منير7
15-09-2015, 02:08 PM
في هذا الموضوع سنتطرق لموضوع يشغل جميع مستعملي منصة ووردبريس و هو كيفية حماية مدونتهم أو موقعهم ، بما أن الوقاية خير من العلاج،فسنبدأ الموضوع بالأساليب التي تساعد على حماية موقعك من الإختراق.
http://4.bp.blogspot.com/-cEXVYMG_aCg/Vei-qZlZ6gI/AAAAAAAAShI/OWnJWmzs-hI/s1600/ataque-wordpress.png
الإجراء الأول: عند تنصيب ووردبريس يستحسن تغيير جداول قاعدة البيانات من wp_ إلى رمز ليست له علاقة بإسم أو مجال موقعك لهذا الغرض يمكنك إستعمال الاضافة Change Database Prefix
الإجراء الثاني: تغيير الرابط المؤدي إلى صفحة ولوج إدارة الموقع، . بمعنى أنه لا يمكنك ولوج صفحة الإدارة عبر الرابط المعتاد و إنما عبر رابط خاص يكون مجهولا من طرف الجميع ما عدا مدير أو مدراء الموقع،يمكن إضافة هذه الخاصية عن طريق برمجتها في .htaccessأو بواسطةالإضافة التالية: Move Login
الإجراء الثالث: إختيار كلمة مرور معقدة بالنسبة لمدير الموقع بحيث يصعب تخمينها من الأفضل أن يحتوي على حروف و أرقام ورموز مثال: ahgYHT12_/ ?
الإجراء الرابع: تفادي هجمات التخمين:يستعمل بعض القراصنة برامج لتخمين كلمة المرور؛لدى فسيكون من المفيد جدا تحديد عدد المحاولات الفاشلة لإدخال كلمة المرور،و منع المحاولات عند تجاوزها ستقوم بالتوصل برسالة إلكترونية تحتوي على الآيبي الخاص بالجهاز الذي يحاول الولوج إلى حسابك، في حال ما كان الجهاز غريبا تقوم بمنعه من الولوج إلى الموقع؛يمكنك الإستفادة من هذه الخاصية بإستعمال الإضافة Limit Login Attempts
الإجراء الخامس: قم بتنصيب آخر إصدارات ووردبريس و إهتم بالتحديث المستمر لووردبريس و الإضافات لأنها في الغالب تصدر لتصحيح ثغرات أمنية تم إكتشافها
الإجراء السادس: مسح الميتا تاج التي تحتوي على كود إصدار الووردبريس،لأن هناك مواقع تتيح لك إمكانية إكتشاف الثغرات الخاصة بكل إصدار يكفي أن تتدرج الكود الخاص به.
فتح قم بفتح الصفحة header.php و مسح الكود التالي :
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
الإجراء السابع: البحث في مدلولات التصاريح قبل إعطائها للملفات فمثلا لا يجب إعطاء التصريح 777 لأي ملف؛لأن هذا التصريح يسمح بالقراءة و الكتابة على الملف. و للحصول على قدر كافي من الحماية أقترح تغيير تصاريح الصفحات إلى 404 أو 444 و المجلدات إلى 505 أو 555.و يجدر البدء بتغيير تصريح .htaccess و wp-config.php إلى 404.
الإجراء الثامن: يمكن الإستعانة بالإضافة askapache password protect لحماية ملف admin ،فهو يقوم بخلق جدار ناري يمنع محاولات الإختراق.
