إصلاح الاختراق باستخدام كلمات رئيسية يابانية

تم إنشاء هذا الدليل خصّيصًا لنوع من أنواع الاختراق التي تتسبب في إنشاء نص ياباني يتم إنشاؤه تلقائيًا على موقعك الإلكتروني، وهو ما نشير إليه باسم "اختراق الكلمات الرئيسية باللغة اليابانية". لذا فإن هذا الدليل مُصمَّم لمستخدمي أنظمة إدارة المحتوى (CMSs) الشائعة، ولكنه سيكون مفيدًا لك حتى لو لم تكن تستخدم هذه الأنظمة.

نريد التأكد من أنّ هذا الدليل مفيد لك. اترك ملاحظاتك لمساعدتنا على تحسين الخدمة.

حدد هذا النوع من الاختراق

يؤدي اختراق الموقع الإلكتروني باستخدام كلمات رئيسية يابانية عادةً إلى إنشاء صفحات جديدة على موقعك الإلكتروني تحتوي على نص ياباني يتم إنشاؤه تلقائيًا في أسماء الأدلة (على سبيل المثال، http://example.com/ltjmnjp/341.html). ويتم تحقيق الربح من هذه الصفحات من خلال الروابط المؤدية إلى الشركاء التابعين الذين يبيعون سلعًا لعلامات تجارية مزيفة، ثم تُعرَض هذه الصفحات في محرّك بحث Google. في ما يلي مثال على الشكل الذي تظهر به إحدى هذه الصفحات:

مثال على صفحة تتضمن كلمة رئيسية يابانية مخترَقة
صفحة نصية تم إنشاؤها نتيجة "اختراق كلمات رئيسية يابانية"

باستخدام هذا النوع من الاختراق، عادةً ما يضيف المخترق نفسه كمالك للموقع الإلكتروني في Search Console، بهدف زيادة الأرباح من خلال التلاعب بإعدادات موقعك الإلكتروني مثل الاستهداف الجغرافي أو خرائط الموقع. إذا تلقيت إشعارًا يفيد بأنّ شخصًا لا تعرفه قد أثبت ملكية موقعك الإلكتروني في Search Console، يعني ذلك أنّ هناك احتمالاً قويًا بأنّه تم اختراق موقعك الإلكتروني.

ابدأ بمراجعة أداة مشاكل الأمان في Search Console لمعرفة ما إذا كان محرّك بحث Google قد اكتشف أيًا من هذه الصفحات التي تم اختراقها على موقعك الإلكتروني. وأحيانًا يمكنك اكتشاف صفحات مثل هذه من خلال فتح نافذة بحث Google وكتابة site:_your site url_، باستخدام عنوان URL لمستوى الجذر لموقعك. وهو ما يُظهر لك الصفحات التي فهرسها محرك بحث Google لموقعك، بما في ذلك الصفحات التي تم الاستيلاء عليها. تصفح بضع صفحات من نتائج البحث لترى إذا ما اكتشفت أي عناوين URL غير معتادة. وإذا لم يظهر لك أي محتوى تم اختراقه في بحث Google، فاستخدم عبارات البحث نفسها مع محرك بحث مختلف. فيما يلي مثال على ما سيبدو عليه:

مثال على موقع إلكتروني تم اختراقه في نتائج البحث
تظهر الصفحات التي تم اختراقها في نتائج البحث على Google.

عند النقر عادةً على رابط يؤدي إلى صفحة مخترَقة، ستتم إعادة توجيهك إلى موقع إلكتروني آخر أو ستظهر لك صفحة مليئة بالمحتوى غير المفهوم. ومع ذلك، قد تظهر أيضًا رسالة تشير إلى أن الصفحة غير موجودة (على سبيل المثال، الخطأ 404). لا تنخدع! سيحاول المخترقون خداعك لتعتقد أن الصفحة قد اختفت أو تم إصلاحها إذا كانت لا تزال في حالة اختراق. ويتم ذلك من خلال إخفاء هوية المحتوى. ويمكنك التحقق من إخفاء الهوية من خلال إدخال عناوين URL لموقعك الإلكتروني في أداة فحص عنوان URL. تتيح لك أداة "الجلب مثل Google" رؤية المحتوى الأساسي المخفي.

إذا رأيت هذه المشاكل، يكون موقعك الإلكتروني على الأرجح قد تأثّر بهذا النوع من عمليات الاختراق.

