تشخیص هک شدن سایت وردپرسی یکی از مهمترین مهارتهایی است که هر مدیر وبسایت باید داشته باشد. با توجه به اینکه وردپرس بیش از ۴۳٪ از وبسایتهای جهان را قدرت میبخشد، این سیستم هدف اصلی هکرها و مجرمان سایبری است. در سال ۲۰۲۶، آسیبپذیریهای وردپرس ۶۸٪ نسبت به سال قبل افزایش یافته و حملات مبتنی بر هوش مصنوعی، تشخیص نفوذ را دشوارتر از همیشه کرده است. در این راهنمای جامع، با ۱۵+ نشانه هک شدن سایت وردپرسی، روشهای تشخیص پیشرفته، مراحل بازیابی و تکنیکهای پیشگیری آشنا میشوید.
خلاصه مطلب (TL;DR)
- نشانههای کلیدی هک: ریدایرکت به سایتهای مشکوک، کاهش ناگهانی ترافیک، ایجاد کاربران ادمین ناشناس، تغییر محتوا یا ظاهر سایت، و هشدارهای امنیتی گوگل.
- ابزارهای تشخیص ۲۰۲۶: Wordfence (فایروال endpoint)، Sucuri (فایروال cloud)، Google Search Console، و اسکن دستی فایلهای سرور.
- اقدامات فوری: قطع دسترسی عمومی، تغییر تمام رمزهای عبور، شناسایی و حذف فایلهای آلوده، بازگردانی از بکاپ سالم، و بهروزرسانی همه افزونهها/قالبها.
- پیشگیری: احراز هویت دو مرحلهای (2FA)، بهروزرسانی منظم، استفاده از هاست امن وردپرس، فایروال WAF، و بکاپ روزانه.
چرا سایتهای وردپرسی هک میشوند؟
قبل از بررسی نشانههای هک، مهم است بدانیم چرا وردپرس هدف اصلی هکرهاست. طبق گزارش Patchstack در سال ۲۰۲۶، بیش از ۶۴,۷۸۲ آسیبپذیری در اکوسیستم وردپرس شناسایی شده که ۹۶-۹۷٪ آنها مربوط به افزونههاست.
دلایل اصلی هک شدن سایتهای وردپرسی
- افزونههای آسیبپذیر: ۹۶٪ حملات از طریق افزونههای بهروز نشده یا دارای باگ امنیتی انجام میشود
- رمزهای عبور ضعیف: حملات Brute Force همچنان یکی از رایجترین روشهای نفوذ است
- قالبهای Nulled: قالبهای غیرقانونی اغلب حاوی backdoor و بدافزار هستند
- هاست ناامن: هاستهای ارزان و بدون امنیت مناسب، سایت را در معرض خطر قرار میدهند
- عدم استفاده از SSL: ارتباطات رمزنگاری نشده امکان شنود و حملات MITM را فراهم میکنند
- حملات AI-Driven: در سال ۲۰۲۶، هکرها از ابزارهای هوش مصنوعی برای اسکن خودکار آسیبپذیریها و تولید بدافزارهای polymorphic استفاده میکنند
آمار تکاندهنده امنیت وردپرس ۲۰۲۶
| شاخص | آمار ۲۰۲۶ | تغییر نسبت به سال قبل |
|---|---|---|
| آسیبپذیریهای جدید سالانه | ۱۰,۶۰۰+ | +۶۸٪ |
| سهم افزونهها از آسیبپذیریها | ۹۶-۹۷٪ | ثابت |
| نوع حمله غالب (XSS) | ۵۳.۳٪ | +۱۲٪ |
| سایتهای بدون برنامه بازیابی | ۷۳٪ | -۵٪ |
| میانگین زمان شناسایی هک | ۱۲۰ روز | +۱۵ روز |
| استفاده از 2FA | ۶۰٪ | +۴۵٪ |
۱۵+ نشانه برای تشخیص هک شدن سایت وردپرسی
نشانههای هک شدن سایت را میتوان به دو دسته تقسیم کرد: نشانههای آشکار که فوراً قابل مشاهده هستند، و نشانههای پنهان که نیاز به بررسی دقیقتر دارند.
نشانههای آشکار هک شدن
۱. ریدایرکت ناخواسته به سایتهای مشکوک
یکی از واضحترین نشانههای هک شدن، ریدایرکت شدن کاربران به سایتهای فیشینگ، قمار، یا فروشگاههای جعلی است. این نوع بدافزار معمولاً هوشمند عمل میکند و فقط بازدیدکنندگانی که از گوگل آمدهاند را ریدایرکت میکند، در حالی که ورودیهای مستقیم و کاربران لاگینشده محتوای عادی را میبینند.
هشدار: اگر کاربران شما گزارش میدهند که سایت شما آنها را به جای دیگری هدایت میکند اما شما این مشکل را نمیبینید، احتمالاً سایت شما هک شده است. از حالت incognito مرورگر و از طریق جستجوی گوگل وارد سایت شوید تا این ریدایرکت را ببینید.
۲. هشدارهای امنیتی گوگل و مرورگرها
گوگل هفتگی حدود ۲۰,۰۰۰ سایت را به دلیل بدافزار و ۵۰,۰۰۰ سایت را به دلیل فیشینگ بلاک میکند. اگر کاربران با پیامهای زیر مواجه میشوند، سایت شما هک شده است:
- "Deceptive site ahead" - سایت فریبنده
- "This site may be hacked" - این سایت ممکن است هک شده باشد
- "This site contains malware" - این سایت حاوی بدافزار است
- "This site has been reported as unsafe" - این سایت ناامن گزارش شده است
برای بررسی وضعیت سایت خود از Google Safe Browsing Tool استفاده کنید.
۳. تغییر ظاهر صفحه اصلی (Defacement)
برخی هکرها به عنوان اثبات قدرت یا برای اهداف سیاسی، صفحه اصلی سایت را تغییر میدهند. این نوع حمله معمولاً با پیامهایی مانند "Hacked by..." همراه است. اگرچه این نوع هک واضحترین است، اما خطرناکترین نیست؛ هکرهای حرفهای ترجیح میدهند مخفی بمانند.
۴. عدم امکان ورود به پیشخوان وردپرس
اگر رمز عبور شما کار نمیکند و امکان بازیابی آن از طریق ایمیل وجود ندارد، احتمالاً هکر اکانت ادمین شما را حذف یا تغییر داده است. در این حالت باید از طریق phpMyAdmin یا SSH به دیتابیس دسترسی پیدا کنید و یک کاربر ادمین جدید ایجاد کنید.
۵. ایجاد کاربران ادمین ناشناس
به بخش کاربران وردپرس بروید و لیست کاربران با نقش Administrator را بررسی کنید. اگر کاربری با ایمیل ناشناس یا نام کاربری عجیب (مانند admin123، support، user1) میبینید که شما ایجاد نکردهاید، این یک نشانه قطعی هک است.
۶. نمایش پاپآپ و تبلیغات ناخواسته
اگر تبلیغات pop-up، banner یا redirect تبلیغاتی روی سایت شما نمایش داده میشود که خودتان اضافه نکردهاید، سایت شما به یک شبکه تبلیغات مخرب متصل شده است. این نوع بدافزار معمولاً فقط به کاربران غیرلاگین و موبایل نمایش داده میشود.
نشانههای پنهان و حرفهای هک
۷. کاهش ناگهانی ترافیک سایت
اگر در Google Analytics متوجه افت شدید ترافیک شدید (۵۰٪+ در یک هفته)، احتمالات زیر وجود دارد:
- گوگل سایت شما را به دلیل بدافزار از نتایج حذف کرده است
- بدافزار ترافیک را به سایت دیگری هدایت میکند
- هکرها محتوای spam در سایت شما تزریق کردهاند و گوگل penalty داده است
در Google Search Console بخش Security Issues را بررسی کنید.
۸. تزریق لینکهای اسپم (SEO Spam)
یکی از رایجترین حملات سال ۲۰۲۶، تزریق لینکهای اسپم به محتوای سایت است. هکرها لینکهایی به سایتهای قمار، دارو، یا محصولات تقلبی در footer، widgetها یا حتی داخل پستها اضافه میکنند. این لینکها گاهی با CSS مخفی شدهاند و فقط در سورس کد قابل مشاهده هستند.
grep -r "viagra\|casino\|cialis\|payday" /var/www/html/wp-content/
# جستجوی لینکهای با display:none
grep -r "display:none\|visibility:hidden" /var/www/html/wp-content/themes/
۹. حمله Japanese SEO Spam (کاراکترهای ژاپنی)
این یکی از پیچیدهترین حملات SEO Spam است. هکرها صفحات جدیدی با محتوای ژاپنی یا چینی ایجاد میکنند که فقط برای موتورهای جستجو قابل مشاهده است (Cloaking). در نتایج گوگل میبینید که صفحات سایت شما با عناوین ژاپنی ایندکس شدهاند.
برای بررسی، در گوگل جستجو کنید: site:yourdomain.com و ببینید آیا صفحات ناشناس با زبانهای خارجی وجود دارد.
۱۰. فایلها و اسکریپتهای ناشناس روی سرور
هکرها فایلهای backdoor را در مکانهای مختلف قرار میدهند. این فایلها اغلب نامهای شبیه به فایلهای اصلی وردپرس دارند:
| محل معمول | نامهای مشکوک | توضیح |
|---|---|---|
/wp-content/uploads/ |
wp-tmp.php, cache.php |
فایلهای PHP نباید در uploads باشند |
/wp-includes/ |
wp-vcd.php, class-wp-cache.php |
فایلهای اضافه به هسته وردپرس |
/wp-content/themes/ |
footer2.php, social.php |
فایلهای اضافه در قالب |
root |
radio.php, diff.php, about.php |
فایلهای ناشناس در root |
find /var/www/html/wp-content/uploads -name "*.php" -type f
# یافتن فایلهای اخیراً تغییر یافته
find /var/www/html -name "*.php" -mtime -7 -type f
# جستجوی کدهای base64 (رایج در بدافزار)
grep -r "base64_decode\|eval(" /var/www/html/wp-content/ --include="*.php"
۱۱. کاهش سرعت سایت و مصرف بالای منابع سرور
اگر سایت شما ناگهان کند شده یا از دسترس خارج میشود، ممکن است:
- حمله DDoS: ارسال درخواستهای متعدد برای از کار انداختن سرور
- Cryptomining: استفاده از منابع سرور برای استخراج ارز دیجیتال
- Spam Email: ارسال ایمیلهای انبوه از سرور شما
- Botnet Activity: استفاده از سرور شما در حملات به سایتهای دیگر
برای بررسی مصرف منابع از دستورات زیر استفاده کنید:
top -c
# بررسی مصرف CPU توسط PHP
ps aux | grep php | sort -k3 -nr | head -10
# بررسی اتصالات شبکه
netstat -an | grep ESTABLISHED | wc -l
۱۲. فعالیتهای غیرمعمول در Server Logs
بررسی لاگهای سرور میتواند حملات و نفوذها را آشکار کند. در لاگها به دنبال موارد زیر باشید:
- تعداد زیاد درخواستهای ۴۰۴ به فایلهای PHP ناشناس
- درخواستهای POST به فایلهای غیرمعمول
- ترافیک غیرعادی از IPهای خاص
- دسترسی به فایلهای wp-config.php یا .htaccess
grep "wp-login.php" /var/log/nginx/access.log | grep "POST"
# یافتن IPهای با بیشترین درخواست
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -rn | head -20
# جستجوی حملات SQL Injection
grep -E "union|select|insert|update|delete|drop" /var/log/nginx/access.log
۱۳. مشکل در ارسال و دریافت ایمیل
اگر ایمیلهای وردپرس (مانند ریست رمز عبور یا نوتیفیکیشنها) به مقصد نمیرسند یا به spam میروند، ممکن است:
- IP سرور شما در blacklist قرار گرفته باشد
- هکرها از سرور شما برای ارسال spam استفاده میکنند
- تنظیمات SMTP دستکاری شده باشد
برای بررسی وضعیت IP سرور از ابزارهای MXToolbox Blacklist Check استفاده کنید.
۱۴. تغییر نتایج جستجو در گوگل
اگر عنوان و توضیحات صفحات شما در نتایج گوگل متفاوت از آنچه تنظیم کردهاید نمایش داده میشود، هکرها ممکن است meta tagهای شما را تغییر داده باشند. این تکنیک به نام "Cloaking" معروف است و محتوای متفاوتی را به کاربران و موتورهای جستجو نشان میدهد.
۱۵. فعالیتهای زمانبندی شده مشکوک (Cron Jobs)
هکرها از wp-cron یا crontab سرور برای اجرای منظم کدهای مخرب استفاده میکنند. این کارها ممکن است شامل ارسال spam، بازیابی backdoorهای حذف شده، یا جمعآوری داده باشد.
crontab -l
cat /etc/crontab
# بررسی wp-cron events در وردپرس
wp cron event list --path=/var/www/html
۱۶. وجود افزونههای ناشناس
در سال ۲۰۲۶، نوعی بدافزار به نام "Fake Plugin" بسیار رایج شده است. این بدافزار یک افزونه جعلی مانند "Modern Recent Posts" یا "WP-VCD" نصب میکند که در لیست افزونهها ظاهر میشود اما کد مخرب اجرا میکند.
۱۷. تغییر فایلهای core وردپرس
فایلهای هسته وردپرس مانند wp-includes/version.php یا wp-admin/includes/class-wp-filesystem-direct.php گاهی توسط بدافزار تغییر میکنند. برای بررسی یکپارچگی فایلها:
wp core verify-checksums --path=/var/www/html
# بررسی یکپارچگی افزونهها
wp plugin verify-checksums --all --path=/var/www/html
مقایسه انواع حملات رایج به وردپرس
درک انواع حملات به شما کمک میکند سریعتر نوع تهدید را شناسایی کرده و واکنش مناسب نشان دهید:
| نوع حمله | هدف هکر | نشانههای اصلی | شدت خطر |
|---|---|---|---|
| SEO Spam | رتبهدهی سایتهای spam | لینکهای مخفی، صفحات ژاپنی | متوسط |
| Backdoor | دسترسی دائمی | فایلهای PHP ناشناس | بالا |
| Malvertising | کسب درآمد از تبلیغات | پاپآپ و تبلیغات | متوسط |
| Phishing | سرقت اطلاعات کاربران | صفحات login جعلی | بالا |
| Cryptomining | استخراج ارز دیجیتال | مصرف بالای CPU | متوسط |
| Defacement | تخریب یا پیام سیاسی | تغییر صفحه اصلی | پایین |
| Ransomware | باجگیری | رمزنگاری فایلها | بسیار بالا |
| Data Theft | سرقت اطلاعات | دسترسی به دیتابیس | بسیار بالا |
| Parrot TDS | ریدایرکت هوشمند | ریدایرکت فقط از گوگل | بالا |
چکلیست تشخیص سریع هک
از این چکلیست برای بررسی سریع وضعیت امنیتی سایت خود استفاده کنید:
چکلیست بررسی امنیتی سایت وردپرسی
بررسیهای فوری (۵ دقیقه):
- ☐ آیا سایت در حالت incognito به درستی باز میشود؟
- ☐ آیا از طریق جستجوی گوگل وارد سایت شوید، ریدایرکت نمیشود؟
- ☐ آیا Google Safe Browsing سایت را امن نشان میدهد؟
- ☐ آیا میتوانید به پیشخوان وردپرس وارد شوید؟
- ☐ آیا لیست کاربران ادمین سالم است؟
بررسیهای متوسط (۱۵ دقیقه):
- ☐ آیا در Google Search Console هشدار امنیتی وجود ندارد؟
- ☐ آیا فایلهای PHP در پوشه uploads وجود ندارد؟
- ☐ آیا افزونههای ناشناس نصب نشده است؟
- ☐ آیا ترافیک سایت نرمال است؟
- ☐ آیا ایمیلهای وردپرس به درستی ارسال میشوند؟
بررسیهای کامل (۳۰+ دقیقه):
- ☐ اسکن کامل با Wordfence یا Sucuri
- ☐ بررسی یکپارچگی فایلهای core با
wp core verify-checksums - ☐ بررسی لاگهای سرور برای فعالیت مشکوک
- ☐ بررسی cron jobs سیستم و وردپرس
- ☐ مقایسه فایلها با بکاپ سالم
ابزارهای تشخیص هک در سال ۲۰۲۶
انتخاب ابزار مناسب برای اسکن و تشخیص بدافزار بسیار مهم است. در این بخش، بهترین ابزارهای ۲۰۲۶ را معرفی میکنیم:
۱. Wordfence Security
Wordfence با بیش از ۵ میلیون نصب فعال، محبوبترین افزونه امنیتی وردپرس است. این افزونه یک فایروال Endpoint ارائه میدهد که مستقیماً روی سرور شما اجرا میشود:
- Endpoint Firewall: فایروال در سطح سرور، غیرقابل bypass
- Malware Scanner: اسکن عمیق فایلها برای بدافزار
- Login Security: احراز هویت دو مرحلهای و محدودیت تلاشهای ورود
- Real-time Threat Intelligence: بهروزرسانیهای امنیتی در لحظه (نسخه Premium)
نکته مهم: طبق گزارش Sucuri در سال ۲۰۲۶، بدافزارهایی شناسایی شدهاند که مخصوصاً برای bypass کردن Wordfence طراحی شدهاند. در ۱۴٪ سایتهای آلوده، بدافزار فایلهای Wordfence را دستکاری کرده بود. بنابراین استفاده از چند لایه امنیتی توصیه میشود.
۲. Sucuri Security
Sucuri یک پلتفرم امنیتی cloud-based است که ترافیک را قبل از رسیدن به سرور شما فیلتر میکند:
- Cloud WAF: فایروال ابری برای مسدود کردن حملات
- CDN Integration: بهبود سرعت همراه با امنیت
- Malware Removal: خدمات حذف بدافزار نامحدود در پلنهای پولی
- DDoS Protection: محافظت در برابر حملات DDoS
۳. ابزارهای رایگان آنلاین
| ابزار | آدرس | امکانات |
|---|---|---|
| Sucuri SiteCheck | sitecheck.sucuri.net | اسکن بدافزار، blacklist، و outdated software |
| Google Safe Browsing | transparencyreport.google.com | بررسی وضعیت امنیتی از دید گوگل |
| VirusTotal | virustotal.com | اسکن URL با ۷۰+ موتور آنتیویروس |
| Quttera | quttera.com | تشخیص بدافزار و linkهای مشکوک |
راهنمای گامبهگام بازیابی سایت هکشده
اگر سایت شما هک شده، آرامش خود را حفظ کنید و این مراحل را به ترتیب دنبال کنید:
مرحله ۱: قطع دسترسی عمومی (اقدام فوری)
اولین اقدام، جلوگیری از آسیب بیشتر به کاربران و اعتبار سایت است:
# قبل از کل محتوای .htaccess اضافه کنید:
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^YOUR\.IP\.ADDRESS$
RewriteRule .* - [R=503,L]
ErrorDocument 503 "Site under maintenance"
# یا با فایل PHP ساده
<?php
if ($_SERVER['REMOTE_ADDR'] !== 'YOUR_IP_ADDRESS') {
header('HTTP/1.1 503 Service Temporarily Unavailable');
die('سایت در حال تعمیرات است. لطفاً بعداً مراجعه کنید.');
}
?>
مرحله ۲: تغییر تمام رمزهای عبور
قبل از هر اقدامی، تمام رمزهای عبور را تغییر دهید:
- ☐ رمز عبور پیشخوان وردپرس (همه ادمینها)
- ☐ رمز عبور FTP/SFTP
- ☐ رمز عبور SSH
- ☐ رمز عبور دیتابیس MySQL
- ☐ رمز عبور cPanel/Plesk
- ☐ رمز عبور CDN (Cloudflare)
مهم: WordPress Secret Keys را نیز تغییر دهید تا همه sessionهای فعال منقضی شوند:
curl -s https://api.wordpress.org/secret-key/1.1/salt/
# کلیدهای جدید را در wp-config.php جایگزین کنید
define('AUTH_KEY', 'کلید جدید');
define('SECURE_AUTH_KEY', 'کلید جدید');
define('LOGGED_IN_KEY', 'کلید جدید');
define('NONCE_KEY', 'کلید جدید');
define('AUTH_SALT', 'کلید جدید');
define('SECURE_AUTH_SALT', 'کلید جدید');
define('LOGGED_IN_SALT', 'کلید جدید');
define('NONCE_SALT', 'کلید جدید');
مرحله ۳: ایجاد بکاپ از وضعیت فعلی
قبل از هر تغییری، از وضعیت فعلی بکاپ بگیرید. این بکاپ برای تحلیل forensic و شناسایی نقطه نفوذ مفید است:
tar -czvf /backup/hacked-site-$(date +%Y%m%d).tar.gz /var/www/html/
# بکاپ دیتابیس
mysqldump -u USER -p DATABASE > /backup/hacked-db-$(date +%Y%m%d).sql
مرحله ۴: اسکن و شناسایی بدافزار
با استفاده از ابزارهای معرفی شده، سایت را اسکن کنید:
clamscan -r --infected /var/www/html/
# جستجوی الگوهای بدافزار
grep -rn "eval(base64_decode" /var/www/html/
grep -rn "gzinflate(base64_decode" /var/www/html/
grep -rn "@include" /var/www/html/wp-content/
grep -rn "FilesMan" /var/www/html/
grep -rn "WSO" /var/www/html/
# بررسی فایلهای اخیراً تغییر یافته
find /var/www/html -name "*.php" -mtime -7 -ls
# بررسی integrity فایلهای وردپرس
wp core verify-checksums --path=/var/www/html
مرحله ۵: حذف فایلهای آلوده
پس از شناسایی فایلهای آلوده، آنها را حذف یا جایگزین کنید:
- فایلهای ناشناس: کاملاً حذف کنید
- فایلهای core تغییر یافته: با نسخه اصلی جایگزین کنید
- افزونهها/قالبهای آلوده: کاملاً حذف و دوباره نصب کنید
wp core download --force --path=/var/www/html
# حذف فایلهای PHP از uploads
find /var/www/html/wp-content/uploads -name "*.php" -delete
# حذف افزونه آلوده و نصب مجدد
wp plugin delete infected-plugin --path=/var/www/html
wp plugin install plugin-name --activate --path=/var/www/html
مرحله ۶: بازگردانی از بکاپ سالم (در صورت نیاز)
اگر آلودگی گسترده است، بهتر است از آخرین بکاپ سالم بازگردانی کنید. مطمئن شوید که بکاپ قبل از تاریخ نفوذ است:
- فایلها را از بکاپ بازگردانی کنید
- دیتابیس را از بکاپ import کنید
- پس از بازگردانی، حتماً همه افزونهها و وردپرس را بهروز کنید
- تمام رمزهای عبور را تغییر دهید
مرحله ۷: بهروزرسانی همه چیز
پس از پاکسازی، تمام کامپوننتها را بهروز کنید:
wp core update --path=/var/www/html
# بهروزرسانی همه افزونهها
wp plugin update --all --path=/var/www/html
# بهروزرسانی همه قالبها
wp theme update --all --path=/var/www/html
# بهروزرسانی نسخه PHP (از طریق cPanel یا ssh)
# PHP 8.2 یا 8.3 توصیه میشود
مرحله ۸: تقویت امنیت
پس از بازیابی، لایههای امنیتی اضافه کنید:
- نصب و پیکربندی فایروال (Wordfence یا Sucuri)
- فعالسازی احراز هویت دو مرحلهای برای همه ادمینها
- محدود کردن تلاشهای ورود
- تغییر URL صفحه ورود
- غیرفعال کردن ویرایش فایل از پیشخوان
// غیرفعال کردن ویرایش فایل
define('DISALLOW_FILE_EDIT', true);
// محدود کردن نصب افزونه/قالب
define('DISALLOW_FILE_MODS', true);
// Force SSL برای پیشخوان
define('FORCE_SSL_ADMIN', true);
مرحله ۹: درخواست بررسی مجدد از گوگل
اگر سایت در blacklist گوگل قرار گرفته، پس از پاکسازی درخواست بررسی مجدد دهید:
- وارد Google Search Console شوید
- به بخش Security Issues بروید
- روی "Request a Review" کلیک کنید
- توضیح دهید چه اقداماتی انجام دادهاید
- معمولاً ۲-۷ روز طول میکشد تا بررسی انجام شود
راهنمای جامع پیشگیری از هک
پیشگیری همیشه بهتر از درمان است. با رعایت موارد زیر، ریسک هک شدن سایت را به حداقل برسانید:
۱. بهروزرسانی منظم
۹۶٪ آسیبپذیریها از طریق افزونههای بهروز نشده استفاده میشوند. بهروزرسانیهای امنیتی را فوراً اعمال کنید:
- هسته وردپرس را بهروز نگه دارید
- افزونهها را حداکثر یک هفته پس از انتشار آپدیت کنید
- قالبها را بهروز کنید
- نسخه PHP سرور را به آخرین نسخه پایدار (8.2 یا 8.3) ارتقا دهید
- افزونههای غیرضروری یا قدیمی (بدون آپدیت طی ۶ ماه) را حذف کنید
۲. استفاده از هاست امن
انتخاب هاست وردپرس امن و معتبر، پایهایترین قدم امنیتی است. یک هاست خوب باید:
- فایروال سطح سرور (WAF) داشته باشد
- اسکن روزانه بدافزار انجام دهد
- بکاپ خودکار روزانه تهیه کند
- SSL رایگان ارائه دهد
- جداسازی حسابها (Account Isolation) داشته باشد
- پشتیبانی ۲۴/۷ ارائه دهد
در برتینا، همه پلنهای هاست شامل این امکانات امنیتی هستند.
۳. رمزهای عبور قوی و منحصر به فرد
از رمزهای عبور حداقل ۱۶ کاراکتری با ترکیب حروف بزرگ و کوچک، اعداد و نمادها استفاده کنید. هرگز از یک رمز برای چند سرویس استفاده نکنید.
openssl rand -base64 24
# یا
< /dev/urandom tr -dc 'A-Za-z0-9!@#$%^&*' | head -c 20; echo
۴. احراز هویت دو مرحلهای (2FA)
طبق آمار Melapress، استفاده از 2FA از ۱۵٪ در سال ۲۰۲۴ به ۶۰٪ در سال ۲۰۲۶ رسیده است. 2FA را برای همه کاربران ادمین فعال کنید. افزونههای توصیه شده:
- Wordfence Login Security (رایگان)
- WP 2FA (رایگان با امکانات پیشرفته پولی)
- Google Authenticator
۵. استفاده از SSL/HTTPS
گواهی SSL نه تنها ارتباطات را رمزنگاری میکند، بلکه یک فاکتور رتبهبندی SEO نیز هست. همه صفحات سایت باید از HTTPS استفاده کنند:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
۶. بکاپ منظم و خودکار
بکاپ روزانه، جاننجات سایت شماست. قوانین بکاپگیری:
- فرکانس: حداقل روزانه برای دیتابیس، هفتگی برای فایلها
- ذخیرهسازی: حداقل در ۲ مکان متفاوت (local + cloud)
- تست بازیابی: ماهانه تست کنید که بکاپها قابل بازیابی هستند
- Retention: حداقل ۳۰ روز بکاپ نگهداری کنید
افزونههای توصیه شده: UpdraftPlus، BackWPup، BlogVault
۷. محدود کردن دسترسیها
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from YOUR.IP.ADDRESS
</Files>
# محافظت از wp-config.php
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
# غیرفعال کردن directory listing
Options -Indexes
# محافظت از .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>
۸. استفاده از VPS یا سرور اختصاصی برای سایتهای مهم
برای سایتهای تجاری و پرترافیک، استفاده از سرور مجازی (VPS) به جای هاست اشتراکی توصیه میشود. در VPS:
- سایت شما کاملاً ایزوله است
- کنترل کامل روی تنظیمات امنیتی دارید
- امکان نصب فایروالهای پیشرفته مانند Fail2ban و CSF وجود دارد
- عملکرد بهتر و امنیت بالاتر
۹. مانیتورینگ و هشدارهای امنیتی
از ابزارهای مانیتورینگ برای آگاهی سریع از مشکلات استفاده کنید:
- تنظیم هشدار در Google Search Console
- فعالسازی notification در Wordfence
- استفاده از WP Activity Log برای ثبت تغییرات
- مانیتورینگ uptime با UptimeRobot یا Pingdom
تجربه تیم برتینا
در طول بیش از ۱۵ سال تجربه میزبانی وب، تیم برتینا صدها سایت هکشده را بازیابی کرده است. بر اساس تجربه ما، ۸۰٪ هکها به دلیل افزونههای بهروز نشده و رمزهای عبور ضعیف رخ میدهد. با رعایت اصول اولیه امنیتی و استفاده از هاست امن وردپرس، میتوانید از اکثر حملات جلوگیری کنید. اگر سایت شما هک شده و نیاز به کمک دارید، با پشتیبانی ۲۴/۷ برتینا تماس بگیرید.
سوالات متداول
چگونه بفهمم سایت وردپرسی من هک شده است؟
نشانههای اصلی هک شدن شامل: ریدایرکت ناخواسته به سایتهای دیگر، کاهش ناگهانی ترافیک، هشدارهای امنیتی گوگل، ایجاد کاربران ادمین ناشناس، نمایش تبلیغات پاپآپ، تغییر ظاهر سایت، و عدم امکان ورود به پیشخوان است. برای بررسی دقیقتر، از ابزارهایی مانند Sucuri SiteCheck یا Wordfence استفاده کنید.
اگر سایت من هک شد، اولین اقدام چیست؟
اولین اقدام قطع دسترسی عمومی به سایت است تا از آسیب بیشتر به کاربران جلوگیری شود. سپس تمام رمزهای عبور (وردپرس، FTP، دیتابیس، هاست) را تغییر دهید. قبل از پاکسازی، از وضعیت فعلی بکاپ بگیرید تا بتوانید نقطه نفوذ را شناسایی کنید.
Wordfence یا Sucuri کدام بهتر است؟
Wordfence یک فایروال Endpoint است که مستقیماً روی سرور شما اجرا میشود و اسکن عمیقتری انجام میدهد، اما منابع سرور را مصرف میکند. Sucuri یک فایروال Cloud است که ترافیک را قبل از رسیدن به سرور فیلتر میکند و شامل CDN است. برای سایتهای کوچک تا متوسط Wordfence رایگان کافی است؛ برای سایتهای پرترافیک Sucuri با محافظت DDoS بهتر است.
آیا هاست ارزان باعث هک شدن سایت میشود؟
هاستهای ارزان و بیکیفیت میتوانند ریسک هک را افزایش دهند زیرا: جداسازی حسابها (Account Isolation) ضعیف است و هک یک سایت میتواند به سایر سایتها سرایت کند؛ فایروال و اسکن بدافزار ندارند؛ نسخههای قدیمی PHP و نرمافزارها استفاده میکنند؛ و پشتیبانی امنیتی ارائه نمیدهند. استفاده از هاست معتبر با امکانات امنیتی، سرمایهگذاری ضروری است.
چقدر طول میکشد تا سایت هکشده بازیابی شود؟
زمان بازیابی به شدت آلودگی بستگی دارد. یک هک ساده (مانند تزریق لینک) ممکن است ۱-۲ ساعت طول بکشد. هکهای پیچیده با backdoorهای متعدد و آلودگی دیتابیس میتواند ۴-۸ ساعت زمان ببرد. اگر نیاز به بازگردانی کامل از بکاپ باشد، ممکن است ۱-۲ روز طول بکشد. بازگشت به نتایج گوگل پس از blacklist معمولاً ۲-۷ روز زمان میبرد.
قالبهای Nulled چه خطری دارند؟
قالبها و افزونههای Nulled (غیرقانونی و کرکشده) تقریباً همیشه حاوی بدافزار، backdoor یا کد مخرب هستند. این کدها میتوانند: اطلاعات ورود شما را سرقت کنند، سایت را به شبکه spam متصل کنند، SEO سایت را نابود کنند، و حتی اطلاعات مشتریان شما را سرقت کنند. هرگز از قالبها و افزونههای غیرقانونی استفاده نکنید.
چگونه از هک مجدد سایت جلوگیری کنم؟
برای پیشگیری از هک مجدد: ۱) همه نرمافزارها را بهروز نگه دارید، ۲) احراز هویت دو مرحلهای (2FA) فعال کنید، ۳) از رمزهای عبور قوی و منحصر به فرد استفاده کنید، ۴) یک افزونه امنیتی مانند Wordfence نصب کنید، ۵) بکاپ خودکار روزانه تنظیم کنید، ۶) از هاست معتبر با امکانات امنیتی استفاده کنید، ۷) SSL/HTTPS فعال کنید، ۸) افزونهها و قالبهای غیرضروری را حذف کنید.
جمعبندی
تشخیص هک شدن سایت وردپرسی نیازمند آگاهی از نشانههای مختلف است. از ریدایرکتهای مشکوک و کاهش ترافیک گرفته تا فایلهای ناشناس و کاربران جعلی، همه میتوانند نشانههای نفوذ باشند. با استفاده از ابزارهای تشخیص مانند Wordfence و Sucuri، بررسی منظم لاگهای سرور، و رعایت اصول پیشگیرانه، میتوانید امنیت سایت خود را به حداکثر برسانید.
نکات کلیدی:
- ۹۶٪ آسیبپذیریها از افزونهها ناشی میشود - بهروزرسانی منظم ضروری است
- میانگین زمان شناسایی هک ۱۲۰ روز است - مانیتورینگ مداوم مهم است
- استفاده از 2FA، ۹۹.۹٪ حملات Brute Force را متوقف میکند
- بکاپ روزانه، بهترین بیمه در برابر ransomware است
- انتخاب هاست امن پایهایترین قدم امنیتی است
اگر سایت شما هک شده و نیاز به کمک دارید، یا میخواهید امنیت سایت خود را ارتقا دهید، با تیم پشتیبانی برتینا تماس بگیرید. ما ۲۴ ساعته آماده کمک به شما هستیم.
هاست امن برای سایت وردپرسی شما
با هاست وردپرس برتینا از فایروال پیشرفته، اسکن روزانه بدافزار، بکاپ خودکار و پشتیبانی ۲۴/۷ بهرهمند شوید.
