خانه امنیت و SSL 12 نشانه برای تشخیص هک شدن سایت وردپرسی
تاریخ به‌روزرسانی : 1396/12/05
به قلم : شهاب بیرامی
زمان مطالعه : 22 دقیقه

تشخیص هک شدن سایت وردپرسی یکی از مهم‌ترین مهارت‌هایی است که هر مدیر وب‌سایت باید داشته باشد. با توجه به اینکه وردپرس بیش از ۴۳٪ از وب‌سایت‌های جهان را قدرت می‌بخشد، این سیستم هدف اصلی هکرها و مجرمان سایبری است. در سال ۲۰۲۶، آسیب‌پذیری‌های وردپرس ۶۸٪ نسبت به سال قبل افزایش یافته و حملات مبتنی بر هوش مصنوعی، تشخیص نفوذ را دشوارتر از همیشه کرده است. در این راهنمای جامع، با ۱۵+ نشانه هک شدن سایت وردپرسی، روش‌های تشخیص پیشرفته، مراحل بازیابی و تکنیک‌های پیشگیری آشنا می‌شوید.

خلاصه مطلب (TL;DR)

  • نشانه‌های کلیدی هک: ریدایرکت به سایت‌های مشکوک، کاهش ناگهانی ترافیک، ایجاد کاربران ادمین ناشناس، تغییر محتوا یا ظاهر سایت، و هشدارهای امنیتی گوگل.
  • ابزارهای تشخیص ۲۰۲۶: Wordfence (فایروال endpoint)، Sucuri (فایروال cloud)، Google Search Console، و اسکن دستی فایل‌های سرور.
  • اقدامات فوری: قطع دسترسی عمومی، تغییر تمام رمزهای عبور، شناسایی و حذف فایل‌های آلوده، بازگردانی از بکاپ سالم، و به‌روزرسانی همه افزونه‌ها/قالب‌ها.
  • پیشگیری: احراز هویت دو مرحله‌ای (2FA)، به‌روزرسانی منظم، استفاده از هاست امن وردپرس، فایروال WAF، و بکاپ روزانه.

چرا سایت‌های وردپرسی هک می‌شوند؟

قبل از بررسی نشانه‌های هک، مهم است بدانیم چرا وردپرس هدف اصلی هکرهاست. طبق گزارش Patchstack در سال ۲۰۲۶، بیش از ۶۴,۷۸۲ آسیب‌پذیری در اکوسیستم وردپرس شناسایی شده که ۹۶-۹۷٪ آن‌ها مربوط به افزونه‌هاست.

دلایل اصلی هک شدن سایت‌های وردپرسی

  • افزونه‌های آسیب‌پذیر: ۹۶٪ حملات از طریق افزونه‌های به‌روز نشده یا دارای باگ امنیتی انجام می‌شود
  • رمزهای عبور ضعیف: حملات Brute Force همچنان یکی از رایج‌ترین روش‌های نفوذ است
  • قالب‌های Nulled: قالب‌های غیرقانونی اغلب حاوی backdoor و بدافزار هستند
  • هاست ناامن: هاست‌های ارزان و بدون امنیت مناسب، سایت را در معرض خطر قرار می‌دهند
  • عدم استفاده از SSL: ارتباطات رمزنگاری نشده امکان شنود و حملات MITM را فراهم می‌کنند
  • حملات AI-Driven: در سال ۲۰۲۶، هکرها از ابزارهای هوش مصنوعی برای اسکن خودکار آسیب‌پذیری‌ها و تولید بدافزارهای polymorphic استفاده می‌کنند

آمار تکان‌دهنده امنیت وردپرس ۲۰۲۶

شاخص آمار ۲۰۲۶ تغییر نسبت به سال قبل
آسیب‌پذیری‌های جدید سالانه ۱۰,۶۰۰+ +۶۸٪
سهم افزونه‌ها از آسیب‌پذیری‌ها ۹۶-۹۷٪ ثابت
نوع حمله غالب (XSS) ۵۳.۳٪ +۱۲٪
سایت‌های بدون برنامه بازیابی ۷۳٪ -۵٪
میانگین زمان شناسایی هک ۱۲۰ روز +۱۵ روز
استفاده از 2FA ۶۰٪ +۴۵٪

۱۵+ نشانه برای تشخیص هک شدن سایت وردپرسی

نشانه‌های هک شدن سایت را می‌توان به دو دسته تقسیم کرد: نشانه‌های آشکار که فوراً قابل مشاهده هستند، و نشانه‌های پنهان که نیاز به بررسی دقیق‌تر دارند.

نشانه‌های آشکار هک شدن

۱. ریدایرکت ناخواسته به سایت‌های مشکوک

یکی از واضح‌ترین نشانه‌های هک شدن، ریدایرکت شدن کاربران به سایت‌های فیشینگ، قمار، یا فروشگاه‌های جعلی است. این نوع بدافزار معمولاً هوشمند عمل می‌کند و فقط بازدیدکنندگانی که از گوگل آمده‌اند را ریدایرکت می‌کند، در حالی که ورودی‌های مستقیم و کاربران لاگین‌شده محتوای عادی را می‌بینند.

هشدار: اگر کاربران شما گزارش می‌دهند که سایت شما آن‌ها را به جای دیگری هدایت می‌کند اما شما این مشکل را نمی‌بینید، احتمالاً سایت شما هک شده است. از حالت incognito مرورگر و از طریق جستجوی گوگل وارد سایت شوید تا این ریدایرکت را ببینید.

۲. هشدارهای امنیتی گوگل و مرورگرها

گوگل هفتگی حدود ۲۰,۰۰۰ سایت را به دلیل بدافزار و ۵۰,۰۰۰ سایت را به دلیل فیشینگ بلاک می‌کند. اگر کاربران با پیام‌های زیر مواجه می‌شوند، سایت شما هک شده است:

  • "Deceptive site ahead" - سایت فریبنده
  • "This site may be hacked" - این سایت ممکن است هک شده باشد
  • "This site contains malware" - این سایت حاوی بدافزار است
  • "This site has been reported as unsafe" - این سایت ناامن گزارش شده است

برای بررسی وضعیت سایت خود از Google Safe Browsing Tool استفاده کنید.

۳. تغییر ظاهر صفحه اصلی (Defacement)

برخی هکرها به عنوان اثبات قدرت یا برای اهداف سیاسی، صفحه اصلی سایت را تغییر می‌دهند. این نوع حمله معمولاً با پیام‌هایی مانند "Hacked by..." همراه است. اگرچه این نوع هک واضح‌ترین است، اما خطرناک‌ترین نیست؛ هکرهای حرفه‌ای ترجیح می‌دهند مخفی بمانند.

۴. عدم امکان ورود به پیشخوان وردپرس

اگر رمز عبور شما کار نمی‌کند و امکان بازیابی آن از طریق ایمیل وجود ندارد، احتمالاً هکر اکانت ادمین شما را حذف یا تغییر داده است. در این حالت باید از طریق phpMyAdmin یا SSH به دیتابیس دسترسی پیدا کنید و یک کاربر ادمین جدید ایجاد کنید.

۵. ایجاد کاربران ادمین ناشناس

به بخش کاربران وردپرس بروید و لیست کاربران با نقش Administrator را بررسی کنید. اگر کاربری با ایمیل ناشناس یا نام کاربری عجیب (مانند admin123، support، user1) می‌بینید که شما ایجاد نکرده‌اید، این یک نشانه قطعی هک است.

۶. نمایش پاپ‌آپ و تبلیغات ناخواسته

اگر تبلیغات pop-up، banner یا redirect تبلیغاتی روی سایت شما نمایش داده می‌شود که خودتان اضافه نکرده‌اید، سایت شما به یک شبکه تبلیغات مخرب متصل شده است. این نوع بدافزار معمولاً فقط به کاربران غیرلاگین و موبایل نمایش داده می‌شود.

نشانه‌های پنهان و حرفه‌ای هک

۷. کاهش ناگهانی ترافیک سایت

اگر در Google Analytics متوجه افت شدید ترافیک شدید (۵۰٪+ در یک هفته)، احتمالات زیر وجود دارد:

  • گوگل سایت شما را به دلیل بدافزار از نتایج حذف کرده است
  • بدافزار ترافیک را به سایت دیگری هدایت می‌کند
  • هکرها محتوای spam در سایت شما تزریق کرده‌اند و گوگل penalty داده است

در Google Search Console بخش Security Issues را بررسی کنید.

۸. تزریق لینک‌های اسپم (SEO Spam)

یکی از رایج‌ترین حملات سال ۲۰۲۶، تزریق لینک‌های اسپم به محتوای سایت است. هکرها لینک‌هایی به سایت‌های قمار، دارو، یا محصولات تقلبی در footer، widget‌ها یا حتی داخل پست‌ها اضافه می‌کنند. این لینک‌ها گاهی با CSS مخفی شده‌اند و فقط در سورس کد قابل مشاهده هستند.

# جستجوی لینک‌های مشکوک در سورس کد
grep -r "viagra\|casino\|cialis\|payday" /var/www/html/wp-content/

# جستجوی لینک‌های با display:none
grep -r "display:none\|visibility:hidden" /var/www/html/wp-content/themes/

۹. حمله Japanese SEO Spam (کاراکترهای ژاپنی)

این یکی از پیچیده‌ترین حملات SEO Spam است. هکرها صفحات جدیدی با محتوای ژاپنی یا چینی ایجاد می‌کنند که فقط برای موتورهای جستجو قابل مشاهده است (Cloaking). در نتایج گوگل می‌بینید که صفحات سایت شما با عناوین ژاپنی ایندکس شده‌اند.