إصلاح الاختراق

قبل البدء، أنشئ نسخة بلا اتصال بالإنترنت لأي ملفات قبل إزالتها، في حال احتجت إلى استعادتها لاحقًا. والأفضل من ذلك، أن تحتفظ بنسخة احتياطية من موقعك بالكامل قبل بدء عملية التنظيف. ويمكنك إجراء ذلك من خلال حفظ جميع الملفات الموجودة على خادمك في مكان آخر خارج الخادم أو البحث عن أفضل خيارات النسخ الاحتياطي المناسبة لنظام إدارة المحتوى (CMS) الذي تستخدمه. إذا كنت تستخدم نظام إدارة محتوى، احتفظ أيضًا بنسخة احتياطية من قاعدة البيانات.

إزالة الحسابات التي تم إنشاؤها حديثًا من Search Console

إذا تمت إضافة مالك جديد لا تعرفه إلى حسابك في Search Console، عليك إبطال إمكانية وصوله في أقرب وقت ممكن. يمكنك معرفة المستخدمين الذين تم إثبات ملكيتهم لموقعك في صفحة إثبات الملكية في Search Console. انقر على "تفاصيل إثبات الملكية" للموقع الإلكتروني لعرض جميع المستخدمين الذين تم إثبات ملكيتهم.

لإزالة مالك من Search Console، يُرجى الرجوع إلى قسم "إزالة مالك" في مركز المساعدة بشأن إدارة المستخدمين والمالكين والأذونات. يجب إزالة الرمز المميّز المخصّص لإثبات الملكية، والذي يكون عادةً ملف HTML على جذر موقعك الإلكتروني أو ملف .htaccess تم إنشاؤه ديناميكيًا ويحاكي ملف HTML.

إذا لم تتمكن من العثور على رمز HTML المميز لإثبات الملكية على موقعك الإلكتروني، ابحث عن قاعدة إعادة كتابة في ملف .htaccess. ستبدو قاعدة إعادة الكتابة على النحو التالي:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

لإزالة الرمز المميز لإثبات الملكية الذي تم إنشاؤه ديناميكيًا من ملف .htaccess، اتّبِع الخطوات التالية:

التحقّق من ملف ".htaccess" (خطوتان)

بالإضافة إلى استخدام ملف .htaccess لإنشاء رموز مميَّزة لإثبات الملكية يتم إنشاؤها ديناميكيًا، غالبًا ما يستخدم المخترقون قواعد .htaccess لإعادة توجيه المستخدمين أو إنشاء صفحات غير مرغوب فيها. ما لم تكن لديك قواعد .htaccess مخصّصة، يمكنك استبدال .htaccess بنسخة جديدة تمامًا.

الخطوة 1

ابحث عن ملف .htaccess على موقعك الإلكتروني. وإذا لم تكن متأكدًا أين يمكنك العثور عليه وكنت تستخدم نظام إدارة محتوى (CMS) مثل WordPress أو Joomla أو Drupal، فابحث عن "موقع ملف htaccess" في محرك البحث جنبًا إلى جنب مع اسم نظام إدارة المحتوى الذي تستخدمه. وحسب موقعك الإلكتروني، قد تظهر لك ملفات .htaccess متعددة. إنشاء قائمة بجميع مواقع الملفات البالغ عددها .htaccess.

الخطوة 2

استبدل جميع ملفات .htaccess بنسخة نظيفة أو تلقائية من ملف .htaccess. يمكنك عادةً العثور على نسخة تلقائية من ملف .htaccess من خلال البحث عن "ملف .htaccess التلقائي" واسم نظام إدارة المحتوى الذي تستخدمه. بالنسبة إلى المواقع الإلكترونية التي تحتوي على عدة ملفات .htaccess، ابحث عن نسخة نظيفة من كل ملف واستبدلها.

في حال عدم توفّر .htaccess تلقائي ولم تضبط ملف .htaccess على موقعك الإلكتروني من قبل، من المحتمل أن يكون ملف .htaccess الذي تعثر عليه على موقعك الإلكتروني ضارًا. احفظ نسخة من ملفات .htaccess بلا اتصال بالإنترنت في حال الحاجة إليها، واحذف ملف .htaccess من موقعك الإلكتروني.

