كيف منعت موقعي في ووردبريس من إعادة التوجيه إلى مواقع السبام والروابط الضارة؟

خلال عملي على مواقع ووردبريس، واجهت مشكلة مزعجة تمثلت في إعادة توجيه بعض الزوار إلى مواقع سبام وصفحات مشبوهة دون أي إجراء منهم. في البداية ظننت أن السبب يعود إلى خطأ في الإعدادات أو إحدى الإضافات، لكن بعد فحص الموقع اكتشفت وجود أكواد ضارة مسؤولة عن عمليات إعادة التوجيه.

تكمن خطورة هذه المشكلة في تأثيرها المباشر على ثقة الزوار وتجربة المستخدم، فضلًا عن احتمالية تراجع ترتيب الموقع أو ظهور تحذيرات أمنية في نتائج البحث. في هذا المقال أشارك الخطوات التي اتبعتها لاكتشاف سبب المشكلة، وإزالة الملفات الضارة، وتأمين الموقع لمنع تكرارها مستقبلًا.

أبرز المؤشرات التي تكشف وجود مشكلة أمنية في موقعك على ووردبريس

غالبًا ما تُضمَّن الأكواد الخبيثة داخل الموقع بصورة خفية، وتعمل على تنفيذ وظائفها، مثل إعادة التوجيه إلى مواقع سبام أو مواقع خارجية مشبوهة، دون أن يلاحظ صاحب الموقع ذلك. لذلك قد يكون اكتشاف المشكلة صعبًا من النظرة الأولى. ومع ذلك، توجد عدة مؤشرات وعلامات تساعد على كشفها، من أبرزها ما يأتي:

التحويل إلى روابط مفاجئة

يُعد هذا المؤشر الأوضح لهذه المشكلة، حيث يُعاد توجيه الزوار إلى مواقع إعلانية أو صفحات مراهنات أو عروض مشبوهة عند تصفح الموقع.

الشكاوى المباشرة من الزوار

إذا تعرض موقعك لمشكلة أمنية، فغالبًا ما تكون شكاوى الزوار أول مؤشر على وجودها، سواء تمثلت في إعادة توجيههم إلى مواقع غريبة أو ظهور روابط مزعجة وغير مرغوب فيها. وفي كثير من الحالات، لا تظهر هذه السلوكيات لصاحب الموقع نفسه، لأن الأكواد الخبيثة تستهدف الزوار فقط.

عناوين URL غير الواضحة

غالبًا ما يصاحب عمليات إعادة التوجيه الخفية أو المزعجة ظهور عناوين URL غير مألوفة أو غريبة بشكل لحظي في شريط عنوان الموقع، خاصة عند التنقل بين صفحات الموقع.

تغير نتائج الموقع في محركات البحث

قد تُبرمج بعض عمليات إعادة التوجيه بحيث تستهدف فئات محددة من الزوار، مثل مستخدمي الهواتف المحمولة أو الزوار خلال أوقات معينة، مما يصعّب اكتشاف المشكلة. لكن قد تلاحظ وجود خلل إذا شهدت نتائج موقعك في محركات البحث تراجعًا أو تغيرًا غير مبرر، وهو ما يستدعي فحص الموقع والتأكد من خلوه من الأكواد الخبيثة.

تحذيرات من برامج الحماية أو المتصفحات

تعرض بعض برامج الحماية ومتصفحات الويب رسائل تحذيرية تفيد بأن الموقع غير آمن، وقد تظهر صفحات تحذير واضحة باللون الأحمر، خاصة في متصفح مثل Google Chrome.

وغالبًا ما يصاحب جميع المؤشرات السابقة انخفاض مفاجئ في عدد الزيارات أو مدة بقاء الزوار داخل الموقع، ويُعد ذلك مؤشرًا إضافيًا يستدعي البدء في البحث عن المشاكل الأمنية المحتملة وفحص الموقع بدقة.

الخطوات العملية لاكتشاف سبب المشكلة وإزالتها يدويًا

يضمن الفحص اليدوي إزالة الأكواد الخبيثة من جذورها، لكنه يتطلب قدرًا من الخبرة التقنية حتى لا تُحذف بالخطأ أكواد أو ملفات تؤثر في عمل الموقع. وتزداد صعوبة هذه المهمة لأن الأكواد الضارة غالبًا ما تكون مخفية أو مشفّرة داخل ملفات ووردبريس الأساسية، مما يجعل اكتشافها أكثر تعقيدًا. لذلك ينبغي التعامل مع هذه العملية بحذر.

