دليل متقدم لاستكشاف أخطاء WordPress المخترقة وإصلاحها

نوصيك باتباع هذا الدليل الأساسي أولاً، لتجنب إجراء تغييرات على موقع الويب الخاص بك غير الضرورية.

إذا كان لديك نسخة احتياطية من موقع الويب الخاص بك، فلديك خيار استبدال النسخة المخترقة بنسخة آمنة. عادةً ما ينجح هذا الحل، لكنه ليس الحل الأمثل دائمًا، حيث يمكن تنفيذ الهجوم عن بُعد من ملف أو مجلد آخر موجود في مكان آخر من مساحة استضافة الويب الخاصة بك.

لنبدأ بالسبب الذي يجعل استعادة مواقع WordPress المخترقة صعبة للغاية. إذا كنت قد حاولت بالفعل حل المشكلة بخطوات أساسية، فقد يكون لديك تقرير فحص من فريق الدعم الخاص بنا في لوحة التحكم cPanel أو من Virus Scanner.

ربما تكون قد حاولت بالفعل تحرير ملف .htaccess، وتعطيل السمات والمكونات الإضافية، واستبدال ملفات WordPress الأساسية، ووجدت أن كل هذا لم يكن فعالاً.

في هذه الحالة، يوجد برنامج ضار إما في حسابك أو في دليل موقع ويب معين. لذا فإن الخطوة الأولى ستكون مسح الحساب أو موقع الويب من البرنامج الضار.

التعامل مع البرمجيات الخبيثة

إذا عثر برنامج Virus Scanner على فيروسات في حسابك، فانتقل إلى عملية التنظيف في قائمة Virus Scanner. سترى جدولاً يحتوي على قائمة الملفات المصابة وأسماء الفيروسات المقابلة. أسفل الجدول، توجد ثلاثة خيارات:

تدمير : سيتم إزالة الملف بأكمله من لوحة الاستضافة الخاصة بك بشكل كامل.
الحجر الصحي : سيتم عزل الملف عن الملفات الأخرى، ولكن يمكنك العثور عليه في حسابك والتحقق من محتواه.
تجاهل : سيبقى الملف المصاب في موقعه الحالي بالبرامج الضارة.

ولكن ماذا يمكنك أن تفعل إذا لم يكن برنامج Virus Scanner فعالاً ولم يتم العثور على فيروسات في لوحة التحكم cPanel الخاصة باستضافتك؟ عندئذٍ يمكن لفريق الدعم لدينا إجراء فحص داخلي وتزويدك بتقرير يحتوي على معلومات شاملة حول كل ملف في لوحة التحكم الخاصة باستضافتك والفيروسات والمطابقات المشبوهة (إذا كان بعضها موجودًا).

نصيحة سريعة : إذا أظهر تقرير الفحص شيئًا مثل [تم العثور على فيروس]: The_name_of_virus ، فيجب عليك إزالة الملف على الفور.

نظرًا لأن إزالة الفيروسات وإزالة الملفات وقواعد البيانات الضارة قد تؤثر على بنية موقع الويب الخاص بك، فليس من المؤكد أن يعرض موقع الويب المحتوى المحذوف أو المعزول. تأكد من وجود نسخة احتياطية من ملفات موقع الويب الخاص بك قبل إزالتها. ضع
في اعتبارك أن Google ومحركات البحث الأخرى يمكنها حظر مواقع الويب بسبب المحتوى الضار وفقًا لتقديرها الخاص لتجنب الضرر المحتمل لأجهزة المستخدم. في هذه الحالة، لا يمكن لمضيفك إلغاء حظر موقع الويب الخاص بك.

في تقرير الفحص الخاص بك، يعد Webshell ملفًا يوفر الوصول عن بُعد لممثل ضار في دليل موقع الويب الخاص بك أو حساب الاستضافة. يعني الدليل Worldwriteable أن الملف أو الدليل لديه أذونات خاصة للمستخدمين الخارجيين. بعبارة أخرى، يمكن للمهاجم التلاعب بالبرامج النصية الضارة من مثل هذا الدليل لأنه مفتوح عالميًا. يمكنك معرفة المزيد في هذا الدليل حول أذونات الملف .

