هفتهی گذشته تیم امنیتی Magefix دو وبسایت وردپرسی آلوده را شناسایی کرد که حاوی فایل مشکوک postnews.php بودند. بررسیها نشان داد این فایل از سرور 45.195.56.92 فراخوانی میشود و با دامنههای مخرب sl-station.spub[.]info و lwj92.fared[.]info ارتباط دارد. این آلودگی معمولاً بخشی از حملات SEO Spam Malware است که هدف آن تزریق لینکهای اسپم و سرقت ترافیک از سایت قربانی میباشد.
postnews.php دقیقا چیست؟
فایل postnews.php در ظاهر یک اسکریپت انتشار خبر است اما در واقع یک بکدور (Remote Access Backdoor) محسوب میشود. این فایل میتواند:
- از منابع خارجی کدهای مخرب دانلود کند.
- دستورات پنهان موجود در متغیرهای
ARRAYرا اجرا نماید. - برای مخفیسازی خود از چندین لایه رمزگذاری مانند character map، JSON، base64 و تأیید MD5 استفاده کند.
به همین دلیل شناسایی آن توسط آنتیویروسهای معمولی سخت است و معمولاً همراه با فایلهای دیگر مثل style.php و wp_wlx.php دیده میشود.
علائم آلودگی سایت
اگر هر یک از فایلهای زیر در ریشه وردپرس یا پوشههای سیستمی دیده شد، به احتمال بسیار زیاد سایت شما هک شده است:
postnews.phpstyle.phpwp_wlx.php- تغییرات غیرعادی در
index.phpیا.htaccess
در این مواقع گوگل هنگام بررسی سایت، هشدار امنیتی یا خطای “This site may be hacked” را نمایش میدهد.
نحوه پاکسازی فایل postnews.php
- قبل از هر چیز بکآپ کامل بگیرید از تمام فایلها و دیتابیس (حتی فایلهای آلوده).
- نصب وردپرس را از یک نسخه سالم و معتبر بازسازی کنید.
- فایلهای مشکوک را حذف و با فایلهای تمیز جایگزین نمایید.
- افزونهها و قالبهای نصبشده را از منبع رسمی وردپرس دوباره دانلود کنید.
- پس از اتمام پاکسازی، در Google Search Console سایت را ثبت کرده و بخش Security Issues را بررسی کنید.
- در صورت وجود اخطار یا “Manual Action”، یک درخواست بازبینی (Reconsideration Request) ارسال کنید.
اقدامات امنیتی پس از حذف بدافزار
- تغییر رمزهای عبور همه کاربران، بهویژه مدیران.
- بررسی فایلهای
wp-config.phpو.htaccessبرای کدهای تزریقی. - محدود کردن دسترسی FTP و SSH.
- نصب افزونه امنیتی مانند Wordfence یا Sucuri Security.
- فعالسازی نظارت مداوم بر فایلها با افزونههای File Integrity Monitor.
نمونه لاگ سرور در حملات مرتبط با postnews.php
45.195.56.92 – – [02/Oct/2025:15:42:33 +0200] “POST /postnews.php HTTP/1.1” 200 1180 “https://www.google[.]com/”
94.131.9.41 – – [02/Oct/2025:12:26:15 +0200] “GET /wp_wlx.php HTTP/1.1” 200 34836 “-”
وجود چنین درخواستهایی در لاگ سرور نشانه اجرای کدهای مخرب و ارسال اطلاعات به سرور هکر است.
جمعبندی
فایل postnews.php یکی از بدافزارهای خطرناک در وردپرس است که با هدف دسترسی از راه دور و تزریق اسپم طراحی شده است. اگر این فایل را در هاست خود مشاهده کردید، بدون تردید سایت شما آلوده شده و باید فوراً آن را پاکسازی و بازسازی کنید.
CTA (پایان مقاله – تشویق کاربر)
اگر شک دارید سایتتان آلوده شده باشد یا فایل مشکوکی در هاست مشاهده کردهاید، از ابزار رایگان Magefix Site Check استفاده کنید و گزارش امنیتی دقیق بگیرید.
