هذا الموضوع يحتوي على 5 ردود و 5 مشاركون وتمّ تحديثه آخر مرة بواسطة  يحيى أوهيبة قبل 6 سنوات، 1 شهر.

أضف رد جديد
الحالة: ليس طلب دعم
  • منشئ
    موضوع
  • #6093

    السلام عليكم

    اليوم قررت تخصيص بعض وقت لكل أصحاب مواقع الجدد أو قدمي المستخدمين لنسخة wp ، شئ أكثر أهمية بنسبة لأصحاب مواقع قبل إختيار سكربت إدارة محتوي أو تدوين وهو الحماية ، بنسبة wp لاحظت كثير من أصحاب مواقع يستخدمون إضافة إخفاء نوع سكربت و إصدار خوفا من هاكر لأن بنسبة لهم نسخة wp ضعيفة حماية ، للأسف مفهوم خطاء ، هل تصدق أن أكبر شركة تبرمج سكربتات خاصة و تصرف ألف دولار لتأمين منظومة حماية شهاريا ، الأن سوف أشركوكم أهم عملية التي قمت بها لتأمين مدونتي كـ شركة كبري و التي سوف ستحمي مدونتك 95% بإذن الله.

    – سؤال شائع حول ملف .htaccess ؟ أين يوجد ملف .htaccess ؟

    ملف .htaccess يكون في العادة في المجلد الرئيسي للموقع او السكربت المستخدم !
    ووردبريس في هذه الحالة يحتوي علي ملفيين ، يوجد ملف أول في المجلد الرئيسي و ثاني في مجلد أدمين !

    – في هدا شرح سوف نستهدف ملف .htaccess مسؤول عن بعض أوامر الحماية للملفات من إختراق :

    بنسبة عند تثبيت المدونة لأول مرة غير بادئة الجدول (prefix) بإضافة بعض الحروف أو الارقام لتمنع استغلال الثغرات في حقن قاعدة البيانات (zero-day SQL Injection) .

    إذا كنت مثبت الWordPress حاليا فهناك إضافة تمكنك من تغيير بادئة الجدول مثل WP Security Scan

    – الأن سوف نبدأ بإضافة أكواد حماية داخل ملف .htaccess أتمني تركيز حتي لا يحدث خطاء حتي ولو بسيط لأن ملف .htaccess حسس جدا وقد يعرقل عمل مواقع :

    لتذكير ملف .htaccess يكون في العادة في المجلد الرئيسي للموقع او السكربت المستخدم (ووردبريس في هذه الحالة). افتح الملف والصق هذا الكود فيه.

    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
    

    هذه الطريقة تساعد في الحماية من scripts injection و هجمات _REQUEST او GLOBALS.

    – احصر الدخول للوحة التحكم لل IP الخاص بك فقط عن طريق اضافة الكود التالي لملف htaccess. الموجود في مجلد wp-admin

    * مع مراعاة تغيير xxx.xxx.xxx.xxx لل IP الخاص بك.

    Order Deny,Allow
    Deny from all
    Allow from xxx.xxx.xxx.xxx
    

    – حماية ملف (wp-config), هذا الملف يحتوي على معلومات قاعدة البيانات مثل اسم المستخدم والباسورد لذلك يجب حمايته جيداً, وإخفائه عن الجميع, قم بوضع هذا الكود في ملف htaccess.

    # protect wp-config.php
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>
    

    – قم بمنع محركات البحث من ارشفة محتويات المجلدات الداخلية للمدونة مثل الإضافات أو القوالب, لأنك بذلك ستكون قد سهلت عملية الإختراق بسماحك للملفات بالظهور, قم بإضافة الكود التالي لملف robots.txt في المجلد الرئيسي للمدونة, قم بإنشاء الملف إن لم يكن موجود.

    User-agent: *
    Disallow: /cgi-bin
    Disallow: /wp-*
    

    – عرض الملفات التي بداخل المجلدات تشكل خطر حقيقي, لانها تكشف محتويات المدونة, قم بإضافة الكود التالي لملف htaccess.

    # disable directory browsing
    Options All -Indexes
    

    * هذه أهم أكواد خاصة بـ htaccess. لحمايته من إختراق.

    – سوف ننتقل أن لبعض إضافات أستعملها شخصيا لزيادة حماية مدونتك :

    * استعمل إضافة Login Lockdown , وظيفة عملها هو منع اكثر من مثلاً 5 محاولات دخول خاطئة للوحة التحكم ( مشكل شائع في هذه إضافة عند محاولة إختراق يتوقف موقعك 60 دقيقة تلقائيا ، يمكن أن تغيير وقت من إعدادت إذا كنت تري أنها لا تنسبك أو أحيانا تخطئ في دخول )

    * احمي مدونتك من الأكواد الخبيثة مثل eval, base64 بفضل هذه الإضافة Block Bad Queries فقط قم بتنصيبها وستعمل على اكمل وجه.

    * لفحص تصاريح الملفات, و فحص مدى فاعلية حماية مدونتك , قم بتنصيب WP Security Scan

    – مع هذا الشرح ستحمي مدونتك 95% بإذن الله، ارجو إبداء الرأي من ملاحظات أو تعديلات أو نصائح أخرى

    ربما تحتاج خدمات ووردبريس مدفوعة؟ ندعوك لزيارة عرب ووردبريس بريميوم - الفرع التجاري الرسمي لموقع عرب ووردبريس.

الوسوم: ,

مشاهدة 5 ردود - 1 حتى 5 (من مجموع 5)
  • الكاتب
    الردود
  • #6122

    nabil_kadimi
    Participant

    وعليكم السلام،

    مشاركة طيبة يا أخي (أختي؟؟)

    Disallow: /wp-*

    هذه ستمنع الصور كذلك.

    Allow from xxx.xxx.xxx.xxx

    هذه لن تعمل إذا كان عندك عنوان IP متغير باستمرار.

    # protect wp-config.php
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>

    إذا كنت تحتاج إلى إضافة هذه فبصراحة ينبغي تغيير شركة الاستضافة، أفضل شيء لحماية قاعدة البيانات هو فتح mysqld مع استعمال –skip-networking، في هذه الحالة لن يستطيع القرصان البائس دخول قاعدة بياناتك ولو أعطيته كلمة مرورك لها…مع استثناء حالة دخوله إلى خادمك من ثغرة في مكان مكان وبدء القرصنة من تلك الثغرة.

    الملفات وقاعدة البيانات
    جل المواقع قابلة للقرصنة (FBI, SONY, FOX , Debian, PYTHON, PUREFTP..) تبقى أحسن وسائل للوقاية:
    * نسخ المعلومات تلقائيا كل يوم
    * تشفير كلمات المرور (يقوم بها WP تلقائيا)
    * مراقبة المبيعات والدفع يدويا (للمتاجر فقط)
    * …

    والله الموفق

    #6132

    وعليكم السلام،

    مشاركة طيبة يا أخي (أختي؟؟)

    هذه ستمنع الصور كذلك.

    هذه لن تعمل إذا كان عندك عنوان IP متغير باستمرار.

    إذا كنت تحتاج إلى إضافة هذه فبصراحة ينبغي تغيير شركة الاستضافة، أفضل شيء لحماية قاعدة البيانات هو فتح mysqld مع استعمال –skip-networking، في هذه الحالة لن يستطيع القرصان البائس دخول قاعدة بياناتك ولو أعطيته كلمة مرورك لها…مع استثناء حالة دخوله إلى خادمك من ثغرة في مكان مكان وبدء القرصنة من تلك الثغرة.

    الملفات وقاعدة البيانات
    جل المواقع قابلة للقرصنة (FBI, SONY, FOX , Debian, PYTHON, PUREFTP..) تبقى أحسن وسائل للوقاية:
    * نسخ المعلومات تلقائيا كل يوم
    * تشفير كلمات المرور (يقوم بها WP تلقائيا)
    * مراقبة المبيعات والدفع يدويا (للمتاجر فقط)
    * …

    والله الموفق

    أخوك أنس
    بنسبة للكود لن تحجب صور.
    بنسبة للكود ثاني إستعمال إبي قار للحاسوب و ليس إبي الأنترنت المتغيير.
    بنسبة للكودwp-config.php قد يكون ضروري للاستضافة مجانية التي لا تفعل تكون محدودة حماية

    #6137

    مشكور على الموضوع اخي

    #7306

    KingSOL
    Participant

    تبقى خطوة اولية للحماية
    على العموم الملف جيد

    #9621

    الموضوع مهم وجدير بالاهتمام والتطبيق معا غير أن لي سؤال له علاقة بالملف htaccess
    أبحث عن كيفية منع الطباعة وتحميل صفحات المدونة من خلال هذا الملف
    مع خالص التحية والتقدير لجميع

مشاهدة 5 ردود - 1 حتى 5 (من مجموع 5)

يجب تسجيل الدخول للرد على هذا الموضوع.

الحالة: ليس طلب دعم