تم إنشاء هذا الدليل خصيصًا لأحد أنواع الاختراق التي تضيف الكثير من الكلمات الرئيسية. الصفحات التي لا معنى لها إلى موقعك، والتي نشير إليها باسم الكلمات الرئيسية المخفية الهوية اختراق الروابط. لقد تم تصميمها لمستخدمي أنظمة إدارة المحتوى (CMS) الرائجة، ولكنّك ستجد هذا الدليل مفيدًا حتى لو لم تكن تستخدم "نظام إدارة المحتوى".
نود التأكّد من أنّ هذا الدليل مفيد لك. تقديم ملاحظات لمساعدتنا على تحسين أدائنا.
تحديد هذا النوع من الاختراق
يعمل الاختراق باستخدام الكلمات الرئيسية والروابط التي تم إخفاء هويتها على إنشاء العديد من الصفحات التي تحتوي النصوص والروابط والصور التي لا معنى لها. تحتوي هذه الصفحات أحيانًا على البيانات عناصر القالب من الموقع الأصلي، لذلك قد تكون الصفحات للوهلة الأولى تبدو وكأنها أجزاء عادية من موقعك إلى أن تقرأ المحتوى.
ويتم إنشاء الصفحات التي تم الاستيلاء عليها من أجل التلاعب بعوامل الترتيب لدى Google. المخترقون الذين يحاولون غالبًا تحقيق الربح من هذا المحتوى من خلال بيع الروابط على الصفحات التي تم اختراقها جهات خارجية مختلفة. كما أن الصفحات التي تم اختراقها ستعيد توجيه الزائرين إلى غير ذات صلة حيث يمكن للمخترقين ربح المال.
ابدأ بمراجعة
مشاكل الأمان
في Search Console لمعرفة ما إذا كان محرّك بحث Google قد اكتشف أيًا من هذه الصفحات المخترَقة
على موقعك الإلكتروني وأحيانًا يمكنك اكتشاف صفحات كهذه أيضًا من خلال فتح دليل
نافذة البحث وكتابة site:_your site url_
، باستخدام عنوان URL لمستوى الجذر هو
موقعك الإلكتروني. سيعرض لك ذلك الصفحات التي فهرسها محرّك بحث Google لموقعك الإلكتروني.
بما في ذلك الصفحات التي تم الاستيلاء عليها. تصفح بضع صفحات من نتائج البحث للوصول إلى
للتحقق مما إذا اكتشفت أي عناوين URL غير معتادة. في حال عدم ظهور أي محتوى تم اختراقه في Google
ابحث باستخدام عبارات البحث نفسها مع محرك بحث مختلف. إليك
مثال لما سيبدو عليه:
وفي العادة، عند النقر على رابط يؤدي إلى صفحة تم الاستيلاء عليها، إعادة التوجيه إلى موقع آخر، أو مشاهدة صفحة مليئة بالمحتوى غير المفهوم. ومع ذلك، قد ترى أيضًا رسالة تشير إلى أن الصفحة غير موجودة (لـ مثل خطأ 404). لا تنخدع! سيحاول المخترقون خداعك معتقدًا أن الصفحة قد اختفت أو تم إصلاحها عندما لا تزال مخترَقة. تقوم بذلك عن طريق إخفاء الهوية المحتوى. يمكنك التحقُّق من إخفاء الهوية من خلال إدخال عناوين URL لموقعك الإلكتروني في أداة فحص عنوان URL: تتيح لك أداة "جلب مثل Google" رؤية المحتوى الأساسي المخفي.
في حال ظهور هذه المشاكل، يعني ذلك على الأرجح أنّ موقعك الإلكتروني قد تأثّر بهذا النوع من المشاكل الاختراق.
حلّ مشكلة الاختراق
قبل البدء، أنشئ نسخة بلا اتصال لأي ملفات قبل إزالتها، في إذا كنت بحاجة إلى استعادتها لاحقًا. والأفضل من ذلك، الاحتفاظ بنسخة احتياطية من موقعك بالكامل قبل على بدء عملية التنظيف. يمكنك القيام بذلك عن طريق حفظ جميع الملفات الموجودة على خادمك إلى موقع آخر خارج الخادم أو البحث عن أفضل نسخة احتياطية خيارات نظام إدارة المحتوى (CMS) الذي تستخدمه إذا كنت تستخدم نظام إدارة المحتوى، ينشئ أيضًا نسخة احتياطية من قاعدة البيانات.
التحقّق من ملف .htaccess
(3 خطوات)
من خلال الاختراق باستخدام الكلمات الرئيسية والروابط التي تم إخفاء هويتها، يتم استخدام ملف .htaccess
لإجراء
إنشاء صفحات مخفية الهوية على موقعك الإلكتروني التعرف على
أساسيات .htaccess
على موقع Apache الرسمي أن يساعدك على فهم كيفية حدوث هذا الاختراق بشكل أفضل
تؤثر في موقعك، ولكنها ليست مطلوبة.
الخطوة 1
حدِّد موقع ملف .htaccess
على موقعك الإلكتروني. في حال عدم معرفة مكان العثور عليها
وكنت تستخدم نظام إدارة محتوى مثل WordPress أو Joomla أو Drupal، فابحث عن
"موقع ملف .htaccess" في محرك البحث إلى جانب اسم نظام إدارة المحتوى الذي تستخدمه.
استنادًا إلى موقعك الإلكتروني، قد يظهر لك عدة ملفات .htaccess
.
أنشئ قائمة بجميع مواقع الملفات البالغ عددها .htaccess
.
الخطوة 2
افتح ملف .htaccess
لعرض محتوى الملف. ابحث عن سطر من
تعليمة برمجية تبدو كما يلي:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
يمكن أن تختلف المتغيرات المذكورة في هذا السطر، بإمكان كل من cj2fa
وtobeornottobe
تنفيذ ما يلي:
تكون أي مزيج من الأحرف أو الكلمات. المهم هو تحديد .php
المشار إليها في هذا السطر.
اكتب الملف .php
المذكور في ملف .htaccess
. في المثال،
باسم .php
injected_file.php
، ولكن في الواقع لن يكون اسم الملف
أن تكون واضحة. إنها عادةً ما تكون مجموعة عشوائية من الكلمات غير الضارة مثل
horsekeys.php
أو potatolake.php
من المرجّح أن يكون هذا العنصر .php
ضارًا.
ملف سنحتاج إلى تتبعه وإزالته لاحقًا.
الخطوة 3
استبدال كل الملفات البالغ عددها .htaccess
بنسخة نظيفة أو تلقائية من .htaccess
الملف. يمكنك عادةً العثور على نسخة تلقائية من ملف .htaccess
من خلال البحث.
لـ "ملف .htaccess
التلقائي" واسم نظام إدارة المحتوى بالنسبة إلى المواقع التي تحتوي على العديد
.htaccess
ملف، ابحث عن نسخة خالية من كل ملف وأجرِ عملية الاستبدال.
في حال عدم توفّر .htaccess
تلقائي ولم يسبق لك ضبط ملف .htaccess
.
على موقعك الإلكتروني، قد يكون ملف .htaccess
الذي تعثر عليه على موقعك ضارًا.
حفظ نسخة من الملفات البالغ عددها .htaccess
بلا اتصال بالإنترنت تحسُّبًا للظروف
من موقعك الإلكتروني
البحث عن الملفات الضارة الأخرى وإزالتها (5 خطوات)
قد يكون تحديد الملفات الضارة أمرًا صعبًا ويستغرق وقتًا طويلاً. تخصيص الوقت الكافي عند التحقق من ملفاتك. فهذا هو الوقت المناسب إذا لم تكن قد فعلت ذلك بعد، الملفات على موقعك. إجراء بحث على Google عن "الاحتفاظ بنسخة احتياطية من الموقع الإلكتروني" واسم نظام إدارة المحتوى للعثور على تعليمات حول كيفية الاحتفاظ بنسخة احتياطية من موقعك.
الخطوة 1
إذا كنت تستخدم نظام إدارة محتوى، فأعد تثبيت جميع الملفات الأساسية (الافتراضية) التي تأتي في والتوزيع التلقائي لنظام إدارة المحتوى فضلاً عن أيّ محتوى قد أضفته (مثل كمظاهر ووحدات ومكونات إضافية). يساعد هذا في التأكد من أن هذه الملفات خالية من المحتوى الذي تم اختراقه. يمكنك إجراء بحث على Google عن "إعادة التثبيت" واسم نظام إدارة المحتوى البحث عن تعليمات إعادة التثبيت. إذا كانت لديك أي مكونات إضافية أو وحدات أو إضافات أو النُسُق، فتأكد من إعادة تثبيتها أيضًا.
الخطوة 2
ابدأ بالبحث عن ملف .php
الذي حدّدته في .htaccess
.
ملف سابقًا. واعتمادًا على كيفية وصولك إلى الملفات على الخادم، يمكنك
نوعًا ما من وظائف البحث. البحث عن البرامج الضارة
. في حال العثور عليه، عليك أولاً إنشاء نسخة احتياطية وتخزينها في ملف آخر
الموقع الجغرافي في حال احتجت إلى استعادته، ثم احذفه من موقعك.
الخطوة 3
ابحث عن أي ملفات متبقية أو ضارة تم اختراقها. ربما تكون قد تعرفت بالفعل جميع الملفات الضارة في الخطوتين السابقتين، إلا أنه من الأفضل تنفيذ هذه الخطوات القليلة في حال وجود المزيد من الملفات المخترقة على موقعك.
لا تنشغل بالتفكير في أنك بحاجة إلى الانفتاح والنظر في كل ملف PHP. بل ابدأ بإنشاء قائمة بملفات PHP المشبوهة التي تريد التحقيق. إليك بعض الطرق لتحديد ملفات PHP المريبة:
- إذا كنت قد أعدت تحميل ملفات نظام إدارة المحتوى، فانظر فقط إلى الملفات التي ليست جزءًا من الملفات أو المجلدات التلقائية في نظام إدارة المحتوى (CMS) من المفترض أن يستبعد هذا الكثير من ملفات PHP وأترك لك عددًا قليلاً من الملفات للنظر فيها.
- افرز الملفات على موقعك بحسب تاريخ آخر تعديل، ابحث عن الملفات التي تم تعديلها في غضون بضعة أشهر من الوقت الذي اكتشف أنه تم اختراق موقعك.
- افرز الملفات على موقعك بحسب الحجم، وانظر في الملفات الكبيرة بشكل غير عادي.
الخطوة 4
بعد أن أصبح لديك قائمة بملفات PHP المريبة، تحقق مما إذا كانت ضارة. إذا لم تكن معتادًا على استخدام لغة PHP، فقد تستغرق هذه العملية وقتًا أطول، لذا تحسين بعض مستندات PHP. في حال حذف وأنت جديد تمامًا في مجال الترميز، فننصحك الحصول على مساعدة. في غضون ذلك، هناك بعض الأنماط الأساسية التي يمكنك البحث عنها لتحديد الملفات الضارة.
إذا كنت تستخدم نظامًا لإدارة المحتوى ولست معتادًا على تعديل هذه الملفات مباشرةً، ومقارنة الملفات الموجودة على الخادم بقائمة الملفات الافتراضية المضمنة في الحزمة نظام إدارة المحتوى وأي مكونات إضافية ومظاهر. ابحث عن الملفات التي لا تنتمي، بالإضافة إلى الملفات التي يزيد حجمها عن الإصدار الافتراضي.
أولاً، افحص الملفات المشبوهة التي حددتها بالفعل للبحث عنها
مجموعات نصية كبيرة بالإضافة إلى مزيج من الأحرف التي تبدو مختلطة
الأرقام. عادةً ما تكون كتلة النص الكبيرة مسبوقة بمجموعة من PHP
دوال مثل base64_decode
أو rot13
أو eval
أو strrev
أو gzinflate
.
في ما يلي مثال على الشكل الذي قد تبدو عليه كتلة الرموز هذه. أحيانًا كل هذا
البيانات البرمجية في سطر نصي طويل واحد، مما يجعلها تبدو أصغر
في الواقع.
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
في بعض الأحيان، لا تكون التعليمات البرمجية مختلطة وتبدو كالنص العادي فقط. إذا كنت غير متأكد مما إذا كانت التعليمة البرمجية سيئة، فتوقف عن منتديات مساعدة مشرفي المواقع حيث يمكن لمجموعة من مشرفي المواقع ذوي الخبرة مساعدتك في إلقاء نظرة على الملفات.
الخطوة 5
والآن بعد أن عرفت الملفات المريبة، يمكنك إنشاء نسخة احتياطية أو نسخة محلية عن طريق وحفظها على جهاز الكمبيوتر، وذلك في حال لم يكن أي من الملفات ضارًا، واحذف الملفات المريبة من موقعك الإلكتروني
التحقّق مما إذا كان موقعك الإلكتروني نظيفًا
وبعد الانتهاء من التخلص من الملفات التي تم الاستيلاء عليها، تحقق لترى ما إذا كان عملك الجاد أتى ثمارها. هل تذكر الصفحات التي لا معنى لها التي حددتها مسبقًا؟ استخدام ميزة الجلب كأداة Google عليها مرة أخرى لمعرفة ما إذا كانت لا تزال موجودة. إذا كانت الإجابة "لا تم العثور عليها" في ميزة "جلب مثل Google"، من المحتمل أن تكون في وضع جيد ويمكنك ننتقل إلى إصلاح الثغرات الأمنية على موقعك.
كيف يمكنني الحيلولة دون تعرض موقعي للاستيلاء مرة أخرى؟
إن إصلاح الثغرات الأمنية في موقعك خطوة أخيرة أساسية لإصلاح موقعك. فقد أظهرت دراسة أجريت مؤخرًا أن 20% من المواقع التي تم اختراقها تتعرض مرة أخرى للاختراق ذات يوم. كما كانت معرفة الطريقة التي تم بها الاستيلاء مفيدة. اطّلِع على أهم الطرق التي يخترق بها أصحاب الأسلوب غير المرغوب فيه المواقع الإلكترونية إرشادك لبدء التحقيق. ومع ذلك، إذا كنت غير قادر على معرفة كيف موقعك على الويب، فيما يلي قائمة تحقق بالأشياء التي يمكنك فعلها تقليل الثغرات الأمنية على موقعك:
- فحص جهاز الكمبيوتر بانتظام: استخدِم أي برنامج فحص فيروسات شائع. بحثًا عن الفيروسات أو الثغرات.
- تغيير كلمات المرور بانتظام: تغيير كلمات المرور بانتظام إلى لجميع حسابات موقعك الإلكتروني، مثل المستضيف وبروتوكول نقل الملفات (FTP) ونظام إدارة المحتوى (CMS) منع الوصول غير المُصرح به إلى موقعك. من المهم إنشاء تحليل قوي كلمة مرور فريدة لكل حساب.
- الاستخدام المصادقة الثنائية (2FA): ننصحك بتفعيل ميزة "المصادقة الثنائية" في أي خدمة تتطلّب منك تسجيل الدخول. المصادقة الثنائية تجعل من الصعب على المخترقين تسجيل الدخول حتى لو نجحوا في السرقة كلمة المرور.
- تحديث نظام إدارة المحتوى والمكوّنات الإضافية والإضافات والوحدات بانتظام: نأمل أن تكون قد أنجزت هذه الخطوة من قبل. يتم اختراق العديد من المواقع الإلكترونية بسبب تشغل برامج قديمة. علمًا بأن بعض أنظمة إدارة المحتوى تتيح التحديث التلقائي لها.
- فكِّر في الاشتراك في خدمة أمان لمراقبة موقعك الإلكتروني: وتتوفر العديد من الخدمات الرائعة التي يمكنها مساعدتك في مراقبة مقابل رسوم بسيطة. ففكر في التسجيل فيها للحفاظ على موقعك آمنًا.
مراجع إضافية
إذا كنت لا تزال تواجه مشاكل في إصلاح موقعك الإلكتروني، هناك بعض المشاكل الأخرى والموارد التي قد تساعدك.
تفحص هذه الأدوات موقعك وربما يمكنها العثور على المحتوى المتسبب في المشكلة، هذا ولا يستخدم محرك بحث Google أو يتوافق مع أي من هذه الأدوات ما عدا VirusTotal.
هذه ليست سوى بعض الأدوات التي يمكنها فحص موقعك الإلكتروني بحثًا عن أي مشاكل المحتوى. ضع في اعتبارك أن برامج الفحص هذه لا يمكنها ضمان أنها التعرّف على كل نوع من أنواع المحتوى الذي ينطوي على مشاكل.
في ما يلي بعض الموارد الإضافية من Google والتي يمكنها مساعدتك: