منتدى استراحات زايد - [تحديث] حماية سكربت Wordpress من الاختراق و الاستهداف من طرف المخترقين

http://3.bp.blogspot.com/-yN1n8a4-yr...s-security.png

السلام عليكم

من بين الاحصائيات العالمية لاختراقات المواقع أكدت أنا أكثر المواقع التي تخترق هي مواقع Wordpress و Joomla
المخترقين يستغلون كثر من الثغرات التي تنزل يوميا على مواقع الحماية
1337day.com / Exploit-db.com / ...
في موضوعنا اليوم سنتطرق الى كيفية الحماية و سد الثغرات

أول شيء لازم تكون على اطلاع اسبوعي على تحديثات الاضافات و ثغراتها بمواقع السيكيوريتي
ثاني شيء علينا معرفت الوسائل التي يستخدمها المخترق في الاختراق و هي تتم عن طريق ثلاث محاور هي

1 - اختراق على مستوى الخادم
موقع أو مدونتك هي داخل سرفر مشترك و يوجد به مواقع أخرى يتم استهداف الموقع الضعيف ليتم اختراق السرفر فيما بعد و يصل الى جميع المواقع من بينها موقع لذلك يجب أن يكون موقعك على استضافة موثوق بها و ذات حماية قوية و تهتم بها و من واجب الدعم الفني و الشركة حماية المواقع من المخترقين و أنت واجبك أن تختار المستضيف الأحسن.

2 - الاختراق على مستوى الجهاز
عليك تأمين جهازك من كل ضرر و تثبيت برنامج مضاد للفيروسات و تحديثه في أي وقت و تركيب جدار ناري و فحص كل ملف قبل تحميله و تجنب المواقع المشوهة و المحذورة اختيار كلمات سر صعبة و حماية بريدك الالكتروني من الضياع أو الاتلاف و المحافظة على جهازك بعدم التقرب من طرف الأصدقاء أو الأطفال فهذا يشكل خطر.

3 - اختراق على مستوى استهداف ثغرات السكربت للمدونة
عليك أن تتخذ بعد الاحتياطات لعدم تخريب مدونتك مثل تحديث السكربت و الاضافات و اختراق عبر السكربت ليس من خطأ الشركة المستضيفة بل الخطأ منك لأنك لم تحمي موقعك جيدا لذلك عليك بمتابعة بعض الاجراءات لحماية مدونتك.

حماية مجلد الادارة Wp-Admin

الطريقة الأولى عن طريق ملف htaccess
تحدد من خلاله من أي IP توجد له صلاحية الوصول الى المجلد و ذلك عن طريق وضعه داخل المجلد
و تكتب الأمر التالي داخله

رمز PHP:

order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000

00.000.00.000 و هو الأي بي المسموح بدخوله للمجلد و أيضا تستطيع اضافة أكثر من أي بي

ووضع جدار ناري للملف و هذه خطورة مهمة
و حجب الدخول المباشر لملف wp-login.php

الطريقة الثانية عبر اضافة تسمى Devbits يتم تحميلها من الموقع الرسمي

http://wordpress.org/extend/plugins/stealth-login/

هنا ننتهي من مجلد الادارة

ثاني خطورة حذف وسم generator من Header

نفتح ملف functions.php الموجود بداخل مجلد
wp-includes

ثم نضيف الكود التالي مباشرة بعد الدالة </span>” /> </span>

</div>
ما سبب هذه الخطورة و هو اخفاء اصدار السكربت و عدم معرفته

ثالث خطوة
وضع ملف index.html داخل المجلدات و خصوصا plugins لاخفاء الاضافات التي تم تركيبها في السكربت
حتى لا يعرف احد ما هي الاضافات الموجودة في مدونتك حتى لا يستغل وجود اضافة معينة بها ثغرة

و أيضا يمكنك استعمال ملف htaccess ليمنع عرض أي مجلد بموقعك بسهولة عن طريق الأمر التالي داخله

رمز PHP:

Options All -Indexes

انتهينا من الاخفاء

من الأفضل أن تغير كلمة admin للاسم مستخدم معقد و كلمة سر قوية

آخر خطوة تغيير ملف wp-content

نذهب الى wp-config.php
نضيف الكود التالي في آخر الملف

رمز PHP:

define('WP_CONTENT_FOLDERNAME', 'wp-content');
define('WP_CONTENT_DIR', ABSPATH . WP_CONTENT_FOLDERNAME );
define('WP_CONTENT_URL', 'http://www.droussnet.com/'.WP_CONTENT_FOLDERNAME);
define('WP_PLUGIN_DIR', WP_CONTENT_DIR . '/plugins' );
define('WP_PLUGIN_URL', WP_CONTENT_URL.'/plugins');

في السطر الأول من الكود نغير Wp-content الى اسم المجلد الذي تريد أنت
كمثلا Achraf-co

ثانيا غير مدونة دروس نت الى دومين موقعك
ثم اضغط على حفظ و اذهب الى wp-content و اعد تسميته الى الاسم الذي كتبته في الكود أعلاه
مثلا أنا سميته achraf-co

أما بالنسبة الى بعض النسخ من الاصدار 3.1.3 فما فوق

اذهب الى ملف default-constants.php الموجود في مجلد wp-inculdes
و غير كل كلمات wp-content الموجودة داخله
ثم اعد تسمية مجلد wp-content

أتمنى أن أكود قد أفدتكم و هذا تعتبر مدونتك محمية بشكل جيد جدا , هته النصائح و المعلومات جائت بعد خبرتي لسنوات في مجال حماية المواقع و اكتشاف الثغرات منها .
نلتقي في مقال آخر بإذن الله</div>
المصدر

لمزيد من المواضيع الحماية و البرمجة على موقعنا الموجود في التوقيع

في أمان الله :icon30:

</div>