أسئلة متكررة لأصحاب المواقع المخترقة

سوف نلخص في هذا المقال بعض الخطوات الواجب اتباعها في حال تعرض موقع ووردبريس الخاص بك للاختراق بناءً على أشخاص تعرضت مواقعهم للاختراق سابقًا.

أرجو المساعدة أعتقد أن موقعي تعرض للاختراق

إن تعرضك للاختراق هو من أكثر التجارب المحبطة التي سوف تمر بها في رحلتك ضمن شبكة الإنترنت لكن كما هو حال معظم الأمور فلكل مشكلة حل، لذا فإن التفكير بالمشكلة من هذا المنظور يُساعدك قليلًا على تخطيها.

إن كلمة اختراق هي كلمة واسعة الاستعمال ولا توفر معلومات واضحة عن المشكلة التي تواجهك، لذا عليك فهم وشرح الأسباب التي جعلتك تظن أن موقعك مُخترق كي تحصل على المساعدة اللازمة ضمن نماذج ووردبريس. إليك مجموعة من المحددات التي تُشير إلى أن موقعك ربما اختُرق.

وضع موقعك على القوائم السوداء من قبل جوجل وبينغ Bing وغيرها.
عُطّل موقعك من قبل الاستضافة نفسها.
الإشارة إلى موقعك على أنه ينشر برمجيات خبيثة.
يشتكي القُرّاء أن مضاد الفيروسات في حواسيبهم يحذر من موقعك.
علمت أن موقعك يُستخدم لمهاجمة مواقع أخرى.
لاحظت سلوكًا غير مُصرح به مثل إنشاء مستخدمين جُدد أو غير ذلك.
تستطيع التأكيد بالنظر أن موقعك اختُرق عند زيارته باستخدام المتصفح.

لا تُصنف عمليات الاختراق في نفس المستوى لذا لتحصل على المساعدة اللازمة من خلال نماذج ووردبريس عليك فهم الأعراض التي تظهر على موقعك جيدًا، فهذا يُساعد فريق الدعم على توفير الإرشادات والتعليمات الصحيحة لك.

سوف تجد في القسم التالي سلسلة من الخطوات المُصممة لمساعدتك على كيفية التفكير والتصرف بعد التعرض للاختراق.

بعض الخطوات التي عليك اتخاذها:

ابق هادئا

لا شك أن الضغط الذي تتعرض له عند اختراق موقعك كبير والخوف من فُقدان الموقع والجهد المبذول عليه يزيد من مستوى القلق داخلك، وهذا يمنعك من التفكير الصحيح بالخطوات القادمة لكن عليك ألا تقلق فأنت ربما سوف تخسر بعض النقود كما أن علامتك التجارية سوف تتأثر أيضًا لكنك سوف تتعافى من كل هذا.

تراجع خطوة للوراء وحاول تهدئة نفسك فهذا سوف يُساعدك على السيطرة على الموقف واستعادة موقعك.

التوثيق

عليك توثيق ما تمر به بعد تعرضك للاختراق وهذا يتضمن تسجيل الأحداث مع أوقات حصولها. تذكر ما يلي:

ما هي الأمور التي رأيتها وجعلتك تعتقد أنك تعرضت للاختراق؟
في أي وقت لاحظت هذه المشكلة؟ ما هي المنطقة الزمنية أيضًا؟
ما هي آخر التعديلات أو الخطوات التي اتخذتها مؤخرًا ضمن موقعك؟ هل ثبتت إضافة جديدة؟ هل عدلت على القالب؟ هل عدلت أحد الودجات؟

هكذا تُنشئ ملف أساسي لما يُدعى بتقرير المشكلة والذي سوف تحتاجه سواء كنت تُريد حلها بنفسك أو الاستعانة بشخص أو منظمة محترفة.

خصص بعض الوقت لتسجيل تفاصيل بيئة الاستضافة لديك لأنها سوف تكون مطلوبة خلال مرحلة الاستجابة لعملية الاختراق.

افحص موقعك

تستطيع فحص موقعك بعدة طرق باستخدام أدوات فحص خارجية أو تطبيقات لفحص الموقع حيث صُمم كل منها للبحث والتبليغ عن أمور مختلفة. لا يوجد أداة تستطيع اعتبارها الأفضل لكن استخدام مزيج من هذه المكونات يُمكن أن يُحسن من حظوظك.

تطبيقات لفحص الموقع (إضافات):

أدوات فحص خارجية:

يوجد مجموعة أخرى من الإضافات الأمنية المرتبطة بنفس الموضوع تتوفر في مستودع ووردبريس لكن الإضافات التي ذكرت في الأعلى موجودة منذ فترة طويلة وتملك مجتمعات قوية تستطيع الحصول على المساعدة منها.

افحص بيئتك المحلية

يجب عليك فحص بيئتك المحلية إلى جانب فحص موقعك ففي كثير من الأحيان يكون مصدر الهجوم أو الإصابة هو بيئتك (مثل حاسوبك الشخصي أو الحاسوب المكتبي وغيرها). يُشغل المهاجمون برمجيات حصان طروادة ضمن بيئتك المحلية مما يسمح لهم باقتناص معلومات الدخول للموقع مثل FTP وwp-admin وبالتالي يتمكنون من الولوج كمدير للموقع.

يستوجب ما سبق فحص بيئتك المحلية من الفيروسات والبرمجيات الخبيثة فحصًا شاملًا، ولأن بعض الفيروسات ماهرة في اكتشاف مضادات الفيروسات والاختباء عنها يجب عليك استعمال مضاد فيروس مختلف حيث تعمل هذه النصيحة على جميع الأنظمة من ويندوز ولينكس وOS X.

تحقق من مزود الاستضافة

ربما موقعك ليس الوحيد الذي تعرض للاختراق، خصوصًا إن كنت تستخدم استضافة مشتركة، لذا عليك التحقق من مزود الاستضافة في حال بدؤوا باتخاذ خطوات تجاه الاختراق أو في حال كان عليهم البدء بهذه الخطوات. يستطيع مزود الاستضافة أن يؤكد لك إن كانت الحالة التي تشك في أنها اختراق هي اختراق فعلي أم لا (ربما توقف خدمة).

إن أحد التداعيات الخطيرة لعمليات الاختراق هذه الأيام هي القوائم السوداء للبريد الإلكتروني وهو أمر تزداد وتيرته يومًا بعد يوم حيث تُستغل المواقع المُخترقة في عمليات إرسال بريد إلكتروني غير مرغوب به وهذا يؤدي إلى وضع عنوان IP الخاص بموقعك ضمن القائمة السوداء. يكون هذا العنوان غالبًا مرتبطًا مع نفس الخادم المُستخدم لإرسال البريد الإلكتروني والحل الأفضل الذي تستطيع اتباعه هو البحث عن مزودي بريد إلكتروني مثل Google Apps عند الحاجة لاستخدام بريد إلكتروني رسمي لعملك.

اطلع باستمرار على القوائم السوداء للمواقع الإلكترونية

تستطيع إصدارات القوائم السوداء للمواقع من جوجل أن تُضر بموقعك، يُضاف بين 9500 إلى 10000 موقع لهذه القائمة يوميًا، ويوجد أنواع متنوعة من التحذيرات مثل الصفحات الكبيرة التي تحذر الزوار من الدخول للموقع إلى التحذيرات الأقل حدة التي تظهر تنبثق ضمن صفحات نتائج محرك البحث.

بالرغم من أهمية جوجل في هذا المجال إلا أنه يوجد عدد من الجهات المهمة أيضًا التي تصدر هذه القوائم مثل Bing وياهو إضافةً إلى مجموعة كبيرة من مضادات الفيروسات. يُفضل أن تُسجل موقعك في عدد من منصات webmaster مثل:

حسن طرق الدخول للموقع

سوف تسمع من الكثيرين يتحدثون عن تحديث بعض الأمور مثل كلمات المرور، وبالتأكيد هذا أمر مهم لكنه جزء بسيط من مشكلة أكبر حيث يجب عليك تحسين الآلية ككل عندما يتعلق الموضوع بالدخول للموقع، وهذا يعني استخدام كلمات مرور طويلة ومعقدة كبداية، والأفضل هو استخدام مولدات لكلمات المرور مثل 1Password وLastPass.

هذا يتضمن تغيير جميع نقاط الدخول مثل FTP/SFTP وwp-admin وcPanel (أو أي لوحة تحكم للإدارة) وMySQL. يجب أيضًا تطبيق هذا على جميع المستخدمين الذين يملكون وصول لهذه البيئة.

يُفضل أيضًا استخدام نظام الاستيثاق الثنائي حيث يتطلب طريقة ثانية للتحقق من المستخدم عند تسجيل دخوله ضمن ووردبريس. بعض الإضافات التي تُساعدك على تضمين هذه الميزة:

Rublon
Duo

تهيئة جميع عمليات الدخول

أحد الخطوات التي عليك تنفيذها عند حدوث اختراق هي إقفال الموقع للحد من الأضرار وأي تغييرات إضافية، وهذا يُنفذ بدايةً مع المستخدمين. تستطيع عمل ذلك من خلال إجبار المستخدمين جميعًا على تغيير كلمة مرورهم وهذا يتضمن حسابات المديرين.

إليك إضافة تُساعدك في تنفيذ الخطوة السابقة:

iThemes Security

يجب أيضًا التخلص من أي مستخدم ما زال مسجلًا دخوله ضمن ووردبريس، وذلك من خلال تحديث المفاتيح الأمنية في ملف wp-config.php. سوف تُضطر لإنشاء مجموعة جديدة هنا: مولد مفتاح ووردبريس. انسخ هذه القيم ثم ألصقها مكان القيم القديمة في ملف wp-config.php. سوف يُجبر هذا أي شخص ما زال مُسجلًأ دخوله ضمن الموقع أن يخرج ويُعيد تسجيل الدخول.

إنشاء نسخة احتياطية

آمل أنك تملك نسخة احتياطية عن موقعك ولكن إن كنت لا تملك واحدة فالآن هو الوقت المناسب لإنشاء واحدة. النسخ الاحتياطية هي جزء مهم من موقعك الإلكتروني واستمرارية عمله وهو أمر يجب عليك تنفيذه دوريًا، كما يجب عليك أن تسأل مزود الاستضافة إن كان يملك نسخًا احتياطية عن موقعك. إن كنت تملك نسخة احتياطية يجب أن تكون قادرًا على عمل استعادة لنسخة سابقة وبدء عملية التحقيق بكيفية حصول الاختراق.

اقتباس

ملاحظة: من المهم جدًا حفظ نسخة احتياطية دورية عن قاعدة البيانات والملفات.

يٌفضل أخذ نسخة احتياطية عن البيئة التي تعمل ضمنها قبل الانتقال إلى الخطوة التالية في عملية التنظيف حتى إن كانت تتضمن على ملفات محقونة بشيفرة خبيثة لأن عملية تنظيف الموقع أحيانًا يُمكن أن تتسبب في توقفه وتعطل ملفات ضمنه لذا من المهم أن يكون لديك مرجع تعود له لتجربة طرق أخرى للإصلاح.

البحث عن الاختراق وإزالته

هذه الخطوة هي الخطوة الأكثر مشقة ضمن العملية ككل حيث عليك البحث عن مواضع الاختراق وإزالتها كما أن الخطوات الدقيقة لهذه العملية تعتمد على عدد من العوامل التي ذكرت بعضها سابقًا. تُحدد طريقة معالجتك للمشكلة تبعًا لخبرتك في التعامل مع مواقع الويب والخادم.

إن فكرة حذف كل شيء والبدء من جديد مغرية لكنها لا تعمل في جميع الحالات إلا أنك تستطيع إعادة تثبيت بعض عناصر الموقع التي تملك تأثيرًا بسيطًا على أساسات الموقع. عليك دائمًا التأكد من إعادة تثبيت نفس إصدار العناصر التي تُعيد تثبيتها فمن المحتمل عند استخدام إصدار مُختلف أن يؤثر هذا سلبًا على الموقع، أيضًا عند إعادة التثبيت عليك عدم استخدام خيارات إعادة التثبيت الموجودة في wp-admin. استخدام اتصال FTP/SFTP لرفع الإصدارات من هذه العناصر فهذا أفضل لأنك تستطيع بهذه الطريقة حذف المجلدات القديمة ورفع الجديدة وهذا يُزيل الملفات التي أُضيفت من قبل المُخترق. تستطيع استبدال المسارات التالية بأمان:

/wp-admin
/wp-includes

الآن وبعد الخطوات السابقة يجب أن تكون أكثر دقةً وحذرُا عند تحديث واستبدال الملفات ضمن مجلد wp-content كونه يتضمن ملفات القالب والإضافات.

يجب عليك الانتباه لملف .htaccess كونه أكثر الملفات التي تُستخدم في عمليات الاختراق مهما كان نوعها، وهو موجود في المسار الرئيسي لتثبيت ووردبريس لكن يُستخدم أيضًا في بعض المسارات الفرعية له.

يوجد عدة ملفات يجب عليك الانتباه لها بغض النظر عن طبيعة أو نوع الاختراق وهي:

index.php
header.php
footer.php
function.php

تؤثر هذه الملفات عند تعديلها على جميع طلبات الصفحة لذلك هي هدف مهم للمخترقين.

استعن بالمجتمع

لا تنسى أن منصة ووردبريس مبنية على مجتمع قوي لذلك عند تعرضك لمشكلة من المُحتمل أن يقدم أحد أفراد هذا المجتمع يد المساعدة. تستطيع طلب المساعدة نماذج ووردبريس مُخترق أو البرمجيات الخبيثة.

تحديث نسخة ووردبريس

يجب عليك البدء بتحديث تثبيت ووردبريس حالما يُصبح الموقع خال من البرمجيات الخبيثة لأحدث إصدار كون الإصدارات القديمة عرضة للاختراق أكثر من الإصدارات الحديثة.

تغيير كلمة المرور مرة ثانية

تذكر أنه عليك تغيير كلمة مرور موقعك بعد التأكد من أنه نظيف، لذا إن غيرت كلمة المرور عند اكتشافك للاختراق عليك تغيير كلمات المرور مرة ثانية مباشرةً. استخدم كلمة مرور طويلة ومعقدة.

يجب أن تُغير حساب مستخدم قاعدة البيانات وكلمة المرور وعند فعل ذلك لا تنسى تحديث القيم الموجودة في ملف wp-config.php.

التقصي الجنائي عما حدث

تهدف عملية التقصي الجنائي إلى فهم ما حدث وكيف تمكن المهاجمون من الدخول للموقع؟ هذا لأجل منع المهاجم من استغلال الثغرة مرة ثانية، وفي كثير من الحالات يصعب على مالكي المواقع إجراء هذه الخطوة نظرًا لنقص المعرفة التقنية و/أو البيانات المتوفرة. إن كنت تملك البيانات المطلوبة عندها تستطيع أدوات مثل OSSEC وsplunk مساعدتك على تجميع هذه البيانات.

تأمين موقعك

يجب عليك الآن وبعد استعادة موقعك بنجاح تأمينه من خلال استخدام بعض إن لم يكن جميع الإجرائيات الأمنية الموصى بها.

لا أستطيع الدخول للوحة تحكم ووردبريس

يُحصل في بعض الأحيان أن يسرق المخترق بيانات الدخول لحسابات المدير، وهذا ليس سببًا يدعوك للهلع لوجود بضع أمور تستطيع تنفيذها لاستعادة التحكم بحساباتك. تستطيع اتباع الخطوات التالية لتهيئة كلمة المرور.

تتوفر أدوات مثل [phpMyAdmin]() و[Adminer]() من خلال لوحة تحكم الاستضافة حيث تسمح لك بالدخول لقاعدة البيانات مباشرةً وتجاوز لوحة تحكم ووردبريس وتهيئة كلمة مرور حسابك ضمن الجدول 'wp_users'.

إن كنت لا ترغب بالعبث بالقيم المشفرة hashes الخاصة بكلمة المرور تستطيع تغيير عنوان البريد الإلكتروني والعودة لصفحة تسجيل الدخول والضغط على خيار هل فقدت كلمة مرورك؟ وانتظار رسالة البريد الإلكتروني لتهيئة كلمة سر الحساب.

هل تتحكم بالإصدار؟

إن كنت تستخدم إدارة للإصدار فهذا مفيد جدًا لمعرفة ما تغير وللعودة لإصدار سابق من الموقع. تستطيع مقارنة ملفاتك مع الإصدارات المخزنة في مستودع ووردبريس من خلال لوحة الأوامر.