برای بررسی، در گوگل جستجو کنید: site:yourdomain.com و ببینید آیا صفحات ناشناس با زبان‌های خارجی وجود دارد.

۱۰. فایل‌ها و اسکریپت‌های ناشناس روی سرور

هکرها فایل‌های backdoor را در مکان‌های مختلف قرار می‌دهند. این فایل‌ها اغلب نام‌های شبیه به فایل‌های اصلی وردپرس دارند:

محل معمول نام‌های مشکوک توضیح
/wp-content/uploads/ wp-tmp.php, cache.php فایل‌های PHP نباید در uploads باشند
/wp-includes/ wp-vcd.php, class-wp-cache.php فایل‌های اضافه به هسته وردپرس
/wp-content/themes/ footer2.php, social.php فایل‌های اضافه در قالب
root radio.php, diff.php, about.php فایل‌های ناشناس در root
# یافتن فایل‌های PHP در uploads
find /var/www/html/wp-content/uploads -name "*.php" -type f

# یافتن فایل‌های اخیراً تغییر یافته
find /var/www/html -name "*.php" -mtime -7 -type f

# جستجوی کدهای base64 (رایج در بدافزار)
grep -r "base64_decode\|eval(" /var/www/html/wp-content/ --include="*.php"

۱۱. کاهش سرعت سایت و مصرف بالای منابع سرور

اگر سایت شما ناگهان کند شده یا از دسترس خارج می‌شود، ممکن است:

  • حمله DDoS: ارسال درخواست‌های متعدد برای از کار انداختن سرور
  • Cryptomining: استفاده از منابع سرور برای استخراج ارز دیجیتال
  • Spam Email: ارسال ایمیل‌های انبوه از سرور شما
  • Botnet Activity: استفاده از سرور شما در حملات به سایت‌های دیگر

برای بررسی مصرف منابع از دستورات زیر استفاده کنید:

# مشاهده پروسه‌های فعال
top -c

# بررسی مصرف CPU توسط PHP
ps aux | grep php | sort -k3 -nr | head -10

# بررسی اتصالات شبکه
netstat -an | grep ESTABLISHED | wc -l

۱۲. فعالیت‌های غیرمعمول در Server Logs

بررسی لاگ‌های سرور می‌تواند حملات و نفوذها را آشکار کند. در لاگ‌ها به دنبال موارد زیر باشید:

  • تعداد زیاد درخواست‌های ۴۰۴ به فایل‌های PHP ناشناس
  • درخواست‌های POST به فایل‌های غیرمعمول
  • ترافیک غیرعادی از IP‌های خاص
  • دسترسی به فایل‌های wp-config.php یا .htaccess
# جستجوی تلاش‌های ورود ناموفق
grep "wp-login.php" /var/log/nginx/access.log | grep "POST"

# یافتن IP‌های با بیشترین درخواست
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -20

# جستجوی حملات SQL Injection
grep -E "union|select|insert|update|delete|drop" /var/log/nginx/access.log

۱۳. مشکل در ارسال و دریافت ایمیل

اگر ایمیل‌های وردپرس (مانند ریست رمز عبور یا نوتیفیکیشن‌ها) به مقصد نمی‌رسند یا به spam می‌روند، ممکن است:

  • IP سرور شما در blacklist قرار گرفته باشد
  • هکرها از سرور شما برای ارسال spam استفاده می‌کنند
  • تنظیمات SMTP دستکاری شده باشد

برای بررسی وضعیت IP سرور از ابزارهای MXToolbox Blacklist Check استفاده کنید.

۱۴. تغییر نتایج جستجو در گوگل

اگر عنوان و توضیحات صفحات شما در نتایج گوگل متفاوت از آنچه تنظیم کرده‌اید نمایش داده می‌شود، هکرها ممکن است meta tag‌های شما را تغییر داده باشند. این تکنیک به نام "Cloaking" معروف است و محتوای متفاوتی را به کاربران و موتورهای جستجو نشان می‌دهد.

۱۵. فعالیت‌های زمانبندی شده مشکوک (Cron Jobs)

هکرها از wp-cron یا crontab سرور برای اجرای منظم کدهای مخرب استفاده می‌کنند. این کارها ممکن است شامل ارسال spam، بازیابی backdoor‌های حذف شده، یا جمع‌آوری داده باشد.

# مشاهده cron jobs سیستم
crontab -l
cat /etc/crontab

# بررسی wp-cron events در وردپرس
wp cron event list --path=/var/www/html

۱۶. وجود افزونه‌های ناشناس

در سال ۲۰۲۶، نوعی بدافزار به نام "Fake Plugin" بسیار رایج شده است. این بدافزار یک افزونه جعلی مانند "Modern Recent Posts" یا "WP-VCD" نصب می‌کند که در لیست افزونه‌ها ظاهر می‌شود اما کد مخرب اجرا می‌کند.

۱۷. تغییر فایل‌های core وردپرس

فایل‌های هسته وردپرس مانند wp-includes/version.php یا wp-admin/includes/class-wp-filesystem-direct.php گاهی توسط بدافزار تغییر می‌کنند. برای بررسی یکپارچگی فایل‌ها:

# بررسی یکپارچگی فایل‌های core با WP-CLI
wp core verify-checksums --path=/var/www/html

# بررسی یکپارچگی افزونه‌ها
wp plugin verify-checksums --all --path=/var/www/html

مقایسه انواع حملات رایج به وردپرس

درک انواع حملات به شما کمک می‌کند سریع‌تر نوع تهدید را شناسایی کرده و واکنش مناسب نشان دهید:

نوع حمله هدف هکر نشانه‌های اصلی شدت خطر
SEO Spam رتبه‌دهی سایت‌های spam لینک‌های مخفی، صفحات ژاپنی متوسط
Backdoor دسترسی دائمی فایل‌های PHP ناشناس بالا
Malvertising کسب درآمد از تبلیغات پاپ‌آپ و تبلیغات متوسط
Phishing سرقت اطلاعات کاربران صفحات login جعلی بالا
Cryptomining استخراج ارز دیجیتال مصرف بالای CPU متوسط
Defacement تخریب یا پیام سیاسی تغییر صفحه اصلی پایین
Ransomware باج‌گیری رمزنگاری فایل‌ها بسیار بالا
Data Theft سرقت اطلاعات دسترسی به دیتابیس بسیار بالا
Parrot TDS ریدایرکت هوشمند ریدایرکت فقط از گوگل بالا

چک‌لیست تشخیص سریع هک

از این چک‌لیست برای بررسی سریع وضعیت امنیتی سایت خود استفاده کنید:

چک‌لیست بررسی امنیتی سایت وردپرسی

بررسی‌های فوری (۵ دقیقه):

  • ☐ آیا سایت در حالت incognito به درستی باز می‌شود؟
  • ☐ آیا از طریق جستجوی گوگل وارد سایت شوید، ریدایرکت نمی‌شود؟
  • ☐ آیا Google Safe Browsing سایت را امن نشان می‌دهد؟
  • ☐ آیا می‌توانید به پیشخوان وردپرس وارد شوید؟
  • ☐ آیا لیست کاربران ادمین سالم است؟

بررسی‌های متوسط (۱۵ دقیقه):

  • ☐ آیا در Google Search Console هشدار امنیتی وجود ندارد؟
  • ☐ آیا فایل‌های PHP در پوشه uploads وجود ندارد؟
  • ☐ آیا افزونه‌های ناشناس نصب نشده است؟
  • ☐ آیا ترافیک سایت نرمال است؟
  • ☐ آیا ایمیل‌های وردپرس به درستی ارسال می‌شوند؟

بررسی‌های کامل (۳۰+ دقیقه):

  • ☐ اسکن کامل با Wordfence یا Sucuri
  • ☐ بررسی یکپارچگی فایل‌های core با wp core verify-checksums
  • ☐ بررسی لاگ‌های سرور برای فعالیت مشکوک
  • ☐ بررسی cron jobs سیستم و وردپرس
  • ☐ مقایسه فایل‌ها با بکاپ سالم

ابزارهای تشخیص هک در سال ۲۰۲۶

انتخاب ابزار مناسب برای اسکن و تشخیص بدافزار بسیار مهم است. در این بخش، بهترین ابزارهای ۲۰۲۶ را معرفی می‌کنیم:

۱. Wordfence Security

Wordfence با بیش از ۵ میلیون نصب فعال، محبوب‌ترین افزونه امنیتی وردپرس است. این افزونه یک فایروال Endpoint ارائه می‌دهد که مستقیماً روی سرور شما اجرا می‌شود:

  • Endpoint Firewall: فایروال در سطح سرور، غیرقابل bypass
  • Malware Scanner: اسکن عمیق فایل‌ها برای بدافزار
  • Login Security: احراز هویت دو مرحله‌ای و محدودیت تلاش‌های ورود
  • Real-time Threat Intelligence: به‌روزرسانی‌های امنیتی در لحظه (نسخه Premium)

نکته مهم: طبق گزارش Sucuri در سال ۲۰۲۶، بدافزارهایی شناسایی شده‌اند که مخصوصاً برای bypass کردن Wordfence طراحی شده‌اند. در ۱۴٪ سایت‌های آلوده، بدافزار فایل‌های Wordfence را دستکاری کرده بود. بنابراین استفاده از چند لایه امنیتی توصیه می‌شود.