إزالة مهام cron الضارة

لنتخيل أنك قمت بمسح موقعك من المحتويات الضارة والفيروسات. ولكن نفس الملفات يتم إنشاؤها بطريقة ما بعد إزالتها مباشرة. وذلك لأن الفيروسات تقوم أحيانًا بإنشاء مهام cron في cPanel لتتمكن من إعادة إنشاء نفسها أو تنفيذ مهام ضارة أخرى على الخادم. بمجرد ملاحظة إعادة إنشاء الملفات بعد إزالتها، تحقق من قائمة “Cron Jobs” في حساب cPanel الخاص بك. يمكنك إزالة أي مهام cron لم تقم بإعدادها.غالبًا ما يكون الأمر الذي تقوم به مهام cron التي تعيد إنشاء ملفات ضارة هو الأمر wget في أمر cron. يعد الأمر wget أداة تنزيل شبكية غير تفاعلية تسمح بإرسال طلبات GET إلى خادم المهاجم (أو الكمبيوتر) لتحديث أو إعادة تثبيت الملفات الضارة باستمرار.

عندما يتعلق الأمر بعمليات الخادم، يمكنك أن تطلب من فريق الدعم لدينا إعادة ضبط بيئة افتراضية خفيفة (قفص) لإيقاف البرامج النصية التي يتم اعتراضها بواسطة الفيروسات. لرؤية قائمة العمليات النشطة على الخادم، استخدم أحد الأوامر التالية في cPanel > Terminal :

ps faux أو top -c

سيمنحك هذا تقريرًا بالعمليات الحالية النشطة على الخادم. في حالة ملاحظة أي شيء غير مألوف أو عملية تبدو مريبة ويجب إيقافها،

الأذونات والمالكين

قد تجد أن الدليل لا يمكن إزالته ويعيد رسالة الخطأ التالية:

فشل FileOp في: /path/directory/file: الدليل غير فارغ :

يعني هذا الخطأ أنك لا تملك الإذن بإزالة المحتوى الموجود في الدليل لأنه يحتوي على ملفات لا يمكن إعادة كتابتها. يمكن العثور على معلومات مفصلة حول الأذونات الخاصة بالملفات والمجلدات في دليل أذونات الملفات هذا .

لاحظ أن الإذن الصحيح لملفات موقع الويب هو 0644 و0755 للمجلدات. قد لا تكون لديك الأذونات المطلوبة لتغييرها، ولكن يمكنك محاولة تغيير أذونات الدليل بالكامل ثم محاولة حذف المجلد/الملف مرة أخرى.

تذكر أن الملف أو المجلد #WorldReadable في تقرير الفحص الخاص بك قد يعني أيضًا أن المهاجم لديه أذونات أكثر على الملف أو المجلد، لذا نقترح التحقق قبل تغيير الأذونات وإزالتها.
والسبب وراء عدم اقتراحنا إزالة جميع الملفات/المجلدات المطابقة لـ #WorldReadable هو أن الملف قد يكون آمنًا ولكن لأسباب مختلفة، قرر مطور البرنامج النصي الحفاظ على سهولة الوصول للمستخدم. في مثل هذه المواقف، نوصي بإعادة تثبيت الملفات من مصادر موثوقة ومقارنة المحتوى الموجود في الدليل بالأصل.

الخطوات النهائية

بعد إزالة الفيروسات، وقتل مهام cron والعمليات الضارة، وتكوين الأذونات المناسبة للملفات والمجلدات الآمنة، اتبع الخطوات التالية لإعادة موقع الويب الخاص بك إلى حالة العمل:

استبدال ملفات WordPress الأساسية .
امسح ذاكرة التخزين المؤقت لـ LiteSpeed وقم بتنظيف مكونات التخزين المؤقت الخاصة بك.
قم بمسح حساب الاستضافة الخاص بك مرة أخرى للتأكد من عدم وجود ملفات ضارة متبقية.
اتبع الخطوات لتحسين أمان WordPress فيما يتعلق بتقرير الفحص الخاص بك. على سبيل المثال، إذا تم اعتراض ثغرة PHP من خلال مكون إضافي، فاشرح هذه الثغرة للمطورين أو استخدم مكونًا إضافيًا آخر له وظيفة مماثلة.