إزالة جميع الملفات والنصوص البرمجية الضارة (4 خطوات)

قد يكون تحديد الملفات الضارة أمرًا صعبًا ويستغرق وقتًا طويلاً. خذ وقتك عند التحقق من ملفاتك. إذا لم تكن قد فعلت ذلك بعد، فهذا هو الوقت المناسب للاحتفاظ بنسخة احتياطية من الملفات على موقعك. ابحث في Google عن "الاحتفاظ بنسخة احتياطية من الموقع الإلكتروني" واسم نظام إدارة المحتوى (CMS) للعثور على تعليمات حول كيفية الاحتفاظ بنسخة احتياطية من موقعك الإلكتروني.

الخطوة 1

إذا كنت تستخدم نظام إدارة المحتوى، فأعد تثبيت جميع الملفات الأساسية (الافتراضية) التي ترِد في التوزيع التلقائي لنظام إدارة المحتوى، بالإضافة إلى أي ملف أضفته (مثل المظاهر أو الوحدات أو المكوّنات الإضافية). يساعد ذلك في ضمان خلو هذه الملفات من المحتوى الذي تم اختراقه. يمكنك إجراء بحث على Google عن "إعادة التثبيت" واسم نظام إدارة المحتوى للحصول على تعليمات إعادة التثبيت. وإذا كان لديك أي مكونات إضافية أو وحدات أو إضافات أو مظاهر، فتأكد من إعادة تثبيتها أيضًا.

الخطوة 2

غالبًا ما يعدّل المخترقون ملف خريطة الموقع أو يضيفون ملفات جديدة للمساعدة في فهرسة عناوين URL بسرعة أكبر. إذا كان لديك ملف خريطة موقع في السابق، تحقق من الملف بحثًا عن أي روابط مريبة وإزالتها من خريطة الموقع. إذا كانت هناك أي ملفات خرائط موقع لا تتذكر إضافتها إلى موقعك الإلكتروني، يُرجى التحقّق منها وإزالتها إذا كانت تحتوي فقط على عناوين URL غير مرغوب فيها.

الخطوة 3

ابحث عن أي ملفات أخرى ضارة أو مخترَقة. ربما تكون قد أزلت جميع الملفات الضارة في الخطوتين السابقتين، ولكن من الأفضل تنفيذ هذه الخطوات القليلة التالية في حال كان هناك المزيد من الملفات على موقعك الإلكتروني التي تم اختراقها.

لا تشغل بالك بفكرة أنك بحاجة إلى فتح كل ملف PHP والنظر فيه. ابدأ بإنشاء قائمة بملفات PHP المريبة التي تريد التحقق منها. وإليك بعض الطرق لتحديد ملفات PHP المريبة:

  • إذا أعدت تحميل ملفات نظام إدارة المحتوى بالفعل، فراجع الملفات التي لا تشكّل جزءًا من ملفات أو مجلدات نظام إدارة المحتوى الافتراضية فقط. ومن المفترض أن يستبعد هذا الكثير من ملفات PHP ويترك لك مجموعة من الملفات التي يجب الاطلاع عليها.
  • افرز الملفات على موقعك بحسب تاريخ آخر تعديل، ابحث عن الملفات التي تم تعديلها خلال بضعة أشهر من اكتشافك الأول لاختراق موقعك.
  • افرز الملفات على موقعك بحسب الحجم، وانظر في الملفات الكبيرة بشكل غير عادي.

الخطوة 4

بعد أن تصبح لديك قائمة بملفات PHP المشبوهة، تحقق منها بحثًا عن أي محتوى ضار. إذا كنت غير ملم بلغة PHP، فستستغرق هذه العملية المزيد من الوقت لذا ننصحك بتحسين المحتوى الذي يوفره لك بعض وثائق PHP. إذا كنت جديدًا تمامًا في مجال الترميز، ننصحك بالحصول على المساعدة. في غضون ذلك، هناك بعض الأنماط الأساسية التي يمكنك البحث عنها لتحديد الملفات الضارة.

إذا كنت تستخدم نظام إدارة المحتوى (CMS) ولم تكن معتادًا على تعديل ملفات PHP الخاصة به مباشرةً، فقارن الملفات على خادمك بقائمة من الملفات الافتراضية المتوفرة في حزمة مع نظام إدارة المحتوى (CMS) وأي مكونات إضافية ومظاهر. ابحث عن الملفات التي لا تنتمي، بالإضافة إلى الملفات الأكبر من الإصدار الافتراضي لها.

