أهلا بكم أعضاء ورواد منتدانا الحبيب
أسعد الله أوقاتكم بكل خير وسعادة
ارتأيت الى أن أضع بين أيديكم هدا الموضوع المخصص لشرح كيفية حماية موقعكم
المستعمل عليه سكربت الوردبريس
الى بركة الله
أولا وقبل كل شيئ سوف اشرح لكم بعض الأمور
واضع بين يديكم بعض النقاط والنصائح التي يجلها الكثير من الاخوة
1- عليك أن تستخدم شركة استضافة ذات حماية ممتازة:
ليس كل الشركات التي تعرض خدمات الأستضافة لديها القدرة الكافية من الحماية والدعم الفني.
أن تكون مع شركة ذات حماية عالية ودعم ممتاز أفضل بكثير من أن توفر دولار واحد
أو أكثر بقليل من أجل الحصول على أي إستضافة كانت.
يمكنك الذهاب إلى محرك البحث جوجل والبحث فيه عن مراجعات
أفضل شركات الأستضافة ذات الحماية الممتازة ثم تقارن وتختار المناسب لك.
عربيا هناك شركة المستضيفون العرب تقدم خدمة رائعة في هذا المجال.
2- التحديث أولاً بأول:
كل تحديث جديد يطرأ على الورد برس إما على المنصة نفسها أو القالب
أو حتى البلج ان هو يعني أن مشكلة ما قد حلت أو ثغرة قد سدت،
يجب عليك التحديث أول بأول دائما لتكون محمي من أي ثغرة.
3- استخدم كلمة سر قوية:
أكثر عمليات إختراق المواقع الورد برس وغيرها هو ضعف في كلمة السر.
تجنب مثلا كلمة أدمن أو أرقام سهلة مثل واحد الى ستة وغيرها من الكلمات والأرقام السهل تذكرها.
لا تضع أيضا إسمك الشخصي كلمة سر فالكل يعرف إسمك، لا تضع إسم موقعك كلمة سر فهذا خطأ كبير جدا.
وحاول وضع كلمة سر قوية يكون فيها مجموعة من حروف كبيرة وصغيرة وأرقام ورموز.
4- لا تعطي كلمة السر الى أي أحد كان:
أحيانا قد تحتاج الى طلب خدمة من شخص ما مثلا تصميم أو تعديل أو غيره،
المهم تجنب إعطاء ذلك الشخص نفس كلمة السر التي تستخدمها أنت في حال
ما إحتجت الى إعطائه الكلمة هذا طبعا بعد أن تكون واثق منه 100%.
يمكنك أن تغير الكلمة الى كلمة أخرى وبعد الأنتهاء من العمل ترجع الى الكلمة السابقة.
5- حاول أن لا يكون اسم المستخدم كلمة مثل admin.
كلمة admin معروفة عالميا أنها اسم مستخدم لهذا يجب أن تبتعد عنها.
حاول أن تستخدم اسم يصعب على الناس كشفه. كما يمكن أن تستخدم الشروط
التي ذكرنها سابقا في خطوة رقم 3 حول كلمة السر.
تذكر أيضا أن لا تضع اسم المستخدم ضمن البروفايل في الوردبرس.
6- أوقف المتطفلين عن حدهم:
هناك الكثير من الأشخاص قد يحاولون الدخول الى موقعك بسبب الهواية أو ربما بسبب إيذائك.
أغلب هولاء المتطفلين يحاولون الدخول كثيرا عبر لوحة التحكم
وذلك بتجربة عدة أسماء وعدة كلمات مرور.
هناك بلجن plugins أن مهمتها تقليل المحاولات لمثل هكذا أشخاص فبعد المحاولة 3 مرات
يتم إيقاف الشخص لمدة 24 ساعة من الدخول الى لوحة التحكم أو ربما نهائيا.
الأداة هي: Limit Login Attempts
7- أوقف التعديل من لوحة تحكم الورد برس:
الورد برس يسمح لك أن تعدل في أكواد القالب من داخل لوحة تحكم الورد برس.
تخيل أن شخصا ما قد وصل الى لوحة التحكم، من السهولة الأن أن يلعب بموقعك.
لكن يمكنك عبر الكود البسيط التالي أن تلغي خاصية التعديل على الموقع
من داخل لوحة تحكم الورد برس. ضع هذا الكود في مكان ما في ملف:
wp-config.php
define( ‘DISALLOW_FILE_EDIT’, true );
8-حاول أن تتجنب القوالب المجانية أو التحميل من المواقع المشبوهة:
مثل هكذا قوالب قد تحتوي على أكواد مشبوهة لذلك من المهم أن تتجنبها.
هناك الكثير من القوالب المدفوعة المحمية والممتازة وبسعر زهيد جدا.
9- نسخة إحتياطية
عمل نسخة احتياطية للموقع أمر ضروري جدا.
في حال لا سمح الله وتعرض موقعك لأختراق أو فقدت البيانات يمكنك بسرعة العودة إليها دون خوف.
10- إستخدام بلج ان من أجل حماية أكثر:
هناك الكثير من الإضافات التي تساعد على حماية موقعك بصورة أفضل
ومنها Captcha كابتشا أداة مهمة تضع سؤال للحماية عند الدخول الى الموقع او عند التعليق او عند التسجيل.
وهدفها إيقاف برامج البوت التي ممكن أن يستعملها البعض في إختراق موقعك.
Limit Login Attempts تكلمنا عنها سابقا ومهمتها إيقاف المتطفلين من الدخول الى موقعك.
iThemes Security هذه الأداة لديها قدرة عالية على حماية موقعك الوردبرس.
مثلا تقوم بأيقاف الأشخاص الذين يحاولون إختراق موقعك.
تقوم أيضا بتغير رابط الدخول الى موقعك فبدل أن يكون هكذا:
aaa.aaa/wd-admin
يكون هكذا مثلا:
aaa.aaa/xxx
طبعا يمكنك الذهاب الى تلك الأداة وتجربتها والتعرف عليها أكثر.
11- ممكن الأستعانة بشركات الحماية:
هناك العديد من شركات الحماية التي تحمي موقعك من أي تهديد
وتعمل نسخ إحتياطية لموقعك له مقابل مبلغ مالي ميسور.
الأستعانة بمثل هكذا شركات أمر مهم.
12- لا تقلق
لا تقلق بشأن موضوع الحماية . أنت لديك موقع وعمل استمر بعملك بشكل طبيعي ولا تخف أبدا.
طبق الخطوات بالأعلى وتوكل على الله في عملك.
-
- حماية مجلد Wp-admin
هذه الخطوة تتمثل في تحديد عنوان ايبي واحد من اجل تسجيل الدخول إلى مسار wp-admin
هكذا فإنك ستمنع الهاكر من تخمين باسورد دخول الادمن كون
انه يجب عليه ان يكون عنده نفس الايبي الذي قمت بتحديده في ملف htaccess.
طبعا إذا كان لذيك ايبي متغير فيجب عليك تغيره في كل مرة على ملف htaccess.
عن طريق FTP أو الـ CPANEL
قبل تسجيل الدخول وذلك بإنشاء ملف جديد htaccess.
تم إضافة هذه القيم
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Wordpress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
allow from
--
نقطة ثانية التي يمكنك كذلك إتباعها في حالة إن كان عندك عدة مدراء للموقع
هي عن طريق وضع جذار ناري للملف من خلال Cpanel
الموقع حيث بعد ولوجك لـ Cpanel
انقر على تبويب Password Protect Directories .
كما في الصورة
----------------------------------------
إختر المجلد الذي تود حمايته ضع إسم مستخدم وباسورد
عليه عند الرغبة في الدخول إلى مجلد Wp-admin
سيطلب منك اولا إدخال إسم مستخدم وكلمة مرور قبل السماح لك بالدخول إلى الملف
عند محاولة فتح الرابط sss.xx/wp-admin
وتسجيل الدخول بإسم الدخول وباسورد إدارة مدونة ووردبريس
--------------------------------------------
حماية ملف wp-config.php
هذا الملف هو مسؤول عن إتصال المدونة مع سرفر الموقع ،
كما ان هذا الملف يتضمن بيانات حساسة للموقع كمعلومات قاعدة البيانات،
يجب عليك حمايتها عن طريق ملف htaccess.
وذلك بإنشاء ملف جديد htaccess. وإضافة هذه البيانات
# protect wpconfig.php
order allow,deny
deny from all
------------------------------------------
منع تصفح المسارات
من النقاط المهمة التي يجب عليك كذلك تتطبيقها على مدونتك هو منع الزوار من تصفح مسارات الموقع
لان بذلك تسمح للمهاجم ان يتعرف اكثر على الإضافات المتواجدة في مدونتك وإصداراتها ...
لهذا لكي نمنع تصفح المسار يكفي ان تقوم بإضافة هذا السطر إلى ملف htaccess.
الذي قمت بإنشائه
Options -Indexes
---------------------------------------------
يتوفر هذا الملف على إضافات الموقع ، الصور ، القوالب ،
وعليه يمكن للهاكر ان يبحث عن ثغرات الإضافات المتواجدة في موقعك لهذا ،
ولكي نمنعه من تصفح هذا المسار يجب عليك إضافة هذه الاسطر في الاسفل إلى ملف htaccess.
Order deny,allow
Deny from all
Allow from all
--------------------------------------------------------
حماية htaccess.
يمكنك انها فكرة جنونية ولكنها ضرورية من اجل إخفاء ملف htaccess.عن اعين الهاكر ،
او توهيمهم انه لايوجد ملف من اجل تضيع وقتهم في الفراغ ، ويكون ذلك عن طريق إخفاء اي كلمة تبتدأ بــ hta ،
فقط قم بإضافة هذا السطر إلى ملف
order allow,deny
deny from all
satisfy all
----------------------------------------
الإضافات Plugins
من الفخاخ التى يقع فيها كذلك المدونون على مدونات الوورد بريس هو كثرة إستعمال الإضافات plugins
مما يجعل الموقع اكثر تهديدا مدام ان الهاكرز يبحثون كذلك عن الثغرات الامنية المتواجدة في هذه الإضافات
والتي تسمح لهم بإختراق مدونتك ، وعليه يجب عليك ان تستعمل فقط الإضافات المشهورة
والتي تحدث بإسمترار بل وانصحك في حالة كانت مدونتك معروفة الا تستخدم إلا الإضافات الغير مجانية
او المبرمجة خصيصا لك والتي تحضىبالدعم والتحديث ،
وكذلك التقليل من الإضافات على قدر المستطاع من اجل تقليل المخاطر .
حذف إصدار الوردبريس
وهذا امر ضروري لكي تمنع الهاكر من الوصول إليك عن طريق محركات البحث ، خصوصا جوجل ،
حيث ان الهاكر بعد ان يكتشف او يحصل على ثغرة خاصة بإصدار معين للورود بريس
يشرع في البحث عن المدونات التي تستعمل نفس الإصدار عن طريق البحث عن مايسمى ب dork
هذا الاخير الذي سيضهر له جميع المدونات التي تستعمل نفس الاصدار
وسيشرع في إستغلال الثغرة على المدونات واحدة تلو الاخرى
وهناك إحتمال كبير ان تكون مدونتك كذلك من الضحايا وعليه يجب عليك حذف إصدار المدونة
عن طريق الذهاب إلى الملف -- # وصلة ممنوعة 1778 # --s.php تم إضافة السطر الاتي :
remove_action('wp_head', 'wp_generator');
الحماية من هجمات SQLi
من الهجمات الاكثر تنفيذا من طرف الهاكر حيث يحاول الوصول إلى قاعدة بيانات الموقع عن طريق حقن اكواد في روابط المدونة
او كذلك من خلال مدخلات في الموقع وعليه لمنع هذه الهجمات توجه اولا إلى هذا المسار في مدونتك : wp-content/plugins
قم بإضافة مجلد بإسم blocksqli تم داخل الملف اضف ملف blocksqli.php والذي سيحتوي على الكود الاتي :
global $user_ID;
if($user_ID) {
if(!current_user_can('level_10')) {
if (strlen($_SERVER['REQUEST_URI']) > 255) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
}
}
if (strpos($_SERVER['REQUEST_URI'], "-- # وصلة ممنوعة 1775 # --(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64")) {
@header("HTTP/1.1 414 Request-URI Too Long");
@header("Status: 414 Request-URI Too Long");
@header("Connection: Close");
@exit;
}
?>
كما تلاحظ فإننا قمنا بإضافة plugin للمدونة لحمايتها من هجمات sqli ماعليك الان إلى تفعيل الإضافة لوحة تحكم الموقع .
تحديث المدونة
من الامور الاساسية التي يجب عليك إتابعها ،
هي تحديث المدونة دائما إلى آخر إصدار فهذا يجعلك دائما في اقصى حماية من الثغرات الامنية ،
لهذا يجب عليك دائما متابعة جديد إصدارات مدونات ووردبريس
إما من خلال موقع مدونة الووردبريس الرسمية او من خلال مدونات تقنية اخرى او منتديات
الثغرات الامنية
تطفوا إلى سطح من حين إلى آخر بعض الثغرات الامنية في مدونات ووردبريس ،
لهذا يجب عليك ان تبقي عينيك مفتوحة دائما على بعض المواقع التي تنشر اخبار الثغرات الامنية
واشهرها موقع exploit-db الاخير الذي يساعدك على معرفة جديد الثغرات الامنية المتواجدة في الانترنت ،
كما يمكنك إستعمال بعض الاضافات الضرورية والتي تعمل على مسح المدونة scan
من اي ثغرات امنية قد تتواجد بها وانصحك بهذه الإضافات المشهورة :
Exploit Scanner
Ultimate Security Checker
الحماية من محرك البحث جوجل :
مادمنا نتحدث عن الإختراق العشوائي فهذا يعني انه يجب عليك حماية مدونتك من محرك البحث جوجل ،
الاخير الذي يساعد الهاكرز بشكل كبير على الإختراق عن طريق الحصول على معلومات حساسة ،
يتم ارشفتها في Google ، لهذا وجب عليك ان تحمي المسارات الحساسة في موقعك
من ان يتم ارشفتها في محرك البحث جوجل عن طريق إضافة هذا السطر إلى ملف robot.txt في موقعك .
User-Agent: *
Disallow: /wp-*
-
- 
23/8/2017, 21:53
27/6/2015, 14:16
هام جداً: قوانين المساهمة في المواضيع. انقر هنا للمعاينة 