الإجراء التاسع: البحث بإستمرار عن الإضافات التي تم إكتشاف ثغراتها من أجل تحديثها أو حذفها، و إجراء مسح دوري للموقع أو المدونة لإكتشاف أي ثغرات أمنية بإستعمال إضافات مثل wp security scan
و تبقى آخر نصيحة هي الإحتفاظ بنسخة إحتياطية للموقع حيث يمكن أخذ نسخة لآخر تحديث للموقع كل تلاثة أيام أو كل أسبوع، هذه المدة تختلف من موقع لآخر؛ يمكن إستعمال الإضافة wp db backup .
http://4.bp.blogspot.com/-cEXVYMG_aCg/Vei-qZlZ6gI/AAAAAAAAShI/OWnJWmzs-hI/s1600/ataque-wordpress.png
الإجراء الأول: عند تنصيب ووردبريس يستحسن تغيير جداول قاعدة البيانات من wp_ إلى رمز ليست له علاقة بإسم أو مجال موقعك لهذا الغرض يمكنك إستعمال الاضافة Change Database Prefix
الإجراء الثاني: تغيير الرابط المؤدي إلى صفحة ولوج إدارة الموقع، . بمعنى أنه لا يمكنك ولوج صفحة الإدارة عبر الرابط المعتاد و إنما عبر رابط خاص يكون مجهولا من طرف الجميع ما عدا مدير أو مدراء الموقع،يمكن إضافة هذه الخاصية عن طريق برمجتها في .htaccessأو بواسطةالإضافة التالية: Move Login
الإجراء الثالث: إختيار كلمة مرور معقدة بالنسبة لمدير الموقع بحيث يصعب تخمينها من الأفضل أن يحتوي على حروف و أرقام ورموز مثال: ahgYHT12_/ ?
الإجراء الرابع: تفادي هجمات التخمين:يستعمل بعض القراصنة برامج لتخمين كلمة المرور؛لدى فسيكون من المفيد جدا تحديد عدد المحاولات الفاشلة لإدخال كلمة المرور،و منع المحاولات عند تجاوزها ستقوم بالتوصل برسالة إلكترونية تحتوي على الآيبي الخاص بالجهاز الذي يحاول الولوج إلى حسابك، في حال ما كان الجهاز غريبا تقوم بمنعه من الولوج إلى الموقع؛يمكنك الإستفادة من هذه الخاصية بإستعمال الإضافة Limit Login Attempts
الإجراء الخامس: قم بتنصيب آخر إصدارات ووردبريس و إهتم بالتحديث المستمر لووردبريس و الإضافات لأنها في الغالب تصدر لتصحيح ثغرات أمنية تم إكتشافها
الإجراء السادس: مسح الميتا تاج التي تحتوي على كود إصدار الووردبريس،لأن هناك مواقع تتيح لك إمكانية إكتشاف الثغرات الخاصة بكل إصدار يكفي أن تتدرج الكود الخاص به.
فتح قم بفتح الصفحة header.php و مسح الكود التالي :
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
الإجراء السابع: البحث في مدلولات التصاريح قبل إعطائها للملفات فمثلا لا يجب إعطاء التصريح 777 لأي ملف؛لأن هذا التصريح يسمح بالقراءة و الكتابة على الملف. و للحصول على قدر كافي من الحماية أقترح تغيير تصاريح الصفحات إلى 404 أو 444 و المجلدات إلى 505 أو 555.و يجدر البدء بتغيير تصريح .htaccess و wp-config.php إلى 404.
الإجراء الثامن: يمكن الإستعانة بالإضافة askapache password protect لحماية ملف admin ،فهو يقوم بخلق جدار ناري يمنع محاولات الإختراق.
الإجراء التاسع: البحث بإستمرار عن الإضافات التي تم إكتشاف ثغراتها من أجل تحديثها أو حذفها، و إجراء مسح دوري للموقع أو المدونة لإكتشاف أي ثغرات أمنية بإستعمال إضافات مثل wp security scan
و تبقى آخر نصيحة هي الإحتفاظ بنسخة إحتياطية للموقع حيث يمكن أخذ نسخة لآخر تحديث للموقع كل تلاثة أيام أو كل أسبوع، هذه المدة تختلف من موقع لآخر؛ يمكن إستعمال الإضافة wp db backup .