منتدى استراحات زايد - [إضافة plugins] احمي موقعك ووردبريس باستخدام ملف .htaccess

السلام عليكم ورحمة الله وبركاتة

اعضاء معهدنا الغالي ترايدنت .. عن البحث في الحماية وجدت هذا الشرح الرائع الذي تستحقونه فنقلته لكم

اليوم قررت تخصيص بعض وقت لكل أصحاب مواقع الجدد أو قدمي المستخدمين لنسخة wp ، شئ أكثر أهمية بنسبة لأصحاب مواقع قبل إختيار سكربت إدارة محتوي أو تدوين وهو الحماية ، بنسبة wp لاحظت كثير من أصحاب مواقع يستخدمون إضافة إخفاء نوع سكربت و إصدار خوفا من هاكر لأن بنسبة لهم نسخة wp ضعيفة حماية ، للأسف مفهوم خطاء ، هل تصدق أن أكبر شركة تبرمج سكربتات خاصة و تصرف ألف دولار لتأمين منظومة حماية شهاريا ، الأن سوف أشركوكم أهم عملية التي قمت بها لتأمين مدونتي كـ شركة كبري و التي سوف ستحمي مدونتك 95% بإذن الله.

- سؤال شائع حول ملف .htaccess ؟ أين يوجد ملف .htaccess ؟

ملف .htaccess يكون في العادة في المجلد الرئيسي للموقع او السكربت المستخدم !
ووردبريس في هذه الحالة يحتوي علي ملفيين ، يوجد ملف أول في المجلد الرئيسي و ثاني في مجلد أدمين !

- في هدا شرح سوف نستهدف ملف .htaccess مسؤول عن بعض أوامر الحماية للملفات من إختراق :

بنسبة عند تثبيت المدونة لأول مرة غير بادئة الجدول (prefix) بإضافة بعض الحروف أو الارقام لتمنع استغلال الثغرات في حقن قاعدة البيانات (zero-day SQL Injection) .

إذا كنت مثبت الWordPress حاليا فهناك إضافة تمكنك من تغيير بادئة الجدول مثل WP Security Scan
- الأن سوف نبدأ بإضافة أكواد حماية داخل ملف .htaccess أتمني تركيز حتي لا يحدث خطاء حتي ولو بسيط لأن ملف .htaccess حسس جدا وقد يعرقل عمل مواقع :

لتذكير ملف .htaccess يكون في العادة في المجلد الرئيسي للموقع او السكربت المستخدم (ووردبريس في هذه الحالة). افتح الملف والصق هذا الكود فيه.

رمز Code:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

هذه الطريقة تساعد في الحماية من scripts injection و هجمات _REQUEST او GLOBALS.

- احصر الدخول للوحة التحكم لل IP الخاص بك فقط عن طريق اضافة الكود التالي لملف htaccess. الموجود في مجلد wp-admin

* مع مراعاة تغيير xxx.xxx.xxx.xxx لل IP الخاص بك.

رمز Code:

Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx

– حماية ملف (wp-config), هذا الملف يحتوي على معلومات قاعدة البيانات مثل اسم المستخدم والباسورد لذلك يجب حمايته جيداً, وإخفائه عن الجميع, قم بوضع هذا الكود في ملف htaccess.

رمز Code:

# protect wp-config.php

order allow,deny
deny from all

- قم بمنع محركات البحث من ارشفة محتويات المجلدات الداخلية للمدونة مثل الإضافات أو القوالب, لأنك بذلك ستكون قد سهلت عملية الإختراق بسماحك للملفات بالظهور, قم بإضافة الكود التالي لملف robots.txt في المجلد الرئيسي للمدونة, قم بإنشاء الملف إن لم يكن موجود.

رمز Code:

User-agent: *
Disallow: /cgi-bin
Disallow: /wp-*

- عرض الملفات التي بداخل المجلدات تشكل خطر حقيقي, لانها تكشف محتويات المدونة, قم بإضافة الكود التالي لملف htaccess.

رمز Code:

# disable directory browsing
Options All -Indexes

* هذه أهم أكواد خاصة بـ htaccess. لحمايته من إختراق.

- سوف ننتقل أن لبعض إضافات أستعملها شخصيا لزيادة حماية مدونتك :

* استعمل إضافة Login Lockdown , وظيفة عملها هو منع اكثر من مثلاً 5 محاولات دخول خاطئة للوحة التحكم ( مشكل شائع في هذه إضافة عند محاولة إختراق يتوقف موقعك 60 دقيقة تلقائيا ، يمكن أن تغيير وقت من إعدادت إذا كنت تري أنها لا تنسبك أو أحيانا تخطئ في دخول )

* احمي مدونتك من الأكواد الخبيثة مثل eval, base64 بفضل هذه الإضافة Block Bad Queries فقط قم بتنصيبها وستعمل على اكمل وجه.

* لفحص تصاريح الملفات, و فحص مدى فاعلية حماية مدونتك , قم بتنصيب WP Security Scan

- مع هذا الشرح ستحمي مدونتك 95% بإذن الله، ارجو إبداء الرأي من ملاحظات أو تعديلات أو نصائح أخرى:blushing: