نصائح مهمة لحماية مدونتك من الاختراق (متجدّد)

رشيد · #1 01-18-2008, 07:00 PM

السلام عليكم ورحمة الله وبركاته

هذه بعض النصائح أقدمها لكم على أمل أن تفيدكم في حماية مدوناتكم من عبث العابثين:

1. ضع حماية على المجلد wp-admin من خلال السي بانل بحيث اذا حاول أي شخص أن يدخل على اي ملف في هذا المجلد سوف يطلب منه اسم مستخدم ورقم سري.

2. استعمل ملف .htaccess حتى تحدد أي ip توجد له صلاحية للوصول الى مجلد wp-admin وذالك عن طريق وضع ملف .htaccess داخل مجلد wp-admin وتكتب به الامر التالي:

كود:

<LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000
</LIMIT>

00.000.00.000 : هنا تضع الاي بي الخاص بك وهو الاي بي الوحيد المسموح له بالوصول للمجلد. تستطيع أن تضيف أكثر من اي بي في قائمة السماح بواسطة اضافة أسطر جديدة. مثال:

كود:

<LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000
allow from 11.111.11.111
allow from 22.222.22.222
</LIMIT>

أيضا هناك إضافة خاصة تفي بهذا الغرض اسمها wp-adminprotection
http://wordpress.org/extend/plugins/wp-adminprotection/

3. ضع ملف index فارغ بداخل مجلد ال plugins حتى لا يعرف احد ما هي الاضافات الموجودة في مدونتك حتى لا يستغل وجود اضافة معينة بها ثغرة. يمكنك ايضا أن تمنع عرض محتويات أي مجلد في موقعك بسهولة بواسطة ملف ال htaccess وذالك عن طريقة اضافة ملف htaccess للمجلد المطلوب وتكتب به الامر التالي:

كود:

Options All -Indexes

4. ادخل على مجلد القالب الذي تستعمله وافتح ملف header.php واحذف منه السطر:

كود:

****** name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

لا يوجد أي سبب أن يعرف أحد ما هي نسخة الووردبريس التي تستعملها.

5. قم بتغيير اسم المستخدم الافتراضي للوورديرس من admin الى اسم مستخدم اخر. العملية تتم من خلال ال phpmyadmin وهي مشروحة هنا:
http://blog.bindanaku.com/2007/03/ho...ault-username/
اذا لم ترغب بالتعديل من ال phpmyadmin هناك طريقة أخرى وهي إنشاء اسم مستخدم جديد بالمدونة وأن تعطيه كافة الصلاحيات ثم تسجل الدخول باسم المستخدم الجديد ومن ثم تحذف اسم المستخدم القديم (admin). عند الحذف يمكنك نقل جميع التدوينات والصفحات للمستخدم الجديد.

6. اضافة Login LockDown

7. اشترك بخدمة ال rss لتحصل على اخر الملاحظات بخصوص اصدارات ووردبريس وهل توجد ثغرات أمنية.

الرابط:
http://wordpress.org/development/feed/

أيضا اعمل بحث في هذا الموقع عن كلمة wordpress حتى تفحص اذا في ثغرات معينة.

الرابط:
http://www.milw0rm.com/search.php

8. متابعة موقع blogsecurity.

9. ترقية الاضافات اول بأول وعدم التهاون. السبب الرئيسي في اختراق المدونات هو وجود ثغرات بالاضافات. حاول ان تستعمل الاضافات التي يتم تحديثها بشكل دوري اي بمعنى انها تنال على متابعة وتحديث من مبرمجها.

10. قم بإضافة المفاتيح الى ملف ال wp-config

كود:

define('AUTH_KEY',        'مفتاح');
define('SECURE_AUTH_KEY', 'مفتاح');
define('LOGGED_IN_KEY',   'مفتاح');
define('NONCE_KEY',       'مفتاح');

مولد مفاتيح: http://www.ar-wp.com/t8849.html

11. يمكنك نقل ملف ال wp-config الى مجلد أعلى بحيث لا يستطيع أن يصل إليه أي زائر.
مثلا اذا قمت بتركيب مدونتك بداخل مجلد ال public_html وملف ال wp-config كان بداخل ال public_html , قم بنقله إلى مجلد واحد فوق ال public_html. ووردبريس يستطيع أن يجد الملف حتى لو قمت بنقله.
شاهد الشرح بالصورة: http://www.ar-wp.com/attachment.php?...1&d=1233273025

ملاحظة: قبل الترقية التلقائية للمدونة إذا كنت تحتفظ بالملف wp-config.php خارج مجلد ال public_html عليك أن تعيده مؤقتاً إلى داخل المجلد حتى يتم التعرف على اللغة المستخدمة في لوحة التحكم الخاصة بك أثناء الترقية.

12. أضف الكود التالي لملف ال htaccess للمزيد من الحماية لملف wp-config

كود:

<files wp-config.php>
Order deny,allow
deny from all
</files>

وبنفس الملف ضع الكود التالي للمزيد من الحماية لملف htaccess

كود:

<Files .htaccess>
order allow,deny
deny from all
</Files>

13. ضع رقم سري للمدونة بحيث يكون مكون من أرقام وحروف انجليزية صغيرة وكبيرة ومن رموز مختلفة. لا تضع باسوورد سهل مثل عنوان مدونتك أو أرقام/حروف متتالية أو بجانب بعضها على الكيبورد. هنالك روبوتات يمكن تشغيلها لمحاولة الدخول الى لوحة تحكم المدونة وهذه الروبوتات تستعمل طريقة ال brute force بحيث تحاول ان تتكهن ما هو الباسوورد مستعملة ملايين التكهنات بل وأكثر.

الباسوورد يجب أن يكون شكله بهذا النمط:
dsDFG345@346!!dsf&e - يحتوي أرقم + حروف صغيرة وكبيرة + رموز + مكون من أكثر من 12 خانة

14. يمكنك أن تستعمل ssl في لوحة التحكم.
ما هو ال ssl ؟ اقرأ هنا: http://ar.wikipedia.org/wiki/%D8%B4%...85%D9%8A%D8%A9

لاستعمال ال ssl في لوحة التحكم أضف السطر التالي إلى ملف ال wp-config.php

كود:

define('FORCE_SSL_ADMIN', true);

طبعاُ يجب أن يسمح مستضيفك لإمكانية إضافة ال ssl وإلا فلن تعمل معك.

15. تغيير بادئة الجداول الافتراضية في قاعدة البيانات.
الشرح: http://www.ar-wp.com/t18807.html

المزيد من النصائح هنا.
وهنا أيضاً: http://www.ar-wp.com/t16486.html

بالتوفيق.

A.M.J.A.D · #2 01-18-2008, 07:18 PM

مشكور اخوي رشيد

افكار ممتازه للحمايه

أبو مروان · #3 01-18-2008, 07:21 PM

بارك الله فيك أخي رشيد

أولا بخصوص الايباهات فلا يمكني استخدام هذه الطريقة حيث أن الايبي الخاص بجهازي يتغير دوريا لأن اتصالي تابع للشبكة داخلية تستخدم dsl واحد لجميع الاجهزة

ثانيا اخي كيف يمكن لأحدهم الوصول للاضافة أو شئ داخل المجلدات أنا جربت هذا من قبل ولكن تعطيني صفحة الخطا في المدونة التى تخبر أن الرابط خاطي

هذه بعض الاستفسارات

بخصوص موضوع تغيير الادمن جميل جدا بارك الله فيك

رشيد · #4 01-18-2008, 07:43 PM

A.M.J.A.D :
أشكرك.

أبو مروان:
بخصوص الاي بي هذه مشكلة انه يوجد اي بي واحد. ايضا هنالك فئة عندها اي بي دينامي يتغير في كل مرة يفصل النت. لكن يمكن شراء اي بي ثابت وتكلفته 100-150 ريال شهريا.

بخصوص الاضافات شاهد الرابط:
http://abo-marwan.com/wp-content/plugins/

وشاهد هذا الرابط:
http://www.rasheed-b.com/wp-content/plugins/

ارجو ان تكون قد وصلت الفكرة.

أبو مروان · #5 01-18-2008, 07:50 PM

بوركت اخي الفاضل بالتوفيق دوما

وصلتني الفكرة

Pen · #6 01-19-2008, 01:36 PM

يعطيك العافية..

ربي يحفظنا من عبثهم

gumidou · #7 01-19-2008, 01:50 PM

بارك الله فيك اخي رشيد
نصائح مهمة للحماية

أبو مروان · #8 01-19-2008, 10:12 PM

أخوتي بارك الله فيكم لقد تم التعديل كما أخبر الأخ رشيد حفظه الله

A.M.J.A.D · #9 01-20-2008, 09:04 AM

اقتباس:

المشاركة الأصلية كتبت بواسطة أبو مروان

بارك الله فيك أخي رشيد

أولا بخصوص الايباهات فلا يمكني استخدام هذه الطريقة حيث أن الايبي الخاص بجهازي يتغير دوريا لأن اتصالي تابع للشبكة داخلية تستخدم dsl واحد لجميع الاجهزة

اظن تقدر تحدد البلد اللي يمكن الدخول منه على لوحه التحكم على الاقل بانك تحط اول ثلاثه ارقام من الاي بي مثلا للسعوديه

allow from 212

MRG2002 · #10 02-06-2008, 02:43 PM

يعطيك العافية

لكن الايبي مشكلة
لأنه افرض انا دخلت من شبكة غير شبكة البيت
مارح يسمح لي بالدخول

عمومـا يعطيك العافية ، وجاري عمل التحذيرات

:d

أدوات الموضوع
عرض نسخة صالحة للطباعة أرسل هذا الموضوع إلى صديق
طرق مشاهدة الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
الدليل الشامل لحماية مدونتك من الإختراق	saminoby2	مناقشة عامة	22	02-23-2010 05:50 PM
[Login LockDown] لحماية اختراق مدونتك	رشيد	معرض الإضافات	44	01-06-2010 09:31 PM
اضافات أمنيه جديده لحماية مدونتك من الإختراق 1	egyptawy	مقتطفات تدوينية	0	07-03-2009 06:48 PM
[موضوع مهم جداً] ,, نصائح مهمة لكل مبتدئ في عالم الـووردبريس	ALI-X	الدعم الفني المتقدّم	0	12-18-2008 10:16 AM
نصائح مهمة إليك	kadksa	مقتطفات تدوينية	0	12-08-2008 11:45 AM

هؤولاء الاعضاء يشكرونك يا رشيد على هذه المشاركة:
Abadi22 (10-09-2009), aBoomrang 03 (06-25-2009), أحمد الزنارى (11-27-2009), alansari (12-18-2008), alaseef (08-14-2009), ANAS (12-01-2008), Ayman - Jo (11-29-2009), العمرين (07-31-2009), elhddad (01-24-2010), EngMK (07-12-2009), gaza1234 (04-10-2009), Hessein (12-26-2008), Hisham (04-27-2009), IbRaHiM.J (12-08-2009), iCoNzZz (04-26-2009), majed54 (10-25-2009), Mdwen (12-04-2008), mesh (09-12-2009), mr-aa5 (09-06-2009), mwafi (01-28-2009), NAAAIF (11-01-2009), رائــع (01-04-2009), OmEna (03-06-2010), شفوق (09-15-2009), زهور الحب (01-30-2009), silent_7eart (01-27-2010), sunflower (11-26-2009), syriaheart (09-23-2009), Tech_Pioneer (01-26-2010), غير الناس (11-04-2009), غراب (01-30-2009), WebPlus (11-08-2009), إحساسـ (02-26-2009), وليد نت (01-30-2009), قة الرقة الإسلامية (12-29-2008)

A.M.J.A.D, تمّ شُكرك على هذه المشاركة من قبل الأعضاء:
aBoomrang 03 (06-25-2009)

رشيد, تمّ شُكرك على هذه المشاركة من قبل الأعضاء:
غير الناس (11-04-2009)

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)