admin
11-01-2013, بتوقيت غرينيتش 08:26 AM
السلام عليكم ورحمة الله وبركاتهhttp://www.dzbatna.com/images/smilies/cupidarrow.gif
هذه بعض النصائح أقدمها لكم على أمل أن تفيدكم في حماية مدوناتكم من عبث العابثين:
1. ضع حماية على المجلد wp-admin من خلال السي بانل CPANEL بحيث اذا حاول أي شخص أن يدخل على اي ملف في هذا المجلد سوف يطلب منه اسم مستخدم ورقم سري.
2. استعمل ملف .htaccess حتى تحدد أي ip توجد له صلاحية للوصول الى مجلد wp-admin وذالك عن طريق وضع ملف .htaccess داخل مجلد wp-admin وتكتب به الامر التالي:
كود code:
رمز Code:
<LIMIT GET> order deny,allow deny from all # whitelist home IP address allow from 00.000.00.000 </LIMIT>
00.000.00.000 : هنا تضع الاي بي الخاص بك وهو الاي بي الوحيد المسموح له بالوصول للمجلد. تستطيع أن تضيف أكثر من اي بي في قائمة السماح بواسطة اضافة أسطر جديدة. مثال:
كود code:
رمز Code:
<LIMIT GET> order deny,allow deny from all # whitelist home IP address allow from 00.000.00.000 allow from 11.111.11.111 allow from 22.222.22.222 </LIMIT>
أيضا هناك إضافة خاصة تفي بهذا الغرض اسمها wp-adminprotection
http://wordpress.org/extend/plugins/wp-adminprotection/
3. ضع ملف index فارغ بداخل مجلد ال plugins حتى لا يعرف احد ما هي الاضافات الموجودة في مدونتك حتى لا يستغل وجود اضافة معينة بها ثغرة. يمكنك ايضا أن تمنع عرض محتويات أي مجلد في موقعك بسهولة بواسطة ملف ال htaccess وذالك عن طريقة اضافة ملف htaccess للمجلد المطلوب وتكتب به الامر التالي:
كود code:
رمز Code:
Options All -Indexes
4. ادخل على مجلد القالب template الذي تستعمله وافتح ملف header.php واحذف منه السطر:
كود code:
رمز Code:
****** name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
لا يوجد أي سبب أن يعرف أحد ما هي نسخة الووردبريس التي تستعملها.
5. قم بتغيير اسم المستخدم الافتراضي للوورديرس من admin الى اسم مستخدم اخر. العملية تتم من خلال ال phpmyadmin وهي مشروحة هنا:
http://blog.bindanaku.com/2014/03/ho...ault-username/ (http://blog.bindanaku.com/2014/03/how-to-change-wordpress-default-username/)
اذا لم ترغب بالتعديل من ال phpmyadmin هناك طريقة أخرى وهي إنشاء اسم مستخدم جديد بالمدونة blog وأن تعطيه كافة الصلاحيات ثم تسجل الدخول باسم المستخدم الجديد ومن ثم تحذف اسم المستخدم القديم (admin). عند الحذف يمكنك نقل جميع التدوينات والصفحات للمستخدم الجديد.
6. اضافة Login LockDown (http://www.ar-wp.com/t2907-post16985.html)
7. اشترك بخدمة ال rss لتحصل على اخر الملاحظات بخصوص اصدارات ووردبريس وهل توجد ثغرات أمنية.
الرابط:
http://wordpress.org/development/feed/
أيضا اعمل بحث في هذا الموقع عن كلمة wordpress حتى تفحص اذا في ثغرات معينة.
الرابط:
http://www.milw0rm.com/search.php
8. متابعة موقع blogsecurity (http://www.ar-wp.com/t3025.html).
9. ترقية upgrade الاضافات اول بأول وعدم التهاون. السبب الرئيسي في اختراق المدونات هو وجود ثغرات بالاضافات. حاول ان تستعمل الاضافات التي يتم تحديث updateها بشكل دوري اي بمعنى انها تنال على متابعة وتحديث update من مبرمجها.
10. قم بإضافة المفاتيح الى ملف ال wp-config
كود code:
رمز Code:
define('AUTH_KEY', 'مفتاح'); define('SECURE_AUTH_KEY', 'مفتاح'); define('LOGGED_IN_KEY', 'مفتاح'); define('NONCE_KEY', 'مفتاح');
مولد مفاتيح: http://www.ar-wp.com/t8849.html
11. يمكنك نقل ملف ال wp-config الى مجلد أعلى بحيث لا يستطيع أن يصل إليه أي زائر.
مثلا اذا قمت بتركيب install مدونتك بداخل مجلد ال public_html وملف ال wp-config كان بداخل ال public_html , قم بنقله إلى مجلد واحد فوق ال public_html. ووردبريس يستطيع أن يجد الملف حتى لو قمت بنقله.
