إصلاح الاختراق باستخدام كلمات رئيسية يابانية

هذا الدليل مخصّص لنوع من الاختراق يؤدي إلى إنشاء نص ياباني من إنشاء آلي على موقعك الإلكتروني، ونشير إليه باسم الاختراق باستخدام كلمات رئيسية يابانية. هذا الدليل مخصّص لمستخدمي أنظمة إدارة المحتوى (CMS) الشائعة، ولكنّه سيكون مفيدًا لك أيضًا إذا كان موقعك الإلكتروني لا يستخدم نظام إدارة محتوى.

التعرّف على هذا النوع من الاختراق

يؤدي اختراق الموقع الإلكتروني باستخدام كلمات رئيسية يابانية عادةً إلى إنشاء صفحات جديدة على موقعك الإلكتروني تحتوي على نص ياباني من إنشاء تلقائي في أسماء أدلة يتم إنشاؤها عشوائيًا (على سبيل المثال، http://example.com/ltjmnjp/341.html). وتهدف هذه الصفحات إلى تحقيق الربح من خلال استخدام الروابط المؤدية إلى الشركاء التابعين الذين يبيعون سلعًا لعلامات تجارية مزيفة، ثم تُعرَض هذه الصفحات في "بحث Google". في ما يلي مثال على الشكل الذي تظهر به إحدى هذه الصفحات:

مثال على صفحة تم اختراقها باستخدام كلمات رئيسية يابانية
صفحة تتضمّن نصًا تم إنشاؤه من خلال عملية اختراق باستخدام كلمات رئيسية يابانية

في هذا النوع من الاختراق، يضيف المخترق عادةً نفسه كمالك للموقع في Search Console، وذلك بهدف زيادة الأرباح من خلال التلاعب بإعدادات موقعك الإلكتروني، مثل الاستهداف الجغرافي أو خرائط الموقع. إذا تلقّيت إشعارًا بأنّ مستخدمًا غير معروف أثبت ملكية موقعك الإلكتروني في Google Search Console، من المحتمل جدًا أنّ موقعك الإلكتروني قد تم اختراقه.

ابدأ بالتحقّق من أداة مشاكل الأمان في Search Console لمعرفة ما إذا رصد محرّك بحث Google أيًا من هذه الصفحات المخترَقة على موقعك الإلكتروني. في بعض الأحيان، يمكنك أيضًا العثور على صفحات مشابهة من خلال فتح نافذة "بحث Google" وكتابة site:_your site url_ مع عنوان URL الخاص بالموقع الإلكتروني على مستوى الجذر. سيؤدي ذلك إلى عرض الصفحات التي فهرسها Google لموقعك الإلكتروني، بما في ذلك الصفحات المخترَقة. تصفَّح بضع صفحات من نتائج البحث لترى ما إذا كان يظهر لك أي عناوين URL غير عادية. وإذا لم يظهر لك أي محتوى مخترَق في "بحث Google"، استخدِم عبارات البحث نفسها مع محرك بحث مختلف. في ما يلي مثال على الشكل الذي سيبدو عليه ذلك:

مثال على موقع إلكتروني تم اختراقه في نتائج البحث
تظهر الصفحات التي تم اختراقها في نتائج البحث من Google.

عند النقر على رابط يؤدي إلى صفحة تم اختراقها، سيتم عادةً إما إعادة توجيهك إلى موقع إلكتروني آخر أو ستظهر لك صفحة مليئة بمحتوى غير مفهوم. ومع ذلك، قد تظهر لك أيضًا رسالة تشير إلى أنّ الصفحة غير موجودة (على سبيل المثال، الخطأ 404). لا تنخدع! سيحاول المخترقون خداعك لتعتقد أنّ الصفحة قد تمت إزالتها أو إصلاحها، مع أنّها لا تزال مخترَقة. ويتم ذلك من خلال إخفاء هوية المحتوى. يمكنك التحقّق من التمويه من خلال إدخال عناوين URL الخاصة بموقعك الإلكتروني في أداة فحص عنوان URL. تتيح لك هذه الأداة الاطّلاع على المحتوى المخفي الأساسي.

إذا لاحظت هذه المشاكل، من المرجّح أنّ موقعك الإلكتروني قد تأثّر بهذا النوع من الاختراق.

