حماية ووردبريس من الاختراق
السلام عليكم أقدم لكم درس مهم جدا لمن يستعمل منصة ووردبريس ولكن قبل يجب أن تعرف أنه لا توجد حماية كاملة من خطر القراصنة ولكن التساير مع وسائل الحماية الجديدة يجنبك خطر لإختراق,سوف أقدم مجموعة النصائح و بعض التدابير الازم عملها و طريقة عملها. لمن واجه مشكلة في فهم أو تطبيق أي جزء مما
سيأتي لاحقا فلكم الحرية الكاملة في طرح تساؤلاتكم في تعليق أسفل التدوينة و سوف أقوم بالاجابة ان شاء الله.
تغيير بادئة قاعدة البيانات
تغيير بادئة قاعدة البيانات
عند تنصيب الووردبريس بالشكل العادي, يتم تنصيب او بالاحرى تعيين بادئة إفتراضية “prefix” لقاعدة البيانات الخاصة بالموقع و هي كالتالي : wp_ .
إبقاء البادئة كما هي يعطي للمخترق الافضلية كونه يعرف أسماء جداول قاعدة البيانات الافتراضية ما سيسهل عليه عملية الاختراق بشكل كبير.
تغييرها لحروف او أرقام معقدة سيجعل من الصعب جدا على المخترق معرفة اسماء جداول قاعدة البيانات الخاصة بموقعك و بالتالي سيصعب عليه اختراق موقعك بدرجة أكبر
طريقة التغيير سهلة لأي شخص يريد تنصيب ووردبريس للمرة الاولى و هي عن طريق ملف config.php بحيث تبحث عن التالي بعد فتح الملف بالمحرر
$table_prefix = ‘wp_';
بدل wp إستعمل اي حروف او أرقام معقدة ولا تستخدم اسم موقعك او أي شيء يمكن التنبؤ به ولا داعي لتذكره فلن تحتاجه لاحقا, ثم إحفظ الملف.
لمن يمتلك ووردبريس بالفعل يجب ان يقوم بنفس التغيير على الملف لكن قبل ذلك يجب عليه أخد نسخة من قاعدة البيانات للإحتياط ثم يغير البائدة يدويا من قاعدة البيانات Phpmyadmin بعد ذلك يمكن ان يغيرها من ملف الكونفيج. أو يريح نفسه من هذا العذاب و يستعمل إضافة مخصصة لذلك مثل : Change Database Prefix
غير البائدة بواسطة الاضافة ثم إحذفها. و ان شاء الله بدون مشاكل.
إبقاء البادئة كما هي يعطي للمخترق الافضلية كونه يعرف أسماء جداول قاعدة البيانات الافتراضية ما سيسهل عليه عملية الاختراق بشكل كبير.
تغييرها لحروف او أرقام معقدة سيجعل من الصعب جدا على المخترق معرفة اسماء جداول قاعدة البيانات الخاصة بموقعك و بالتالي سيصعب عليه اختراق موقعك بدرجة أكبر
طريقة التغيير سهلة لأي شخص يريد تنصيب ووردبريس للمرة الاولى و هي عن طريق ملف config.php بحيث تبحث عن التالي بعد فتح الملف بالمحرر
$table_prefix = ‘wp_';
بدل wp إستعمل اي حروف او أرقام معقدة ولا تستخدم اسم موقعك او أي شيء يمكن التنبؤ به ولا داعي لتذكره فلن تحتاجه لاحقا, ثم إحفظ الملف.
لمن يمتلك ووردبريس بالفعل يجب ان يقوم بنفس التغيير على الملف لكن قبل ذلك يجب عليه أخد نسخة من قاعدة البيانات للإحتياط ثم يغير البائدة يدويا من قاعدة البيانات Phpmyadmin بعد ذلك يمكن ان يغيرها من ملف الكونفيج. أو يريح نفسه من هذا العذاب و يستعمل إضافة مخصصة لذلك مثل : Change Database Prefix
غير البائدة بواسطة الاضافة ثم إحذفها. و ان شاء الله بدون مشاكل.
ضع سقف لعدد محاولات تسجيل الدخول
يقوم عدد من الهاكرز بإستعمال برامج او تقنيات التخمين من اجل الوصول الى كلمة مرور الادارة و ذلك عبر تجربة عدد كبير من كلمات المرور المحتملة حتى يصلوا الى نتيجة, الحل لهذا الامر بسيط كل ما عليك فعله هو تحدد عدد محاولات الدخول الممكنة في حال كانت كلمة المرور خاطئة بحيث انه بعد عدد معين من المحاولات تحددها انت يتوقف الموقع عن قبول البيانات او كلمات المرور المدخلة و يرسل لك عبر الايميل رسالة تتضمن الايبي الخاص بالشخص الذي حاول الدخول الى لوحة تحكم الادارة الخاصة بك, إذا كنت لا تعرفه فيجب أن تقوم فورا بحجب الإيبي الخاص به عن موقعك عن طريق Cpanel . سوف تسألني كيف أقوم بكل هذا, ببساطة أدعوك للإستعمال هذه الاضافة الرائعة : Limit Login Attempts
الاضافة بسيطة و سهلة الاستعمال و ستوفر لك جزء من الحماية التي نسعى لتحقيقها في هذه التدوينة .
إبق موقعك دائما على أخر إصدار من ووردبريس
تقوم ووردبريس بشكل دوري بتحديث منصتها, بحيث تراعي في كل تحديث إغلاق مجموعة من الثغرات السابقة و بعض التحسينات, لذلك يستحسن التحديث دائما لأخر إصدار من ووردبريس.
في حال وجود أي نسخة جديدة سيظهر إعلان يطلب منك تحديث نسختك في لوحة التحكم كل ما عليك هو الضغط على زر التحديث و سيتم التحديث تلقائيا. العملية سهلة ولا تحتاج أي مجهود.
قم بتأمين الملفين .htaccess و wp-config.php
هذين الملفين يمكن أن تجدهما في مجلد ملفات موقعك رفقة بقية الملفات الاخرى الخاصة بالموقع, لكن تحديدا هذين الملفين يلزمهما معاملة خاصة.
يمكن حماية الملفين و منح الدخول إليهما بدون تصريح عبر التغيير في بيانات ملف .htaccess كل ما عليك فعله هو الدخول الى السي بانل ثم مدير الملفات و يمكنك القيام بالتعديل على الملف من هناك .
غالبا سيظهر الملف بالشكل التالي :
<br />
# BEGIN WordPress<br />
<IfModule mod_rewrite.c><br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^index\.php$ - [L]<br />
RewriteCond %{REQUEST_FILENAME} !-f<br />
RewriteCond %{REQUEST_FILENAME} !-d<br />
RewriteRule . /index.php [L]<br />
</IfModule></p>
<p># END WordPress<br />
كل ما عليك فعله هو إضافة الكود التالي بعد # END WordPress , لا تضفه قبله لتفادي أي مشكل محتمل :
<br />
# END WordPress</p>
<p><Files wp-config.php><br />
order allow,deny<br />
deny from all<br />
</Files></p>
<p><Files .htaccess><br />
order allow,deny<br />
deny from all<br />
</Files><br />
هذا الكود سيمنع أي شخص من الوصول الى .htaccess و ملف الكونفيج الخاص بموقعك و الذي يحتوي على بيانات مهمة قد لا تريدها في الايدي الخاطئة .
بالمناسبة يمكن أن تفعل أمور رائعة في ملف .htaccess , قد نتطرق لذلك لاحقا في قادم التدوينات.
حماية و منع الوصول الى ملفات موقعك
كما قلت قبل قليل ملف htaccess يمكن من خلال عمل العجائب, هذه إضافة اخرى ستضيفها لنفس الملف تحت الاكواد السابق التي أضفتها .
لم أشيء التفصيل في هذه الاكواد ووضع كل كود تحت عنوان منفصل لذلك جمعتها كلها من أجل إضافتها دفعة واحدة تحت الاكواد السابقة في نفس الملف الذي هو .htaccess
<br />
# directory browsing<br />
Options All -Indexes<br />
# End directory browsing</p>
<p># Block the include-only files.<br />
RewriteEngine On<br />
RewriteBase /<br />
RewriteRule ^wp-admin/includes/ - [F,L]<br />
RewriteRule !^wp-includes/ - [S=3]<br />
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]<br />
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]<br />
RewriteRule ^wp-includes/theme-compat/ - [F,L]<br />
# End Block Include files<br />
دور هذه الاكواد مجتمعة هو حماية المجلدات المهمة في موقعك من أي دخول غير مصرح به, و منع أي شخص من الوصول الى الملفات الموجودة في wp-includes إضافة الى منع إظهار مسار ملفات موقعك على السيرفر.
ليست هناك تعليقات:
إرسال تعليق