۲. Sucuri Security

Sucuri یک پلتفرم امنیتی cloud-based است که ترافیک را قبل از رسیدن به سرور شما فیلتر می‌کند:

  • Cloud WAF: فایروال ابری برای مسدود کردن حملات
  • CDN Integration: بهبود سرعت همراه با امنیت
  • Malware Removal: خدمات حذف بدافزار نامحدود در پلن‌های پولی
  • DDoS Protection: محافظت در برابر حملات DDoS

۳. ابزارهای رایگان آنلاین

ابزار آدرس امکانات
Sucuri SiteCheck sitecheck.sucuri.net اسکن بدافزار، blacklist، و outdated software
Google Safe Browsing transparencyreport.google.com بررسی وضعیت امنیتی از دید گوگل
VirusTotal virustotal.com اسکن URL با ۷۰+ موتور آنتی‌ویروس
Quttera quttera.com تشخیص بدافزار و linkهای مشکوک

راهنمای گام‌به‌گام بازیابی سایت هک‌شده

اگر سایت شما هک شده، آرامش خود را حفظ کنید و این مراحل را به ترتیب دنبال کنید:

مرحله ۱: قطع دسترسی عمومی (اقدام فوری)

اولین اقدام، جلوگیری از آسیب بیشتر به کاربران و اعتبار سایت است:

# فعال‌سازی حالت تعمیرات با .htaccess
# قبل از کل محتوای .htaccess اضافه کنید:

RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^YOUR\.IP\.ADDRESS$
RewriteRule .* - [R=503,L]
ErrorDocument 503 "Site under maintenance"

# یا با فایل PHP ساده
<?php
if ($_SERVER['REMOTE_ADDR'] !== 'YOUR_IP_ADDRESS') {
  header('HTTP/1.1 503 Service Temporarily Unavailable');
  die('سایت در حال تعمیرات است. لطفاً بعداً مراجعه کنید.');
}
?>

مرحله ۲: تغییر تمام رمزهای عبور

قبل از هر اقدامی، تمام رمزهای عبور را تغییر دهید:

  • ☐ رمز عبور پیشخوان وردپرس (همه ادمین‌ها)
  • ☐ رمز عبور FTP/SFTP
  • ☐ رمز عبور SSH
  • ☐ رمز عبور دیتابیس MySQL
  • ☐ رمز عبور cPanel/Plesk
  • ☐ رمز عبور CDN (Cloudflare)

مهم: WordPress Secret Keys را نیز تغییر دهید تا همه session‌های فعال منقضی شوند:

# دریافت کلیدهای جدید از WordPress.org
curl -s https://api.wordpress.org/secret-key/1.1/salt/

# کلیدهای جدید را در wp-config.php جایگزین کنید
define('AUTH_KEY', 'کلید جدید');
define('SECURE_AUTH_KEY', 'کلید جدید');
define('LOGGED_IN_KEY', 'کلید جدید');
define('NONCE_KEY', 'کلید جدید');
define('AUTH_SALT', 'کلید جدید');
define('SECURE_AUTH_SALT', 'کلید جدید');
define('LOGGED_IN_SALT', 'کلید جدید');
define('NONCE_SALT', 'کلید جدید');

مرحله ۳: ایجاد بکاپ از وضعیت فعلی

قبل از هر تغییری، از وضعیت فعلی بکاپ بگیرید. این بکاپ برای تحلیل forensic و شناسایی نقطه نفوذ مفید است:

# بکاپ فایل‌ها
tar -czvf /backup/hacked-site-$(date +%Y%m%d).tar.gz /var/www/html/

# بکاپ دیتابیس
mysqldump -u USER -p DATABASE > /backup/hacked-db-$(date +%Y%m%d).sql

مرحله ۴: اسکن و شناسایی بدافزار

با استفاده از ابزارهای معرفی شده، سایت را اسکن کنید:

# اسکن با ClamAV
clamscan -r --infected /var/www/html/

# جستجوی الگوهای بدافزار
grep -rn "eval(base64_decode" /var/www/html/
grep -rn "gzinflate(base64_decode" /var/www/html/
grep -rn "@include" /var/www/html/wp-content/
grep -rn "FilesMan" /var/www/html/
grep -rn "WSO" /var/www/html/

# بررسی فایل‌های اخیراً تغییر یافته
find /var/www/html -name "*.php" -mtime -7 -ls

# بررسی integrity فایل‌های وردپرس
wp core verify-checksums --path=/var/www/html

مرحله ۵: حذف فایل‌های آلوده

پس از شناسایی فایل‌های آلوده، آن‌ها را حذف یا جایگزین کنید:

  • فایل‌های ناشناس: کاملاً حذف کنید
  • فایل‌های core تغییر یافته: با نسخه اصلی جایگزین کنید
  • افزونه‌ها/قالب‌های آلوده: کاملاً حذف و دوباره نصب کنید
# دانلود و جایگزینی فایل‌های core
wp core download --force --path=/var/www/html

# حذف فایل‌های PHP از uploads
find /var/www/html/wp-content/uploads -name "*.php" -delete

# حذف افزونه آلوده و نصب مجدد
wp plugin delete infected-plugin --path=/var/www/html
wp plugin install plugin-name --activate --path=/var/www/html

مرحله ۶: بازگردانی از بکاپ سالم (در صورت نیاز)

اگر آلودگی گسترده است، بهتر است از آخرین بکاپ سالم بازگردانی کنید. مطمئن شوید که بکاپ قبل از تاریخ نفوذ است:

  • فایل‌ها را از بکاپ بازگردانی کنید
  • دیتابیس را از بکاپ import کنید
  • پس از بازگردانی، حتماً همه افزونه‌ها و وردپرس را به‌روز کنید
  • تمام رمزهای عبور را تغییر دهید

مرحله ۷: به‌روزرسانی همه چیز

پس از پاکسازی، تمام کامپوننت‌ها را به‌روز کنید:

# به‌روزرسانی هسته وردپرس
wp core update --path=/var/www/html

# به‌روزرسانی همه افزونه‌ها
wp plugin update --all --path=/var/www/html

# به‌روزرسانی همه قالب‌ها
wp theme update --all --path=/var/www/html

# به‌روزرسانی نسخه PHP (از طریق cPanel یا ssh)
# PHP 8.2 یا 8.3 توصیه می‌شود

مرحله ۸: تقویت امنیت

پس از بازیابی، لایه‌های امنیتی اضافه کنید:

  • نصب و پیکربندی فایروال (Wordfence یا Sucuri)
  • فعال‌سازی احراز هویت دو مرحله‌ای برای همه ادمین‌ها
  • محدود کردن تلاش‌های ورود
  • تغییر URL صفحه ورود
  • غیرفعال کردن ویرایش فایل از پیشخوان
# اضافه کردن به wp-config.php

// غیرفعال کردن ویرایش فایل
define('DISALLOW_FILE_EDIT', true);

// محدود کردن نصب افزونه/قالب
define('DISALLOW_FILE_MODS', true);

// Force SSL برای پیشخوان
define('FORCE_SSL_ADMIN', true);

مرحله ۹: درخواست بررسی مجدد از گوگل

اگر سایت در blacklist گوگل قرار گرفته، پس از پاکسازی درخواست بررسی مجدد دهید:

  1. وارد Google Search Console شوید
  2. به بخش Security Issues بروید
  3. روی "Request a Review" کلیک کنید
  4. توضیح دهید چه اقداماتی انجام داده‌اید
  5. معمولاً ۲-۷ روز طول می‌کشد تا بررسی انجام شود

راهنمای جامع پیشگیری از هک

پیشگیری همیشه بهتر از درمان است. با رعایت موارد زیر، ریسک هک شدن سایت را به حداقل برسانید:

۱. به‌روزرسانی منظم

۹۶٪ آسیب‌پذیری‌ها از طریق افزونه‌های به‌روز نشده استفاده می‌شوند. به‌روزرسانی‌های امنیتی را فوراً اعمال کنید:

  • هسته وردپرس را به‌روز نگه دارید
  • افزونه‌ها را حداکثر یک هفته پس از انتشار آپدیت کنید
  • قالب‌ها را به‌روز کنید
  • نسخه PHP سرور را به آخرین نسخه پایدار (8.2 یا 8.3) ارتقا دهید
  • افزونه‌های غیرضروری یا قدیمی (بدون آپدیت طی ۶ ماه) را حذف کنید

۲. استفاده از هاست امن

انتخاب هاست وردپرس امن و معتبر، پایه‌ای‌ترین قدم امنیتی است. یک هاست خوب باید:

  • فایروال سطح سرور (WAF) داشته باشد
  • اسکن روزانه بدافزار انجام دهد
  • بکاپ خودکار روزانه تهیه کند
  • SSL رایگان ارائه دهد
  • جداسازی حساب‌ها (Account Isolation) داشته باشد
  • پشتیبانی ۲۴/۷ ارائه دهد

در برتینا، همه پلن‌های هاست شامل این امکانات امنیتی هستند.

۳. رمزهای عبور قوی و منحصر به فرد

از رمزهای عبور حداقل ۱۶ کاراکتری با ترکیب حروف بزرگ و کوچک، اعداد و نمادها استفاده کنید. هرگز از یک رمز برای چند سرویس استفاده نکنید.

# تولید رمز عبور قوی در لینوکس
openssl rand -base64 24

# یا
< /dev/urandom tr -dc 'A-Za-z0-9!@#$%^&*' | head -c 20; echo

۴. احراز هویت دو مرحله‌ای (2FA)

طبق آمار Melapress، استفاده از 2FA از ۱۵٪ در سال ۲۰۲۴ به ۶۰٪ در سال ۲۰۲۶ رسیده است. 2FA را برای همه کاربران ادمین فعال کنید. افزونه‌های توصیه شده:

  • Wordfence Login Security (رایگان)
  • WP 2FA (رایگان با امکانات پیشرفته پولی)
  • Google Authenticator

۵. استفاده از SSL/HTTPS

گواهی SSL نه تنها ارتباطات را رمزنگاری می‌کند، بلکه یک فاکتور رتبه‌بندی SEO نیز هست. همه صفحات سایت باید از HTTPS استفاده کنند:

# Force HTTPS در .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

۶. بکاپ منظم و خودکار

بکاپ روزانه، جان‌نجات سایت شماست. قوانین بکاپ‌گیری:

  • فرکانس: حداقل روزانه برای دیتابیس، هفتگی برای فایل‌ها
  • ذخیره‌سازی: حداقل در ۲ مکان متفاوت (local + cloud)
  • تست بازیابی: ماهانه تست کنید که بکاپ‌ها قابل بازیابی هستند
  • Retention: حداقل ۳۰ روز بکاپ نگهداری کنید

افزونه‌های توصیه شده: UpdraftPlus، BackWPup، BlogVault

۷. محدود کردن دسترسی‌ها

# محدود کردن دسترسی به wp-admin با IP
<Files wp-login.php>
  Order Deny,Allow
  Deny from all
  Allow from YOUR.IP.ADDRESS
</Files>

# محافظت از wp-config.php
<Files wp-config.php>
  Order Allow,Deny
  Deny from all
</Files>

# غیرفعال کردن directory listing
Options -Indexes

# محافظت از .htaccess
<Files .htaccess>
  Order Allow,Deny
  Deny from all
</Files>

۸. استفاده از VPS یا سرور اختصاصی برای سایت‌های مهم

برای سایت‌های تجاری و پرترافیک، استفاده از سرور مجازی (VPS) به جای هاست اشتراکی توصیه می‌شود. در VPS:

  • سایت شما کاملاً ایزوله است
  • کنترل کامل روی تنظیمات امنیتی دارید
  • امکان نصب فایروال‌های پیشرفته مانند Fail2ban و CSF وجود دارد
  • عملکرد بهتر و امنیت بالاتر

۹. مانیتورینگ و هشدارهای امنیتی

از ابزارهای مانیتورینگ برای آگاهی سریع از مشکلات استفاده کنید:

  • تنظیم هشدار در Google Search Console
  • فعال‌سازی notification در Wordfence
  • استفاده از WP Activity Log برای ثبت تغییرات
  • مانیتورینگ uptime با UptimeRobot یا Pingdom

تجربه تیم برتینا

در طول بیش از ۱۵ سال تجربه میزبانی وب، تیم برتینا صدها سایت هک‌شده را بازیابی کرده است. بر اساس تجربه ما، ۸۰٪ هک‌ها به دلیل افزونه‌های به‌روز نشده و رمزهای عبور ضعیف رخ می‌دهد. با رعایت اصول اولیه امنیتی و استفاده از هاست امن وردپرس، می‌توانید از اکثر حملات جلوگیری کنید. اگر سایت شما هک شده و نیاز به کمک دارید، با پشتیبانی ۲۴/۷ برتینا تماس بگیرید.

سوالات متداول

چگونه بفهمم سایت وردپرسی من هک شده است؟

نشانه‌های اصلی هک شدن شامل: ریدایرکت ناخواسته به سایت‌های دیگر، کاهش ناگهانی ترافیک، هشدارهای امنیتی گوگل، ایجاد کاربران ادمین ناشناس، نمایش تبلیغات پاپ‌آپ، تغییر ظاهر سایت، و عدم امکان ورود به پیشخوان است. برای بررسی دقیق‌تر، از ابزارهایی مانند Sucuri SiteCheck یا Wordfence استفاده کنید.

اگر سایت من هک شد، اولین اقدام چیست؟

اولین اقدام قطع دسترسی عمومی به سایت است تا از آسیب بیشتر به کاربران جلوگیری شود. سپس تمام رمزهای عبور (وردپرس، FTP، دیتابیس، هاست) را تغییر دهید. قبل از پاکسازی، از وضعیت فعلی بکاپ بگیرید تا بتوانید نقطه نفوذ را شناسایی کنید.

Wordfence یا Sucuri کدام بهتر است؟

Wordfence یک فایروال Endpoint است که مستقیماً روی سرور شما اجرا می‌شود و اسکن عمیق‌تری انجام می‌دهد، اما منابع سرور را مصرف می‌کند. Sucuri یک فایروال Cloud است که ترافیک را قبل از رسیدن به سرور فیلتر می‌کند و شامل CDN است. برای سایت‌های کوچک تا متوسط Wordfence رایگان کافی است؛ برای سایت‌های پرترافیک Sucuri با محافظت DDoS بهتر است.

آیا هاست ارزان باعث هک شدن سایت می‌شود؟

هاست‌های ارزان و بی‌کیفیت می‌توانند ریسک هک را افزایش دهند زیرا: جداسازی حساب‌ها (Account Isolation) ضعیف است و هک یک سایت می‌تواند به سایر سایت‌ها سرایت کند؛ فایروال و اسکن بدافزار ندارند؛ نسخه‌های قدیمی PHP و نرم‌افزارها استفاده می‌کنند؛ و پشتیبانی امنیتی ارائه نمی‌دهند. استفاده از هاست معتبر با امکانات امنیتی، سرمایه‌گذاری ضروری است.

چقدر طول می‌کشد تا سایت هک‌شده بازیابی شود؟

زمان بازیابی به شدت آلودگی بستگی دارد. یک هک ساده (مانند تزریق لینک) ممکن است ۱-۲ ساعت طول بکشد. هک‌های پیچیده با backdoor‌های متعدد و آلودگی دیتابیس می‌تواند ۴-۸ ساعت زمان ببرد. اگر نیاز به بازگردانی کامل از بکاپ باشد، ممکن است ۱-۲ روز طول بکشد. بازگشت به نتایج گوگل پس از blacklist معمولاً ۲-۷ روز زمان می‌برد.

قالب‌های Nulled چه خطری دارند؟

قالب‌ها و افزونه‌های Nulled (غیرقانونی و کرک‌شده) تقریباً همیشه حاوی بدافزار، backdoor یا کد مخرب هستند. این کدها می‌توانند: اطلاعات ورود شما را سرقت کنند، سایت را به شبکه spam متصل کنند، SEO سایت را نابود کنند، و حتی اطلاعات مشتریان شما را سرقت کنند. هرگز از قالب‌ها و افزونه‌های غیرقانونی استفاده نکنید.

چگونه از هک مجدد سایت جلوگیری کنم؟

برای پیشگیری از هک مجدد: ۱) همه نرم‌افزارها را به‌روز نگه دارید، ۲) احراز هویت دو مرحله‌ای (2FA) فعال کنید، ۳) از رمزهای عبور قوی و منحصر به فرد استفاده کنید، ۴) یک افزونه امنیتی مانند Wordfence نصب کنید، ۵) بکاپ خودکار روزانه تنظیم کنید، ۶) از هاست معتبر با امکانات امنیتی استفاده کنید، ۷) SSL/HTTPS فعال کنید، ۸) افزونه‌ها و قالب‌های غیرضروری را حذف کنید.

جمع‌بندی

تشخیص هک شدن سایت وردپرسی نیازمند آگاهی از نشانه‌های مختلف است. از ریدایرکت‌های مشکوک و کاهش ترافیک گرفته تا فایل‌های ناشناس و کاربران جعلی، همه می‌توانند نشانه‌های نفوذ باشند. با استفاده از ابزارهای تشخیص مانند Wordfence و Sucuri، بررسی منظم لاگ‌های سرور، و رعایت اصول پیشگیرانه، می‌توانید امنیت سایت خود را به حداکثر برسانید.

نکات کلیدی:

  • ۹۶٪ آسیب‌پذیری‌ها از افزونه‌ها ناشی می‌شود - به‌روزرسانی منظم ضروری است
  • میانگین زمان شناسایی هک ۱۲۰ روز است - مانیتورینگ مداوم مهم است
  • استفاده از 2FA، ۹۹.۹٪ حملات Brute Force را متوقف می‌کند
  • بکاپ روزانه، بهترین بیمه در برابر ransomware است
  • انتخاب هاست امن پایه‌ای‌ترین قدم امنیتی است

اگر سایت شما هک شده و نیاز به کمک دارید، یا می‌خواهید امنیت سایت خود را ارتقا دهید، با تیم پشتیبانی برتینا تماس بگیرید. ما ۲۴ ساعته آماده کمک به شما هستیم.

هاست امن برای سایت وردپرسی شما

با هاست وردپرس برتینا از فایروال پیشرفته، اسکن روزانه بدافزار، بکاپ خودکار و پشتیبانی ۲۴/۷ بهره‌مند شوید.

مشاهده پلن‌های هاست وردپرس

مطالب مرتبط

برچسب ها

ارسال دیدگاه :

امتیاز شما به این مقاله :

نظرات