חילוץ והצלת אתר וורדפרס - נפרץ או נפל? מחלצים תוך 24 שעות

האתר למטה, מתנהג מוזר או נחסם, ואתם צריכים פתרון עכשיו, לא הרצאה. העמוד הזה הוא נקודת הכניסה לכל מצב משבר באתר וורדפרס: פריצה, קוד זדוני, מסך לבן, הפניה לאתר זר, השבתה על ידי חברת האחסון או שגיאת 500. כאן תזהו במהירות באיזה תרחיש אתם נמצאים, תבינו מה הצעד הראשון הנכון, ותגיעו למדריך הספציפי שמתאים בדיוק לבעיה שלכם.

נקודה חשובה להרגעה לפני הכול: כמעט כל אתר וורדפרס שנפל או נפרץ ניתן לחילוץ. גם כשהוא מציג דפי ספאם, מפנה לאתר אחר או מחזיר מסך ריק, הנתונים והתוכן כמעט תמיד עדיין קיימים. המטרה בשעות הראשונות היא לעצור את הנזק, לא להספיק לתקן הכול בבת אחת.

קודם כול: באיזה תרחיש אתם נמצאים

משבר באתר נופל לרוב לאחת משתי משפחות: אתר פרוץ (מישהו נכנס והזריק תוכן או קוד) או אתר שנפל (האתר לא עולה בגלל שגיאה טכנית). הזיהוי הנכון קובע את כל מה שבא אחריו.

• אזהרת אבטחה בגוגל, דפים שלא יצרתם, או הפניות מוזרות = פריצה. ראו פרצו לי לאתר וורדפרס - 7 צעדים מיידיים.
• מסך לבן ריק לגמרי, בלי שום טקסט = WSOD. ראו מסך לבן בוורדפרס.
• הודעת "There has been a critical error" או שגיאת 500 = קריסה טכנית. ראו שגיאת קריטית / 500.
• האתר קופץ לאתר אחר כשנכנסים אליו = redirect hack. ראו האתר מפנה לאתר אחר.
• חברת האחסון השביתה את החשבון בגלל וירוס = ראו האחסון השבית את האתר.
• האתר נפל מיד אחרי שעדכנתם תוסף = ראו אתר קרס אחרי עדכון תוסף.

לא בטוחים? המשיכו לקרוא. הסדר הכללי של החילוץ זהה כמעט בכל מקרה.

כלל הזהב: לבלום, לאבחן, לנקות, ולא להפך

הטעות הנפוצה ביותר היא לקפוץ ישר למחיקה. מי שמוחק קובץ חשוד אבל משאיר את הדלת האחורית (backdoor) שדרכה נכנסו, מגלה שהתוקף חוזר תוך שעות. רצף החילוץ הנכון הוא תמיד באותו סדר:

1. לתעד. לפני שנוגעים, צלמו מסך של מה שאתם רואים: ההפניה, הדף הזר, השגיאה, המייל מהאחסון. התיעוד עוזר לאבחן את סוג הבעיה ולוודא בסוף שהיא נוקתה במלואה.
2. לבלום. אם האתר מפיץ malware או חושף נתוני לקוחות, הורידו אותו זמנית או הפעילו מצב תחזוקה. ככל שאתר פרוץ זמין יותר זמן, גדל הסיכון שגוגל יסמן אותו.
3. לאבחן. למצוא לא רק את התסמין אלא את נקודת הכניסה: תוסף פגיע, גרסה nulled, קובץ ליבה שהשתנה, או משתמש מנהל שלא אתם יצרתם.
4. לנקות לעומק. להחליף קבצי ליבה במקוריים, לטפל בתוספים ובתבנית נגועים, לנקות הזרקות ממסד הנתונים, ולסלק כל backdoor.
5. לאמת. סריקה חוזרת, ולסגור את הפרצה המקורית כדי שזה לא יחזור.

הסדר הזה הוא ההבדל בין חילוץ שמחזיק לבין אתר שנפרץ שוב שבוע אחרי.

אתר פרוץ: פריצה, malware ו-spam

כשמישהו נכנס לאתר, התסמינים משתנים אבל השורש דומה. שלושה תרחישי הפריצה הנפוצים:

• קוד זדוני מוזרק בקבצי PHP, לרוב מוסווה (base64, eval) בראש הקובץ. המדריך המלא לניקוי: אתר נפרץ והוזרק קוד זדוני.
• אלפי דפי ספאם (לרוב ביפנית או בסינית) שמופיעים בגוגל תחת הדומיין שלכם ופוגעים בדירוג. ראו אלפי דפי ספאם יפניים באתר.
• הפניות אוטומטיות של המבקרים לאתרים זרים, לרוב כאלה שמנסים למכור או להדביק. ראו redirect hack: אבחון וטיפול.

ניקוי אמיתי דורש החלפת קבצי ליבה מקוריים, סריקת מסד הנתונים, וסילוק כל ה-backdoors, גם אלה שמחוץ לתיקיות הצפויות. כלי סריקה כמו Wordfence או Sucuri מאתרים קבצים שהשתנו, אך לא תמיד מזהים backdoor מתוחכם. אם אתם לא יודעים לקרוא PHP ולהבחין בין קובץ ליבה תקין לנגוע, זו נקודה טובה לעצור. את כל שיטות הניקוי ריכזנו בניקוי וירוסים ו-malware מאתר וורדפרס.

אתר שנפל: מסך לבן ושגיאת 500

לא כל משבר הוא פריצה. לעיתים האתר פשוט מפסיק לעלות:

• מסך לבן (WSOD) הוא לרוב התנגשות תוספים, שגיאת PHP או חריגת זיכרון. האבחון שיטתי, שלב אחר שלב: מסך לבן בוורדפרס.
• "There has been a critical error" / שגיאת 500 מצביעה על קוד שנכשל, לרוב אחרי עדכון או שינוי בשרת. מה עושים: שגיאת קריטית בוורדפרס.
• קריסה מיד אחרי עדכון היא מקרה נפוץ במיוחד, ויש לו דרך שחזור בטוחה: אתר קרס אחרי עדכון תוסף.

ברוב המקרים האלה אין נזק לנתונים, רק לקוד שרץ. עם גישה לקבצים ולמסד הנתונים, אפשר לבודד את הגורם ולהחזיר את האתר לאוויר בלי לשבור תוכן.

שחזור אמון מול גוגל וחברת האחסון

חילוץ טכני הוא חצי מהעבודה. אחרי שהאתר נקי, צריך לשקם את מעמדו בעולם החיצון:

• אם גוגל סימן את האתר באזהרה, מגישים בקשה לבדיקה חוזרת. הנוהל המלא: This site may be hacked - הסרת האזהרה.
• אם חברת האחסון השביתה את החשבון, צריך להוכיח שהאתר נקי כדי לקבל אותו חזרה: האחסון השבית את האתר בגלל וירוס.

כמה זה עולה, ומתי למסור למומחה

ניסיון עצמאי הגיוני כשהתקלה קלה ואתם נוחים עם הקוד. כדאי למסור לאיש מקצוע כש:

• מדובר באתר עסקי פעיל, חנות או אתר עם נתוני לקוחות, שכל שעת השבתה עולה כסף.
• ניקיתם והפריצה חזרה, סימן כמעט ודאי ל-backdoor שפוספס.
• אין גיבוי נקי וצריך לחלץ את האתר "חי".
• חברת האחסון או גוגל לוחצים בזמן.

לפירוט גורמי המחיר יש לנו מדריך נפרד: כמה עולה לתקן אתר שנפרץ. עלות טיפול חד-פעמי נקבעת לפי היקף הנזק ומורכבות האתר; דברו איתנו לקבלת הצעה מדויקת.

ב-OCW אנחנו מחלצים אתרי וורדפרס פרוצים ושנפלו: בולמים את הנזק, מאתרים את מקור התקלה, מנקים לעומק ומחזירים לאוויר, לרוב תוך 24 שעות. אפשר למסור לנו את החילוץ דרך עמוד יצירת הקשר ולקבל אבחון של מצב האתר לפני שמחליטים על המשך.

אחרי החילוץ: שלא יקרה שוב

אתר שנפרץ פעם אחת מסומן כמטרה, וינסו לפרוץ אותו שוב. כאן נכנסת חבילת אחריות 360 של OCW, שבנויה למנוע את האירוע הבא במקום לכבות שריפות. היא מכסה ארבעה פילרים: אבטחה (עדכונים שוטפים, ניטור, firewall וגיבוי אוטומטי), נגישות, פרטיות ותחזוקה טכנית. במקום לחזור למצב חירום כל כמה חודשים, האתר נשמר נקי, מעודכן ומגובה לאורך זמן. ההיגיון פשוט: ריטיינר חודשי נמוך מונע אירוע תיקון בודד שעולה פי כמה. הרחבנו על כך בתחזוקת וורדפרס: מה כלול וכמה עולה, ועל שורשי הבעיה בלמה אתרי וורדפרס נפרצים.

לבדיקת מצב האתר ולהתאמת ליווי, דברו איתנו דרך עמוד יצירת הקשר.

שאלות נפוצות

האתר שלי פרוץ, האם אאבד את כל התוכן? ברוב המקרים לא. גם באתר פרוץ או שנפל, הנתונים בדרך כלל קיימים במסד הנתונים ובקבצים. מטרת החילוץ היא לנקות את הזדוני ולשמר את התוכן והעיצוב.

כמה זמן לוקח לחלץ אתר? תלוי בהיקף התקלה ובקיומו של גיבוי נקי. תקלה פשוטה עם גיבוי תקין נפתרת לרוב תוך שעות, ומקרים מורכבים לוקחים יותר. אנחנו מכוונים לחילוץ תוך 24 שעות ברוב המקרים.

איך אני יודע אם האתר נפרץ או רק נפל טכנית? אזהרת אבטחה בגוגל, דפים או משתמשים שלא יצרתם והפניות לאתרים זרים מצביעים על פריצה. מסך לבן או הודעת שגיאה קריטית בלי תוכן זר מצביעים לרוב על תקלה טכנית. בכל מקרה, הצעד הראשון זהה: לתעד ולא למחוק.

ניקיתי את האתר אבל הבעיה חזרה, למה? כמעט תמיד הסיבה היא דלת אחורית (backdoor) שנשארה, או הפרצה המקורית שלא נסגרה. ניקוי תסמין בלי סילוק מלא של נקודות הכניסה מחזיר את הבעיה תוך ימים.