گزارش Security Issues چیست؟ راهنمای کامل مقابله با هک سایت و بازگشت به گوگل

دریافت هشدار در سرچ کنسول گوگل یکی از جدی‌ترین تهدیدها برای ترافیک ارگانیک و اعتبار (Authority) سایت شماست. در حالی که بسیاری از مدیران سایت‌ها با این هشدارها مواجه می‌شوند، درک تفاوت‌های فنی و حیاتی میان گزارش‌های Manual Actions و Security Issues اولین گام برای یک اقدام اصلاحی موفق است. گزارش Security Issues به طور خاص، نشان‌دهنده خطری فوری برای امنیت کاربران شماست و نیازمند اقدام قاطع و سریع می‌باشد. در این راهنمای جامع و مرحله‌به‌مرحله، ما به صورت تخصصی فرآیند شناسایی، پاکسازی کامل آلودگی و ارسال درخواست بازبینی موفق را تشریح خواهیم کرد تا بتوانید سایت خود را در کوتاه‌ترین زمان ممکن به نتایج گوگل بازگردانید.

جدول کاربردی

جدول زیر به شما کمک می‌کند تا نوع هشدار دریافتی در گزارش Security Issues را به سرعت تشخیص داده و اولویت اقدام فوری خود را مشخص نمایید:

اولین قدم: گزارش Security Issues گوگل چیست؟

گزارش Security Issues (مسائل امنیتی)، ابزار تشخیصی گوگل در سرچ کنسول است که به شما اطلاع می‌دهد آیا سایت شما هک شده یا رفتاری از خود نشان می‌دهد که به طور بالقوه برای بازدیدکنندگان مضر است (مانند نصب بدافزار یا فیشینگ).

این گزارش مستقیماً بر سیگنال «اعتماد» (Trustworthiness) در E-E-A-T تأثیر می‌گذارد. هدف اصلی گوگل، حفاظت از کاربران خود است؛ اگر سایت شما به عنوان یک تهدید شناسایی شود، گوگل دسترسی کاربران به آن را از طریق نتایج جستجو یا مرورگر (مانند کروم) به شدت محدود خواهد کرد.

این گزارش را در کجای سرچ کنسول پیدا کنیم؟

یافتن این گزارش بسیار ساده است. این اقدام اولین گام شما برای تشخیص مشکل است:

1. وارد حساب کاربری Google Search Console خود شوید و دامنه مورد نظر را انتخاب کنید.
2. در منوی ناوبری سمت چپ، به پایین اسکرول کنید.
3. این گزارش زیر بخش «Security & Manual Actions» قرار دارد.
4. روی گزینه «Security issues» کلیک کنید.

نکته کلیدی: اگر در این بخش پیامی مبنی بر “No issues detected” (هیچ مشکلی شناسایی نشد) مشاهده می‌کنید، وضعیت سایت شما از نظر امنیتی (طبق آخرین بررسی گوگل) مطلوب است.

چرا گوگل سایت شما را «ناامن» (Unsafe) پرچم‌گذاری می‌کند؟

گوگل سایت‌ها را برای محافظت از کاربران در برابر آسیب، پرچم‌گذاری می‌کند. اگر گزارشی در این بخش دریافت کرده‌اید، معمولاً به یکی از سه دلیل اصلی زیر است:

• ۱. محتوای هک شده (Hacked content): این زمانی رخ می‌دهد که شخصی بدون مجوز به سایت شما دسترسی پیدا کرده و محتوای مخرب (مانند لینک‌های اسپم، صفحات جدید یا ریدایرکت‌های ناخواسته) در آن قرار داده است.
• ۲. بدافزار و نرم‌افزار ناخواسته (Malware and unwanted software): سایت شما ممکن است (حتی بدون اطلاع شما) در حال توزیع کدهایی باشد که برای آسیب رساندن به دستگاه کاربر یا سرقت اطلاعات طراحی شده‌اند (مانند ویروس‌ها، تروجان‌ها یا اسکریپت‌های مخرب).
• ۳. مهندسی اجتماعی (Social engineering): این شامل صفحات فریبنده (Deceptive Pages) یا فیشینگ (Phishing) است که تلاش می‌کنند کاربران را فریب دهند تا اطلاعات حساس (مانند رمز عبور یا اطلاعات کارت اعتباری) را وارد کنند یا اقدام خطرناکی (مانند دانلود یک فایل مخرب) انجام دهند.

تفاوت گزارش Security Issues با هشدارهای Manual Actions چیست؟

این دو گزارش اغلب با هم اشتباه گرفته می‌شوند، اما اهداف کاملاً متفاوتی دارند. درک تفاوت آن‌ها برای تشخیص ریشه مشکل و نحوه رفع آن حیاتی است.

جدول زیر تفاوت این دو را به صورت شفاف مشخص می‌کند:

رمزگشایی از هشدارها: انواع مشکلات امنیتی در گزارش گوگل

هک شده (Hacked): محتوای اسپم، لینک‌سازی یا کلمات کلیدی مخرب

این هشدار زمانی فعال می‌شود که گوگل تشخیص دهد شخص ثالثی بدون مجوز به سایت شما دسترسی پیدا کرده و محتوایی را با هدف دستکاری رتبه‌بندی (Spam) به آن اضافه کرده است. این اقدام مستقیماً اعتبار (Authority) دامنه شما را هدف قرار می‌دهد و اغلب از طریق آسیب‌پذیری در CMS، قالب‌ها یا افزونه‌ها رخ می‌دهد.

رایج‌ترین نشانه‌های این نوع هک عبارتند از:

• ایجاد صفحات اسپم (Spam Page Creation): مشاهده صفحاتی در سایت (که شما ایجاد نکرده‌اید) با محتوای غیرمرتبط، اغلب در مورد موضوعات دارویی، قمار، یا محتوای بزرگسالان.
• تزریق لینک و کلمه کلیدی (Link/Keyword Injection): اضافه شدن لینک‌های خروجی پنهان یا آشکار به سایت‌های اسپم در فوتر، هدر یا حتی درون محتوای مقالات قانونی شما.
• کلاکینگ (Cloaking): این یک تکنیک پیشرفته‌تر است که در آن، محتوای متفاوتی به ربات‌های گوگل نسبت به آنچه کاربر واقعی می‌بیند، نمایش داده می‌شود تا آلودگی پنهان بماند.
• ریدایرکت‌های مخرب (Malicious Redirects): هدایت کاربران یا ربات‌های گوگل از صفحات سالم شما به سایت‌های اسپم یا آلوده.

بدافزار (Malware) و نرم‌افزارهای ناخواسته (Unwanted Software)

این سطح تهدید بسیار جدی‌تر از محتوای هک شده است و مستقیماً امنیت دستگاه بازدیدکننده را هدف می‌گیرد. در این حالت، سایت شما (اغلب بدون اطلاع شما) به یک توزیع‌کننده کد مخرب تبدیل شده است.

• بدافزار (Malware): شامل هرگونه اسکریپت یا نرم‌افزاری است که برای آسیب رساندن به رایانه کاربر، سرقت اطلاعات (مانند اطلاعات بانکی)، یا کنترل مرورگر طراحی شده است (مانند ویروس‌ها، تروجان‌ها، باج‌افزارها).
• نرم‌افزار ناخواسته (Unwanted Software): برنامه‌هایی که شاید مستقیماً مخرب نباشند اما فریبنده عمل می‌کنند. برای مثال، نرم‌افزاری که خود را به عنوان یک ابزار مفید جا می‌زند اما در پس‌زمینه تنظیمات مرورگر کاربر را تغییر می‌دهد یا تبلیغات ناخواسته نمایش می‌دهد.

پیامد فوری: در صورت شناسایی بدافزار، مرورگرهایی مانند گوگل کروم با نمایش یک «صفحه قرمز» (Red Screen Warning) تمام‌صفحه، به طور کامل جلوی ورود کاربر به سایت شما را می‌گیرند. این وضعیت نیازمند اقدام فوری برای پاک‌سازی کدهای مخرب از سرور است.

صفحات فریبنده (Deceptive Pages) و حملات مهندسی اجتماعی (Social Engineering)

این نوع حمله بر فریب دادن کاربر تمرکز دارد تا اقدامی خطرناک را به صورت داوطلبانه انجام دهد. در اینجا، مشکل اصلی خودِ کد نیست، بلکه محتوایی است که کاربر را گمراه می‌کند.

• فیشینگ (Phishing): رایج‌ترین شکل مهندسی اجتماعی. در این حالت، هکرها صفحاتی را در سایت شما ایجاد می‌کنند که دقیقاً شبیه به یک سرویس معتبر (مانند صفحه ورود بانک، ایمیل یا شبکه‌های اجتماعی) هستند. هدف، سرقت اطلاعات حساس کاربر (نام کاربری، رمز عبور یا اطلاعات کارت اعتباری) است.
• محتوای فریبنده (Deceptive Content): نمایش پیام‌های جعلی به کاربر مانند “سیستم شما آلوده است”، “درایور شما قدیمی است” یا “برای مشاهده این محتوا کلیک کنید”. این پیام‌ها کاربر را ترغیب به کلیک روی دکمه‌ای می‌کنند که در واقع یک بدافزار را دانلود کرده یا او را به صفحه فیشینگ هدایت می‌کند.

این حملات مستقیماً سیگنال «اعتماد» (Trustworthiness) را در E-E-A-T نابود می‌کنند و گوگل با جدیت بالایی با آن‌ها برخورد می‌کند.

راهنمای گام به گام مقابله با هک سایت (بر اساس تجربه واقعی)

مهم: قبل از هر کاری: سایت را در حالت تعمیر (Maintenance Mode) قرار دهید

این اولین و حیاتی‌ترین اقدام شماست. شما باید فوراً ارتباط کاربران و ربات‌های جستجو را با محتوai مخرب قطع کنید.

• چرا؟ جلوگیری از آسیب دیدن کاربران، توقف توزیع بدافزار، و مهم‌تر از همه، جلوگیری از ایندکس شدن صفحات اسپم یا مشاهده آلودگی توسط
• اقدام عملی:
  1. اگر از وردپرس استفاده می‌کنید، از یک افزونه معتبر Maintenance استفاده کنید.
  2. روش ارجح (تخصصی): از طریق فایل .htaccess یا تنظیمات سرور، یک ریدایرکت موقت یا نمایش کد وضعیت HTTP 503 (Service Unavailable) را برای تمام بازدیدکنندگان (به جز IP ثابت خودتان برای انجام عملیات پاکسازی) فعال کنید.
  3. کد 503 به گوگل سیگنال می‌دهد که سایت شما به طور موقت برای تعمیرات از دسترس خارج است و نباید وضعیت فعلی آن را ایندکس کند. این اقدام از رتبه‌بندی شما محافظت می‌کند.

مرحله ۱: شناسایی آلودگی (بررسی لاگ‌ها، فایل‌های هسته و تماس با هاستینگ)

شما نمی‌توانید چیزی را که پیدا نکرده‌اید، پاک کنید. ابتدا باید عمق و نوع آلودگی را درک کنید.

• بررسی لاگ‌های سرور (Server Logs): لاگ‌های دسترسی (Access Logs) و خطا (Error Logs) را بررسی کنید. به دنبال درخواست‌های POST مشکوک، دسترسی به فایل‌های ناشناس (مخصوصاً فایل‌های XML-RPC در وردپرس) یا فعالیت‌های زیاد از IPهای غیرعادی باشید. این کار به شما در یافتن «نقطه ورود» (Entry Point) هکر کمک می‌کند.
• بررسی فایل‌های هسته (Core Files): فایل‌های اصلی CMS خود (مانند وردپرس) را با یک نسخه سالم و تازه دانلود شده از مخزن رسمی مقایسه کنید. به دنبال فایل‌هایی باشید که تاریخ «آخرین ویرایش» (Last Modified) آن‌ها مشکوک و جدید است.
• تماس با هاستینگ: فوراً با پشتیبانی شرکت میزبان خود تماس بگیرید. آن‌ها اغلب ابزارهای اسکن بدافزار در سطح سرور دارند و می‌توانند گزارش‌های دقیق‌تری که شما به آن‌ها دسترسی ندارید را ارائه دهند.

مرحله ۲: پشتیبان‌گیری (حتی از نسخه آلوده برای تحلیل)

این اقدام شاید غیرمنطقی به نظر برسد، اما یک گام حیاتی در مدیریت بحران است.

• چرا؟ شما یک نسخه کامل از سایت آلوده (فایل‌ها + دیتابیس) نیاز دارید نه برای بازگردانی، بلکه برای «تحلیل پس از فاجعه» (Forensic Analysis).
• اقدام عملی: یک نسخه پشتیبان کامل تهیه کنید، آن را در یک پوشه امن و ایزوله (ترجیحاً آفلاین) ذخیره کرده و به وضوح برچسب‌گذاری کنید: «نسخه آلوده – برای تحلیل – بازیابی نشود». این نسخه به متخصص امنیت کمک می‌کند تا بعداً بفهمد دقیقاً کدام آسیب‌پذیری مورد سوءاستفاده قرار گرفته است.

مرحله ۳: پاکسازی فایل‌های مخرب (بررسی تخصصی .htaccess، wp-config و آپلودهای اخیر)

این مرحله، هسته اصلی عملیات پاکسازی فنی است.

• بررسی .htaccess: این فایل اولین هدف هکرها برای ایجاد ریدایرکت‌های مخرب یا کلاکینگ (Cloaking) است. هرگونه کد ناشناس یا RewriteRule مشکوک را حذف کنید. بهترین کار، جایگزینی آن با فایل .htaccess پیش‌فرض CMS شماست.
• بررسی wp-config.php (یا فایل‌های کانفیگ مشابه): این حساس‌ترین فایل است. آن را خط به خط بررسی کنید. هکرها اغلب کدهای مخرب را با استفاده از توابعی مانند eval، base64_decode یا gzinflate در ابتدا یا انتهای این فایل تزریق می‌کنند.
• بررسی فایل‌های آپلود شده و ویرایش شده اخیر:
  1. از طریق FTP یا مدیریت فایل هاست، فایل‌ها را بر اساس «تاریخ آخرین ویرایش» مرتب کنید.
  2. پوشه‌هایی مانند /uploads/، /wp-content/ و پوشه‌های قالب (Theme) را به دقت بررسی کنید. هکرها عاشق پنهان کردن فایل‌های PHP (به عنوان Backdoor) در پوشه‌های تصاویر هستند.
  3. قانون طلایی: هر فایلی را که هویت آن را ۱۰۰٪ نمی‌شناسید، حذف کنید.
  4. بهترین اقدام: تمامی فایل‌های هسته CMS، افزونه‌ها و قالب‌ها را به طور کامل حذف کنید (به جز پوشه uploads و فایل wp-config.php) و نسخه‌های کاملاً جدید را از مخازن رسمی جایگزین نمایید.

مرحله ۴: پاکسازی دیتابیس (جستجوی لینک‌های اسپم و کاربران ادمین جعلی)

آلودگی فقط در فایل‌ها نیست؛ دیتابیس هدف اصلی برای تزریق لینک اسپم و ایجاد دسترسی‌های پنهان است.

• بررسی کاربران ادمین جعلی: وارد phpMyAdmin شوید و جدول کاربران (مانند wp_users) را بررسی کنید. هر حساب کاربری ادمین یا کاربری با دسترسی بالا که شما ایجاد نکرده‌اید را فوراً حذف کنید.
• جستجوی لینک‌های اسپم: جداول محتوا (مانند wp_posts و wp_options) را برای کلمات کلیدی اسپم (قمار، دارو و…) یا تگ‌های <script> مخرب جستجو کنید. هکرها لینک‌های خود را مستقیماً در محتوای پست‌های قدیمی شما تزریق می‌کنند.

مرحله ۵: به‌روزرسانی و تغییر تمام رمزهای عبور (هاست، FTP، ادمین، دیتابیس)

فرض کنید تمام رمزهای عبور شما لو رفته است.

• چرا؟ اگر هکر وارد شده باشد، احتمالاً به رمزهای عبور شما دسترسی پیدا کرده یا یک آسیب‌پذیری به دلیل ضعف رمز عبور بوده است.
• اقدام عملی (چک‌لیست ضروری): تمام رمزهای عبور زیر باید فوراً با استفاده از رمزهای بسیار قوی و منحصربه‌فرد تغییر کنند:
  1. پنل مدیریت هاستینگ (cPanel, DirectAdmin,…)
  2. تمام اکانت‌های FTP و SFTP
  3. تمام کاربران ادمین در CMS (مانند وردپرس)
  4. رمز عبور کاربر دیتابیس (که در فایل wp-config.php ذخیره شده است)
  5. تمام اکانت‌های ایمیل مرتبط با دامنه

پس از اتمام این ۵ مرحله و اطمینان از پاکسازی کامل، سایت را از حالت تعمیر خارج کرده و بلافاصله برای ارسال درخواست بازبینی (Request Review) در گزارش Security Issues سرچ کنسول آماده شوید.

چگونه از ابزارهای امنیتی برای پاکسازی استفاده کنیم؟

معرفی و نحوه اسکن با افزونه‌های امنیتی (مانند Wordfence یا Sucuri)

این ابزارها (مخصوصاً برای سیستم‌های مدیریت محتوا مانند وردپرس) مستقیماً روی سایت شما نصب می‌شوند و به فایل‌ها و دیتابیس دسترسی مستقیم دارند. این سطح از دسترسی، آن‌ها را برای یافتن «درهای پشتی» (Backdoors)، کدهای تزریق شده و تغییرات در فایل‌های هسته ایده‌آل می‌سازد.

روند اقدام عملی (مثال با Wordfence):

1. نصب و راه‌اندازی: افزونه Wordfence Security را از مخزن رسمی وردپرس نصب و فعال کنید.
2. اجرای اسکن (Scan): بلافاصله به بخش «Scan» افزونه بروید و گزینه «Start New Scan» را اجرا کنید. توصیه می‌شود در تنظیمات اسکن، حساسیت (Scan Sensitivity) را روی «High» یا «Intensive» تنظیم کنید.
3. تحلیل نتایج (Results): این مهم‌ترین بخش است. نتایج اسکن را به دقت بررسی کنید:
   • File changes: این بخش به شما نشان می‌دهد کدام فایل‌های هسته وردپرس با نسخه رسمی موجود در مخزن تفاوت دارند. اگر شما تغییری نداده‌اید، این فایل‌ها به احتمال زیاد آلوده هستند و باید با نسخه اصلی جایگزین شوند.
   • Malware Signatures: افزونه فایل‌هایی را که حاوی الگوهای شناخته‌شده بدافزار هستند، شناسایی می‌کند. این موارد باید فوراً حذف شوند.
   • Suspicious Code: Wordfence به دنبال کدهای مشکوک (مانند توابع eval, base64_decode که در پاکسازی دستی به آن اشاره شد) می‌گردد. این موارد نیازمند بررسی دستی هستند، زیرا گاهی (هرچند به ندرت) ممکن است بخشی از یک افزونه قانونی باشند (False Positive).

افزونه Sucuri Security نیز عملکرد مشابهی دارد و در شناسایی Integrity فایل‌ها و فعالیت‌های مشکوک پس از هک بسیار قدرتمند عمل می‌کند.

استفاده از اسکنرهای آنلاین خارجی (مانند Google Safe Browsing)

این ابزارها سایت شما را نه از داخل، بلکه از بیرون و دقیقاً همانطور که یک کاربر یا ربات گوگل آن را می‌بیند، اسکن می‌کنند. مزیت اصلی آن‌ها، شناسایی تهدیدهای کاربر-محور (User-Facing) است.

آن‌ها به طور خاص موارد زیر را بررسی می‌کنند:

• بدافزار (Malware): آیا سایت شما در حال تلاش برای دانلود یا اجرای اسکریپت‌های مخرب روی مرورگر بازدیدکننده است؟
• مهندسی اجتماعی (Social Engineering): آیا صفحات فیشینگ یا فریبنده در سایت شما وجود دارد؟
• ریدایرکت‌های مخرب: آیا کاربران به سایت‌های اسپم یا خطرناک هدایت می‌شوند؟ (این ریدایرکت‌ها اغلب فقط برای بازدیدکنندگان عادی رخ می‌دهند و برای ادمین لاگین شده پنهان می‌مانند).

روند اقدام عملی:

1. Google Safe Browsing (ابزار اصلی):
   • به آدرس https://transparencyreport.google.com/safe-browsing/search مراجعه کنید.
   • آدرس کامل دامنه خود را وارد نمایید.
   • گوگل به شما خواهد گفت که آیا سایت شما را «ناامن» (Unsafe) تشخیص داده است یا خیر. این دقیقاً همان داده‌ای است که باعث نمایش هشدارهای امنیتی در نتایج جستجو و مرورگر کروم می‌شود.
2. Sucuri SiteCheck (ابزار مکمل):
   • از اسکنر رایگان و آنلاین Sucuri SiteCheck استفاده کنید.
   • این ابزار سایت شما را از نظر بدافزارهای شناخته‌شده، وضعیت لیست سیاه (Blacklist Status) و کدهای مخفی به سرعت بررسی می‌کند.

نکته استراتژیک: برای پاکسازی کامل، شما به هر دو نوع اسکن نیاز دارید. افزونه داخلی (مانند Wordfence) فایل‌های آلوده روی سرور را پیدا می‌کند و اسکنر خارجی (مانند Google Safe Browsing) تأیید می‌کند که هیچ تهدیدی به کاربر نهایی نمایش داده نمی‌شود.

بازگشت به نتایج گوگل: نحوه «درخواست بازبینی» (Request Review)

فرآیند درخواست بازبینی مستقیماً از همان گزارش Security Issues که مشکل در آن اعلام شده بود، آغاز می‌شود.

1. به بخش Security issues در سرچ کنسول گوگل بازگردید.
2. پس از اینکه اسکنرهای گوگل (در پی اسکن‌های مجدد خودکار) یا بررسی‌های شما تأیید کنند که مشکلات رفع شده‌اند، دکمه‌ای با عنوان «Request Review» (درخواست بازبینی) فعال خواهد شد.
3. روی این دکمه کلیک کنید.
4. پنجره‌ای باز می‌شود که از شما می‌خواهد فرآیند پاکسازی را توضیح دهید.

چک‌لیست نهایی قبل از ارسال درخواست بازبینی

قبل از کلیک بر روی دکمه «Request Review»، اطمینان حاصل کنید که تمام موارد زیر را اجرا کرده‌اید. رد شدن درخواست به این معناست که شما هنوز یک حفره امنیتی یا فایل مخرب را جا گذاشته‌اید.

• ۱. پاکسازی کامل فایل‌ها: تمام فایل‌های مخرب، درهای پشتی (Backdoors) و کدهای تزریق شده (Injected Code) حذف شده‌اند.
• ۲. پاکسازی کامل دیتابیس: تمام لینک‌های اسپم، محتوای تزریق شده و کاربران ادمین جعلی از دیتابیس حذف شده‌اند.
• ۳. رفع حفره امنیتی (Vulnerability): این مهم‌ترین بخش است. افزونه، قالب یا اسکریپت آسیب‌پذیری که باعث نفوذ اولیه شده، باید به‌روزرسانی یا به طور کامل حذف شده باشد.
• ۴. به‌روزرسانی جامع: هسته CMS (مانند وردپرس)، تمامی افزونه‌ها و قالب‌ها به آخرین نسخه موجود به‌روزرسانی شده‌اند.
• ۵. تغییر تمام رمزهای عبور: رمزهای عبور هاست (cPanel/FTP)، دیتابیس و تمام کاربران ادمین سایت تغییر کرده‌اند.
• ۶. اسکن نهایی: سایت را یک بار دیگر با ابزارهای داخلی (مثل Wordfence) و خارجی (مثل Google Safe Browsing) اسکن کرده‌اید و نتیجه «پاک» (Clean) دریافت شده است.
• ۷. خروج از حالت تعمیر: سایت باید از حالت Maintenance Mode (کد ۵۰۳) خارج شده و برای ربات گوگل قابل دسترس باشد تا بتواند پاک بودن آن را تأیید کند.

چه متنی برای تیم گوگل بنویسیم تا سریع‌تر تایید شویم؟

تیم بررسی گوگل (که بخش زیادی از آن خودکار و بخشی در موارد پیچیده، انسانی است) به دنبال یک داستان طولانی یا عذرخواهی نیست. آن‌ها به شواهد فنی دقیق و مختصر نیاز دارند که نشان دهد شما مشکل را درک کرده و به طور کامل آن را رفع نموده‌اید.

ساختار متن پیشنهادی (دقیق و حرفه‌ای):

موضوع: درخواست بازبینی امنیتی برای [[لینک مشکوک حذف شد]]

شرح مشکل: سایت ما اخیراً با [نوع مشکل را ذکر کنید، مثلا: تزریق محتوای اسپم (Hacked: Spam)] مواجه شده بود.

اقدامات انجام شده: ما اقدامات زیر را برای پاکسازی کامل و ایمن‌سازی سایت انجام دادیم: ۱. تمام فایل‌ها و کدهای مخرب شناسایی و حذف شدند. ۲. دیتابیس از لینک‌های اسپم و کاربران جعلی پاکسازی شد. ۳. حفره امنیتی اصلی که [اگر می‌دانید ذکر کنید، مثلا: یک افزونه قدیمی با نام X] بود، به‌روزرسانی و ایمن‌سازی شد. ۴. تمام هسته CMS، افزونه‌ها و قالب‌ها به آخرین نسخه آپدیت شدند. ۵. تمامی رمزهای عبور (هاست، FTP، ادمین) بازنشانی (Reset) شدند.

وضعیت فعلی: سایت هم‌اکنون کاملاً پاک است و اسکنرهای داخلی و خارجی (مانند Google Safe Browsing) هیچ تهدیدی را گزارش نمی‌کنند.

لطفاً هشدارهای امنیتی را از سایت ما حذف نمایید.

از انجام موارد زیر خودداری کنید: سرزنش کردن هاستینگ، بیان اینکه «نمی‌دانیم چه شد»، یا ارائه اطلاعات غیرمرتبط.

فرآیند بازبینی چقدر طول می‌کشد و بعد از آن چه کنیم؟

۱. مدت زمان فرآیند: پس از ارسال درخواست، فرآیند بازبینی می‌تواند از چند ساعت تا چند روز (معمولاً ۲۴ تا ۷۲ ساعت) طول بکشد. در موارد پیچیده‌تر ممکن است بیشتر زمان ببرد.

۲. نحوه پیگیری:

• شما از طریق ایمیل و همچنین در بخش «Messages» سرچ کنسول، از نتیجه بازبینی (تایید یا رد) مطلع خواهید شد.
• در طول این مدت، به طور مداوم گزارش Security Issues را زیر نظر داشته باشید.

۳. اقدامات پس از تایید:

• تایید موفق (Successful Review): تبریک می‌گوییم. گوگل شروع به حذف هشدارهای امنیتی از نتایج جستجو و مرورگر کروم خواهد کرد. این فرآیند نیز ممکن است چند ساعت طول بکشد تا در تمام دیتاسنترهای گوگل اعمال شود.
• بررسی گزارش Manual Actions: (اقدام حیاتی) بلافاصله پس از تایید امنیتی، گزارش «Manual Actions» را در سرچ کنسول بررسی کنید. گاهی اوقات، هک‌های شدید (مانند اسپم گسترده) علاوه بر هشدار امنیتی، یک جریمه دستی (Manual Action) نیز به همراه دارند. اگر در آن بخش نیز گزارشی دارید، باید برای رفع آن نیز اقدام و درخواست بازبینی جداگانه‌ای ارسال کنید.
• تایید ناموفق (Review Failed): این به آن معناست که سایت شما هنوز آلوده است. گوگل معمولاً نمونه‌ای از URL آلوده که پیدا کرده را به شما نشان می‌دهد. شما باید به مرحله پاکسازی بازگردید، مشکل را دقیق‌تر بررسی کنید و پس از اطمینان کامل، مجدداً درخواست بازبینی ارسال نمایید.

پیشگیری بهتر از درمان است: چگونه امنیت سایت را دائمی کنیم؟

امنیت یک فرآیند مداوم است، نه یک اقدام یکباره. با پیاده‌سازی لایه‌های دفاعی زیر، شما ریسک نفوذ را به طور چشمگیری کاهش می‌دهید.

اصول اولیه: انتخاب هاستینگ امن و استفاده از SSL

این دو مورد، فونداسیون امنیت سایت شما هستند.

• هاستینگ امن (Secure Hosting): میزبان شما اولین خط دفاعی در سطح سرور است. یک هاستینگ معتبر، خدماتی فراتر از فضای ذخیره‌سازی ارائه می‌دهد:
  • فایروال برنامه وب (WAF): بسیاری از حملات رایج (مانند SQL Injection یا XSS) را قبل از رسیدن به سایت شما مسدود می‌کند.
  • ایزوله‌سازی حساب (Account Isolation): اطمینان حاصل می‌کند که اگر سایت دیگری روی همان سرور (در هاست اشتراکی) هک شود، آلودگی به حساب شما سرایت نخواهد کرد.
  • اسکنرهای بدافزار در سطح سرور: به طور منظم سرور را برای فعالیت‌های مشکوک پایش می‌کنند.
• استفاده از SSL (HTTPS): گواهی SSL داده‌های مبادله شده بین مرورگر کاربر و سرور شما را رمزگذاری می‌کند. این اقدام دو مزیت کلیدی دارد:
  1. حفاظت از داده: از سرقت اطلاعات حساس کاربران (مانند فرم‌های تماس یا اطلاعات ورود) در حین انتقال جلوگیری می‌کند.
  2. سیگنال اعتماد: مرورگرها سایت‌های بدون HTTPS را به عنوان «ناامن» (Not Secure) علامت‌گذاری می‌کنند. داشتن SSL یک سیگنال اعتمادساز حیاتی برای کاربران و یک فاکتور رتبه‌بندی تایید شده توسط گوگل است.

به‌روزرسانی مداوم: هسته، پلاگین‌ها و قالب‌ها

این مورد، حیاتی‌ترین اقدام پیشگیرانه در مدیریت روزمره سایت است. اکثریت قریب به اتفاق هک‌ها از طریق آسیب‌پذیری‌های شناخته‌شده در نرم‌افزارهای قدیمی (Outdated) رخ می‌دهد.

• چرا؟ توسعه‌دهندگان به طور مداوم حفره‌های امنیتی را کشف و از طریق «وصله‌های امنیتی» (Security Patches) در قالب به‌روزرسانی‌ها، آن‌ها را رفع می‌کنند.
• اقدام عملی (قانون کلیدی): هرگز به‌روزرسانی‌ها را به تعویq نیندازید.
  • هسته (Core): سیستم مدیریت محتوای خود (مانند وردپرس) را همیشه به‌روز نگه دارید.
  • پلاگین‌ها (Plugins) و قالب‌ها (Themes): این‌ها رایج‌ترین نقاط ورود هکرها هستند. افزونه‌هایی که دیگر استفاده نمی‌کنید را فوراً حذف کنید (غیرفعال کردن کافی نیست) و مابقی را به محض انتشار نسخه جدید، آپدیت نمایید.

پیاده‌سازی احراز هویت دو مرحله‌ای (2FA)

احراز هویت دو مرحله‌ای (Two-Factor Authentication) یک لایه امنیتی حیاتی برای صفحه ورود (Login Page) شما اضافه می‌کند.

• چگونه کار می‌کند؟ حتی اگر هکری رمز عبور ادمین شما را (از طریق حملات Brute Force یا نشت اطلاعات) به دست آورد، برای ورود همچنان به یک کد یکبار مصرف (که معمولاً به تلفن همراه شما ارسال می‌شود) نیاز خواهد داشت.
• اهمیت: این اقدام ساده، تقریباً تمام تلاش‌های ورود غیرمجاز مبتنی بر رمز عبور دزدیده شده را مسدود می‌کند. استفاده از آن برای تمام حساب‌های کاربری با دسترسی ادمین (Admin) ضروری است.

تنظیم بک‌آپ‌های خودکار و منظم

هیچ استراتژی امنیتی ۱۰۰٪ نفوذناپذیر نیست. بک‌آپ (Backup)، بیمه‌نامه شما در زمان وقوع فاجعه است. اگر همه‌چیز شکست بخورد، بک‌آپ به شما اجازه می‌دهد تا با حداقل زمان قطعی (Downtime)، سایت را به حالت پاک قبلی بازگردانید.

• ویژگی‌های یک بک‌آپ استراتژیک:
  1. خودکار (Automated): فرآیند پشتیبان‌گیری نباید به حافظه انسانی وابسته باشد.
  2. منظم (Regular): برای سایت‌های فعال، بک‌آپ روزانه (Daily) ضروری است.
  3. خارج از سایت (Off-Site): این مهم‌ترین اصل است. نسخه‌های پشتیبان باید در مکانی جدا از سرور اصلی سایت شما ذخیره شوند (مانند Google Drive, Dropbox یا سرویس‌های ابری مخصوص بک‌آپ). اگر بک‌آپ شما روی همان سروری باشد که هک شده، آن نیز آلوده یا حذف خواهد شد و عملاً بی‌فایده است.

اشتباهات رایجی که در زمان هک شدن مرتکب می‌شویم

چرا بازگرداندن بک‌آپ قدیمی همیشه راه‌حل نهایی نیست؟

بازگرداندن یک نسخه پشتیبان (Backup) قدیمی، وسوسه‌انگیزترین و در عین حال یکی از خطرناک‌ترین راه‌حل‌های سریع است. این اقدام، مانند درمان علائم بیماری بدون کشتن ویروس است.

• مشکل اصلی: حفره امنیتی (Vulnerability) باقی می‌ماند. شما سایت را به نسخه‌ای بازمی‌گردانید که قبل از مشاهده علائم هک شدن ایجاد شده است، اما آن نسخه همچنان حاوی همان حفره امنیتی (مانند افزونه یا قالب قدیمی) است که در وهله اول باعث نفوذ هکر شد.
• نتیجه: هکرها که اغلب فرآیند نفوذ خود را خودکار کرده‌اند، بلافاصله پس از آنلاین شدن مجدد سایت، همان حفره را شناسایی کرده و سایت شما را مجدداً هک می‌کنند.
• اقدام صحیح: بازگرداندن بک‌آپ فقط زمانی باید انجام شود که شما دقیقاً نقطه ورود (Entry Point) را شناسایی کرده و بلافاصله پس از بازگردانی، آن حفره امنیتی را (قبل از اتصال کامل سایت به اینترنت) رفع کنید. در غیر این صورت، شما صرفاً داده‌های جدیدتر خود را نیز از دست داده‌اید.

اعتماد به افزونه‌های امنیتی رایگان برای پاکسازی کامل

افزونه‌های امنیتی رایگان (مانند نسخه‌های رایگان Wordfence یا Sucuri) ابزارهای فوق‌العاده‌ای برای تشخیص (Detection) و پیشگیری (Prevention) هستند، اما اغلب برای پاکسازی کامل (Complete Cleanup) پس از یک نفوذ عمیق، کافی نیستند.

• محدودیت‌های نسخه رایگان:
  1. شناسایی الگوهای شناخته‌شده: این افزونه‌ها در یافتن بدافزارهای شناخته‌شده عالی عمل می‌کنند. اما هکرهای حرفه‌ای از کدهای مبهم (Obfuscated Code) و «درهای پشتی» (Backdoors) سفارشی استفاده می‌کنند که در پایگاه داده الگوهای رایگان وجود ندارد.
  2. پاکسازی دیتابیس: تمرکز اصلی این افزونه‌ها روی فایل‌ها است. پاکسازی لینک‌های اسپم یا کاربران جعلی تزریق شده در دیتابیس، اغلب نیازمند بررسی دستی یا ابزارهای Premium است.
  3. عدم رفع حفره امنیتی: افزونه به شما می‌گوید فایل X آلوده است، اما به شما نمی‌گوید چگونه این فایل آلوده شده است.

نکته کلیدی: به این افزونه‌ها به عنوان یک «تب‌سنج» نگاه کنید، نه «آنتی‌بیوتیک». آن‌ها به شما می‌گویند مشکل دارید، اما لزوماً ریشه مشکل را درمان نمی‌کنند. اتکای صرف به دکمه «Delete File» در یک افزونه رایگان، معمولاً منجر به آلودگی مجدد می‌شود.

چه زمانی باید تسلیم شوید و از یک متخصص کمک بگیرید؟

زمان، مهم‌ترین دارایی شما در زمان هک شدن است. هر ساعتی که سایت شما به عنوان «ناامن» (Unsafe) توسط گوگل علامت‌گذاری شده، شما در حال از دست دادن ترافیک، رتبه و اعتماد کاربران هستید.

در شرایط زیر، تلاش فردی را متوقف کرده و فوراً از یک متخصص امنیت وب کمک بگیرید:

• آلودگی مکرر (Repeated Infection): شما سایت را پاکسازی می‌کنید (یا بک‌آپ را بازمی‌گردانید)، اما ظرف چند ساعت یا چند روز دوباره هک می‌شوید. این نشانه قطعی آن است که شما «در پشتی» (Backdoor) اصلی یا حفره امنیتی اولیه را پیدا نکرده‌اید.
• نفوذ به دیتابیس (Database Injection): اگر آلودگی صرفاً چند فایل نیست و لینک‌های اسپم یا جداول ناشناس به دیتابیس شما تزریق شده است، پاکسازی دستی نیازمند تخصص SQL است و اشتباه در آن می‌تواند کل سایت را از بین ببرد.
• هک‌های پیچیده (مانند Cloaking یا Phishing): اگر سایت شما درگیر مهندسی اجتماعی (فیشینگ) یا کلاکینگ (نمایش محتوای متفاوت به گوگل و کاربر) شده است، این یک نفوذ سطح پایین نیست و نیازمند تحلیل تخصصی لاگ‌های سرور و کدهای مخرب است.
• عدم موفقیت در بازبینی گوگل (Failed Review): اگر «درخواست بازبینی» (Request Review) شما در سرچ کنسول یک یا چند بار رد شده است. این یعنی اسکنرهای گوگل هنوز آلودگی را تشخیص می‌دهند و شما به تنهایی قادر به یافتن آن نیستید.

تحلیل هزینه-فایده: هزینه استخدام یک متخصص برای چند ساعت کار حرفه‌ای، تقریباً همیشه بسیار کمتر از هزینه از دست دادن رتبه‌های گوگل و اعتماد کاربرانی است که هفته‌ها با هشدار «سایت ناامن» مواجه می‌شوند.

سوالات متداول درباره گزارش Security Issues و هک سایت

آیا هک شدن بر رتبه سئوی من تاثیر دائمی دارد؟

پاسخ کوتاه: لزوماً دائمی نیست، اما به سرعت و کیفیت اقدام شما بستگی دارد.

• تاثیر کوتاه‌مدت (قطعی): تاثیر کوتاه‌مدت هک، فاجعه‌بار است. گوگل برای محافظت از کاربران، سایت شما را با هشدارهای امنیتی مسدود می‌کند یا به طور کامل از نتایج جستجو (SERP) حذف می‌نماید. این امر منجر به سقوط تقریباً ۱۰۰ درصدی ترافیک ارگانیک می‌شود و سیگنال «اعتماد» (Trustworthiness) شما را در E-E-A-T به شدت مخدوش می‌کند.
• تاثیر بلندمدت (وابسته به اقدام شما):
  • بازیابی سریع: اگر آلودگی را به سرعت (ظرف چند روز) و به طور کامل پاکسازی کنید، حفره امنیتی را ببندید و درخواست بازبینی موفقی در سرچ کنسول ثبت نمایید، رتبه‌های شما معمولاً پس از حذف هشدارها، به حالت قبل بازمی‌گردند.
  • تاخیر در اقدام: هرچه سایت شما مدت طولانی‌تری آلوده بماند، آسیب عمیق‌تر خواهد بود. ربات‌های گوگل سایت شما را به عنوان یک منبع غیرقابل اعتماد شناسایی کرده و ممکن است شروع به حذف ایندکس (De-index) صفحات شما کنند. بازیابی از این وضعیت بسیار دشوارتر و زمان‌برتر خواهد بود.

آیا گوگل سایت من را جریمه (Penalty) کرده است؟

این یک تمایز فنی بسیار مهم است. درک آن برای انتخاب مسیر صحیح بازیابی حیاتی است.

• گزارش Security Issues (هشدار امنیتی): این یک جریمه (Penalty) به معنای کلاسیک سئو نیست، بلکه یک اقدام حفاظتی برای کاربران است. گوگل تشخیص داده که سایت شما برای بازدیدکنندگان خطرناک است (به دلیل بدافزار، فیشینگ یا هک). این گزارش اغلب به صورت خودکار (Algorithmic) فعال می‌شود.
• گزارش Manual Actions (جریمه دستی): این یک جریمه واقعی است که توسط یک بررسی‌کننده انسانی در گوگل به دلیل نقض دستورالعمل‌های اسپم (Spam Policies) اعمال می‌شود (مانند لینک‌سازی غیرطبیعی، محتوای بی‌ارزش یا کیورد استافینگ).

نکته کلیدی: نتیجه هر دو (افت شدید رتبه) شبیه به هم است، اما دلیل و فرآیند رفع آن‌ها کاملاً متفاوت است.

حالت همپوشانی: گاهی اوقات، یک هک شدید (مانند تزریق گسترده لینک‌های اسپم) می‌تواند علاوه بر فعال کردن گزارش Security Issues، منجر به یک Manual Action نیز بشود. به همین دلیل، پس از پاکسازی امنیتی، شما باید گزارش Manual Actions را نیز بررسی کنید تا مطمئن شوید جریمه دومی در انتظارتان نیست.

چقدر زمان می‌برد تا هشدار قرمز از نتایج گوگل حذف شود؟

پس از اینکه شما سایت را کاملاً پاکسازی کردید و «درخواست بازبینی» (Request Review) را در گزارش Security Issues ارسال نمودید، فرآیند بررسی توسط گوگل آغاز می‌شود.

• زمان‌بندی استاندارد: در صورت موفقیت‌آمیز بودن بازبینی (یعنی گوگل تایید کند که سایت پاک است)، هشدارهای امنیتی معمولاً ظرف ۲۴ تا ۷۲ ساعت از نتایج جستجو و مرورگرها حذف می‌شوند.
• عوامل موثر: این زمان می‌تواند متغیر باشد. در برخی موارد ساده، ممکن است ظرف چند ساعت انجام شود و در موارد پیچیده‌تر یا در زمان‌های ترافیک بالای بازبینی در گوگل، ممکن است چند روز بیشتر طول بکشد.

اقدام حیاتی: این بازه زمانی پس از تایید درخواست شما آغاز می‌شود، نه از لحظه‌ای که شما درخواست را ارسال می‌کنید. اگر درخواست شما به دلیل پاکسازی ناقص رد شود، این فرآیند متوقف شده و شما باید پس از رفع مشکل، مجدداً درخواست دهید.

جمع‌بندی (نتیجه‌گیری)

مواجهه با گزارش Security Issues یک بحران فنی است، اما کاملاً قابل مدیریت می‌باشد. موفقیت در این فرآیند به سه اقدام کلیدی بستگی دارد: شناسایی دقیق نوع آلودگی، پاکسازی کامل و ریشه‌ای (شامل فایل‌ها، دیتابیس و بستن حفره امنیتی) و ارسال درخواست بازبینی به صورت مستند و حرفه‌ای. همانطور که تشریح کردیم، بازگرداندن بک‌آپ قدیمی به تنهایی راه‌حل نیست و امنیت یک فرآیند مداوم شامل به‌روزرسانی، مانیتورینگ و پیشگیری است. با اجرای دقیق مراحل این راهنما، شما نه تنها هشدارهای امنیتی را رفع خواهید کرد، بلکه اعتبار (Trustworthiness) سایت خود را نزد گوگل و کاربران بازیابی می‌نمایید.