eval, base64_decode, gzinflate, preg_replace /e).functions.php یا حتی wp-config.php.wp_options یا wp_posts اسکریپت مخفی میذارن.wp-content/uploads/.wp_options و wp_posts.access_log و error_log برای مسیرهای حمله.یکی از اصلیترین نقاط ضعف امنیتی در سایتهای وردپرسی، حملات به لایه اپلیکیشن هستند. این نوع حملات به دلیل ضعف در اعتبارسنجی ورودیها و عدم استفاده از توابع امن اتفاق میافتند و میتوانند منجر به دسترسی غیرمجاز، سرقت دادهها یا تغییر محتوای سایت شوند.
در حملات SQL Injection، مهاجم با وارد کردن کدهای SQL مخرب در ورودی سایت (مانند فرمها یا پارامترهای URL)، میتواند دیتابیس را تغییر داده یا اطلاعات حساس مثل یوزرنیم و پسورد را استخراج کند.
$wpdb->prepare() برای کوئریهای ایمن.در XSS مهاجم کد جاوااسکریپت مخرب را به ورودی کاربر تزریق میکند و این کد هنگام نمایش محتوا اجرا میشود. نتیجه میتواند سرقت کوکیها، دسترسی به سشن ادمین و اجرای عملیات مخرب باشد.
esc_html() و esc_attr() در وردپرس.در CSRF مهاجم از سشن فعال کاربر سوءاستفاده میکند تا بدون اطلاع او درخواستهای مخرب به سرور ارسال کند. این حمله معمولاً زمانی خطرناک است که کاربر نقش ادمین داشته باشد.
wp_nonce_field() و check_admin_referer() در فرمها.بکدور یا درب پشتی یکی از خطرناکترین تهدیدهای امنیتی در وردپرس است. هکرها پس از دسترسی اولیه، کدهای مخفی و مبهم (Obfuscated) را در فایلهای هسته، قالب یا حتی دیتابیس قرار میدهند تا در آینده بتوانند بدون نیاز به دوباره هک کردن، وارد سایت شوند.
بکدورها معمولاً با استفاده از توابعی مثل eval()،
base64_decode()، gzinflate() یا preg_replace('/e')
نوشته میشوند تا تشخیص آنها سختتر باشد.
functions.php یا wp-config.php.
گاهی اسکریپتهای مخرب در جدولهای دیتابیس مثل wp_options یا wp_posts
ذخیره میشوند. این کدها هنگام نمایش صفحات به اجرا در میآیند.
base64 در دیتابیس.iframe, eval, base64 در دیتابیس و پاکسازی.بعضی هکرها یوزر ادمین جدید ایجاد میکنند یا کدهایی قرار میدهند که هر زمان بخواهند یک ادمین مخفی بسازند. این یکی از رایجترین روشها برای بازگشت دوباره به سایت است.
یکی از رایجترین روشهای هک وردپرس، سوءاستفاده از قابلیت آپلود فایل است. در این نوع حمله، هکر فایل مخرب (معمولاً یک PHP Shell) را به عنوان تصویر یا PDF آپلود میکند و سپس از طریق آن کنترل کامل سایت را به دست میگیرد.
هکر فایل شل مخرب را با پسوند تغییر یافته (مثلاً image.php.jpg) در پوشه wp-content/uploads/ بارگذاری میکند.
پس از اجرا، این فایل به او امکان مدیریت دیتابیس، آپلود فایلهای جدید و حتی تغییر قالب سایت را میدهد.
uploads.shell.php).uploads.پس از آپلود، هکر با دسترسی به آدرس مستقیم فایل (URL) آن را اجرا میکند. اگر سرور به درستی پیکربندی نشده باشد، فایل PHP اجرا شده و کل سایت در معرض خطر قرار میگیرد.
/uploads/2025/08/shell.php یا مشابه آن..htaccess در مسیر uploads برای جلوگیری از اجرای PHP.برای جلوگیری از این نوع حمله، باید سطح دسترسی و اعتبارسنجی فایلهای آپلودی را به صورت دقیق مدیریت کرد.
mime-type قبل از ذخیره.uploads برای شناسایی فایلهای غیرمجاز.در این دوره جامع، از مباحث پایهای HTML5، CSS3 و JavaScript شروع کرده و به مباحث پیشرفتهتر میپردازیم. با این آموزشها، شما میتوانید سایتهای واکنشگرا، حرفهای و بهینه بسازید.
یکی از حملات پیشرفته روی سایتهای وردپرسی، حمله Privilege Escalation است. در این روش، هکر ابتدا یک کاربر عادی یا ثبتنامشده ایجاد میکند و سپس با سوءاستفاده از آسیبپذیریها در پلاگینها یا هسته وردپرس، دسترسی خود را به سطح مدیر (Admin) ارتقا میدهد.
اولین گام در این حمله، ساخت یک حساب کاربری ساده (Subscriber یا Customer) است. بسیاری از سایتها ثبتنام آزاد دارند، بنابراین این مرحله بسیار راحت است.
پس از ثبتنام، هکر به دنبال باگ در پلاگینهای عضویت، فروشگاهی یا حتی API وردپرس میگردد. این آسیبپذیریها به او امکان تغییر نقش کاربری خود یا اجرای مستقیم دستورات با دسترسی Admin را میدهند.
برای جلوگیری از این نوع حمله، باید ثبتنام کاربران و نقشهای کاربری را بهطور دقیق کنترل کنید.
بسیاری از هکهای وردپرس فقط به سطح اپلیکیشن محدود نمیشوند. در برخی موارد هکر از آسیبپذیریهای سرور برای نفوذ استفاده میکند. این نوع حملات خطرناکتر هستند چون روی کل هاست یا سرور شما تأثیر میگذارند و حتی میتوانند چندین سایت روی یک سرور اشتراکی را آلوده کنند.
کانفیگ ضعیف یا باز گذاشتن دایرکتوریها میتواند مسیر حمله هکر را باز کند.
برای مثال اگر Directory Listing فعال باشد، مهاجم میتواند فایلهای حساس شما را مشاهده کند.
استفاده از نسخههای قدیمی PHP یا MySQL میتواند باعث بروز حفرههای امنیتی خطرناک شود. بسیاری از باگهای امنیتی در نسخههای جدید پچ شدهاند اما روی سرورهای قدیمی همچنان وجود دارند.
شناسایی سریع آلودگی در وردپرس بسیار حیاتی است؛ هرچه زودتر متوجه ویروسی شدن سایت شوید، آسیب کمتری به سئو و کاربران شما وارد میشود. در ادامه به دقیقترین نشانههای آلودگی اشاره میکنیم:
اگر در پوشههای اصلی وردپرس مثل wp-includes یا wp-admin فایلهایی با تاریخ تغییر جدید مشاهده کردید در حالی که خودتان آپدیتی انجام ندادهاید، این یک نشانهی قوی از آلودگی است.
پوشه wp-content/uploads باید فقط شامل تصاویر و فایلهای رسانهای باشد.
اگر داخل آن فایل .php مشاهده کردید، احتمالاً یک شل مخرب آپلود شده است.
هکرها معمولاً از Cron Job برای اجرای دورهای اسکریپت اسپم یا بدافزار استفاده میکنند.
بررسی cPanel Cron Jobs یا جدول wp_options میتواند این دستکاریها را آشکار کند.
اگر اکانتهای جدید با نقش Admin یا Editor مشاهده کردید که شما آنها را نساختهاید، احتمالاً هکر دسترسی گرفته است.
یکی از نشانههای رایج آلودگی، ارسال ایمیلهای اسپم از سایت شماست.
بررسی لاگهای SMTP یا php_mail.log میتواند مشخص کند که آیا سایتتان برای بخشی از یک Botnet استفاده میشود یا خیر.
اگر سایت وردپرسی شما با حجم زیادی از کاربران اسپم و مشکوک مواجه است، میتوانید تنها با یک کوئری SQL همهی آنها را از دیتابیس حذف کنید. این روش ساده و سریع به شما کمک میکند امنیت و بهینگی سایتتان حفظ شود.
پس از شناسایی آلودگی، مهمترین مرحله پاکسازی کامل و جلوگیری از بازگشت حمله است. در این بخش به روشهای حرفهای و عملی برای پاکسازی یک سایت وردپرسی آلوده میپردازیم:
اولین قدم این است که سایت را موقتاً به حالت Maintenance یا روی یک صفحه استاتیک ببرید. این کار مانع میشود کاربران و موتورهای جستجو به نسخه آلوده دسترسی پیدا کنند و امنیت دادههایتان حفظ میشود.
با استفاده از دستوراتی مثل diff -r یا ابزارهای مشابه، فایلهای موجود در wp-admin و wp-includes را با نسخه اصلی وردپرس مقایسه کنید.
هر فایلی که اضافه یا تغییر یافته باشد باید با دقت بررسی و در صورت لزوم حذف شود.
دیتابیس وردپرس بهخصوص جداول wp_options و wp_posts را بررسی کنید.
به دنبال کدهای مشکوک مانند <script>، iframe، eval یا base64 باشید که معمولاً نشانه تزریق بدافزار هستند.
با بررسی access_log میتوانید مسیر ورود هکر به سایت را شناسایی کنید.
همچنین error_log به شما کمک میکند تا خطاهای ناشی از Injection یا اجرای اسکریپتهای غیرمجاز را پیدا کنید.
uploads، cache و tmp.644 برای فایلها و 755 برای پوشهها.wp-admin بر اساس IP Whitelist.در این دوره خصوصی، شما به صورت گام به گام با وردپرس آشنا میشوید و میآموزید چگونه سایتهای حرفهای طراحی کنید. از نصب وردپرس تا طراحی قالب، افزونهها، سئو و امنیت سایت را فرا خواهید گرفت.
بعد از انجام مراحل دستی، استفاده از ابزارها و پلاگینهای امنیتی میتواند فرایند پاکسازی و پیشگیری را بسیار سادهتر و سریعتر کند. در ادامه چند ابزار حرفهای و کاربردی برای مدیریت امنیت وردپرس معرفی میکنم:
یکی از قدرتمندترین پلاگینهای امنیتی وردپرس با قابلیت Firewall و Malware Scanner. میتواند فایلها و دیتابیس را اسکن کند و هرگونه کد مشکوک را شناسایی نماید.
سرویس ابری و افزونه وردپرسی برای اسکن و حذف بدافزارها. از ویژگیهای مهم آن میتوان به Monitoring ۲۴/۷ و DDoS Protection اشاره کرد.
ابزاری سریع برای اسکن و حذف خودکار بدافزار بدون سنگین شدن سرور. این ابزار بهویژه برای هاستهای اشتراکی بسیار مناسب است.
تمرکز اصلی این پلاگین روی Prevention یا پیشگیری است. بیش از ۳۰ ابزار امنیتی در اختیار شما قرار میدهد تا ریسک حمله کاهش یابد.
وردپرس بهعنوان محبوبترین سیستم مدیریت محتوا (CMS) در جهان شناخته میشود و بیش از ۴۰ درصد وبسایتهای دنیا با آن ساخته شدهاند. دلیل اصلی این محبوبیت، وجود هزاران افزونه وردپرس است که امکان افزودن هر قابلیتی به وبسایت را فراهم میکنند. اما سؤال مهم اینجاست: «کدام پلاگینهای وردپرس برای هر ...
HTML یا HyperText Markup Language زبانی است که ساختار تمام صفحات وب را تعریف میکند. اگر بخواهیم وب را به یک موجود زنده تشبیه کنیم، HTML همان اسکلت و استخوانبندی بدن است؛ CSS نقش پوست و لباس را دارد، و JavaScript به آن جان و حرکت میدهد. در این راهنمای ...
پشتیبانی وبسایت وردپرسی؛ چرا و چگونه باید سایت وردپرسی خود را همیشه آماده نگه دارید؟ وردپرس بهعنوان محبوبترین سیستم مدیریت محتوا (CMS) در دنیا شناخته میشود و میلیونها وبسایت روی آن ساخته شدهاند. اما داشتن یک سایت وردپرسی موفق تنها به طراحی و راهاندازی آن خلاصه نمیشود، بلکه پشتیبانی و ...
آموزش حذف اسپم و کاربران فیک در وردپرس با SQL https://www.aparat.com/v/lfk6u93 وجود اسپمها و کاربران فیک در وردپرس میتواند امنیت سایت را کاهش داده و باعث افزایش فشار روی دیتابیس شود. در این آموزش، روشهای شناسایی و حذف کاربران اسپم را با استفاده از کوئریهای SQL بررسی میکنیم. این روشها ...
همه چیز درباره رشته دانشگاهی مهندسی نرم افزار مدت زمان مطالعه : 15 دقیقه تعریف ساده و کاربردی مهندسی نرم افزار مهندسی نرمافزار یعنی هنر و علم طراحی، ساخت و نگهداری نرمافزارهایی که قراره در دنیای واقعی مشکل حل کنن. این رشته فقط کد زدن نیست؛ بلکه شامل تحلیل نیازها، ...
چطور مسیر خودت را در دنیای برنامهنویسی وب پیدا کنی؟ برای اینکه مسیر خودت رو پیدا کنی و بتونی توی دنیای پیچیدهی وب موفق بشی، باید اول مشخص کنی که دقیقاً کجا میخوای بری. وقتی به این نقشه ذهنی نگاه میکنی، در واقع داری قدم به قدم اطلاعات مورد ...
خدمات طراحی و پشتیبانی سایت ، آموزش برنامه نویسی به صورت خصوصی و گروهی ، مشاوره جهت شروع کسب و کار آنلاین و طراحی CRM و CMS
تمامی حقوق این وبسایت برای آکادمی برنامه نویس مصطفی علاالدین محفوظ است.
