ورود | ثبت نام

از کجا بفهمیم سایت هک شده یا نه؟ (وردپرسی و غیر وردپرسی)

Picture of رضا عقیقی

رضا عقیقی

از کجا بفهمیم سایت هک شده

سر فصل های این مقاله :

بدون شک هک شدن سایت یکی از بزرگ‌ترین دغدغه‌های مدیران کسب‌وکارهای اینترنتیه. وقتی یک سایت هک می‌شه، فقط ظاهر سایت به‌هم نمی‌ریزه؛ بلکه ممکنه اطلاعات کاربرا، اعتبار برند، سئو و حتی درآمد سایت تحت‌تأثیر قرار بگیره. برای همین همیشه باید حواستون به امنیت وردپرس باشه و تا آخر این مقاله آموزشی با ما باشید تا از کجا بفهمیم سایت هک شده است یا نه ؟

اما فقط پیشگیری کافی نیست! گاهی حتی با رعایت همه نکات هم ممکنه سایت شما مورد حمله قرار بگیره. نکته‌ی مهم اینه که هرچه زودتر متوجه هک شدن سایت بشید، سریع‌تر و راحت‌تر می‌تونید مشکل رو حل کنید و جلوی خسارت‌های بیشتر رو بگیرید.

در ادامه، چندتا از مهم‌ترین نشونه‌های هک شدن سایت رو باهم بررسی می‌کنیم تا بفهمیم سایت هک شده است. اگر یکی از این موارد رو مشاهده کردید، سریع دست‌به‌کار بشید و امنیت سایت رو دوباره برقرار کنید. تمام احتمالات هک شدن سایت در مقاله از کجا بفهمیم سایت هک شده ذکر شده پس با دقت مطالعه کنی.

از کجا بفهمیم سایت هک شده ؟

افت ناگهانی ترافیک یکی از واضح‌ترین نشونه‌های هک شدن سایته، و باید خیلی سریع بهش توجه کنید.

اگر دیدید بدون هیچ دلیل منطقی مثل آپدیت نکردن محتوا، تغییرات قالب، یا مشکلات فنی—ترافیک سایت به یک‌باره سقوط کرده، احتمال خیلی زیاد یک مشکل امنیتی پشت ماجراست.

همچنین مقاله رفع خطای Deceptive site ahead در وردپرس به زبان ساده را در این صفحه مطالعه کنید.

افت ناگهانی در ترافیک وب‌سایت

یکی از اولین علائمی که باید بهش حساس باشید، کاهش غیرعادی ترافیک سایت هست. معمولاً شما با ابزارهایی مثل گوگل آنالیتیکس یا سرچ کنسول، آمار ورودی‌هاتون رو بررسی می‌کنید. اما وقتی سایت هک بشه، خیلی راحت ممکنه با یک افت عجیب و ناگهانی روبه‌رو بشید.

علت چیه؟

هکرها معمولاً کدهای مخرب، بدافزارها یا تروجان‌هایی رو در سایت قرار می‌دن که:

کاربرا رو به سایت‌های اسپم یا تبلیغاتی منتقل می‌کنه

محتوا رو دست‌کاری می‌کنه

یا باعث می‌شه گوگل سایت شما رو ناامن تشخیص بده

همین موضوع باعث می‌شه گوگل سایت رو جریمه یا حتی در لیست سیاه (Blacklist) قرار بده.

و نتیجه؟

سقوط شدید ترافیک!

جالبه بدونید هر هفته گوگل حدود ۲۰٬۰۰۰ وب‌سایت رو به خاطر بدافزار و حدود ۵۰٬۰۰۰ وب‌سایت رو به خاطر حملات فیشینگ، بلاک می‌کنه.

پس این موضوع اصلاً کم‌اهمیت نیست.

همچنین مقاله نحوه حذف نام نویسنده در وردپرس با افزونه و بدون افزونه (جامع و کامل) را در این  صفحه مشاهده کنید.