شاهد الشرح طريقة بالصورة: http://www.ar-wp.com/attachment.php?...1&d=1233273025 (http://www.ar-wp.com/attachment.php?attachmentid=2368&stc=1&d=1233273025)
12. أضف الكود code التالي لملف ال htaccess للمزيد من الحماية لملف wp-config
كود code:
رمز Code:
<files wp-config.php> Order deny,allow deny from all </files>
وبنفس الملف ضع الكود code التالي للمزيد من الحماية لملف htaccess
كود code:
رمز Code:
<Files .htaccess> order allow,deny deny from all </Files>
13. ضع رقم سري للمدونة blog بحيث يكون مكون من أرقام وحروف انجليزية صغيرة وكبيرة ومن رموز مختلفة. لا تضع باسوورد سهل مثل عنوان مدونتك أو أرقام/حروف متتالية أو بجانب بعضها على الكيبورد. هنالك روبوتات يمكن تشغيلها لمحاولة الدخول الى لوحة تحكم المدونة blog وهذه الروبوتات تستعمل طريقة ال brute force بحيث تحاول ان تتكهن ما هو الباسوورد مستعملة ملايين التكهنات بل وأكثر.
الباسوورد يجب أن يكون شكله بهذا النمط:
dsDFG345@346!!dsf&e - يحتوي أرقم + حروف صغيرة وكبيرة + رموز + مكون من أكثر من 12 خانة
14. يمكنك أن تستعمل ssl في لوحة التحكم.
ما هو ال ssl ؟ اقرأ هنا: http://ar.wikipedia.org/wiki/%D8%B4%...85%D9%8A%D8%A9 (http://ar.wikipedia.org/wiki/%D8%B4%D9%87%D8%A7%D8%AF%D8%A7%D8%AA_%D8%B1%D9%82% D9%85%D9%8A%D8%A9)
لاستعمال ال ssl في لوحة التحكم أضف السطر التالي إلى ملف ال wp-config.php
كود code:
define('FORCE_SSL_ADMIN', true);
طبعاُ يجب أن يسمح مستضيفك لإمكانية إضافة ال ssl وإلا فلن تعمل معك.
لا تنسونا بالـ++++++http://www.dzbatna.com/images/smilies/bigsmile.gifhttp://www.dzbatna.com/images/smilies/bigsmile.gif
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
هذه بعض النصائح أقدمها لكم على أمل أن تفيدكم في حماية مدوناتكم من عبث العابثين:
1. ضع حماية على المجلد wp-admin من خلال السي بانل CPANEL بحيث اذا حاول أي شخص أن يدخل على اي ملف في هذا المجلد سوف يطلب منه اسم مستخدم ورقم سري.
2. استعمل ملف .htaccess حتى تحدد أي ip توجد له صلاحية للوصول الى مجلد wp-admin وذالك عن طريق وضع ملف .htaccess داخل مجلد wp-admin وتكتب به الامر التالي:
كود code:
رمز Code:
<LIMIT GET> order deny,allow deny from all # whitelist home IP address allow from 00.000.00.000 </LIMIT>
00.000.00.000 : هنا تضع الاي بي الخاص بك وهو الاي بي الوحيد المسموح له بالوصول للمجلد. تستطيع أن تضيف أكثر من اي بي في قائمة السماح بواسطة اضافة أسطر جديدة. مثال:
كود code:
رمز Code:
<LIMIT GET> order deny,allow deny from all # whitelist home IP address allow from 00.000.00.000 allow from 11.111.11.111 allow from 22.222.22.222 </LIMIT>
أيضا هناك إضافة خاصة تفي بهذا الغرض اسمها wp-adminprotection
http://wordpress.org/extend/plugins/wp-adminprotection/
3. ضع ملف index فارغ بداخل مجلد ال plugins حتى لا يعرف احد ما هي الاضافات الموجودة في مدونتك حتى لا يستغل وجود اضافة معينة بها ثغرة. يمكنك ايضا أن تمنع عرض محتويات أي مجلد في موقعك بسهولة بواسطة ملف ال htaccess وذالك عن طريقة اضافة ملف htaccess للمجلد المطلوب وتكتب به الامر التالي:
كود code:
رمز Code:
Options All -Indexes
4. ادخل على مجلد القالب template الذي تستعمله وافتح ملف header.php واحذف منه السطر:
كود code:
رمز Code:
****** name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->
لا يوجد أي سبب أن يعرف أحد ما هي نسخة الووردبريس التي تستعملها.
5. قم بتغيير اسم المستخدم الافتراضي للوورديرس من admin الى اسم مستخدم اخر. العملية تتم من خلال ال phpmyadmin وهي مشروحة هنا:
http://blog.bindanaku.com/2014/03/ho...ault-username/ (http://blog.bindanaku.com/2014/03/how-to-change-wordpress-default-username/)
اذا لم ترغب بالتعديل من ال phpmyadmin هناك طريقة أخرى وهي إنشاء اسم مستخدم جديد بالمدونة blog وأن تعطيه كافة الصلاحيات ثم تسجل الدخول باسم المستخدم الجديد ومن ثم تحذف اسم المستخدم القديم (admin). عند الحذف يمكنك نقل جميع التدوينات والصفحات للمستخدم الجديد.
6. اضافة Login LockDown (http://www.ar-wp.com/t2907-post16985.html)
7. اشترك بخدمة ال rss لتحصل على اخر الملاحظات بخصوص اصدارات ووردبريس وهل توجد ثغرات أمنية.
الرابط:
http://wordpress.org/development/feed/
أيضا اعمل بحث في هذا الموقع عن كلمة wordpress حتى تفحص اذا في ثغرات معينة.
الرابط:
http://www.milw0rm.com/search.php
8. متابعة موقع blogsecurity (http://www.ar-wp.com/t3025.html).
9. ترقية upgrade الاضافات اول بأول وعدم التهاون. السبب الرئيسي في اختراق المدونات هو وجود ثغرات بالاضافات. حاول ان تستعمل الاضافات التي يتم تحديث updateها بشكل دوري اي بمعنى انها تنال على متابعة وتحديث update من مبرمجها.
10. قم بإضافة المفاتيح الى ملف ال wp-config
كود code:
رمز Code:
define('AUTH_KEY', 'مفتاح'); define('SECURE_AUTH_KEY', 'مفتاح'); define('LOGGED_IN_KEY', 'مفتاح'); define('NONCE_KEY', 'مفتاح');
مولد مفاتيح: http://www.ar-wp.com/t8849.html
11. يمكنك نقل ملف ال wp-config الى مجلد أعلى بحيث لا يستطيع أن يصل إليه أي زائر.
مثلا اذا قمت بتركيب install مدونتك بداخل مجلد ال public_html وملف ال wp-config كان بداخل ال public_html , قم بنقله إلى مجلد واحد فوق ال public_html. ووردبريس يستطيع أن يجد الملف حتى لو قمت بنقله.
شاهد الشرح طريقة بالصورة: http://www.ar-wp.com/attachment.php?...1&d=1233273025 (http://www.ar-wp.com/attachment.php?attachmentid=2368&stc=1&d=1233273025)
12. أضف الكود code التالي لملف ال htaccess للمزيد من الحماية لملف wp-config
كود code:
رمز Code:
<files wp-config.php> Order deny,allow deny from all </files>
وبنفس الملف ضع الكود code التالي للمزيد من الحماية لملف htaccess
كود code:
رمز Code:
<Files .htaccess> order allow,deny deny from all </Files>
13. ضع رقم سري للمدونة blog بحيث يكون مكون من أرقام وحروف انجليزية صغيرة وكبيرة ومن رموز مختلفة. لا تضع باسوورد سهل مثل عنوان مدونتك أو أرقام/حروف متتالية أو بجانب بعضها على الكيبورد. هنالك روبوتات يمكن تشغيلها لمحاولة الدخول الى لوحة تحكم المدونة blog وهذه الروبوتات تستعمل طريقة ال brute force بحيث تحاول ان تتكهن ما هو الباسوورد مستعملة ملايين التكهنات بل وأكثر.
الباسوورد يجب أن يكون شكله بهذا النمط:
dsDFG345@346!!dsf&e - يحتوي أرقم + حروف صغيرة وكبيرة + رموز + مكون من أكثر من 12 خانة
14. يمكنك أن تستعمل ssl في لوحة التحكم.
ما هو ال ssl ؟ اقرأ هنا: http://ar.wikipedia.org/wiki/%D8%B4%...85%D9%8A%D8%A9 (http://ar.wikipedia.org/wiki/%D8%B4%D9%87%D8%A7%D8%AF%D8%A7%D8%AA_%D8%B1%D9%82% D9%85%D9%8A%D8%A9)
لاستعمال ال ssl في لوحة التحكم أضف السطر التالي إلى ملف ال wp-config.php
كود code:
define('FORCE_SSL_ADMIN', true);
طبعاُ يجب أن يسمح مستضيفك لإمكانية إضافة ال ssl وإلا فلن تعمل معك.
لا تنسونا بالـ++++++http://www.dzbatna.com/images/smilies/bigsmile.gifhttp://www.dzbatna.com/images/smilies/bigsmile.gif
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