حلّ مشكلة الاختراق

قبل البدء، يمكنك إنشاء نسخة غير متصلة بالإنترنت من أي ملفات قبل إزالتها، وذلك في حال احتجت إلى استعادتها لاحقًا. والأفضل من ذلك، الاحتفاظ بنسخة احتياطية من موقعك الإلكتروني بالكامل قبل بدء عملية التنظيف. يمكنك إجراء ذلك من خلال حفظ جميع الملفات الموجودة على الخادم في موقع آخر أو البحث عن أفضل خيارات النسخ الاحتياطي لنظام إدارة المحتوى (CMS) الذي تستخدمه. إذا كنت تستخدم نظام إدارة محتوى، احرص أيضًا على الاحتفاظ بنسخة احتياطية من قاعدة البيانات.

إزالة الحسابات التي تم إنشاؤها حديثًا من Search Console

إذا تمت إضافة مالك جديد لا تعرفه إلى حسابك على Search Console، عليك إلغاء إذن الوصول إليه في أقرب وقت ممكن. يمكنك التحقّق من المستخدمين الذين تم تأكيدهم لموقعك الإلكتروني في صفحة تأكيد الملكية في Search Console. انقر على "تفاصيل إثبات الملكية" للموقع الإلكتروني للاطّلاع على جميع المستخدمين الذين تم إثبات ملكيتهم.

لإزالة مالك من Search Console، يُرجى الرجوع إلى قسم "إزالة مالك" في مركز مساعدة "إدارة المستخدمين والمالكين والأذونات". عليك إزالة الرمز المميَّز لإثبات ملكية النطاق المرتبط، والذي يكون عادةً إما ملف HTML في جذر موقعك الإلكتروني أو ملف .htaccess يتم إنشاؤه ديناميكيًا ويحاكي ملف HTML.

إذا لم تتمكّن من العثور على الرمز المميَّز لإثبات ملكية النطاق بتنسيق HTML على موقعك الإلكتروني، ابحث عن قاعدة إعادة كتابة في ملف .htaccess. ستبدو قاعدة إعادة الكتابة على النحو التالي:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

لإزالة الرمز المميَّز لإثبات ملكية النطاق الذي يتم إنشاؤه ديناميكيًا من ملف .htaccess، اتّبِع الخطوات التالية:

التحقّق من ملف .htaccess (خطوتان)

بالإضافة إلى استخدام ملف .htaccess لإنشاء رموز مميّزة للتحقّق يتم إنشاؤها بشكل ديناميكي، يستخدم المخترقون غالبًا قواعد .htaccess لإعادة توجيه المستخدمين أو إنشاء صفحات غير مفهومة وغير مرغوب فيها. ما لم تكن لديك قواعد .htaccess مخصّصة، ننصحك باستبدال .htaccess بنسخة جديدة تمامًا.

الخطوة 1

حدِّد موقع ملف .htaccess على موقعك الإلكتروني. إذا لم تكن متأكدًا من مكان العثور عليه وكنت تستخدم نظام إدارة محتوى مثل WordPress أو Joomla أو Drupal، ابحث عن "موقع ملف htaccess" في محرك بحث مع اسم نظام إدارة المحتوى الذي تستخدمه. استنادًا إلى موقعك الإلكتروني، قد تظهر لك ملفات .htaccess متعددة. أنشئ قائمة بجميع مواقع ملفات .htaccess.

الخطوة 2

استبدِل جميع ملفات .htaccess بنسخة نظيفة أو تلقائية من ملف .htaccess. يمكنك عادةً العثور على نسخة تلقائية من ملف .htaccess من خلال البحث عن "ملف .htaccess تلقائي" واسم نظام إدارة المحتوى الذي تستخدمه. بالنسبة إلى المواقع الإلكترونية التي تتضمّن ملفات .htaccess متعددة، ابحث عن نسخة نظيفة من كل ملف واستبدله.

إذا لم يكن هناك ملف .htaccess تلقائي ولم يسبق لك إعداد ملف .htaccess على موقعك الإلكتروني، من المحتمل أنّ ملف .htaccess الذي عثرت عليه على موقعك الإلكتروني ضار. احفظ نسخة من .htaccess الملفات بلا إنترنت تحسّبًا لأي طارئ، ثم احذف .htaccess الملف من موقعك الإلكتروني.

إزالة جميع الملفات والنصوص البرمجية الضارة (4 خطوات)

قد يكون تحديد الملفات الضارة أمرًا صعبًا ويستغرق وقتًا طويلاً، لذا ننصحك بأخذ وقتك عند التحقّق من ملفاتك. وإذا لم تكن قد أجريت بعد عملية احتياطية لملفات موقعك الإلكتروني، ننصحك بإجرائها الآن. يمكنك إجراء بحث Google عن "الاحتفاظ بنسخة احتياطية من الموقع الإلكتروني" واسم نظام إدارة المحتوى الذي تستخدمه للعثور على تعليمات حول كيفية الاحتفاظ بنسخة احتياطية من موقعك الإلكتروني.

الخطوة 1

إذا كنت تستخدم نظام إدارة محتوى، أعِد تثبيت جميع الملفات الأساسية (التلقائية) التي تأتي مع التوزيع التلقائي لنظام إدارة المحتوى، بالإضافة إلى أي ملفات أضفتها (مثل النماذج أو الوحدات أو المكوّنات الإضافية). يساعد ذلك في ضمان خلو هذه الملفات من المحتوى المخترَق. يمكنك إجراء بحث Google عن "إعادة التثبيت" واسم نظام إدارة المحتوى (CMS) الذي تستخدمه للعثور على تعليمات إعادة التثبيت. إذا كان لديك أي مكوّنات إضافية أو وحدات أو إضافات أو مظاهر، احرص على إعادة تثبيتها أيضًا.

الخطوة 2

يعدّل المخترقون في كثير من الأحيان خريطة الموقع أو يضيفون خرائط موقع جديدة بهدف تسريع فهرسة عناوين URL الخاصة بهم. إذا كان لديك ملف خريطة موقع سابقًا، تحقّق من الملف بحثًا عن أي روابط مريبة وأزِلها. وإذا كانت هناك أي ملفات خرائط موقع لا تتذكر إضافتها إلى موقعك الإلكتروني، راجِع الملف وأزِله إذا كان يحتوي على عناوين URL غير مرغوب فيها فقط.

الخطوة 3

ابحث عن أي ملفات أخرى ضارة أو مخترَقة. من المحتمل أنّك أزلت جميع الملفات الضارة في الخطوتَين السابقتَين، ولكن من الأفضل اتّباع الخطوات القليلة التالية في حال كان هناك المزيد من الملفات المخترَقة على موقعك الإلكتروني.

لا داعي للقلق بشأن فتح كل ملف PHP والبحث فيه، بل ابدأ بإنشاء قائمة بملفات PHP المشبوهة التي تريد التحقيق فيها. إليك بعض الطرق لتحديد ملفات PHP المشبوهة:

  • إذا سبق لك إعادة تحميل ملفات نظام إدارة المحتوى، ابحث فقط عن الملفات التي لا تشكّل جزءًا من ملفات أو مجلدات نظام إدارة المحتوى التلقائية، ما سيساعدك في استبعاد الكثير من ملفات PHP والتركيز على عدد قليل من الملفات.
  • افرز الملفات على موقعك بحسب تاريخ آخر تعديل، ابحث عن الملفات التي تم تعديلها في غضون بضعة أشهر من الوقت الذي اكتشفت فيه أنّ موقعك الإلكتروني قد تم اختراقه.
  • رتِّب الملفات على موقعك الإلكتروني حسب الحجم. وانظر في الملفات الكبيرة بشكل غير عادي.

الخطوة 4

بعد الحصول على قائمة بملفات PHP المشبوهة، تحقَّق من احتوائها على محتوى ضار. وإذا لم تكن على دراية بلغة PHP، قد تستغرق هذه العملية وقتًا أطول، لذا ننصحك بمراجعة بعض مستندات PHP. وإذا لم يسبق لك التعامل مع الترميز، ننصحك بالتواصل مع مطوّر متمرّس. في الوقت الحالي، يمكنك البحث عن بعض الأنماط الأساسية لتحديد الملفات الضارة.

إذا كنت تستخدم نظام إدارة محتوى (CMS) ولا تعدّل ملفات PHP مباشرةً، قارِن الملفات على الخادم بقائمة الملفات التلقائية المضمّنة في نظام إدارة المحتوى وفي أي مكوّنات إضافية ومظاهر، وابحث عن الملفات غير المألوفة والملفات الأكبر حجمًا من الإصدار التلقائي.

ابحث في الملفات المشبوهة التي سبق لك تحديدها عن أجزاء من الرمز المخفي. قد يبدو هذا المحتوى مزيجًا من الأحرف والأرقام التي تبدو مشوّشة، وعادةً ما يسبقه مزيج من وظائف PHP، مثل base64_decode أو rot13 أو eval أو strrev أو gzinflate. في ما يلي مثال على الشكل الذي قد يبدو عليه جزء الرمز. في بعض الأحيان، يتم حشر كل هذه الرموز في سطر نصي طويل واحد، ما يجعلها تبدو أصغر من حجمها الفعلي.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

التحقّق ممّا إذا كان موقعك الإلكتروني نظيفًا

بعد الانتهاء من إزالة الملفات المخترَقة، تحقَّق مما إذا كان عملك الشاق قد أثمر، وتذكَّر الصفحات غير المفهومة التي حدّدتها سابقًا. استخدِم أداة "الجلب مثل Google" عليها مرة أخرى لمعرفة ما إذا كانت لا تزال متوفرة.

إذا كانت الاستجابة هي "لم يتم العثور على الصفحة" في ميزة "الفحص كـ Google"، من المحتمل أنّ موقعك الإلكتروني في حالة جيدة ويمكنك الانتقال إلى إصلاح الثغرات الأمنية فيه.

كيف يمكنني الحيلولة دون تعرض موقعي للاستيلاء مرة أخرى؟

يُعدّ إصلاح الثغرات الأمنية على موقعك الإلكتروني خطوة نهائية أساسية لإصلاح موقعك الإلكتروني. أظهرت دراسة حديثة أنّ% 20 من المواقع الإلكترونية التي تم اختراقها يتم اختراقها مرة أخرى خلال يوم واحد. كما كانت معرفة الطريقة التي تم بها الاستيلاء مفيدة. يمكنك قراءة دليلنا حول أهم الطرق التي يخترق بها أصحاب الأسلوب غير المرغوب فيه المواقع الإلكترونية لبدء التحقيق. إذا لم تتمكّن من معرفة كيفية الاستيلاء على موقعك الإلكتروني، اتّبِع قائمة التحقّق هذه للحدّ من الثغرات الأمنية في موقعك الإلكتروني.

  • فحص جهاز الكمبيوتر بانتظام: استخدِم برنامجًا شائعًا لمكافحة الفيروسات للبحث عن الفيروسات أو الثغرات الأمنية.
  • تغيير كلمات المرور بانتظام: يمكن أن يمنع تغيير كلمات المرور بانتظام لجميع حساباتك على المواقع الإلكترونية، مثل حسابات مزوّد الاستضافة وبروتوكول نقل الملفات (FTP) ونظام إدارة المحتوى (CMS)، الوصول غير المصرّح به إلى موقعك الإلكتروني. من المهم إنشاء كلمة مرور قوية وفريدة لكل حساب.
  • استخدام المصادقة الثنائية (2FA): ننصحك بتفعيل المصادقة الثنائية على أي خدمة تتطلب منك تسجيل الدخول، لأنّ ذلك يصعّب على المخترقين تسجيل الدخول حتى إذا تمكّنوا من سرقة كلمة مرورك.
  • تحديث نظام إدارة المحتوى والمكوّنات الإضافية والإضافات والوحدات بانتظام: من المفترض أنّك أكملت هذه الخطوة. يتم اختراق العديد من المواقع الإلكترونية لأنّها تستخدم برامج قديمة. علمًا بأن بعض أنظمة إدارة المحتوى تتيح التحديث التلقائي لها.
  • ننصحك بالاشتراك في خدمة أمان لمراقبة موقعك الإلكتروني: تتوفّر العديد من الخدمات التي يمكن أن تساعدك في مراقبة موقعك الإلكتروني مقابل رسوم بسيطة. ففكر في التسجيل فيها للحفاظ على موقعك آمنًا.

مراجع إضافية

إذا استمرت المشكلة، إليك بعض المراجع الإضافية التي قد تساعدك.

تفحص هذه الأدوات موقعك وربما يمكنها العثور على المحتوى المتسبب في المشكلة، هذا ولا يستخدم محرك بحث Google أو يتوافق مع أي من هذه الأدوات ما عدا VirusTotal.

هذه مجرد بعض الأدوات التي قد تتمكّن من فحص موقعك الإلكتروني بحثًا عن محتوى يتضمّن مشاكل. يُرجى العِلم أنّ هذه الماسحات الضوئية لا يمكنها ضمان تحديد كل أنواع المحتوى الذي يتضمّن مشاكل.

في ما يلي بعض الموارد الإضافية من Google والتي يمكنها مساعدتك: