الدليل الشامل لحماية مدونتك من الإختراق

saminoby2 · #1 09-05-2008, 05:32 PM

أرجو التثبيت للأهمية متجدد تحديث بتاريخ 16/11/2008

نظر لكثرة الأستعمال لسكريبت الووردبريس وكثرة مستعمليه كثر معه الهاكرز والدين يسترزقون من أختراق المواقع و إبتزاز صاحبيها لإرجاع الموقع لهم.
بعض أخطار الهاكرز :
تخيل انك أنشأت مدونة وسهرت عليها سنوات طوال من البحث والكتابة والتعديل ولما بدأت المدونة تغرس مكانها فجأة ترى كل هذا قد تلاشى بفعل تخريب أحدهم لقاعدة البيانات أو ملفاتك.
تخيل لو لك مدونة تتكلم عن الإسلام وتعليمه وفجأة في يوم من الأيام توجهت إلى موقعك ووجدت موقعا أخر يعرض صورا من الجنس والفساد كيف سيكون حالك وحال زوارك.

لهذا قررت أن أساهم في هذه الموسوعة التي ترصد كل سبل الحماية لمدونتك وتجعل من إختراق مدونتك أمرا مستحيلا !!!!!.

الحماية من الإختراق :

قبل التنصيب
قم بفتح مجلد wp-config.php وقم بالتغيرات التالية :

اقتباس:

<?php
// ** MySQL settings ** //
define('DB_NAME', 'putyourdbnamehere'); // The name of the database
define('DB_USER', 'usernamehere'); // Your MySQL username
define('DB_PASSWORD', 'yourpasswordhere'); // ...and password
define('DB_HOST', 'localhost'); // 99% chance you won't need to change this value
define('DB_CHARSET', 'utf8');
define('DB_COLLATE', '');

// Change SECRET_KEY to a unique phrase. You won't have to remember it later,
// so make it long and complicated. You can visit http://api.wordpress.org/secret-key/1.0/
// to get a secret key generated for you, or just make something up.
define('SECRET_KEY', 'A49D0EA936EFFFE30BAD7BACBA466CC897636F74BAB91128A 96C9EF8C25F0
249'); // Change this to a unique phrase.

// You can have multiple installations in one database if you give each a unique prefix
$table_prefix = 'wp_ghfgff545_'; // Only numbers, letters, and underscores please!

// Change this to localize WordPress. A corresponding MO file for the
// chosen language must be installed to wp-content/languages.
// For example, install de.mo to wp-content/languages and set WPLANG to 'de'
// to enable German language support.
define ('WPLANG', '');

/* That's all, stop editing! Happy blogging. */

if ( !defined('ABSPATH') )
define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . 'wp-settings.php');
?>

قم بتغير رمز قاعدة البيانات من _wp إلى أي رمز أخر يصعب على الهاكرز معرفته أو حدسه مثلا _wp_fdh45124ff يجب أن ينتهي الرمز ب _ ويجب أن تكون الرموز إما حروف أو أرقام فقط (لا يسمح باستعمال \|<>? ...)
قم بتغيير كود SECREY_KEY إلى أي كود أخر يصعب حدسه.

بعد التنصيب

إدا كنت قد نصبت المدونة من قبل فلا مشكلة.
قم بأخد نسخة أحتياطية لقاعدة البيانات وملفاتك (لكي تكون في مأمن إدا حصل شيئ لا قدر الله(
سنستعمل لهذا الغرض إضافة تمكن من تغير رمز قاعدة البيانات بكل سهولة .
إسم الإضافة wp security scan
تحميل الإضافة من هنا

بعد تثبيت الإضافة وتفعيلها نقوم بالذهاب security في لوحة التحكم
وهناك قم بالضغط على change table prefix.
لهذه الإضافة مميزات كثيرة منها
أنها تقوم بإزالة أصدر الوورد بريس لكي لا يعرف أي أحد ما الإصدار الذي تستعمله وهكذا سيصعب عليه معرفة التغرات .كما تقوم الإضافة بمنع عرض أخطاء قاعدة البيانات التي في بعض المرات تقوم بعرض أسم المستخدم والباسورد لقاعدة البيانات. كما تحثك الإضافة على تغيير إسم admin إلى اسم أخر .
2) تغيير اسم admin
تغير اسم admin يدويا

لتغيير اسم admin توجه الى cpanel ثم phpMyAdmin على يسار القائمة أختر اسم قاعدة البيانات قم بالتوجه الى wp_user (ان لم تكن قد غيرت رمز قاعدة البيانات وإلا سترى _ wp_fdh45124ff legh مثلا) تم أضغط afficher سيظهر لك قائمة بأسماء المسجلين في مدونتك و أسم admin إضغط على editer وقم بتغير كلمة admin الى أ ي اسم أخر تريده (أختر اسم صعبا وطويلا).

غير الإسم الذي تكتب به

هناك من يغير اسم admin الى اسم آخر مثلا yasssine ولكن لايقوم بتغير اسم الكتابة في التدوينات فيظهر اسم yassine في التدوينات (ذهب جهدنا سدى) يجب ان يكون الإسم الذي تكتب به مخالف لإسم الدي تدخل به المدونة(yassine في هذه الحالة) .قم بتغيره من لوحة تحكم وضع مكانه مثلا ياسين هو الدي يظهر ككاتب للمواضيع

تغيير اسم admin أتوماتيكيا

سنستعمل أضافة لهذا الغرض
اسم الإستضافة change-admin-username
موقع المبرمج من هنا
تحميل الإضافة من هنا

بعد تحميل الضافة وفك الضغط عليها
قم برفعها الى مجلد الإضافات wp-content/plugins/
قم بتفعيل الإضافة
توجه الى Users->Change Username
وقم بتغير admin الى اسمك الجديد.

3) حماية ملف wp-config.php

ملف wp-config يحتوي على كل البيانات لذلك يجب حمايته من الهاكرز ودلك بوضع ملف htaccess. داخل مجلد wp-admin ووضع هذه الأوامر داخل ملف
[html]# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>[/html] 4) قم بمنع عرض الإضافات التي تستعملها

هناك من يبحث على الإضافات التي تستعملها وذلك ليعلم الإضافات التي تستعملها في مدونتك وبالتالي يسهل إختراقك بمعرفة ثغرات الإضافة
ولمنع عرض الإضافات قم بإنشاء ملف htaccess. داخل مجلد plugins واكتب فيه

اقتباس:

Options All -Indexes

5) قم بإضافة ملف htaccess. الأخير إلى كل المجلدات التالية:

اقتباس:

wp-content/themes
wp-content/upgrade
wp-content/uploads

6) قم بمنع الوصول الى wp-admin

إدا كان لديك ip ثابت فينصح بالتالي :

1 . ضع حماية على المجلد wp-admin من خلال السي بانل بحيث اذا حاول أي شخص أن يدخل على اي ملف في هذا المجلد سوف يطلب منه اسم مستخدم ورقم سري.

2 استعمل ملف .htaccess حتى تحدد أي ip توجد له صلاحية للوصول الى مجلد wp-admin وذالك عن طريق وضع ملف .htaccess داخل مجلد wp-admin وتكتب به الامر التالي:

اقتباس:

<LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000
</LIMIT>

: هنا تضع الاي بي الخاص بك وهو الاي بي الوحيد المسموح له بالوصول للمجلد. تستطيع أن تضيف أكثر من اي بي في قائمة السماح بواسطة اضافة أسطر جديدة.

7) قم قم باستعمال الإضافات التالية

Login LockDown ( اقرأ شرح الأخ رشيد من هنا )

اضافة Chap Secure Login

عندما تقوم بالدخول الى موقعك فإن الإسم والباسورد يرسلون بدون تشفير مما يعرضك خصوصا في الإستضافات المشتركة الى معرفة معلوماتك
الآن مع أضافة Chap Secure Login أنت في أمان
تقوم الإضافة بتشفير الباسورد وارساله مشفرا مما يؤمن دخولك.

ملاحظة : عند تثبيت الإضافة للمرة الأولى وعندما تقوم بالدخول إلى لوحة التحكم يقول لك أن هناك خطأ لا تكثر عاود مرة أخرى وسينجح.

إضافة Akismet لمحاربة السبام

8) قم بالتحديث للوردبريس دائما ولاتتكاسل في ذلك

9) قم بأخد نسخة من قاعدة البيانات وأحتفظ بنسخة دائمة للمفات في جهازك
دائما وأبدا قم بأخد نسخ من قاعدة البيانات ويمكن أستعما اضافة لتجعل هذا الشيى أوتوماتيكي (اسم الإضافة WP-DB-Backup)

10) لا تقم بإستعمال إلا الإضافات التي تحتاج إليها.

تحديث في 16/11/2008

11) الحماية من أخطاء قاعدة البيانات.
لعل °/°90 من نسبة الإختراق للمواقع بشكل عام وللمدونات بشكل خاص أنه عند حدوث خلل في سكربت الموقع سواء كان ووردبريس أوغيره تقوم قاعدة البانات بإظهار الأخطاء غلى الزائر وفي كثير من الاحوال تظهر اسم قاعدة البيانات واسم المستخدم مما يسهل العملية على من ليس همهم سوى التدمير ان يتمكنو من اختراق الموقع. لذلك ولتفادي ان تقوم قاعدة البيانات بنشر الاخطاء في الموقع سنقوم بمنع هذه الخاصية بإضافة كود صغير الى ملف header.php في ملف themes

الكود هو

كود:

<?

error_reporting(0);

?>

سنضيفه قبل كود

كود:

</head>

مثل مايلي

كود:

<?

error_reporting(0);

?> 
</head>

ودمتم سالمين
ملاحظة كل الملفات موجودة بالمرفقات لتسهيل العملية عليكم

__________________________________________________ __
مدونة محترف

رشيد بيدوسي · #2 09-05-2008, 06:51 PM

جزاك الله خيرا على النصائح الذهبية - تم اضافة رابط الموضوع الى الموضوع الاصلي
http://www.ar-wp.com/t2906-post16981.html

saminoby2 · #3 09-05-2008, 08:09 PM

شكرا لك يا أخ رشيد

أبو حمزة المدني · #4 09-05-2008, 10:28 PM

جزاك الله خير يالغالي...

موضوع مفيد للغاية

Skay · #5 09-05-2008, 10:49 PM

سلاااااااام

بارك الله فيكي اخي , موضوع ممتاز

رمضان كريم

زلزال · #6 09-06-2008, 01:23 AM

موضوع مميز ... وجزاك الله الف خير .. النصائح

saminoby2 · #7 09-06-2008, 10:03 AM

اقتباس:

المشاركة الأصلية كتبت بواسطة زلزال

موضوع مميز ... وجزاك الله الف خير .. النصائح

شكرا على المرور ورمضان كريم

saminoby2 · #8 09-06-2008, 10:04 AM

اقتباس:

المشاركة الأصلية كتبت بواسطة skay

سلاااااااام

بارك الله فيكي اخي , موضوع ممتاز

رمضان كريم

وعليكم السلام
شكر لكم ، وتقبل الله صيامكم

saminoby2 · #9 09-06-2008, 10:07 AM

اقتباس:

المشاركة الأصلية كتبت بواسطة أبو حمزة المدني

جزاك الله خير يالغالي...

موضوع مفيد للغاية

شكرا لك أخي أبو حمزة

و أتمنى أن يستفيذ منه أكبر ععد من المدونين

مرافئ · #10 09-19-2008, 02:36 AM

اقتباس:

قم بإنشاء ملف htaccess.

موضوع رائع فعلاً

ولكن ماهي طريقة إنشاء هذا ؟

sultanaha · #11 09-19-2008, 06:11 AM

جزاك الله خير
نصائح ذهبية وموضوع رائع

ناصر راشد · #12 09-19-2008, 07:04 AM

جزاكم الله خيرا أخي الكريم وجعله في ميزان حسناتك

.Ar A · #13 09-19-2008, 11:50 AM

مرافىء ..

فقط أنشئي ملف جديد في النوت باد ..

و خزنيه باسم ( htaccess.)

ثم ضعيه في المسار المطلوب : )

midos · #14 09-24-2008, 09:30 PM

بارك الله لك شرح وافي وتم تركيب الإضافات

روان 1 · #15 09-25-2008, 12:02 PM

الاخ / saminoby2

قمت بعمل الجزء الاول من الشرح وهو :
تحميل الادارة ( wp security scan )

وبعد ذلك فعلتها
ودخلت على الجزء المسمى :
change table prefix

وبعد ادخال الرقم كما هو مطلب

ولكن ظهرت رسالة كتالي شاهد الصورة :

( الصورة مرفقه بشكل اوضح )

رغم اني ادخلت الرقم بعدة صيغ وعدة محاولات ومرة تنتهي بعلامة _
ومرة بدون وطويل وقصير
ولكن النتيجة واحدة نفس الرسالة

** علما اني دخلت على ملف wp-config.php ولم اجد به اي تغيير

- فماذا يعني ذلك ؟
- وكيف اقدر اشفر قاعدة البيانات بالشكل الصحيح ؟

saminoby2 · #16 09-25-2008, 07:30 PM

من خلال الصورة يتضح أن المشكل في صلاحية user لقاعدة البيانات . ف user ليس له الصلاحيات الكاملة في تغيير قاعدة البيانات .
يجب ان تنتهي رمز قاعدة البيانات ب _ ضروري
إذا قمت بكل الخطوات التي وصفتها ولم تنجح معك فربما يكون المشكل من الإضافة فهي ربما ليست متوافقة مع كل السيرفرات , فهناك اختلاف كبير بين الإستضافات من حيث permission الصلاحيات التي تخولها شركة الإستضافة لعميلها.

ولا مشكلة إذا طبقت كل النصائح السابقة فقد ضمنت حماية بنسبة °/°98 وهي نسبة جد عالية.
الأن اكتب براحتك وانسى هم الحماية ولكن دائما قم بعمل backup ل public_html وقواعد البيانات خاصتك على الأقل مرة كل أسبوع.
ضروري جدا جدا جدا جدا جدا جدا جدا جدا جدا جدا جدا جدا

فمثلا انا هذه الأيام قمت بمسح public_html بدون أن أدري ولولا أنني كنت أخدت نسخة منها لكان كل جهدي ضاع سدا. فالمرجو أخد النسخة الإحتياطية باستمرار.

Count Dracula · #17 11-13-2008, 07:27 PM

بارك الله فيك و جزاك الجنة.
قمت بكل ما تفضلت به ماعدا التالي :

كود:

Your table prefix should not be wp_. Click here to change it.

تظهر رسالة بالأحمر :

كود:

our User which is used to access your Wordpress Tables/Database, hasn't enough rights( is missing ALTER-right) to alter your Tablestructure. Please visit the plugin documentation for more information. If you believe you have alter rights, please contact the plugin author for assistance

-------------------
بعد رفع المجلد "chap-secure-login.1.4.zip‏" لا يظهر لدي في الإضافات .

أكرر شكري و تقديري ما قدمته من مشاركة جداَ رائعة.

saminoby2 · #18 11-16-2008, 12:05 PM

بالنسبة للصور والمشكل الذي منعك من تغيير قاعدة البيانات فهذا في أغلب الاحوال من المستضيف فهو على الرغم انه يقول لك اثناء تنصيب القاعدة ان للمستخدم كل الصلاحيات لكنه في بعض الاحيان لايعطونه كل الصلاحيات تفاديا لمشاكل الإختراق. وحتى إن لم تتمكن من ذلك فليس مشكل فإن قمت بكل ماقلته سابقا وحرصت على تحديث الوردبريس باستمرار فلايضيرك شيء.

بالنسبة للإضافة: المشكلة في عدم ظهورها انك لم ترفع الاضافة صح لقد رفعت المجلد الذي فيه الاضافة
ملف الاضافة اسمه CHAPSecureLogin وليس chap-secure-login انما هذا الأخير هو الذي فيه ملف الإضافة على الشكل
chap-secure-login\CHAPSecureLogin

راجع موضوعي ثانية لقد أضفت تقنية أخرى لحماية المدونة من الاختراق بسبب مشكل قاعدة البيانات

Techno-Man · #19 11-16-2008, 02:30 PM

أخي في مدونتك محترف

أي إضافة تستعمل لإرجاعها لدليل مواقع

أحمد نصر · #20 02-16-2009, 05:55 PM

اقتباس:

المشاركة الأصلية كتبت بواسطة saminoby2

أرجو التثبيت للأهمية متجدد تحديث بتاريخ 16/11/2008

بعد تثبيت الإضافة وتفعيلها نقوم بالذهاب security في لوحة التحكم
وهناك قم بالضغط على change table prefix.

شكرا جزيلا، واجهتني مشكلة غريبة في موضوع تغيير البريفيكس..
الاضافة فيما يبدو قد توقف تطويرها لكنها تعمل مع الاصدارات الأخيرة لا تزال، المشكلة ان الاضافة لم تستطع تغيرر البريفيكس مظهرة هذا الخطأ..

Your User which is used to access your Wordpress Tables/Database, hasn't enough rights( is missing ALTER-right) to alter your Tablestructure. Please visit the plugin documentation for more information. If you believe you have alter rights, please contact the plugin author for assistance.

حاولت تغيير البريفيكس يدويا عن طريق برنامج phpmyadmin، تمكنت من نسخ كل الجداول مع تغيير البريفكس، ثم قمت بتغييره في ملف config
وقد عملت المدونة وعرضت محتوياتها بشكل طبيعي، إلا أنني وجدت أن اسم المستخدم الخاص بي قد فقد صلاحيته للدخول إلى لوحة التحكم!!

هل من مساعدة؟

TifSat · #21 03-19-2009, 06:17 PM

السلام عليكم ورحمة الله وبركاته

_________________

3) حماية ملف wp-config.php

ملف wp-config يحتوي على كل البيانات لذلك يجب حمايته من الهاكرز ودلك بوضع ملف htaccess. داخل مجلد wp-admin ووضع هذه الأوامر داخل ملف

____________________

لم أفهم كيف أضيف ملف htaccess

هل أقوم بإضافة ملف جديد أسميه htaccess و أفتح المذكرة و أضيف إليها الوامر داخل الملف
وشكرا

k1429 · #22 04-09-2009, 09:02 AM

بارك الله فيك ونفع بعلمك

mados · #23 02-23-2010, 04:50 PM

بارك الله فيك اخي الكريم وزادك علما لتنفع به

للاسف تعرضت من فتره لحملة هاكرز من قبل مجموعه فاشله تدعي hitman hackers team وعندما قمت بالبحث عنهم اكتشفت انهم قاموا بتخريب مدونات ومواقع كثيييييييييييييييييييييييييييييييييييييره جدا لذلك اطلب كل خبراء المنتدي ان يزودوننا بكل ما هو جديد في مجال حماية المواقع والمدونات علي ووردبريس وان كنت اتمني من ادارة المنتدي المحترمه عمل قسم خاص لهذا المجال الهام جدا جدا جدا...وشكرا مره اخري لمجهوداتك

ESLAM · #24 04-27-2010, 10:01 PM

شكرا لك موضوع رائع

زاهية بنت البحر · #25 04-30-2010, 04:41 PM

موضوع ممتاز لكنني للأسف لاأجيد تطبيقه وأنا بحاجة لحماية مدونتي.

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
نصائح مهمة لحماية سكربت ووردبريس من الاختراق (متجدّد)	رشيد بيدوسي	مناقشة عامة	64	03-08-2012 03:30 PM
[Login LockDown] لحماية اختراق مدونتك	رشيد بيدوسي	معرض الإضافات	46	04-06-2010 08:44 PM
[طريقة] تغيير اسم المستخدم ” admin ” للووردبريس (لحماية مدونتك)	hassan alshaikh	مناقشة عامة	12	03-30-2010 02:47 PM
إضافات أمنيه جديده لحماية دونتك من الإختراق 2	egyptawy	مقتطفات تدوينية	0	07-07-2009 08:29 PM
اضافات أمنيه جديده لحماية مدونتك من الإختراق 1	egyptawy	مقتطفات تدوينية	0	07-03-2009 05:48 PM

هؤولاء الاعضاء يشكرونك يا saminoby2 على هذه المشاركة:
الأباتشي (02-23-2009), الشوق (06-30-2011), الإعصار الأحمر (04-10-2009), drbarakota (10-28-2009), Fahad_15 (10-31-2009), Hisham (12-26-2008), hookx (12-27-2010), نجم المحبه (08-05-2009)

saminoby2, تمّ شُكرك على هذه المشاركة من قبل الأعضاء:
Count Dracula (11-16-2008)

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)