ويمكنك الوصول إلى ملفات موقعك ووردبريس عبر اتصال FTP من خادم الاستضافة ثم البحث عن الملف المطلوب ضمن ملفات الموقع، أو الاعتماد على إضافة File Manager على ووردبريس مباشرًة وهذا يعد الخيار الأسهل عبر تثبيت الإضافة واستخدامها مباشرًة على موقعك.

1- فحص ملف .htaccess

يتحكم ملف .htaccess بصورة أساسية في طريقة تعامل خادم الموقع مع الزيارات والطلبات الواردة، لذلك يُعد من أكثر الملفات استهدافًا في هجمات إعادة التوجيه على مستوى الخادم.

لذلك توجه إلى ملفات موقعك، ثم ابحث عن ملف .htaccess، والذي ستجده غالبًا داخل مجلد public_html.

ثم ابحث عن قواعد إعادة توجيه غريبة أو عناوين URL غير مألوفة. في المثال أدناه، يظهر نموذج لشفرة كود مشبوهة أُضيفت إلى أعلى ملف .htaccess بهدف إعادة توجيه بعض الزوار من محركات البحث فقط إلى وجهات خارجية غير مصرح بها.

إذا عثرت على قواعد إعادة توجيه مشابهة لا تتعرف عليها أو تُحوّل الزيارات إلى نطاقات خارجية لا تتبع موقعك، فراجعها بعناية واحذف الأسطر المشبوهة، ثم احفظ الملف وأعد اختبار الموقع للتأكد من اختفاء المشكلة.

شفرة كود خبيثة تحول زوار الموقع لمواقع خارجية

2- التحقق من ملفات ووردبريس الأساسية

بعد ذلك، افحص ملفات ووردبريس الأساسية، وخصوصًا wp-config.php وindex.php، لأن المهاجمين غالبًا ما يضيفون إليها تعليمات برمجية خبيثة لضمان استمرار عملها حتى بعد إزالة الإضافات أو الملفات المصابة الأخرى.

في بعض الحالات، لا تكون الشيفرة الضارة واضحة، بل تظهر على شكل أسطر طويلة وغير مفهومة أو استدعاءات لملفات لا تنتمي إلى ووردبريس. لذلك انتبه جيدًا لأي كود أو مسارات ملفات لا تتذكر أنك أضفتها بنفسك.

في المثال التالي، تم إدراج كود مشفّر داخل ملف wp-config.php، حيث يحاول تشغيل كود مخفي باستخدام الدالة eval()، وهي من أكثر الدوال استخدامًا في إخفاء الأكواد الضارة، خاصة عند الاعتماد على تشفير Base64. لذلك احذف الكود ثم أعد فحص موقعك للتأكد من حل المشكلة.

كود خبيث داخل ملف wp-config.php على ووردبريس

3- مراجعة قاعدة البيانات

إذا لم تُحل المشكلة في الخطوات السابقة، فقد يكون هناك احتمال أن شفرة إعادة التوجيه مُدمجة مباشرة داخل قاعدة البيانات بدلًا من ملفات الخادم. لذلك سجّل دخولك إلى قاعدة البيانات عبر phpMyAdmin، ثم ابحث داخل الجداول، خصوصًا wp_options وwp_posts، عن أي أكواد أو عناصر خبيثة مخفية داخل البيانات.

في لقطة الشاشة أدناه، يمكن ملاحظة وجود وسم JavaScript مشبوه تم إدراجه في نهاية محتوى أحد منشورات ووردبريس العادية. وغالبًا ما يُستخدم هذا الأسلوب لإخفاء أكواد إعادة التوجيه أو تحميل سكربتات خارجية دون علم صاحب الموقع.

وسم جافا سكريبت مشبوه تم إدراجه في محتوى أحد منشورات ووردبريس

البحث داخل ملفات القوالب والإضافات

الخطوة الرابعة: في حال عدم التوصل إلى مصدر المشكلة، تحتاج الآن إلى فحص ملفات القوالب والإضافات داخل موقعك. ويمكنك البدء بتركيز خاص على ملفي header.php وfooter.php داخل القالب، إذ يُعدّان من أكثر الأماكن شيوعًا لحقن أكواد JavaScript، نظرًا لكونهما يُحمَّلان بشكل ثابت في جميع صفحات الموقع.

في المثال التالي، قام المهاجمون بحقن وسم <script> خبيث مباشرة داخل ملف الترويسة، وغالبًا ما يتم وضعه قبل وسم الإغلاق </head>، بحيث يتم تنفيذه في جميع صفحات الموقع دون أن يلاحظه الزائر.

إضافة وسم <script> خبيث مباشرة داخل ملف الترويسة

الفحص التلقائي للكشف عن الملفات الضارة

كما ذكرنا سابقًا، يتطلب الفحص اليدوي قدرًا من الخبرة التقنية للبحث عن الأكواد الضارة، لأن بعض الملفات المصابة قد تبدو طبيعية ولا يمكن اكتشافها بسهولة.

كما أن التعامل الخاطئ مع الأكواد قد يؤثر على أداء الموقع، ويصبح الأمر أكثر صعوبة في المواقع الكبيرة التي تحتوي على آلاف الملفات، مما يجعل الفحص اليدوي عملية مرهقة. لذلك يمكن الانتقال إلى خيار الفحص التلقائي لاكتشاف الملفات الضارة، من خلال الاعتماد على إضافات حماية مثل Wordfence أو Sucuri أو MalCare.

على سبيل المثال، عند الاعتماد على إضافة MalCare ثم تثبيتها على موقعك، سيتم توجيهك مباشرة إلى لوحة تحكم الأداة، ومن خلالها يمكنك اختيار خيار “I think I’m hacked” ليتم فحص الموقع تلقائيًا والبحث عن الأكواد أو الملفات الضارة.

تحديد الهدف من فحص الموقع عبر إضافة MalCare

توفّر معظم إضافات الحماية مستويات مختلفة من الأمان. يمكنك البدء بالخطة المجانية لإجراء فحص مبدئي للمشكلة، وإذا لم يتم حلها، فقد تحتاج إلى الترقية إلى الخطط المدفوعة لاستخدام ميزات مثل Deep Scan أو Advanced Firewall، والتي تساعد على فحص أعمق للموقع واكتشاف الملفات الضارة بدقة أكبر وإزالتها بشكل تلقائي.

في المثال التالي، عند فحص الموقع عبر إضافة MalCare تم العثور على ملفات ضارة مضمّنة داخل ملفات الموقع. ويمكنك إزالتها تلقائيًا بعد المراجعة من خلال الضغط على خيار Clean Now.

نتائج فحص موقع يتضمن ملفات ضارة عبر إضافة MalCare

كيف منعت تكرار المشكلة؟

بعد إزالة الملفات الضارة وحل مشكلة إعادة التوجيه بنجاح، يجب تأمين موقعك لمنع تكرار هذه المشكلة مرة أخرى، وذلك من خلال اتباع مجموعة من الممارسات الأمنية المهمة، ومنها:

تحديث ووردبريس والإضافات بشكل مستمر لضمان تثبيت التحديثات الأمنية فور صدورها.
إزالة القوالب والإضافات غير المستخدمة لتقليل نقاط الضعف المحتملة.
استخدام إضافات من مصادر موثوقة فقط، وتحميلها من المصادر الرسمية، وتجنب الاعتماد نهائيًا على القوالب والإضافات المقرصنة.
تفعيل جدار حماية قوي على الموقع، مثل إضافات Wordfence أو Sucuri أو MalCare، وذلك لمراقبة الأنشطة المشبوهة باستمرار ومنع محاولات الاختراق الشائعة.
تغيير كلمات المرور وتفعيل المصادقة الثنائية لجميع الحسابات الإدارية.
إنشاء نسخ احتياطية دورية تساعدك على استعادة الموقع في حال حدوث أي مشكلة مستقبلية.

كذلك تحتاج إلى مراجعة سجل الأنشطة (Activity Log) بشكل دوري لمراقبة أي تغييرات غير معتادة داخل الموقع، وفحص الملفات الأساسية والإضافات باستمرار للتأكد من عدم وجود أي أكواد أو تعديلات مشبوهة قد تُضاف دون علمك. كما يُفضل إجراء فحص أمني دوري باستخدام أدوات موثوقة لاكتشاف الثغرات مبكرًا قبل أن تتسبب في أي ضرر.

بهذه الخطوات يمكنك الحفاظ على موقعك آمنًا وتقليل احتمالية التعرض لمشاكل إعادة التوجيه أو الاختراق مستقبلًا بشكل كبير.