افحص الملفات المشبوهة التي حددتها من قبل بحثًا عن مجموعات رموز مبهمة. وقد يشبه ذلك مجموعة من الأحرف والأرقام التي تبدو مختلطة، وعادةً ما تكون مسبوقة بمجموعة من دوال PHP مثل base64_decode، أو rot13، أو eval، أو strrev، أو gzinflate. فيما يلي مثال على الشكل الذي قد تبدو عليه كتلة التعليمات البرمجية. في بعض الأحيان يتم حشو كل هذه التعليمات البرمجية في سطر واحد طويل من النص، مما يجعلها تبدو أصغر مما هي عليه في الواقع.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

التحقّق مما إذا كان موقعك الإلكتروني نظيفًا

بمجرد الانتهاء من التخلص من الملفات التي تم الاستيلاء عليها، تحقق لمعرفة ما إذا كان عملك الشاق قد أتى ثماره. هل تتذكر تلك الصفحات التي لا معنى لها التي حددتها سابقًا؟ استخدم أداة الجلب مثل Google معها مرة أخرى لمعرفة ما إذا كانت لا تزال موجودة أم لا. وإذا كانت الاستجابة "غير موجودة" في أداة جلب مثل Google، فمن المحتمل أن تكون في حالة جيدة جدًا ويمكنك الانتقال لإصلاح الثغرات على موقعك.

كيف يمكنني الحيلولة دون تعرض موقعي للاستيلاء مرة أخرى؟

إن إصلاح الثغرات الأمنية في موقعك الإلكتروني هو خطوة أخيرة أساسية لإصلاح موقعك الإلكتروني. أظهرت دراسة أجريت مؤخرًا أن 20٪ من المواقع التي تم الاستيلاء عليها تتعرض للاختراق مرة أخرى في غضون يوم واحد. كما كانت معرفة الطريقة التي تم بها الاستيلاء مفيدة. فاقرأ دليل أهم الطرق التي يخترق بها أصحاب الأسلوب غير المرغوب فيه مواقع الويب لبدء التحقيق. ولكن إذا لم تتمكن من معرفة كيف تم اختراق موقعك، ففي ما يلي قائمة تحقق بالإجراءات التي يمكنك اتخاذها لتقليل الثغرات على موقعك.

  • فحص جهاز الكمبيوتر بانتظام: استخدم أي برنامج فحص فيروسات شائع للبحث عن الفيروسات أو الثغرات الأمنية.
  • تغيير كلمات المرور بانتظام: يمكن لتغيير كلمات المرور بانتظام إلى جميع حسابات موقعك الإلكتروني، مثل المستضيف وبروتوكول نقل الملفات ونظام إدارة المحتوى، منع الوصول غير المصرَّح به إلى موقعك الإلكتروني. من المهم إنشاء كلمة مرور قوية وفريدة لكل حساب.
  • استخدام المصادقة الثنائية (2FA): ننصحك بتفعيل المصادقة الثنائية على أي خدمة تتطلّب تسجيل الدخول. تجعل ميزة 2FA من الصعب على المخترقين تسجيل الدخول حتى إذا نجحوا في سرقة كلمة مرورك.
  • تحديث نظام إدارة المحتوى والإضافات والوحدات بانتظام: نأمل أن تكون قد نفذت هذه الخطوة من قبل. يتم اختراق العديد من المواقع بسبب تشغيل برامج قديمة. علمًا بأن بعض أنظمة إدارة المحتوى تتيح التحديث التلقائي لها.
  • التفكير في الاشتراك في خدمة أمان لمراقبة موقعك: هناك الكثير من الخدمات الرائعة التي يمكنها مساعدتك في مراقبة موقعك مقابل رسوم بسيطة. ففكر في التسجيل فيها للحفاظ على موقعك آمنًا.

مراجع إضافية

إذا كنت لا تزال تواجه مشاكل في إصلاح موقعك الإلكتروني، هناك بعض الموارد الإضافية التي قد تساعدك.

تفحص هذه الأدوات موقعك وربما يمكنها العثور على المحتوى المتسبب في المشكلة، هذا ولا يستخدم محرك بحث Google أو يتوافق مع أي من هذه الأدوات ما عدا VirusTotal.

هذه ليست سوى بعض الأدوات التي يمكنها فحص موقعك الإلكتروني بحثًا عن المحتوى الذي يتضمّن مشاكل. وتجدر الإشارة إلى أن أدوات الفحص هذه لا يمكنها أن تضمن التعرف على كل نوع من أنواع المحتوى الذي يتضمن مشكلات.

في ما يلي بعض الموارد الإضافية من Google والتي يمكنها مساعدتك: