تم إنشاء هذا الدليل خصيصًا لنوع من عمليات الاختراق التي تضيف صفحات مزدحمة بالكلمات الرئيسية غير المفهومة إلى موقعك الإلكتروني، والتي نشير إليها باسم عملية اختراق الكلمات الرئيسية والروابط المخفية. وقد تم إعداده بشكل أساسي لمستخدمي أنظمة إدارة المحتوى (CMS) الشائعة. ومع ذلك، إذا كنت لا تستخدم نظام إدارة محتوى، قد يظل هذا الدليل مفيدًا لك.
تحديد عملية الاختراق
يؤدي الاختراق باستخدام الروابط والكلمات الرئيسية التي تم إخفاء هويتها إلى الإنشاء التلقائي لعدة صفحات تحتوي على نص وروابط وصور لا معنى لها. وتضم هذه الصفحات أحيانًا عناصر النموذج الأساسية من الموقع الإلكتروني الأصلي، لذا قد تبدو للوهلة الأولى أجزاءً عادية من موقعك الإلكتروني إلى أن تبدأ بقراءة المحتوى.
يتم إنشاء الصفحات المخترَقة للتلاعب بعوامل ترتيب Google. وغالبًا ما يحاول المخترقون تحقيق الربح من خلال بيع الروابط على الصفحات المخترَقة لجهات خارجية مختلفة. غالبًا ما تعيد الصفحات المخترَقة توجيه الزوّار أيضًا إلى صفحة غير ذات صلة حيث يمكن للمخترقين تحقيق الربح.
ابدأ بالاطّلاع على أداة
مشاكل الأمان
في Search Console لمعرفة ما إذا كان محرّك بحث Google قد رصد أيًا من هذه الصفحات المُخترَقة
على موقعك الإلكتروني. في بعض الأحيان، يمكنك أيضًا العثور على الصفحات من خلال فتح محرّك بحث Google
وكتابة site:_your site url_
مع عنوان URL على مستوى الجذر
لموقعك الإلكتروني. تعرض نتائج هذا البحث الصفحات التي فهرسها محرّك بحث Google ل
موقعك الإلكتروني، بما في ذلك الصفحات المخترَقة. اطّلِع على بضع صفحات من نتائج البحث لتحديد ما إذا كانت هناك أي عناوين URL غير عادية.
إذا لم يظهر لك أي محتوى مُخترَق في "بحث Google"، استخدِم عبارات البحث نفسها مع محرك بحث مختلف. في ما يلي مثال على الشكل الذي قد يبدو عليه ذلك:
![نتائج البحث التي تم إنشاؤها من خلال هذا الاختراق](https://web.dev/static/articles/fix-the-cloaked-keywords-hack/image/search-results-generated.png?authuser=8&hl=ar)
عادةً، عندما تنقر على رابط يؤدي إلى صفحة تم اختراقها، تتم إما إعادة توجيهك إلى موقع إلكتروني آخر أو تظهر لك صفحة مليئة بمحتوى غير مفهوم. ومع ذلك، قد تظهر لك أيضًا رسالة تشير إلى أنّ الصفحة غير موجودة (مثل خطأ 404). احرِص على عدم الانخداع. يحاول المخترقون خداعك بأنّه تمت إزالة الصفحة أو إصلاحها عندما تكون لا تزال مُخترَقة. ويقوم بذلك من خلال إخفاء المحتوى.
تحقّق من استخدام الخداع من خلال إدخال عناوين URL لموقعك الإلكتروني في أداة فحص عنوان URL. تتيح لك أداة "الجلب مثل Google" الاطّلاع على المحتوى الأساسي المخفي.
![مثال لصفحة تم إنشاؤها من خلال هذا الاختراق](https://web.dev/static/articles/fix-the-cloaked-keywords-hack/image/example-hacked-page.png?authuser=8&hl=ar)
إصلاح الاختراق
قبل البدء، احتفظ بنسخة احتياطية من موقعك الإلكتروني بالكامل بلا إنترنت. يضمن لك ذلك إمكانية استعادة أي ملفات لاحقًا، إذا لزم الأمر. حفظ جميع الملفات على خادمك في مكان خارج الخادم
إذا كنت تستخدم نظام إدارة محتوى (CMS)، مثل WordPress أو Drupal، قد تتمكّن من استخدام مكوّن إضافي احتياطي لإنقاذ موقعك الإلكتروني. تذكَّر أيضًا الاحتفاظ بنسخة احتياطية من قاعدة بياناتك. راجِع مستندات نظام إدارة المحتوى لمعرفة كيفية إجراء ذلك.
التحقّق من ملف .htaccess
(3 خطوات)
يستخدم الاختراق باستخدام الروابط والكلمات الرئيسية التي تم إخفاء هويتها ملف .htaccess
لإنشاء صفحات تم إخفاء هويتها تلقائيًا على موقعك الإلكتروني. يمكن أن يساعدك التعرّف على
أساسيات .htaccess
على الموقع الإلكتروني الرسمي لخدمة Apache في فهم كيفية تأثير الاختراق
في موقعك الإلكتروني بشكل أفضل، ولكنّ ذلك ليس مطلوبًا.
الخطوة 1
حدِّد موقع ملف .htaccess
على موقعك الإلكتروني. إذا لم تكن متأكّدًا من مكان العثور عليه
وكنت تستخدم نظام إدارة محتوى مثل WordPress أو Joomla أو Drupal، ابحث عن
"الموقع الجغرافي لملف .htaccess" في محرّك بحث مع اسم نظام إدارة المحتوى.
استنادًا إلى موقعك الإلكتروني، قد تظهر لك ملفات .htaccess
متعددة.
أنشئ قائمة بجميع مواقع ملفات .htaccess
.
الخطوة 2
افتح ملف .htaccess
لعرض المحتوى في الملف. ابحث عن سطر
رمز يبدو على النحو التالي:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
يمكن أن تختلف المتغيرات المذكورة في هذا السطر، يمكن أن يتكوّن كلّ من cj2fa
وtobeornottobe
من أيّ مجموعة من الأحرف أو الكلمات. من المهم تحديد .php
المُشار إليها في هذا السطر.
دوِّن ملف .php
المذكور في ملف .htaccess
. في المثال،
تم تسمية ملف .php
باسم injected_file.php
، ولكن في الواقع لن يكون اسم الملف
واضحًا. وعادةً ما تكون مجموعة عشوائية من الكلمات غير المؤذية، مثل
horsekeys.php
أو potatolake.php
. من المرجّح أن يكون هذا ملف .php
ضارًا يجب تتبُّعه وإزالته لاحقًا.
الخطوة 3
استبدِل جميع ملفات .htaccess
بنسخة نظيفة أو تلقائية من ملف .htaccess
. يمكنك عادةً العثور على إصدار تلقائي من ملف .htaccess
من خلال البحث عن "ملف .htaccess
التلقائي" واسم نظام إدارة المحتوى الذي تستخدمه. بالنسبة إلى المواقع الإلكترونية التي تحتوي على ملفات
.htaccess
متعددة، ابحث عن نسخة نظيفة من كل ملف ونفِّذ عملية الاستبدال.
إذا لم يتوفّر ملف .htaccess
تلقائي ولم يسبق لك ضبط ملف .htaccess
على موقعك الإلكتروني، من المحتمل أن يكون ملف .htaccess
الذي تعثر عليه على موقعك الإلكتروني ضارًا.
احفظ نسخة من ملفات .htaccess
بلا اتصال بالإنترنت في حال إزالة تلك الملفات
من موقعك الإلكتروني.
العثور على الملفات الضارة الأخرى وإزالتها (5 خطوات)
قد يكون تحديد الملفات الضارة أمرًا صعبًا ويستغرق وقتًا طويلاً. يُرجى أخذ الوقت الكافي عند فحص ملفاتك. إذا لم يسبق لك ذلك، ننصحك بالاحتفاظ بنسخة احتياطية من الملفات على موقعك الإلكتروني. ابحث عن مستندات نظام إدارة المحتوى الذي تستخدمه لمعرفة كيفية الاحتفاظ بنسخة احتياطية من موقعك الإلكتروني.
الخطوة 1
إذا كنت تستخدم نظام إدارة محتوى، عليك إعادة تثبيت جميع الملفات الأساسية (التلقائية) التي تأتي في الإصدار التلقائي لنظام إدارة المحتوى، بالإضافة إلى أي محتوى قد أضفته (مثل المظاهر والوحدات والمكونات الإضافية). ويساعد ذلك في ضمان أنّ هذه الملفات خالية من المحتوى المخترَق. يمكنك البحث عن "إعادة التثبيت" واسم نظام إدارة المحتوى للعثور على تعليمات إعادة التثبيت. إذا كان لديك أي مكوّنات إضافية أو وحدات أو إضافات أو مظاهر، احرص على إعادة تثبيتها أيضًا.
الخطوة 2
ابدأ بالبحث عن ملف .php
الذي حدّدته في ملف .htaccess
السابق. استنادًا إلى كيفية وصولك إلى الملفات على خادمك،
من المفترض أن يكون لديك نوع من وظائف البحث. ابحث عن اسم الملف الضار. إذا عثرت على الملف، عليك أولاً إنشاء نسخة احتياطية منه وتخزينها في مكان
آخر في حال احتجت إلى استعادتها، ثم حذفها من موقعك الإلكتروني.
الخطوة 3
ابحث عن أي ملفات ضارة أو ملفات تم اختراقها. من المحتمل أنّك سبق أن أزلت جميع الملفات الضارّة في الخطوتَين السابقتَين، ولكن من المهم التأكّد من عدم توفّر ملفات مُخترَقة إضافية على موقعك الإلكتروني.
قد تشعر بالارتباك إذا كنت تعتقد أنّ عليك فتح كل ملف PHP والاطّلاع عليه. بدلاً من ذلك، أنشئ قائمة بملفات PHP المريبة التي تريد التحقيق فيها. في ما يلي بعض الطرق لتحديد ملفات PHP المشتبه بها:
- إذا سبق لك إعادة تحميل ملفات نظام إدارة المحتوى (CMS)، اطّلِع فقط على الملفات التي ليست جزءًا من ملفات أو مجلدات نظام إدارة المحتوى التلقائية. من المفترض أن يؤدي ذلك إلى استبعاد الكثير من ملفات PHP وتبقي لك حفنة من الملفات للاطّلاع عليها.
- افرز الملفات على موقعك بحسب تاريخ آخر تعديل، ابحث عن الملفات التي تم تعديلها خلال بضعة أشهر من المرة الأولى التي اكتشفت فيها أنّ موقعك الإلكتروني قد تم اختراقه.
- افرز الملفات على موقعك بحسب الحجم، وانظر في الملفات الكبيرة بشكل غير عادي.
الخطوة 4
بعد الحصول على قائمة بملفات PHP المريبة، تحقّق ممّا إذا كانت ضارة. إذا لم تكن على دراية بلغة PHP، قد تستغرق هذه العملية وقتًا أطول، لذا ننصحك بالاطّلاع على بعض مستندات PHP. إذا كنت مبتدئًا تمامًا في مجال الترميز، ننصحك بالحصول على مساعدة. في الوقت الحالي، هناك بعض الأنماط الأساسية التي يمكنك البحث عنها لتحديد الملفات الضارة.
إذا كنت تستخدم نظام إدارة محتوى (CMS) ولا تعتاد تعديل هذه الملفات مباشرةً، قارِن الملفات على خادمك بقائمة الملفات التلقائية المضمّنة في نظام إدارة المحتوى وأي مكونات إضافية ومظاهر. ابحث عن الملفات التي لا تنتمي إلى مجموعة معيّنة، بالإضافة إلى الملفات الأكبر حجمًا من الإصدار التلقائي.
أولاً، راجِع الملفات المريبة التي سبق أن حدّدتها بحثًا عن
مجموعات كبيرة من النصوص التي تحتوي على مزيج من الأحرف والأرقام التي تبدو مختلطة. يسبق عادةً مجموعة كبيرة من النصوص مجموعة من وظائف PHP
، مثل base64_decode
أو rot13
أو eval
أو strrev
أو gzinflate
.
في ما يلي مثال على الشكل الذي قد يبدو عليه هذا الرمز البرمجي. في بعض الأحيان، يتم إدراج كل هذا الرمز في سطر نصي واحد طويل، ما يجعله يبدو أصغر مما هو عليه في الواقع.
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
في بعض الأحيان، لا يكون الرمز مختلطًا ويبدو مثل النص البرمجي العادي. إذا لم تكن متأكّدًا مما إذا كان الرمز البرمجي سيئًا، يمكنك الانتقال إلى منتدى المساعدة الخاص بـ "مجموعة خدمات بحث Google" حيث يمكن لمجموعة من مشرفي المواقع ذوي الخبرة مساعدتك في مراجعة الملفات.
الخطوة 5
بعد أن عرفت الملفات المشتبه بها، يمكنك إنشاء نسخة احتياطية أو نسخة محلية من خلال حفظها على جهاز الكمبيوتر، وذلك في حال لم تكن أي من الملفات ضارة، وحذف الملفات المشتبه بها من موقعك الإلكتروني.
التحقّق مما إذا كان موقعك الإلكتروني خاليًا من البرامج الضارّة
بعد الانتهاء من التخلص من الملفات المخترَقة، تحقّق ممّا إذا كان جهدك قد أدّى إلى نتيجة إيجابية. هل تتذكر الصفحات غير المفهومة التي حدّدتها سابقًا؟ استخدِم أداة "الاستخدام كمحرّك بحث Google" على هذه الصفحات مرة أخرى لمعرفة ما إذا كانت لا تزال متوفّرة. إذا كانت الإجابة "لم يتم العثور عليه" في أداة Fetch as Google، من المرجّح أنّ موقعك الإلكتروني في حالة جيدة وأنّه يمكنك الانتقال إلى إصلاح الثغرات الأمنية فيه.
كيف يمكنني الحيلولة دون تعرض موقعي للاستيلاء مرة أخرى؟
إنّ الخطوة الأخيرة لمنع عمليات الاختراق المستقبلية هي إصلاح الثغرات الأمنية في موقعك الإلكتروني. تبيّن من خلال إحدى الدراسات أنّ% 20 من المواقع الإلكترونية التي تم اختراقها يتم اختراقها مرة أخرى في غضون يوم واحد. كما كانت معرفة الطريقة التي تم بها الاستيلاء مفيدة. اطّلِع على أهم الطرق التي يخترق بها أصحاب الأسلوب غير المرغوب فيه المواقع الإلكترونية لبدء التحقيق.
إذا لم تتمكّن من معرفة كيفية اختراق موقعك الإلكتروني، اتّبِع قائمة التحقّق التالية للحدّ من نقاط الضعف في موقعك الإلكتروني:
- فحص جهاز الكمبيوتر بانتظام: استخدِم أي برنامج شائع لفحص الفيروسات بحثًا عن الفيروسات أو الثغرات الأمنية.
- تغيير كلمات المرور بانتظام: يمكن أن يؤدي تغيير كلمات المرور بانتظام في جميع حسابات موقعك الإلكتروني، مثل موفِّر الاستضافة وFTP ونظام إدارة المحتوى (CMS)، إلى منع الوصول غير المصرّح به إلى موقعك الإلكتروني. من المهم إنشاء كلمة مرور قوية وفريدة لكل حساب.
- استخدام المصادقة الثنائية أو إعداد مفتاح مرور: تصعِّب المصادقة الثنائية ومفاتيح المرور على المخترقين تسجيل الدخول، حتى إذا نجحوا في سرقة كلمة المرور.
- تحديث نظام إدارة المحتوى (CMS) والمكوّنات الإضافية والإضافات والوحدات بانتظام: يتم اختراق العديد من المواقع الإلكترونية لأنّها تستخدم برامج قديمة. تتيح بعض أنظمة إدارة المحتوى (CMS) التحديث التلقائي.
- ننصحك بالاشتراك في خدمة أمان لمراقبة موقعك الإلكتروني: تتوفّر الكثير من الخدمات الرائعة التي يمكنها مساعدتك في مراقبة موقعك الإلكتروني مقابل رسوم بسيطة. ففكر في التسجيل فيها للحفاظ على موقعك آمنًا.
مصادر إضافية
إذا كنت لا تزال تواجه مشكلة في إصلاح موقعك الإلكتروني، لدينا بعض المراجع التي قد تساعدك.
تفحص هذه الأدوات موقعك وربما يمكنها العثور على المحتوى المتسبب في المشكلة، هذا ولا يستخدم محرك بحث Google أو يتوافق مع أي من هذه الأدوات ما عدا VirusTotal.
لا يمكن لهذه الأدوات ضمان قدرتها على رصد كل أنواع المحتوى المعنيّ. يُرجى مواصلة التحقّق من أمان موقعك الإلكتروني بانتظام.
في ما يلي بعض المراجع الإضافية التي يمكن أن تساعدك: