فواصل

شرح متكامل لحمايه مدونات ووردبريس من الاختراق

نصائح مهمة لحماية سكربت ووردبريس من الاختراق (متجدّد)


السلام عليكم ورحمة الله وبركاته

نقدم لكم بعض النصائح لحمايه مدوناتكم من الاختراق وكيفيه حمايه سكربت ووردبريس من الاختراق وعدم الوقوع به من اطفال النت

الشرح وافي جداً وبه دروس متفرعه ليكون مكتمل والكمال لله وحده اتمني لكم حمايه رائعه لمدوناتكم ووردبريس
هذه بعض النصائح أقدمها لكم على أمل أن تفيدكم في حماية مدوناتكم من عبث العابثين:

1. ضع حماية على المجلد wp-admin من خلال السي بانل بحيث اذا حاول أي شخص أن يدخل على اي ملف في هذا المجلد سوف يطلب منه اسم مستخدم ورقم سري.

2. استعمل ملف .htaccess حتى تحدد أي ip توجد له صلاحية للوصول الى مجلد wp-admin وذالك عن طريق وضع ملف .htaccess داخل مجلد wp-admin وتكتب به الامر التالي:

[html]</p>

<div style="text-align: center;">
<blockquote>
<pre dir="ltr"><LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000
</LIMIT></pre>
<pre dir="ltr">[/html]

00.000.00.000 : هنا تضع الاي بي الخاص بك وهو الاي بي الوحيد المسموح له بالوصول للمجلد. تستطيع أن تضيف أكثر من اي بي في قائمة السماح بواسطة اضافة أسطر جديدة. مثال:

[html]

<div style="text-align: center;">
<blockquote>
<pre dir="ltr"><LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000
allow from 11.111.11.111
allow from 22.222.22.222
</LIMIT></pre>
<pre dir="ltr">[/html]

أيضا هناك إضافة خاصة تفي بهذا الغرض اسمها wp-adminprotection
http://wordpress.org/extend/plugins/wp-adminprotection/

3. ضع ملف index فارغ بداخل مجلد ال plugins حتى لا يعرف احد ما هي الاضافات الموجودة في مدونتك حتى لا يستغل وجود اضافة معينة بها ثغرة. يمكنك ايضا أن تمنع عرض محتويات أي مجلد في موقعك بسهولة بواسطة ملف ال htaccess وذالك عن طريقة اضافة ملف htaccess للمجلد المطلوب وتكتب به الامر التالي:

[html]

<div style="text-align: center;">
<blockquote>
<pre dir="ltr">Options All -Indexes</pre>
<pre dir="ltr">[/html]

4. ادخل على مجلد القالب الذي تستعمله وافتح ملف header.php واحذف منه السطر:

****** name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

لا يوجد أي سبب أن يعرف أحد ما هي نسخة الووردبريس التي تستعملها.

5. قم بتغيير اسم المستخدم الافتراضي للوورديرس من admin الى اسم مستخدم اخر. العملية تتم من خلال ال phpmyadmin وهي مشروحة هنا:
http://blog.bindanaku.com/2007/03/ho…ault-username/
اذا لم ترغب بالتعديل من ال phpmyadmin هناك طريقة أخرى وهي إنشاء اسم مستخدم جديد بالمدونة وأن تعطيه كافة الصلاحيات ثم تسجل الدخول باسم المستخدم الجديد ومن ثم تحذف اسم المستخدم القديم (admin). عند الحذف يمكنك نقل جميع التدوينات والصفحات للمستخدم الجديد.

6. اضافة : اضافه Login LockDown لحمايه مدونتك من الاختراق

7. اشترك بخدمة ال rss لتحصل على اخر الملاحظات بخصوص اصدارات ووردبريس وهل توجد ثغرات أمنية.

الرابط:
http://wordpress.org/development/feed/

أيضا اعمل بحث في هذا الموقع عن كلمة wordpress حتى تفحص اذا في ثغرات معينة.

الرابط: http://www.exploit-db.com/search.php

8. متابعة موقع شرح موقع blogsecurity.net لذياده الامان في مدونتك .

9. ترقية الاضافات اول بأول وعدم التهاون. السبب الرئيسي في اختراق المدونات هو وجود ثغرات بالاضافات. حاول ان تستعمل الاضافات التي يتم تحديثها بشكل دوري اي بمعنى انها تنال على متابعة وتحديث من مبرمجها.

10. قم بإضافة المفاتيح الى ملف ال wp-config

[html]</p>

<div style="text-align: center;">
<blockquote>
<pre dir="ltr">define(‘AUTH_KEY’, ‘مفتاح’);
define(‘SECURE_AUTH_KEY’, ‘مفتاح’);
define(‘LOGGED_IN_KEY’, ‘مفتاح’);
define(‘NONCE_KEY’, ‘مفتاح’);</pre>
<pre dir="ltr">[/html]

مولد مفاتيح: http://www.ar-wp.com/t8849.html

 

ملاحظة: قبل الترقية التلقائية للمدونة إذا كنت تحتفظ بالملف wp-config.php خارج مجلد ال public_html عليك أن تعيده مؤقتاً إلى داخل المجلد حتى يتم التعرف على اللغة المستخدمة في لوحة التحكم الخاصة بك أثناء الترقية.

11. أضف الكود التالي لملف ال htaccess للمزيد من الحماية لملف wp-config

[html]

<div style="text-align: center;">
<blockquote>
<pre dir="ltr"><files wp-config.php>
Order deny,allow
deny from all
</files></pre>
<pre dir="ltr">[/html]

وبنفس الملف ضع الكود التالي للمزيد من الحماية لملف htaccess

[html]

<div style="text-align: center;">
<blockquote>
<pre dir="ltr"><Files .htaccess>
order allow,deny
deny from all
</Files></pre>
<pre dir="ltr">[/html]

12. ضع رقم سري للمدونة بحيث يكون مكون من أرقام وحروف انجليزية صغيرة وكبيرة ومن رموز مختلفة. لا تضع باسوورد سهل مثل عنوان مدونتك أو أرقام/حروف متتالية أو بجانب بعضها على الكيبورد. هنالك روبوتات يمكن تشغيلها لمحاولة الدخول الى لوحة تحكم المدونة وهذه الروبوتات تستعمل طريقة ال brute force بحيث تحاول ان تتكهن ما هو الباسوورد مستعملة ملايين التكهنات بل وأكثر.

الباسوورد يجب أن يكون شكله بهذا النمط:
dsDFG345@346!!dsf&e – يحتوي أرقم + حروف صغيرة وكبيرة + رموز + مكون من أكثر من 12 خانة

13. يمكنك أن تستعمل ssl في لوحة التحكم.
ما هو ال ssl ؟ اقرأ هنا: http://ar.wikipedia.org/wiki/%D8%B4%…85%D9%8A%D8%A9

لاستعمال ال ssl في لوحة التحكم أضف السطر التالي إلى ملف ال wp-config.php

[html]

<div style="text-align: center;">
<blockquote>
<pre dir="ltr">define(‘FORCE_SSL_ADMIN’, true);</pre>
<pre dir="ltr">[/html]

طبعاُ يجب أن يسمح مستضيفك لإمكانية إضافة ال ssl وإلا فلن تعمل معك.

Tags

عن

مطور مواقع ذو عقلية مرجعية مبدئية " متعصب للغلة العربية" أحلم بتطوير العالم العربى

مقالات ذات صلة

تعليق واحد

  1. zicrosoft
    23 سبتمبر, 2012 في 7:30 م - Reply

    الدرس جميل رغم انك غفلت بعض النقاط الاخرى الهامة في الحماية
    على اي درس مفيد للمبتدئين
    تشكر على كل حال

اضف رد

انقر هنا لإلغاء الرد.