در بخش اول و دوم به تفضیل به یکی از خطاهای وردپرسی یعنی خطای “This site ahead contains harmful programs” پرداخته شد.علت این خطا را یافتیم و ضمنا در ادامه ی آن، ابزارهایی برای شناسایی کدهای نامناسب قالب ها معرفی کردیم و نهایتا نحوه ی شناسایی back door و محلی استقرار آن را توضیح دادیم.همان طور که در بخش قبلی خواندید، افزونه ها، تم وردپرس ، فایل wp-config.php و علاوه بر آن فولدر Includes بخش هایی هستند که از طریق آن ها می توان به وب سایت دست یافت و کد های مخرب را تزریق کرد.در ادامه به بررسی و پاک کردن back door و جلوگیری از ایجاد خطای “This site ahead contains harmful programs” در نتیجه هک وب سایت می پردازیم.
چگونه خطای “This site ahead contains harmful programs” را برطرف کنیم؟
شناسایی backdoor در وردپرس
در ابتدا محل هایی را که برای استقرار backdoor محتمل تر هستند را معرفی کردیم.دقت کنید که فایل backdoor یک فایل ساده مشابه با فایل های موجود در وردپرس شماست.به عنوان مثال، در حالی که یک وب سایت را برای رفع این خطا بررسی می کردیم ، متوجه شدیم که backdoor در فولدر wp-includes و به شکل فایلی با نام wp-user.php قرار گرفته است.فایلی که بسیار شبیه به فایل های دیگر است اما در وردپرسی که به صورت نرمال نصب میشود وجود ندارد.
نکته:دقت کنید که ما فایل user.php را در فولدر wp-includes داریم.اما فایلی به نام wp-user.php خیر!
طی بررسی وب سایت دیگری مشاهده کردیم که این فایل به نام hello.php در فولدر آپلود قرار گرفته است.شاید با خود بپرسید که چرا هکر از این نام استفاده کرده است.با دیدن نام این فایل بلافاصله به یاد افزونه
Hello Dollyمی افتیم.افزونه ای ساده که در کمتر سایتی همچنان مورد استفاده قرار میگیرد.
آشنایی با نام های فایل backdoor در وردپرس
همان طور که میدانید وردپرس با زبان php نوشته شده است.اما برای این فایل ها لزومی ندارد که حتما از نام هایی مثل wp-user.php که به php ختم میشوند استفاده کرد.به عنوان مثال نام هایی که معمولا دیده شده اند و به php ختم شده اند عبارتند از:
wp-content.old.tmp
, data.php,
php5.php
و…
ضمنا ممکن است فایل backdoor به حالت فشرده هم باشد.
توجه کنید که فایل های back door به صورت معمول با استفاده از base64 کدگذاری میشوند.به این معنا که مدیریت همه ی اقسام موجود در وب سایت را ممکن می کنند.به عنوان مثال مدیریت ارسال لینک های اسپم به وب سایت ها ، مدیریت ریدایرکت ها به سمت وب سایت های اسپم و…
شاید بعد از آشنایی با backdoor ، وردپرس را یک سیستم ضعیف و نا امن بدانید.اما توجه داشته باشید که با انتشار نسخه های جدید وردپرس ، امکان نفوذ backdoor وجود ندارد.بلکه این فایل ها از طرق دیگری نظیر پلاگین های وردپرسی، اسکریپت ها و… وارد وب سایت ها میشوند.
ضمنا سایت هایی که دسترسی کامل را به کاربران می دهند، مثلا وب سایت هایی که به صورت مستقیم در وردپرس خود عضوگیری نامحدود می کنند، بیشتر در معرض خطر ورود backdoor ، هک شدن و سپس نمایش خطای “This site ahead contains harmful programs” می باشند.
پاک سازی فایل های backdoor
برای پاک سازی این فایل ها راه های زیادی وجود دارد و کار ساده ای ست.آن چه که اهمیت دارد یافتن چنین فایل هایی می باشد.برای یافتن این فایل ها علاوه بر نکاتی که ذکر شد، از افزونه های امنیتی وردپرس بهره گیرید.
راه اول:پاک سازی کل افزونه ها
بهترین و مطمئن ترین شیوه در گام اول، لغو نصب و همچنین پاک کردن کل افزونه هاست.اگرچه کاری وقت گیر می باشد، اما بهتر است که کل افزونه ها را از وب سایت خود پاک کنید و مجددا نصب کنید.
راه دوم: جست وجو در دایرکتوری آپلود
در این بخش هیچ فایلی که به پسوند php ختم شود وجود ندارد.اما همان طور که گفته شد بارها دیده شده است که فایل هایی با چنین پسوند هایی در دایرکتوری آپلود دیده شده اند.بنابراین با استفاده از کد زیر می توانید جست وجوی ساده ای در دایرکتوری های خیلی عظیم داشته باشید:
find uploads -name "*.php" -print
راه سوم:حذف تمام تم های وردپرس بلااستفاده
همان طور که گفته شد، تم ها نیز می تواند هدف هکر ها و این فایل ها باشند.برای این که زودتر به نتیجه برسید، تم های غیرفعال موجود را که اغلب شامل تم های ساده و کلاسیک وردپرسی می باشند را پاک کنید.در صورتی که در این قسمت فایل های backdoor قرار گرفته باشند، سریعا حذف میشوند و در وقت صرفه جویی کرده اید.
راه چهارم:فایل htaccess file
دقت داشته باشید که اغلب کدهایی که برای ریدایرکت کاربران استفاده میشود در این فایل قرار گرفته است .برای اطمینان این فایل را حذف کنید و نگران نباشید.چرا که این کد ها به صورت خودکار در همین بخش مجددا ساخته میشوند و فایل جدید را خواهید داشت.
در صورتی که فایل مجددا ساخته نشد، به قسمت تنظیمات روید و سپس در بخش پیوند های یکتا روی ذخیره تغییرات کلیک کنید تا فایل مجددا ساخته شود.
راه پنجم:فایل wp-config.php
اگر دقت کرده باشیدف حین نصب وردپرس برای اولین بار ، می بینید که این فایل به صورت wp-config-sample.php قرار گرفته است و باید این فایل را به wp-config.php تغییر نام دهید.بنابراین بهتر است که ابتدا در وردپرس خود جست وجو کنید و در صورتی که فایلی با نام wp-config-sample.php می بنید، آن را بلافاصله حذف کنید.
در این بخش چند راه اساسی را ذکر کردیم.در بخش بعدی سایر راه ها و توضیحات نهایی را می خوانید.
موفق باشید
دیدگاهتان را بنویسید