یکشنبه ۷ شهریور ۱۳۹۵ - ۱۸:۱۲ شناسهٔ خبر: 14949563 - سرویس علمی-فناوری
نسخه قابل چاپ منبع: روزنامه جام‌جم | لینک خبر

پیشنهادهایی برای استفاده آسان‌تر از وردپرس - قسمت هشتم

کمـک، وب‌سایتم هــک شده

یک روز صبح که از خواب پا می‌شوید و آدرس سایت خود را در مرورگر وارد می‌کنید، می‌بینید وب‌سایت سر جایش نیست! ممکن است با پیغامی از هکرها به جای صفحه اول وب‌سایت مواجه شوید یا لینک‌ها و تصاویر نامناسبی در صفحات شما قرار گرفته باشد.

ممکن است با پیغام خطای امنیتی گوگل روبه‌رو شوید یا مرورگرهای فایرفاکس و کروم موقع نمایش سایت، به شما هشدار دهند که به‌دلیل ویروس و بدافزار، این آدرس به شما آسیب وارد می‌کند. چه بلایی سر سایت آمده است؟ حالا چه باید کرد؟

پیشگیری بهتر از درمان

بهتر است بدانیم هر وب‌سایتی، ممکن است هک شود؛ فرقی نمی‌کند شما از سیستم مدیریت محتوای وردپرس استفاده می‌کنید یا دروپال یا جوملا یا یک سیستم سازمانی اختصاصی. اگر از یک سرور مطمئن استفاده نکنید، موارد امنیتی را رعایت نکنید و از وب‌سایت خود نسخه پشتیبان تهیه نکرده باشید، ممکن است همین الان سایت شما در معرض آلودگی و نفوذ قرار گرفته باشد. بنابراین سعی کنید همواره سه مورد را در نظر داشته باشید:

1) یکی از مهم‌ترین و حیاتی‌ترین راه‌های حفظ امنیت سایت‌ها، حفظ امنیت سرور میزبانی (هاستینگ) آنهاست. سراغ شرکت‌های معتبر و خوش‌نام میزبانی وب بروید که امنیت برایشان مهم است و هنگام بروز مشکلات، پشتیبانی خوبی ارائه می‌دهند.

2) همواره از بانک اطلاعاتی (دیتابیس) و فایل‌های وبسایت خود به‌صورت منظم نسخه پشتیبان (Backup) تهیه کنید تا در صورت بروز مشکلات پیش‌بینی‌نشده هک، اشکال‌های نرم‌افزاری یا اشکال سخت‌افزاری سرور، بتوانید سایت را بازیابی کنید. معمولا در پنل‌های مدیریت هاست متداول (مثل سی‌پنل، پلسک و دایرکت ادمین) امکاناتی به همین منظور وجود دارد، اما افزونه‌هایی هم برای مدیریت نسخه پشتیبان ساخته شده است. پیشنهاد ما استفاده از افزونه UpdraftPlus WordPress Backup Plugin است.

3) و در پایان یک افزونه امنیتی با قابلیت دیواره آتش (Firewall) روی وردپرس نصب کنید تا در حد امکان راه‌های نفوذ و خرابکاری را ببندد. پیشنهاد ما استفاده از افزونه Wordfence Security است.

ذخیره پشتیبان برای روز مبادا

با وجود UpdraftPlus WordPress Backup Plugin گرفتن بک‌آپ و بازیابی اطلاعات، کار ساده‌ای شده است. تهیه نسخه پشتیبان به‌صورت دستی یا برنامه‌ریزی‌شده به‌صورت روزانه، هفتگی و ماهانه امکان‌پذیر است و می‌توان فایل‌ها را روی دراپ‌باکس و گوگل‌درایو یا از طریق FTP روی یک سرور دیگر آپلود کرد.

پس از نصب افزونه، زیرمنویی با عنوان پشتیبان‌های UpdraftPlus به تنظیمات وردپرس اضافه می‌شود. وقتی به این بخش می‌رویم دکمه‌های اصلی «تهیه پشتیبان» و «بازنشانی» در دسترس هستند و زمان‌بندی بعدی، آخرین بک‌آپ‌گیری و آخرین پیام ثبت‌شده دیده می‌شود.

قبل از شروع، وارد تب تنظیمات شوید.

Dropbox را در بخش حافظه ریموت انتخاب کنید.

اگر تاکنون اکانت دراپ‌باکس نداشته‌اید، می‌توانید به‌سادگی و با وارد کردن یک ایمیل و تائید رمز عبور، یک فضای حداقل 2 گیگابایتی را رایگان دریافت کنید که به‌صورت ابری، در تمام دستگاه‌های موبایل، تبلت و لپ‌تاپ قابل‌دسترسی است.

پس از آن‌که در سایت دراپ‌باکس ثبت‌نام و نیز تنظیمات افزونه را ذخیره کردید، با کلیک روی لینک احراز هویت با دراپ‌باکس، اتصال را برقرار کنید.

حال می‌توانید تعیین کنید کدام بخش‌ها -افزونه‌ها، پوسته‌ها و آپلودها- در فایل‌های پشتیبان قرار بگیرند و آیا پس از پایان کار، ایمیل گزارش برایتان ارسال شود یا خیر؟

پس از ایجاد آنها، همیشه می‌توانید به آخرین پشتیبان‌های موجود در تب دوم مراجعه کنید و در صورت لزوم فایل دیتابیس و دیگر موارد ذخیره‌شده را دریافت یا بازنشانی کنید.

توجه: امکان ارسال فایل بک‌آپ به ایمیل هم هست، اما برخی از سرویس‌های ایمیل محدودیت 10 تا 20 مگابایتی برای دریافت فایل پیوست دارند و اگر حجم فایل شما بیشتر باشد، فرآیند ارسال ناموفق خواهد بود.

قفل‌کردن درهای ورودی

Wordfence Security یکی از موفق‌ترین افزونه‌های امنیتی است که بیش از یک میلیون بار روی وبسایت‌های وردپرسی نصب شده است. وردفنس امکانات خوب و رایگانی برای فایروال، بلاک کردن آی‌پی‌های مشکوک، مانیتور کردن ورود و دسترسی به سایت، اسکن امنیتی فایل‌ها و حتی متدهایی برای کش کردن و افزایش سرعت فراهم می‌آورد.

در نسخه‌های جدید، بلافاصله پس از نصب افزونه، پیغامی مبنی بر فعال کردن وب‌اپلیکیشن فایروال وردفنس به نمایش در می‌آید.

روی دکمه «Click here to configure» کلیک کنید.

بهترین تنظیمات باید بر اساس نوع سرور (آپاچی، لایت اسپید، ویندوز و...) صورت بگیرد و افزونه نوع سرور را تشخیص می‌دهد. البته در صورتی که مشخصات سرور را می‌دانید اما اشتباه نشان داده شده، امکان تصحیح وجود دارد.

دکمه Continue را بزنید.

بــا ظاهر شــــدن دکمـــه Download.htaccess یک کپی از این فایل را دانلود کنید تا در صورت لزوم امکان برگرداندن تغییرات ضروری وجود داشته باشد.

دوباره دکمه Continue را بزنید.

و حالا سایت شمـا بـه‌خوبی محـافظـت می‌شـــود.

حالا که هک شدم، چه کنم؟

در درجه اول خونسرد باشید. این قابل درک است که به خطر افتادن امنیت اطلاعات یک سایت چه میزان برای وجهه آن منفی است، اما باید با اقداماتی حساب‌شده اول سایت را به وضعیت قبلی برگرداند و دوم با دقت همه فایل‌های آلوده را حذف کرد و در پایان جلوی نفوذ و خرابکاری مجدد را مسدود کرد. به یاد داشته باشید ممکن است هکرها یک یا چند در پشتی (Backdoor) برای خود به جای گذاشته باشند. حتی ممکن است درهای پشتی غیرفعالی از خیلی قبل، مثلا روی فایل‌های پوسته وبسایت شما وجود داشته که نفوذگر آنها را در قالب‌های قفل‌شکسته (یا به اصطلاح نال شده) و به منظور استفاده‌های اسپم تزریق کرده باشد. بنابراین این کارها را انجام دهید:

گام اول: به دقت مشکلات و تغییرات را بررسی کنید. لینک‌های اسپم وجود دارند؟ ری‌دایرکت به صفحه دیگری انجام می‌شود؟ پنل پیشخوان وردپرس قابل‌دسترس است؟ خیلی مهم است که همین ابتدا و قبل از آغاز عملیات پاکسازی، رمز عبور ادمین را تغییر دهید. البته در پایان نیز یک‌بار دیگر رمز باید عوض شود.

گام دوم: با شرکت میزبانی سرور خود تماس بگیرید. معمولا آنها به دلیل میزبانی صدها سایت، تجربه زیادی از موقعیت‌های مشابه دارند و دستورالعمل‌ها و راهنمایی‌های خوبی ارائه می‌دهند. یک شرکت میزبانی خوب، شما را تنها نمی‌گذارد.

گام سوم: اگر نسخه پشتیبان سایت نزد شما یا شرکت میزبانی موجود است، سعی کنید خیلی سریع آخرین بک‌آپ را بازیابی کنید. هرچند خطر این کار برای سایت‌های خبری، وبلاگ‌ها و مجلات که هر روز چند مطلب ارسال کرده‌اند، بالاست و ممکن است بسیاری از مطالب اخیر را از دست بدهند، اما شرایط را به سرعت بهتر می‌کند.

گام چهارم: اسکن و حذف بدافزارها را شروع کنید. برای این کار هم از افزونه‌ها کمک بگیرید و هم به‌صورت دستی فولدرهای موجود در سایت را برای احتمال وجود فایل مشکوک یا در پشتی بررسی کنید. افزونه Sucuri Security برای بررسی کلی و Theme Authenticity Checker برای بررسی پوسته‌ها توصیه می‌شود. همچنین مسیرهای wp-includes و wp-content و فایل‌های wp-config.php و .htaccess را به دقت مرور کنید. گاهی کدهای مشکوک و فایل‌های آلوده در اینجاها یافت می‌شود. اسامی فایل‌ها را با اسامی فایل‌های اصلی وردپرس مقایسه کنید و به هر تفاوتی به دیده تردید بنگرید.

گام پنجم: فهرست کاربران سایت را بررسی کرده و اگر به جز شما و همکارانتان کاربری با دسترسی مدیر یا ادمین دیدید بلافاصله آن را پاک کنید.

گام ششم: کلیدهای امنیتی وردپرس را تغییر دهید. Secret Keys کدهای تصادفی تولیدشده توسط وردپرس است که در فایل wp-config.php قرار می‌گیرند و می‌توانید از این آدرس یک نمونه دریافت کنید:

https://api.wordpress.org/secret-key/1.1/salt/

گام هفتم: در پایان تمام رمزهای عبور ادمین وردپرس، پنلِ هاست، FTP و MySQL را عوض کنید. حتما از رمزهای سخت با ترکیب حروف کوچک و بزرگ، کاراکترها و اعداد استفاده کنید.

مانی رضوی‌زاده | طراح وب

∎