از کجا بفهمیم سایت هک شده؟

یکی از بهترین ابزارها برای بررسی امنیت سایت، Google’s Safe Browsing هست. با این ابزار می‌تونید بفهمید آیا سایت شما:

  • در لیست سیاه قرار گرفته.
  • حاوی بدافزار شناخته شده است.
  • ریدایرکت مشکوک انجام می‌دهد.
  • محتوای مخرب منتشر می‌کند.

اگر این ابزار به شما اخطار داد، یعنی باید فوراً وضعیت امنیت سایت رو بررسی و برطرف کنید.

اضافه شدن لینک‌های بد به وب‌سایت

یکی دیگه از نشونه‌های خیلی جدی هک شدن سایت وردپرسی یا غیر وردپرسی، ظاهر شدن لینک‌های مشکوک و اسپم در بخش‌های مختلف سایت هست. این اتفاق معمولاً زمانی می‌افته که هکر بتونه از طریق یک حفره امنیتی وارد سایت بشه و یک درب پشتی (Backdoor) توی سایت شما ایجاد کنه.

درب پشتی یا بکدور یعنی چی؟

یعنی هکر یک راه مخفی توی سایت شما درست می‌کنه که هر وقت بخواد ،حتی اگر شما رمزتون رو عوض کنید، دوباره بتونه وارد سایت بشه، فایل‌ها رو تغییر بده یا لینک اضافه کنه.

چرا لینک‌های بد خطرناک‌اند؟

🔹 هکرها معمولاً لینک‌های اسپم و تبلیغاتی خودشون رو به قسمت‌های مختلف سایت مخصوصاً فوتر اضافه می‌کنن.

🔹 این لینک‌ها معمولاً به سایت‌های فروش دارو، سایت‌های غیراخلاقی، قمار یا اسپم‌های چینی و روسی وصل می‌شن.

🔹 شما می‌تونید لینک‌ها رو پاک کنید، اما اگر درب پشتی پیدا نشه…

➡️ فردا دوباره برمی‌گردن!

چطور بفهمیم مشکل از Backdoor است؟

اگر لینک‌ها پس از حذف دوباره برگشتن، یعنی:

  • یکی از فایل‌های قالب یا پلاگین آلوده شده
  • یک فایل ناشناس داخل هاست قرار گرفته
  • یا در دیتابیس، اسکریپت مخفی تزریق شده

در این حالت، پاک کردن لینک فقط یک کار موقتیه.

شما باید منبع اصلی آلودگی و Backdoor رو پیدا و کامل حذف کنید تا سایت دوباره امن بشه.

همچنین مقاله نحوه بکاپ گرفتن از سایت وردپرسی با افزونه رایگان BackWPup (جامع و کامل) را در این صفحه مطالعه کنید.

دیفیس شدن صفحه اصلی وب‌سایت

یکی از واضح‌ترین و ترسناک‌ترین نشونه‌های هک شدن سایت، دیفیس (Deface) شدن صفحه اصلی هست. در این حالت، هکر دیگه اصلاً رودربایستی نداره!

به‌جای صفحه اصلی سایت شما، یک پیام بزرگ مثل:

“Your website has been hacked!”
یا
“Hacked by …”

نمایش داده می‌شه.

چرا این اتفاق می‌افته؟

معمولاً دو نوع هکر داریم:

هکرهای پنهان‌کار

این دسته سعی می‌کنن هیچ ردی از خودشون نذارن تا مدت‌ها بدون اینکه شما متوجه بشید، از سایتتون سوءاستفاده کنن؛ مثل تزریق لینک، ارسال اسپم یا استخراج دیتا.

هکرهای نمایشی

این‌ها معمولاً برای قدرت‌نمایی یا اهداف سیاسی/تبلیغاتی سایت رو دیفیس می‌کنن.

بعد از اینکه وارد سایت شدن و هدفشون انجام شد، صفحه اصلی رو تغییر می‌دن تا اعلام کنن که سایت شما رو هک کردن.

وقتی سایت دیفیس شد چه کار کنیم؟

اگر صفحه اصلی سایت شما به‌جای محتوا، یک پیام هک شدن نشون می‌ده، یعنی:

سطح دسترسی هکر خیلی بالا بوده

فایل‌های قالب یا هسته وردپرس دستکاری شده

و احتمالاً یک یا چند Backdoor داخل سایت وجود داره

در این شرایط، فقط برگردوندن بک‌آپ کافی نیست؛

چون اگر Backdoor پیدا نشه، هکر دوباره برمی‌گرده.

وارد نشدن به پنل مدیریت وردپرس

اگه تلاش می‌کنید وارد پیشخوان وردپرس بشید اما هی خطای «نام کاربری یا رمز عبور اشتباه است» دریافت می‌کنید، اون هم در حالی که کاملاً مطمئن هستید اطلاعات ورود درسته، احتمال خیلی زیاد سایت شما هک شده.

در این حالت معمولاً اتفاق‌های زیر افتاده:

🔐 ۱. حذف یا تغییر حساب ادمین توسط هکر

بیشتر هکرها بعد از ورود به سایت، اولین کاری که انجام می‌دن اینه که:

  1. یا پسورد ادمین رو تغییر می‌دن
  2. یا حساب کاربری ادمین رو کامل حذف می‌کنن

به همین دلیل:

نه می‌تونید وارد پیشخوان بشید

نه حتی با گزینه «فراموشی رمز عبور» می‌تونید رمز رو بازیابی کنید

چون ایمیل و حساب کاربری اصلی دیگه وجود نداره.

⚠️ ۲. استفاده از فرمی که عمداً از کار افتاده

گاهی هکر فرم بازیابی رمز رو هم دستکاری می‌کنه تا مدیر سایت هیچ راهی برای ورود نداشته باشه.

🛠️ چطور این مشکل رو حل کنیم؟

برای برطرف کردنش باید مستقیماً از طریق phpMyAdmin یا هاست یک اکانت ادمین جدید بسازید یا ادمین قبلی رو برگردونید.

حساب کاربری مشکوک در وردپرس

یکی از نشانه‌های واضح از کجا بفهمیم سایت هک شده ، ایجاد حساب‌های کاربری ناشناس و مشکوک است. در چنین شرایطی زمانی که وارد بخش Users یا کاربران در پیشخوان وردپرس می‌شوید، متوجه حضور کاربرانی می‌شوید که شما هرگز آن‌ها را ایجاد نکرده‌اید؛ کاربرانی که حتی ممکن است نقش «مدیر» داشته باشند.

اگر با چنین وضعیت غیرعادی روبه‌رو شدید، بدانید که به احتمال زیاد وب‌سایت شما مورد حمله قرار گرفته است. هکرها معمولاً با ساخت این‌گونه حساب‌ها، یک دسترسی پشتی برای خود ایجاد می‌کنند تا بتوانند هر زمان لازم شد دوباره وارد سایت شوند یا تغییراتی در آن اعمال کنند.

در این شرایط لازم است فوراً اقدام کنید:

  • تمامی کاربران ناشناس را حذف کنید.
  • رمز عبور مدیریت را تغییر دهید و از یک رمز عبور بسیار قوی استفاده کنید.
  • بررسی کنید که فرم عضویت سایت بدون کپچا نباشد؛ زیرا در برخی مواقع نبود کپچا باعث ساخت حساب‌های اسپم توسط ربات‌ها می‌شود. نصب یک افزونه امنیتی می‌تواند از تکرار این مشکل جلوگیری کند.

فایل‌ها و اسکریپت‌های ناشناخته روی سرور شما

یکی دیگر از نشانه‌های جدی هک شدن وب‌سایت وردپرسی، وجود فایل‌ها و اسکریپت‌هایی است که شما هرگز آن‌ها را ایجاد نکرده‌اید. هکرها معمولاً برای اجرای کدهای مخرب، ایجاد درب پشتی یا کنترل مجدد سایت، فایل‌هایی با نام‌های مشابه فایل‌های اصلی وردپرس در سرور قرار می‌دهند تا تشخیص آن‌ها سخت‌تر شود.

برای شناسایی این موارد، می‌توانید از افزونه امنیتی Sucuri استفاده کنید. این افزونه با اسکن مداوم سایت، در صورتی که فایل ناشناخته یا مشکوکی در سرور یافت شود، بلافاصله به شما هشدار می‌دهد.

همچنین بخش wp-content یکی از رایج‌ترین مکان‌ها برای قرار دادن فایل‌های مخرب است. با این حال توجه داشته باشید:

صرفاً حذف کردن فایل‌های مشکوک کافی نیست.

تا زمانی که درب پشتی (Backdoor) سایت شناسایی و حذف نشود، احتمال بازگشت دوباره این فایل‌ها وجود دارد.

بنابراین بعد از حذف موارد آلوده، حتماً باید یک اسکن امنیتی کامل انجام دهید و سطح دسترسی‌ها، افزونه‌ها و قالب‌های سایت را بررسی و ایمن‌سازی کنید.

کند شدن و واکنش‌گرا نبودن وب‌سایت

اگر سایت شما همیشه سریع بوده و طراحی کاملاً رسپانسیو داشته، اما ناگهان سرعتش افت کرده یا واکنش‌گرایی‌اش به هم ریخته، این موضوع می‌تواند یکی از نشانه‌های هک شدن سایت باشد.

تمام وب‌سایت‌ها در معرض انواع حملات قرار دارند. معمولاً این حملات از طریق چندین کامپیوتر یا سرور هک‌شده در نقاط مختلف دنیا انجام می‌شود و مهاجمان با استفاده از IPهای جعلی، حجم زیادی درخواست به سرور شما می‌فرستند.

گاهی فقط با ارسال تعداد زیادی درخواست قصد دارند سرور را تحت فشار بگذارند و کند کنند، و گاهی هم تلاش می‌کنند به سایت شما نفوذ کرده و آسیب بزنند.

هر نوع فعالیت غیرعادی روی سرور، می‌تواند باعث کند شدن وب‌سایت یا حتی از کار افتادن واکنش‌گرایی آن شود. در چنین شرایطی بهتر است Log سرور را بررسی کنید تا ببینید این درخواست‌های مشکوک از چه IPهایی ارسال شده‌اند و در صورت لزوم، آنها را بلاک کنید.

فعالیت‌های غیرمعمول در لاگ سرور

لاگ‌های سرور معمولاً به‌صورت یک فایل متنی روی سرور ذخیره می‌شوند و شامل تمام خطاها، درخواست‌ها و ترافیک ورودی به وب‌سایت هستند. شما می‌توانید در بخش Statistics یا Error Logs در داشبورد هاست خود به این فایل‌ها دسترسی پیدا کنید.

این فایل‌ها یکی از بهترین منابع برای شناسایی زمان وقوع حمله هستند. لاگ سرور تمام IP آدرس‌هایی را که به سایت شما دسترسی داشته‌اند، ثبت می‌کند و به‌کمک آن می‌توانید فعالیت‌های مشکوک را شناسایی کنید. در صورتی که IPهای ناشناس یا مشکوک مشاهده کردید، می‌توانید آن‌ها را بلاک کنید تا جلوی ادامه حمله گرفته شود.

بروز خطا در ارسال یا دریافت ایمیل‌های وردپرس

یکی دیگر از نشانه‌های هک شدن سایت، بروز مشکل در ارسال یا دریافت ایمیل‌های وردپرس است. سرورهایی که مورد نفوذ قرار می‌گیرند معمولاً توسط هکرها برای ارسال انبوه ایمیل‌های اسپم مورد استفاده قرار می‌گیرند.

بسیاری از شرکت‌های هاستینگ همراه با سرویس خود یک ایمیل رایگان ارائه می‌دهند و مدیران سایت نیز از این ایمیل‌ها برای ارسال اعلان‌ها و پیام‌های سیستمی وردپرس استفاده می‌کنند. اگر ناگهان متوجه شدید که ایمیل‌های وردپرس ارسال نمی‌شوند یا هیچ ایمیلی دریافت نمی‌کنید، این می‌تواند نشانه‌ای از هک شدن سرور یا سوءاستفاده از سرویس ایمیل شما برای ارسال اسپم باشد.

در چنین شرایطی باید هرچه سریع‌تر موضوع را بررسی کرده و سرور، لاگ‌ها و افزونه‌های مرتبط با ایمیل را چک کنید.

همچنین مقاله آموزش بکاپ گرفتن از سایت وردپرسی از طریق هاست سی پنل را در این صفحه مطالعه کنید.

وظایف زمان‌بندی‌شده مشکوک

روی وب‌سرورها امکان ایجاد Cron Job وجود دارد؛ این‌ها وظایف زمان‌بندی‌شده‌ای هستند که می‌توان برای انجام کارهای خودکار به سرور اضافه کرد. وردپرس نیز از همین قابلیت برای انجام کارهایی مثل انتشار پست‌های زمان‌بندی‌شده، پاک‌سازی دیدگاه‌های قدیمی موجود در سطل زباله و سایر فعالیت‌های دوره‌ای استفاده می‌کند.

اما در صورت هک شدن، مهاجمان می‌توانند از همین Cron Jobها سوءاستفاده کنند. آن‌ها با ایجاد وظایف زمان‌بندی‌شده مخرب، حملات خود را در بازه‌های زمانی مشخص اجرا می‌کنند. وجود وظایف ناشناخته یا مشکوک در برنامه زمان‌بندی سرور می‌تواند یکی از نشانه‌های جدی نفوذ باشد و باید سریعاً بررسی و حذف شود.

تغییر در نتایج جستجوی سایت شما

اگر وقتی وب‌سایت خود را در موتورهای جستجو جستجو می‌کنید، متوجه شدید که عنوان یا توضیحات متا اشتباه است، احتمالاً سایت شما هک شده است. به‌خصوص اگر داخل تنظیمات وردپرس بررسی کنید و ببینید که عنوان و توضیحات متا درست هستند، این یعنی هکرها از طریق یک درب پشتی کد مخربی به سایت شما تزریق کرده‌اند تا موتورهای جستجو فقط اطلاعاتی که خودش می‌خواهد نمایش داده شود.

این نوع هک معمولاً با هدف تغییر محتوای سایت در نتایج جستجو برای تبلیغات، فیشینگ یا هدایت کاربران به سایت‌های دیگر انجام می‌شود و یکی از نشانه‌های جدی نفوذ به سایت شماست.

تبلیغات پاپ‌آپ در وب‌سایت

یکی دیگر از روشهای تشخیص اینکه از کجا بفهمیم سایت هک شده ، اینه که گاهی وقت‌ها پاپ‌آپ‌هایی روی سایت مشاهده می‌کنید که ادعا می‌کنند سیستم شما در خطر است و پیغام‌های WARNING نشان می‌دهند. این پاپ‌آپ‌ها از شما می‌خواهند برنامه‌ای دانلود یا حذف کنید، اما این برنامه‌ها در واقع ویروس هستند و هدفشان فریب دادن شماست. بنابراین به هیچ‌وجه این فایل‌ها را دانلود نکنید.

امیدوارم این مقاله برای شما مفید بوده باشد و به شما کمک کند سایت‌تان را ایمن نگه دارید.
موفق و پیروز باشید!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *