هک شدن سایت | نشانه‌ها و روش‌های پاک‌سازی

هیچ چیز برای یه مدیر سایت ترسناک‌تر از این نیست که یه روز وارد پنل مدیریت بشه و ببینه همه‌چی به هم ریخته، یا حتی بدتر اصلاً دسترسی به سایت از بین رفته!
هک شدن سایت یکی از اون اتفاق‌هایی هست که ممکنه برای هر سایتی پیش بیاد، مخصوصاً اگه نکات امنیتی جدی گرفته نشده باشن.
هکرها با دلایل مختلفی سراغ سایت‌ها میان: بعضی وقتا دنبال اطلاعات حساس هستن، بعضیا می‌خوان لینک اسپم توی سایتت قرار بدن یا از منابع هاستت سوءاستفاده کنن.
مهم اینه که بدونیم چطور بفهمیم سایت هک شده، چطوری اونو پاک‌سازی کنیم و چطور از این اتفاق در آینده جلوگیری کنیم.
توی این مقاله قراره قدم‌به‌قدم همه این موارد رو بررسی کنیم. پس اگه به افزایش امنیت سایت خودت اهمیت می‌دی، با ما تا آخر این مطلب همراه باش.

هک شدن سایت یعنی چه؟

وقتی می‌گیم یه سایت «هک شده»، یعنی فرد یا گروهی بدون اجازه وارد ساختار سایت شدن و کنترل بخشی یا کل اون رو به دست گرفتن. این نفوذ می‌تونه به شکل‌های مختلفی انجام بشه:
گاهی فقط یه کد مخرب توی فایل‌های سایت تزریق می‌شه، گاهی صفحه اصلی تغییر می‌کنه، و در موارد شدیدتر حتی ممکنه کل سایت از دسترس خارج بشه یا اطلاعات کاربران لو بره.

هک شدن سایت فقط به معنی “از کار افتادن” نیست؛ بعضی وقت‌ها سایت همچنان در ظاهر سالمه ولی در پشت‌صحنه داره به‌صورت مخفی به نفع هکر کار می‌کنه! مثلاً لینک‌های اسپم توش قرار داده شده، یا داره برای حمله به سایت‌های دیگه استفاده می‌شه.

در بیشتر موارد، هدف اصلی هکرها یکی از این موارده:

• دسترسی به اطلاعات کاربران یا مدیر سایت
• سوءاستفاده از منابع سرور (مثلاً برای ماین کردن ارز دیجیتال)
• آسیب زدن به اعتبار برند
• اضافه کردن لینک‌ها یا صفحات مخفی برای سئو سیاه

خلاصه اینکه هک شدن سایت، یه زنگ خطر جدی برای هر وب‌سایتیه و نباید دست‌کم گرفته بشه.

نشانه های هک شدن سایت

هک شدن سایت همیشه با یه صفحه سیاه و پیام ترسناک همراه نیست! خیلی وقتا سایت در ظاهر سالمه، ولی پشت‌پرده اتفاقات عجیبی می‌افته. شناختن نشونه‌های هک شدن سایت کمک می‌کنه سریع‌تر متوجه مشکل بشی و جلوی آسیب بیشتر رو بگیری.

در ادامه چند تا از رایج‌ترین نشونه‌هایی که ممکنه سایتت هک شده باشه رو می‌بینی:

وجود کلمات اسپم در بین نتایج جستجوی یک سایت در گوگل

یکی از نشونه‌های شایع هک، اینه که وقتی اسم سایتت یا آدرس صفحه‌ای رو توی گوگل سرچ می‌کنی، به‌جای عنوان و توضیحات واقعی، کلمات اسپم یا تبلیغاتی مثل فروش دارو، سایت‌های شرط‌بندی یا محتواهای غیراخلاقی نمایش داده می‌شن. این یعنی فایل‌های HTML یا متا دیتا سایتت توسط هکر تغییر کرده.

کدهای جاوااسکریپت عجیب در فایل‌های وب‌سایت

اگه توی سورس صفحات یا فایل‌هایی مثل header.php یا footer.php کدهایی دیدی که نمی‌دونی چیه یا شبیه رمزنگاری شده‌ها (base64, eval, atob) هستن، احتمال داره اینا اسکریپت‌های مخربی باشن که توسط هکر برای سرقت اطلاعات یا اجرای ریدایرکت استفاده شدن.

اعلان هشدار مرورگر در زمان ورود به سایت

اگه موقع باز کردن سایت با هشدارهایی مثل “This site is not secure” یا “مراقب باشید، این سایت ممکن است مخرب باشد” مواجه شدی، مرورگر با بررسی کدها و رفتار سایت تشخیص داده که ممکنه امنیت کاربر به خطر بیفته. این یه زنگ خطر جدیه و باید بلافاصله بررسی بشه.

مواجهه با ریدایرکت‌های غیرمنتظره

اگه بازدیدکننده‌ها به‌جای صفحه مورد نظر، به یه سایت دیگه هدایت می‌شن (مثلاً سایت‌های تبلیغاتی، فروش دارو یا سایت‌های خارجی مشکوک)، به احتمال زیاد سایتت دچار ریدایرکت مخرب شده. این مورد معمولاً از طریق تزریق کد در فایل‌های قالب یا htaccess اتفاق می‌افته.

مشاهده تبلیغات و پاپ‌آپ ناخواسته

وقتی بدون اینکه هیچ افزونه‌ای نصب کرده باشی، توی صفحات سایت یا حتی پنل مدیریت تبلیغات یا پاپ‌آپ‌های عجیب نمایش داده می‌شن، نشونه‌ی روشنی از هک شدنه. این پاپ‌آپ‌ها ممکنه فقط برای بعضی کاربران (مثلاً کاربران موبایل) نشون داده بشن.

نمایش عبارت “This site may be hacked” در نتایج جستجوی مرتبط با سایت

اگه گوگل تشخیص بده سایتت رفتار مشکوک داره یا کدهای مخرب شناسایی کنه، ممکنه این پیام رو توی نتایج جستجو کنار نام سایتت نشون بده. این پیام باعث کاهش شدید کلیک‌ها می‌شه و نشونه‌ی مشخصیه از اینکه گوگل هم متوجه هک شدن سایت شده.

دریافت هشدار از سوی هاستینگ

اگه شرکت هاستینگ بهت ایمیل یا تیکت داده و اعلام کرده که فایل‌های مشکوک روی هاستت شناسایی شده یا مصرف منابع غیرعادی داری، خیلی جدی بگیرش. هاست‌ها معمولاً اسکن‌هایی انجام می‌دن و وقتی فعالیت مشکوک ببینن، سریع اطلاع می‌دن. این هشدارها معمولاً یکی از اولین علائم هک شدن سایت هستن.

ایندکس شدن صفحات ناشناس در گوگل

گاهی وقتی سایت هک می‌شه، صفحات جدید و عجیبی توی گوگل ایندکس می‌شن که اصلاً خودت نساختی. این صفحات معمولاً محتوا یا لینک‌های اسپم دارن و برای سئو سیاه (black hat SEO) استفاده می‌شن. بررسی صفحات ایندکس‌شده توی سرچ کنسول می‌تونه خیلی مفید باشه.

برای یادگیری روش شناسایی این این مدل، مقاله “آیا سایت ما هک شده است ؟ | روش اول” را مطالعه نمایید.

شکایت مشتریان در مورد به سرقت رفتن اطلاعات کارت اعتباری آن‌ها

اگه سایت فروشگاهی داری و مشتری‌ها اعلام کردن که بعد از خرید از سایتت اطلاعات کارت یا حسابشون به خطر افتاده، باید سریعاً بررسی امنیت سایت و درگاه پرداختت رو انجام بدی. این نشونه ممکنه به خاطر تزریق اسکریپت‌های سرقت اطلاعات (مثل keyloggerها) باشه.

ثبت خطاهای غیرمنتظره در گزارشات

اگه توی لاگ‌های سرور یا گزارش خطاهای وردپرس (debug.log) ارورهایی دیدی که قبلاً وجود نداشتن — مخصوصاً ارورهایی مربوط به فایل‌هایی که نمی‌شناسی یا مسیرهای عجیب دارن — احتمال داره کدهای مخرب توی فایل‌های سایت تزریق شده باشن.

مشاهده کاربران FTP یا ادمین جدید در سایت

اگه توی بخش کاربران وردپرس یا در تنظیمات هاست، اکانت‌هایی رو دیدی که خودت ایجاد نکردی (مخصوصاً با دسترسی ادمین یا full access)، حتماً موضوع رو جدی بگیر. خیلی از هکرها بعد از نفوذ، برای خودشون یوزر جداگانه می‌سازن تا دوباره بتونن به سایت دسترسی پیدا کنن.

تغییرات در فایل‌های اصلی سیستم مدیریت محتوا، افزونه‌ها یا قالب‌ها

اگه فایل‌های هسته‌ی وردپرس یا افزونه‌ها بدون اینکه آپدیتی انجام بدی، تغییر کرده باشن، ممکنه کدهای مخربی بهشون تزریق شده باشه. مقایسه نسخه فعلی فایل‌ها با نسخه‌های اصلی می‌تونه کمک زیادی بکنه.

چگونه این نشانه‌ها را به صورت فعال بررسی کنیم؟

منتظر نمانید تا این نشانه‌ها خودشان را نشان دهند. حداقل هفته‌ای یک‌بار، این بررسی‌های سریع را انجام دهید:

1. جستجوی site:yourdomain.com در گوگل: این دستور تمام صفحات ایندکس شده سایت شما را نشان می‌دهد. به سرعت عناوین و توضیحات را بررسی کنید و ببینید آیا مورد اسپم یا عجیبی وجود دارد یا خیر.
2. بررسی Google Search Console: به بخش “Performance” و “Pages” بروید. آیا صفحاتی با URLهای عجیب و غریب که شما نساخته‌اید، در حال دریافت ایمپرشن یا کلیک هستند؟
3. ورود به پیشخوان وردپرس: بخش “کاربران” را بررسی کنید. آیا کاربر جدیدی با دسترسی ادمین وجود دارد که شما نمی‌شناسید؟

این بررسی‌های ساده کمتر از ۵ دقیقه زمان می‌برد اما می‌تواند شما را از یک فاجعه بزرگ نجات دهد.

راهنمای قدم به قدم پاکسازی سایت وردپرسی هک شده

وقتی مطمئن شدید سایت شما هک شده، نفس عمیق بکشید. این یک موقعیت پراسترس است، اما قابل حل است. مهم‌ترین نکته این است که آرامش خود را حفظ کرده و مراحل زیر را به ترتیب و با دقت دنبال کنید تا کنترل کامل سایت خود را پس بگیرید.

قدم ۱: سایت را ایزوله و با هاستینگ تماس بگیرید

اولین و فوری‌ترین اقدام، قطع کردن دسترسی هکر و جلوگیری از آسیب بیشتر است.

• سایت را در حالت تعمیر (Maintenance Mode) قرار دهید: با استفاده از یک افزونه یا با افزودن یک فایل .maintenance در ریشه سایت، به کاربران اطلاع دهید که سایت موقتاً در دست تعمیر است. این کار از آسیب به اعتبار شما و کاربران جلوگیری می‌کند.
• با پشتیبانی هاستینگ خود تماس بگیرید: بسیاری از شرکت‌های میزبانی معتبر، تجربه زیادی در مواجهه با سایت‌های هک شده دارند. به آن‌ها اطلاع دهید که سایت شما هک شده است. آن‌ها ممکن است بتوانند لاگ‌های سرور را برای پیدا کردن منبع نفوذ بررسی کنند یا راهنمایی‌های اولیه مفیدی به شما ارائه دهند.

قدم ۲: بازیابی از نسخه پشتیبان (سریع‌ترین و بهترین راه)

اگر به طور منظم از سایت خود نسخه پشتیبان (بکاپ) تهیه کرده‌اید، شما بسیار خوش‌شانس هستید. بازگردانی سایت از روی یک بکاپ تمیز که قبل از زمان هک شدن گرفته شده، سریع‌ترین، ساده‌ترین و مطمئن‌ترین راه برای پاکسازی کامل است.

• چگونه تصمیم بگیریم؟ آخرین بکاپ خود را بررسی کنید. اگر بکاپ شما به اندازه کافی جدید است و از دست دادن محتوای اضافه شده بین زمان بکاپ تا امروز برایتان قابل چشم‌پوشی است، درنگ نکنید و سایت را بازیابی کنید.
• اگر بکاپ ندارید یا بکاپ خیلی قدیمی است: نگران نباشید. مراحل بعدی برای پاکسازی دستی سایت به شما کمک خواهند کرد. این مسیر کمی طولانی‌تر است اما کاملاً امکان‌پذیر است.

قدم ۳: اسکن کامل سایت برای شناسایی آلودگی

حالا باید محل دقیق آلودگی را پیدا کنیم. یک افزونه امنیتی قدرتمند در این مرحله بهترین ابزار شماست.

• نصب و اجرای اسکن: اگر افزونه امنیتی ندارید، افزونه Wordfence Security یا Sucuri Security را نصب کنید. پس از نصب، یک اسکن کامل و با حساسیت بالا (High-Sensitivity Scan) را اجرا نمایید. این اسکنرها:
  • فایل‌های هسته وردپرس، قالب‌ها و افزونه‌ها را با نسخه‌های اصلی موجود در مخزن وردپرس مقایسه می‌کنند.
  • به دنبال الگوهای کدهای مخرب شناخته‌شده (Malware Signatures) می‌گردند.
  • تغییرات غیرمنتظره در فایل‌ها را به شما گزارش می‌دهند.
• بررسی نتایج: گزارش اسکن را به دقت بررسی کنید. این گزارش به شما لیستی از فایل‌های آلوده، تغییریافته یا مشکوک را ارائه می‌دهد. این لیست، نقشه راه شما برای پاکسازی دستی خواهد بود.

قدم ۴: پاکسازی دستی و جایگزینی فایل‌های آلوده

با استفاده از گزارش اسکن، شروع به پاکسازی کنید:

• جایگزینی فایل‌های هسته وردپرس: مطمئن‌ترین راه برای پاکسازی فایل‌های اصلی وردپرس، جایگزینی کامل آن‌هاست. آخرین نسخه وردپرس را از WordPress.org دانلود کرده، پوشه‌های wp-admin و wp-includes را در هاست خود حذف و با نسخه‌های جدید و سالم جایگزین کنید.
• حذف و نصب مجدد قالب‌ها و افزونه‌ها: هرگز سعی نکنید کدهای مخرب را از فایل‌های یک افزونه یا قالب پیچیده به صورت دستی حذف کنید. این کار بسیار پرخطر است. بهترین راه، حذف کامل پوشه افزونه یا قالب آلوده و نصب مجدد آن از منبع معتبر (مخزن وردپرس یا سایت توسعه‌دهنده) است.
• بررسی فایل‌های حساس: فایل‌های wp-config.php و .htaccess را به دقت باز کرده و هرگونه کد مشکوک یا ناآشنا را حذف نمایید.

قدم ۵: تغییر تمام رمزهای عبور و بررسی کاربران

پس از پاکسازی فایل‌ها، باید تمام راه‌های ورود را ایمن‌سازی کنید.

• تغییر رمزهای عبور: فرض کنید هکر به رمزهای شما دسترسی پیدا کرده است. باید تمام رمزهای زیر را به یک رمز جدید، قوی و منحصر به فرد تغییر دهید:
  • رمز عبور تمام کاربران مدیر در وردپرس
  • رمز عبور پنل هاستینگ (cPanel/DirectAdmin)
  • رمز عبور اکانت‌های FTP
  • رمز عبور پایگاه داده (Database) – پس از تغییر آن، باید رمز جدید را در فایل wp-config.php نیز به‌روزرسانی کنید.
• بررسی کاربران: به بخش “کاربران” در پیشخوان وردپرس بروید. هر اکانت کاربری مشکوکی، به خصوص با نقش “مدیر”، را فوراً حذف کنید.

قدم ۶: تولید مجدد کلیدهای امنیتی وردپرس (Salt Keys)

چرا این مرحله حیاتی است؟ این کلیدها اطلاعات ورود کاربران را در کوکی‌ها رمزنگاری می‌کنند. با تغییر این کلیدها، تمام نشست‌های ورود فعلی (از جمله نشست احتمالی هکر) نامعتبر شده و همه مجبور به ورود مجدد می‌شوند.

چگونه این کار را انجام دهیم؟

1. به آدرس رسمی تولیدکننده کلید امنیتی وردپرس بروید.
2. تمام کدهای تولید شده را کپی کنید.
3. فایل wp-config.php را در هاست خود برای ویرایش باز کنید.
4. بلوک مربوط به AUTH_KEY, SECURE_AUTH_KEY و… را پیدا کرده و آن را به طور کامل با کدی که کپی کرده‌اید، جایگزین کنید.
5. فایل را ذخیره کنید.

قدم ۷: اقدامات نهایی و بازگشت به حالت عادی

• به‌روزرسانی کامل: مطمئن شوید هسته وردپرس، تمام قالب‌ها و افزونه‌ها به آخرین نسخه آپدیت شده‌اند.
• درخواست بازبینی از گوگل: اگر سایت شما در نتایج جستجو با هشدار “This site may be hacked” مشخص شده است، پس از اطمینان از پاکسازی کامل، از طریق Google Search Console یک درخواست بازبینی (Request Review) ثبت کنید.
• تهیه یک بکاپ تمیز: پس از اتمام تمام مراحل و اطمینان از سلامت کامل سایت، یک نسخه پشتیبان کامل و جدید تهیه کنید. این بکاپ، نقطه شروع سالم شما برای آینده خواهد بود.

امنیت وردپرس

وردپرس یکی از محبوب‌ترین سیستم‌های مدیریت محتوا در جهانه، اما همین محبوبیت باعث شده همیشه در معرض توجه هکرها باشه. البته این به معنی ناامن بودن وردپرس نیست — مشکل از جایی شروع می‌شه که کاربران از پلاگین‌های نامطمئن استفاده می‌کنن، سایت رو به‌روز نمی‌کنن یا نکات ساده امنیتی رو رعایت نمی‌کنن.

در ادامه چند نکته مهم رو برات می‌نویسم که رعایتشون می‌تونه یه لایه امنیتی خوب برای سایتت بسازه:

۱. همیشه به‌روز باش

وردپرس، قالب و افزونه‌ها باید همیشه به آخرین نسخه آپدیت بشن. خیلی از آپدیت‌ها دقیقاً برای رفع باگ‌های امنیتی منتشر می‌شن. آپدیت نکردن یعنی باز گذاشتن در برای نفوذ.

۲. از پلاگین‌ها و قالب‌های معتبر استفاده کن

پلاگین‌های کرک‌شده یا قالب‌هایی که از منابع غیررسمی دانلود شدن، یه خطر بزرگ برای سایت هستن. ممکنه داخلشون کدهای مخرب باشه که راه نفوذ رو برای هکرها باز می‌کنه.

۳. پسوردهای قوی و یکتایی بساز

از پسوردهای ساده یا تکراری استفاده نکن. رمز عبور ادمین، هاست، دیتابیس و ایمیل باید قوی، تصادفی و متفاوت باشن. استفاده از ابزارهای مدیریت رمز مثل Bitwarden یا 1Password می‌تونه کمک خوبی باشه.

۴. محدود کردن دسترسی‌ها

همه‌ی کاربران نباید نقش ادمین داشته باشن. فقط افرادی که واقعاً نیاز دارن باید دسترسی مدیریت داشته باشن. بقیه رو با نقش‌هایی مثل نویسنده یا ویرایشگر تنظیم کن.

۵. استفاده از افزونه‌های امنیتی

افزونه‌هایی مثل Wordfence، iThemes Security یا Sucuri می‌تونن از سایتت در برابر انواع حملات محافظت کنن. این افزونه‌ها لاگ حملات رو ثبت می‌کنن، آی‌پی‌های مشکوک رو بلاک می‌کنن و کدهای مشکوک رو شناسایی می‌کنن.

ارتقا امنیت وردپرس

اگه می‌خوای سایتت فقط «الان» امن نباشه و برای بلندمدت خیالت راحت باشه، باید امنیت وردپرس رو به‌صورت اصولی ارتقاء بدی. یعنی علاوه بر رعایت نکات پایه، یه‌سری اقدامات پیشرفته‌تر هم انجام بدی که احتمال هک شدن رو به حداقل برسونه.

در ادامه چند راهکار برای ارتقاء امنیت وردپرس بهت معرفی می‌کنم:

۱. فعال‌سازی احراز هویت دو مرحله‌ای (2FA)

با فعال کردن احراز هویت دو مرحله‌ای، حتی اگه رمز عبور مدیریت سایت لو بره، هکر بدون کد پیامکی یا اپلیکیشن تأیید، نمی‌تونه وارد داشبورد بشه. این کار امنیت ورود رو چند برابر می‌کنه.

۲. محدود کردن تلاش‌های ورود ناموفق

با استفاده از افزونه‌هایی مثل Limit Login Attempts یا قابلیت داخلی Wordfence می‌تونی تلاش‌های ورود ناموفق رو محدود کنی. مثلاً اگه کسی ۵ بار رمز اشتباه بزنه، آی‌پی‌ش برای مدتی بلاک بشه.

۳. تغییر آدرس صفحه ورود

آدرس پیش‌فرض ورود به وردپرس /wp-login.php یا /wp-admin هست که برای همه شناخته‌شده‌ست. با افزونه‌هایی مثل WPS Hide Login می‌تونی این آدرس رو تغییر بدی و کار رو برای هکرها سخت‌تر کنی.

۴. جلوگیری از ویرایش فایل‌ها از داخل داشبورد

وردپرس اجازه می‌ده فایل‌های قالب و افزونه رو از داخل پیشخوان ویرایش کنی. این قابلیت بهتره غیرفعال بشه تا اگه کسی به ادمین دسترسی پیدا کرد، نتونه راحت کدهای سایت رو تغییر بده. برای این کار کافیه این خط رو به wp-config.php اضافه کنی:

define(‘DISALLOW_FILE_EDIT’, true);

۵. فعال‌سازی گواهی SSL و استفاده از HTTPS

SSL باعث رمزنگاری ارتباط بین مرورگر کاربر و سایتت می‌شه. بدون SSL، اطلاعات حساسی مثل رمز عبور یا اطلاعات فرم‌ها ممکنه لو برن. نصب SSL نه تنها امنیت سایت رو بالا می‌بره، بلکه توی سئو هم تاثیر مثبتی داره.

خدمات امنیت سایت

همانطور که در این مقاله دیدید، پاکسازی و امن‌سازی سایت یک کار یک‌باره نیست. این یک فرایند مداوم است که به دانش فنی، زمان و هوشیاری دائمی نیاز دارد. بسیاری از مدیران کسب‌وکار به دلیل مشغله‌های فراوان، فرصت کافی برای رسیدگی به این جزئیات فنی را ندارند. اینجاست که سپردن کار به یک تیم متخصص، هوشمندانه‌ترین تصمیم است.

وقتی مسئولیت فنی و پشتیبانی سایت خود را برون‌سپاری می‌کنید، نه تنها از بروز فجایعی مانند هک شدن جلوگیری می‌کنید، بلکه زمان ارزشمند خود را برای تمرکز بر رشد کسب‌وکارتان آزاد می‌کنید.

چرا امنیت سایت خود را به «پشتیبان وردپرس» بسپارید؟

اگر موارد گفته‌شده برایتان پیچیده، زمان‌بر یا نگران‌کننده است، جای درستی آمده‌اید. «پشتیبان وردپرس» به عنوان اولین ارائه‌دهنده خدمات تخصصی امنیت در ایران، آماده است تا این مسئولیت سنگین را از دوش شما بردارد.

ما چه خدماتی ارائه می‌دهیم؟

• خدمات پاکسازی فوری سایت هک شده: اگر سایت شما همین الان هک شده، تیم ما به سرعت وارد عمل شده، کدهای مخرب را حذف کرده و سایت شما را به حالت عادی بازمی‌گرداند.
• خدمات جامع ارتقا امنیت وردپرس: با اجرای یک چک‌لیست کامل امنیتی، تمام حفره‌های احتمالی را می‌بندیم و سایت شما را در برابر حملات آینده مقاوم می‌کنیم.
• پشتیبانی و مدیریت کامل سایت (سرویس فول‌آپشن): این جدیدترین خدمت ماست که خیال شما را از تمام امور فنی سایت راحت می‌کند. از امنیت و آپدیت گرفته تا رفع مشکلات فنی، همه چیز را به ما بسپارید و فقط روی کسب‌وکارتان تمرکز کنید.