کنید.
وجود فایل های غیرعادی در هاست
هک شدن سایت معمولا با فایل های اضافی یا کدهای مخرب همراه هست و میشه تشخیص داد که چه فایل هایی اضافه شده.
گاهی این فایل های مخرب اسم تابلویی داره مثلا jfhgfkhgfg.php
گاهی اسم هوشمندانه ای انتخاب شده که در نگاه اول قابل تشخیص نیست مثلا wp-security.php اما اکثرا پسوند پی اچ پی داشته و یک متخصص امنیت سایت به راحتی پیدا میکنه . اگر شما آشنایی جزئی دارید، بهتره هیچ فایلی رو خودسرانه حذف یا تغییر ندید.
پر شدن منابع هاست
این حالت عوامل مختلفی داره که یکی از نشانه های هک شدن سایت هست. در یک مقاله جداگانه توضیح دادم که چرا منابع درگیر میشه و چه فایده ای برای هکر داره
لینک مقاله به زودی
اما اگر بی دلیل و در اکثر مواقع شبانه روز با پر بودن منابع و یا خطای 501 و 503 مواجه میشید، باید به آلوده بودن سایت شک کنید.
کندی سرعت پیشخوان وردپرس
این پر شدن منابع خودش عاملی برای کاهش سرعت سایت هم میتونه بشه
حتی گاهی علت کندی سرعت وردپرس ربطی به منابع نداره و میتونه از پردازش هایی باشه که هکر داره روی هاست شما انجام میده و یا ریدایرکت و دانلود محتوا و غیره که سرعت سایت رو در پیشخوان و یا در ظاهر به صورت غیرعادی کند کرده
ریدایرکت شدن سایت به سایت های دیگر
در صفحه اصلی یا بقیه صفحات و یا هنگام کلیک روی فیلم و دکمه های یک سایت میبینیم که آدرس سایت تغییر کرده و یک صفحه سفید (برای سایت های فیلترشده) یا یک سایت تبلیغاتی و یا محتوای مبتذل یا تبلیغ جنسی نشون داده میشه که یکی از علامت های قطعی هک شدن سایت به حساب میاد و هرچه سریعتر باید پاکسازی بشه
یا یک مورد داشتیم که میگفت کاربر وارد سایت من میشه و برای چند ثانیه یک محتوای مستهجن میبینه و بعدش منتقل میشه به سایت خودم
بهم ریختگی و تغییر ظاهر سایت
یکی از نشانه های هک شدن سایت میتونه تغییر ظاهری سایت باشه که میاد ظاهر سایت شما رو نابود میکنه و باید از اول بریم سراغ طراحی که خب دردسر زیادی داره
هک دیفیس deface hack
شما آدرس سایت رو میزنید و به صفحه اصلی میرید ولی انگار یک سایت دیگه داره نشون میده مثل تصویر زیر
یا ممکنه تصویری مثل زیر نشون داده بشه که بهش گفته میشه شل (Shell)
خطای عدم ارتباط با دیتابیس
طبق عکس زیر و یا مشابه اون ممکنه برای سایت هک شده پیش بیاد به علت تغییر و خرابی در فایل های اصلی وردپرس یا دیتابیس که گاهی راحت درست میشه و گاهی زمانبر میشه
از دسترس خارج شدن سایت
گاهی سایتی که هک شده، کلا بالا نمیاد. مثل خطای ارتباط با دیتابیس اما صفحه سفید هست و هیچ چیزی نشون نمیده
خطای 404 لینک های داخلی سایت
صفحه اول یک سایت هک شده ممکنه خوب و کامل باشه ولی روی هر کدوم از لینک برگه ها و نوشته یا منو کلیک میکنه با یک صفحه و عدد 404 مواجه میشه که درست کردنش چندان سخت نیست اما باید سریع اقدام کرد تا وضعیت بدتر نشده
در بعضی سایت ها به جای عدد 404 ممکنه این عبارت نشون داده بشه:
Not Found
The requested URL was not found on this server.
هشدار امنیتی گوگل در سرچ کنسول
اگر سایت شما قبلا به سرچ کنسول وصل شده باشه، ممکنه همچین پیغامی مثل عکس ببینید که باید از قسمت (Security & Manual Actions) در منوی سرچ کنسول ببینید چه خبر شده و برای پاکسازی اقدام کنیم.
نکته: زمانی باید این قسمت رو حل کنید که سایت شما پاکسازی شده و چند روز گذشته و اطمینان دارید که مجدد هک نمیشه
افت ناگهانی بازدید و فروش
گاهی بدون دلیل خاصی یکدفعه میزان بازدید یا فروش ما افت میکنه که هرچی بررسی میکنید متوجه علت نمیشید.
علت افت ناگهانی بازدید سایت چیست؟
یک علتش که مربوط به امنیت میشه، ممکنه سایت شما در حالت عادی داره کار میکنه اما وقتی از طریق گوگل روی سایت کلیک میکنید، به یک سایت دیگه هدایت بشید که خب مشتری اصلا وارد سایت شما نشده و سریع خارج میشه که از نظر سئو خیلی آسیب میزنه
ایجاد لینک های 404 در سایت هک شده
من زیاد دیدم در سرچ کنسول یا بقیه افزونه و ابزارهای تست سایت که یکدفعه تعداد خیلی زیادی لینک 404 یا حذف شده ایجاد میشه که خب از دید گوگل یک امتیاز منفی به حساب میاد این لینک ها میتونه هر آدرسی داشته باشه مثلا
site.com/s/3435425463.php
site.com/shop/fddfgk45-fjkjsf-dg.html
ممکنه تعداد این لینک ها به بیش از 100 هزار عدد هم برسه
تغییر و افزودن افزونه
گاهی پیش میاد که انگار یکی اومده داخل سایت دستکاری کرده و افزونه ها کم و زیاد شده یا تنظیماتشون بهم خورده که در اولین حدس باید بگیم هکر نفوذ کرده (اگر ادمین یا مدیرکلی به جز شما نیست و یا دسترسی به کسی نداده باشید)
جابجایی اطلاعات مشتریان
این مورد برام عجیب بود اما جالبه که مثلا یک نفر با اسم ناصر وارد پروفایل و حسابش در سایت میشه ولی اسمش رو نوشته فرهاد و ایمیل و شماره تماسش با یکی دیگه از مشتری ها جابجا شده که این امر به شدت باعث بی اعتمادی مشتری ها میشه و حتی ممکنه از اون مشخصات سوءاستفاده کنند.
حالا فرض بگیرید سایت شما 2000 عضو داره و اطلاعاتشون جابجا بشه…
عدم دسترسی به پیشخوان وردپرس
این مورد رو هم زیاد دیدم که قطعا از نشانه های هک شدن سایت به حساب میاد و صاحب سایت نمیتونه وارد پیشخوان بشه و اون صفحه یا پاک شده یا خطا میده ولی ظاهر سایت به خوبی داره کار میکنه و مشکلی دیده نمیشه
تغییر دسترسی مدیرکل سایت
یا حتی صفحه پیشخوان سالمه و میشه وارد شد اما میبینید دسترسی شما مدیرکل نیست و مثلا شده نویسنده یا در پروفایل سایت میبینید به عنوان یک مشتری عادی وارد شدید نه ادمین. اینجا 2 حالت داره:
یا هکر نفوذ کرده و شما هک شدید
یا همکارتون اومده سطح کاربری شما رو عوض کرده
خطا در هنگام باز کردن دیتابیس
یک مورد فنی که از دید افراد عادی پنهان هست اینه که از طریق هاست نمیشه وارد دیتابیس شد. هکر دسترسی شما رو بسته که خب یک متخصص امنیت سایت میتونه این مسئله رو رفع کنه
افراد عادی هیچ نیازی به دسترسی دیتابیس ندارند اما این رو گفتیم که اگر احیانا متوجه همچین چیزی شدید، بدونید که قطعا این یک علامت هک شدن هست و باید سریع اقدام کنید قبل از اینکه کار بدتر شده و مثلا باعث ثبت نتایج ژاپنی در گوگل بشه
ارسال ایمیل از سایت شما
ممکنه متوجه بشید که از طریق ایمیل سازمانی سایتتون (مثلا info@mysite.ir) تعدادی ایمیل ارسال شده و کار شما هم نبوده و در اولین حدس باید بگیم که سایت هک شده و یک نفر این کار رو انجام داده و باید سریعا ببینید این ایمیل ها چی بوده و به کجا رفته…
مسدود شدن سایت توسط آنتی ویروس
ما سایت هایی داریم که اسکن گرفته و بهمون نشون میده آیا در سایت آلودگی وجود داره یا نه؟ آیا توسط آنتی ویروس ها مشکل داره یا نه؟
به عنوان مثال سایت سوکوری (sucuri) یک اسکنر خوب داره یا سایت توتال ویروس (virustotal) میاد نتیجه اسکن از آنتی ویروس های مختلف رو نشون میده و اگر این سایت ها گزارش خطا دادند، باید بدونیم که هک شدیم.
البته نکته مهم اینه که این سایت ها توانایی 100 درصد برای تشخیص آلودگی نداره و خیلی از پروژه هایی که داشتم رو نمیتونست نشون بده آلودگی داره چون داره از بیرون اسکن میکنه و طبیعتا به خیلی از فایل های داخلی سایت دسترسی نداره.
2 نمونه تصویر زیر رو ببینید:
مسدود شدن هاست
گاهی شرکت هاستینگ با بررسی محتویات سایت شما تشخیص میده که آلودگی وجود داره و حساب شما رو مسدود میکنه و هنگام نمایش سایت با عبارت This Account has been suspended مواجه میشید که عوامل مختلفی داره مثل استفاده زیاد از منابع یا عدم تمدید هاست و غیره که میتونه یکی از نشانه های هک شدن سایت هم باشه و باید سریعا تیکت بزنید و علت رو بپرسید.
بعضی مواقع هم هاست براتون یک تیکت باز کرده و اعلام میکنه که سایت شما آلودگی داره و باید برای رفع این موضوع اقدام کنید وگرنه باعث بستن حساب میشه
سوالی که شاید برای شما پیش بیاد اینه که این نشانه های هک شدن سایت به صورت تکی پیش میاد یا با هم؟
پاسخ اینه که همه جور حالتی امکان داره ببینید. هم به صورت تکی و هم چند تا با هم. مثلا چینی شدن نتایج در گوگل + فایل های مخرب در هاست + ریدایرکت شدن به محتوای مبتذل رو در اکثر پروژه های هک سایت تجربه کردم.
خب من تا اینجا اطلاعات کاربردی و بسیار مفیدی رو توضیح دادم و امیدوارم صاحبین سایت بتونند اولا پیشگیری کرده و دوما اگر هک شدند، سریعا تشخیص داده و اقدام کنند.
اگر شما هم تجربه یا علامتی دارید ممنون میشم برای من و بقیه هموطنامون در پایین کامنت کنید و یا اگر نیاز به افزایش امنیت سایت وردپرسی یا سرعت یا اسکن و پاکسازی یا افزایش سرعت وردپرس دارید با من در ارتباط باشید.
دوستدار شما _ محسن موذنی