WordPress Security · Incident Response
ملف PHP صغير قد ينشئ Admin جديد في WordPress: كيف تتعامل مع الحالة؟
من أخطر مؤشرات الاختراق في WordPress أن تجد ملفًا خارج مسار الإضافات أو القالب يقوم بإنشاء مستخدم مدير جديد. هذا ليس خطأ عاديًا؛ غالبًا هو محاولة استحواذ على الموقع.
لا تحذف الملف فورًا قبل حفظ نسخة للفحص. الاحتواء الصحيح يبدأ بعزل الدليل أو نقل الملف إلى quarantine آمن، ثم مراجعة المستخدمين واللوجات.
علامات الخطر
- ملف PHP باسم يوحي بأنه بريء مثل reset أو cache أو update.
- وجود دوال تتعامل مع wp_create_user أو wp_insert_user أو تغيير roles.
- مستخدم Admin جديد لا يعرفه صاحب الموقع.
- تاريخ إنشاء الملف قريب من وقت ظهور alert أمني.
التعامل الآمن
- سجل وقت الاكتشاف وبيانات الملف: الحجم، المالك، تاريخ التعديل.
- اعزل الملف في quarantine بدل الحذف المباشر.
- افحص قائمة WordPress admins وتاريخ آخر دخول إن أمكن.
- احذف المستخدم الدخيل مع إعادة إسناد المحتوى لمستخدم موثوق.
- راجع ملفات PHP الحديثة في نفس الحساب، خصوصًا خارج wp-content المعتاد.
- تأكد أن الموقع يرجع 200 بعد التنظيف وأن النسخ الاحتياطي متاح.
ما بعد التنظيف
حذف المستخدم والملف لا يعني أن السبب انتهى. يجب مراجعة الإضافات القديمة، صلاحيات الملفات، كلمات مرور FTP/cPanel/WordPress، ووجود backdoors أخرى. كما يجب مراقبة الموقع بعد التنظيف للتأكد أن المؤشر لم يرجع.
عندك WordPress alert أو admin غريب؟
ok4host يقدم فحصًا آمنًا: quarantine، مراجعة users، فحص ملفات حديثة، وتقرير واضح قبل أي تغيير كبير.
اطلب WordPress Security Audit