كيفية تحديد موقع WordPress المخترق

نشرت: 2017-04-14

يعرض موقع WordPress الذي تم اختراقه في معظم الأحيان العديد من الأعراض. في هذا المنشور ، سنصف ماهية هذه الأعراض ، ونمنحك بعض الأدوات لتحديد ما إذا كان موقع الويب الخاص بك قد تأثر بأي منها أو جميعها.

أعراض اختراق موقع WordPress

تتضمن معظم الأعراض سلوك موقع الويب الخاص بك بطريقة غريبة ، بالإضافة إلى ظهور الملفات ذات المظهر الفردي وشفرة HTML على اليسار واليمين. دعونا نلقي نظرة عليهم واحدا تلو الآخر!

1. موقع الويب الخاص بك يبدأ في إرسال البريد العشوائي

على الرغم من أنه من الأسهل التعرف على الرسائل غير المرغوب فيها الواردة عن الرسائل الصادرة ، إلا أن هناك بعض الأشياء التي يمكنك القيام بها لمعرفة ما إذا كان شخص ما يستخدم موقعك لإرسال رسائل غير مرغوب فيها:

  • تحقق من سجلات البريد الخاصة بك (عادة ما تكون ضمن / var / log). رؤية كمية غير معتادة من رسائل البريد الإلكتروني التي يتم حظرها باستخدام 550 Sender محظورًا بواسطة رسالة خطأ SPF يعتبر مشبوهة. خاصة إذا كان لديك سجلات SPF مهيأة لنطاقك. إذن فهو بالتأكيد علم أحمر.
  • هناك العديد من مواقع الويب ، مثل MXToolbox و UltraTools RBL Database LookUp التي يمكنها إخبارك ما إذا كان موقعك قد تم إدراجه في القائمة السوداء كمصدر للبريد العشوائي. هناك العديد منها متاح ، وتحتاج إلى البحث في أكبر عدد يمكنك العثور عليه. عدم إدراجك في القائمة السوداء لا يعني أنك واضح بنسبة 100٪.

2. موقع الويب الخاص بك يعيد توجيهك إلى مكان آخر.

ربما يكون هذا هو أسهل الأعراض التي يمكن اكتشافها. عندما تزور موقع الويب الخاص بك ، بدلاً من عرض صفحة الويب الخاصة بك ، تتم إعادة توجيهك إلى مكان غريب. بادئ ذي بدء ، تحقق لمعرفة ما إذا كانت سجلات DNS الخاصة بك قد تغيرت ، وأشر الآن إلى عنوان IP مختلف.

 إذا كانت سجلات DNS الخاصة بك تبدو جيدة ، فمن المحتمل جدًا أن يكون هناك شيء ما في صفحة HTML الخاصة بك يتسبب في إعادة التوجيه هذه. حاول تعطيل دعم Javascript في المتصفح الخاص بك ، ولاحظ مرة أخرى ما إذا كان موقع الويب الخاص بك يقوم بإعادة توجيهك. إذا استمرت إعادة التوجيه ، فهذه علامة على أن مناطق أخرى من موقع الويب الخاص بك قد تم العبث بها على الأرجح (إما قاعدة بياناتك أو ملف htaccess الخاص بموقعك أو تكوين خادم الويب الخاص بك).

3. يحتوي موقع الويب الخاص بك على إطارات مضمنة مشبوهة.

iframe هو مستند HTML "مضمن" داخل HTML آخر ، يتم استخدامه لعرض محتوى من مصدر آخر ، عادةً الإعلانات. من السهل تحديد إطارات iframe المرئية ، ومع ذلك ، فإن معظمها صغير جدًا (يستغرق أحيانًا بضع وحدات بكسل فقط!) بحيث يمكنك بسهولة تفويتها. افتح ملف HTML في محرر وابحث عن علامات <iframe> التي تحاول الاتصال بعناوين URL غير معروفة أو مشبوهة المظهر. علّق عليها بوضعها داخل علامات تعليق HTML <! -. يجب ألا تتوقف عند هذا الحد ، لأنه ربما إذا كنت قد تلاعبت بملفات HTML ، فهذا يعني أن موقع الويب الخاص بك قد تعرض للخطر بالتأكيد وأنه قد تكون هناك أماكن أخرى تم فيها العبث بموقعك.

4. يفتح موقع الويب الخاص بك النوافذ المنبثقة عند التحميل.

هذه أيضًا علامة سهلة لتحديدها. يقوم موقع الويب الخاص بك بتحميل النوافذ المنبثقة التي من الواضح أنها في غير محلها. البعض منهم ، يسمون المنبثقة ، هم أكثر ماكرة. لا تظهر هذه عند زيارة موقع الويب الخاص بك ولكن يتم تحميلها في الخلفية. ومع ذلك ، إذا قمت بتصغير المتصفح الخاص بك ، فسوف تراها على الفور ، وعادة ما تشغل جزءًا كبيرًا من شاشتك.

استضافة موقع الويب الخاص بك مع Pressidium

ضمان استرداد الأموال لمدة 60 يومًا

اطلع على خططنا

5. ملفات PHP مشوشة وغريبة المظهر.

يعد اكتشاف ملفات PHP التي تبدو غير مفهومة على ما يبدو مثل المثال التالي دائمًا علامة تحذير واضحة على أن شخصًا ما قد تلاعب بموقعك على الويب:

<؟ php EVAL (“\ 145 \ 166 \ 141 \ 154 \ 050 \ 142 \ 141 \ 163 '== QfgsDdphXZgsTKog2c1xmZgszJ + QHcpJ3Yz [...]

المصطلح التقني لهذه الأنواع من الملفات هو "التعتيم". التعتيم هو أسلوب شائع يستخدمه المتسللون لإخفاء مصدر جزء خبيث من التعليمات البرمجية عادةً أو يجعل من الصعب جدًا قراءة وفهم وظيفته

6. backdoors ، webshells ، وحسابات المسؤول

Webshells عبارة عن برامج يمكن للمتسللين استخدامها للاتصال عن بُعد والحصول على وصول إداري كامل إلى موقع الويب الخاص بك. تسمح هذه البرامج بالوصول إلى شبكة الويب عن بُعد إلى غلاف الخادم الخاص بك (ومن هنا جاء مصطلح webshell) بحيث يمكن لأي شخص متصل بها تنفيذ الأوامر. من المحتمل أنه إذا وجدت ملف PHP مبهم في مكان ما ، فهو عبارة عن webshell.

يمكن للقراصنة أيضًا إنشاء حسابات ذات حقوق إدارية لاستخدامها كأبواب خلفية. يسهل العثور عليها نسبيًا نظرًا لأنها مرئية في الواجهة الخلفية لـ WordPress أو في قاعدة البيانات الخاصة بك.

أدوات لمساعدتك على تحديد النشاط المشبوه

هناك العديد من الأدوات التي يمكن أن تساعدك في تحديد ما إذا كان موقع الويب الخاص بك قد تم العبث به. إذا كنت تعتقد أنك تعرضت للاختراق أو الإصابة ، فمن الجيد التحقق من موقع الويب الخاص بك باستخدام كل منهم. بهذه الطريقة ، ستحصل على عرض أكثر تقريبًا ، لأنه لا تقوم كل هذه الخدمات بفحص نفس الأشياء. جميع الموارد أدناه مجانية الاستخدام وتتطلب منك فقط كتابة عنوان URL لموقع الويب الخاص بك.

على وجه الخصوص ، إذا كنت تعتقد أنك مصاب بإطارات iframe الضارة والنوافذ المنبثقة وعمليات إعادة التوجيه ووحوش جافا سكريبت الأخرى ، فستعلمك مواقع الويب التالية على الفور:

  1. موقع سوكوري تحقق واكشف الطفيليات . ستتحقق هذه البرامج من البرامج الضارة المعروفة ، وما إذا كان موقع الويب الخاص بك مدرجًا في القائمة السوداء وغير ذلك الكثير.
  2. تقرير الشفافية من Google . سيوضح لك هذا ما إذا كان موقع الويب الخاص بك يعتبر "خطرًا لزيارته" وفقًا لـ Google.
  3. VirusTotal هي خدمة مجانية يمكنها تحليل عناوين URL والملفات لمعرفة ما إذا كانت تحتوي على أي محتوى ضار.
  4. الماسح الضوئي المجاني للبرامج الضارة على الإنترنت من خلال مخاطر الكمبيوتر. يبحث في موقعك عن "الشفرات الضارة وإطارات iframe المخفية واستغلال الثغرات الأمنية والملفات المصابة والأنشطة المشبوهة الأخرى".
  5. ماسح البرامج الضارة لموقع Quttera المجاني. يبحث في موقعك عن "البرامج النصية المشبوهة والوسائط الضارة وتهديدات أمان الويب الأخرى المخبأة في المحتوى المشروع والموجودة على مواقع الويب". ينتج تقريرًا أمنيًا ، مع تصنيف كل نتيجة وفقًا لمستوى التهديد.

هناك أيضًا العديد من مكونات WordPress الإضافية التي تساعدك في الحفاظ على أمان موقع WordPress الخاص بك. تأكد أيضًا من مراجعة هذا الدليل الممتاز لأفضل 7 ملحقات أمان لـ WordPress بواسطة InfoSec.

من الأهمية بمكان تنظيف موقعك بمجرد العثور على أي محتوى ضار وإصلاح نقاط الضعف فيه. يعني موقع الويب المخترق انقطاع الخدمة أو السلوك غير الطبيعي الذي يمكن وسيؤثر في النهاية على سبل عيش عملك!