الورد بريس هى منصة عمل معظم مواقع العالم فى الوقت الراهن بل وهى مدير المحتوى رقم واحد فى العالم ولأن الورد بريس هى نظام قائم على لغة ال php مع العديد من اللغات الاخرى وباستخدام مكتبات كثيرة فعلينا ان نقوم بعمل العديد من التعديلات والاجراءت على الورد برس على اعتبار انها من الاسكربتات المهددة أمنياً وبشدة , بل ان فى بحثى الاخير لكتابة هذة المقالة لعملاء شركة لايت كريتف وغيرهم من مستعملى الورد برس اكتشفت انه تم اصدار العديد من اصدارات الشل المخصصة لأختراق المواقع التى تعمل على الوردبرس فى السيرفر مما يجعلنا وبشدة نتجة الى تأمين موقعنا ضد تلك المحاولات .
أولا ً : حدث نسختك .
من اهم عوامل التأمين هو تأمين النواة الخاصة بالورد برس فالورد برس هو برنامج مفتوح المصدرة ويتم تأمينه من خلال المطورين القائمين عليه وعليك بان تنفذ عملية التحديث بشكل دورى وبالأخص اذا كان هذا التحديث فى موقع الورد برس الرسمى له تاج تحديث أمنى .
ملحوظة قد لا يعمل موقعك بشكل كامل بعد التحديث ولذالك عليك استشارة فريق الدعم الفنى لموقعك اذا كان عليك تحديث موقعك ام لا لان الاضافة البرمجية قد تتعارض مع الاصدارات الحديثة من الوردبرس
ثانياً : عدل السكيورتى كيز لموقعك
تقول مؤسسة الورد برس فى تقرير رسمى لها أطلعة عليه قبل قليل بان كل نسخ الورد برس التى يتم تحميلها فى العالم تتم تحميلها بملف wp-config.php مختلف عن اى نسخة فى العالم وهذا مطمائن ان تعلم بانك لن يراه اى شخص غيرك فى العالم السكيورتى سولت الخاصة بك ولاكن لا تنسى بان شركات تصميم المواقع , او المبرمجين الذين يعملون على تصميم المواقع دائما ً ما يكن لديهم مكتبة من نسخ البرامج وهم لا يحدث ملفات الاعدادت من موقع الى اخر ولذالك لا يمكنك الاعتماد علي هذة الاعدادات وللأسف لا يمكنك اعادة ضبط هذا الملف بعد عمل الموقع فعليك بان تقوم بهاذا فى الاعداد للموقع وإلا لن ستحتاج الى اعادة ضبط جميع باسوردات اعضاء موقعك
لخلق اعدادات من خلال موقع الورد برس اضغط هنا
ثالثا ً تغير مقدمة اسماء جداول قاعدة البيانات
قاعدة البيانات وبشكل افتراضى تحمل مقدمة لكل الجداول wp_ والخطورة هنا تكمن فى ان الهاكر قد يستطيع ان يدخل ويزرع فى قاعدة البيانات اى استعلامات يرغب فيها على فرض ان الجداول تبداء بنفس هذة المقدمة ولذالك يتوجب عليك تغيرها , ملحوظة هامة وهى ان بعض الأضافات للورد برس تفترض ان اسماء الجداول هى فى شكلها الافتراضى مثلا wp_posts
ولذالك لن تعمل
رابعاً : حماية اهم الملفات على الموقع wp-config.php
كما تحدثنا فى النقاط السابقة فان اهم اهم المعلومات تجدها فى ملف الاعدادات ولذالك علينا وباى ثمن حماية هذا الملف من اعين المخترقين على السيرفر ويمكنن فعل هذا باستخدام ملف ال .htaccess فقط اكتب الشفرة التالية فى الملف
<Files wp-config.php>
order allow,deny
deny from all
</Files>
order allow,deny
deny from all
</Files>
خامساً : أحمى ملف الأتش تى اكسس نفسه
الان وبعد ان حمينا ملف الwp-config.php باستخدام الأتش تى اكسس علينا ان نحمى الملف نفسه حتى لا يصل المخترق الى فك باقى الملفات ويمكن هذا باستخدام نفس الملف لحماية نفسه
<Files .htaccess>
order allow,deny
deny from all
</Files>
order allow,deny
deny from all
</Files>
سادساً : أخفى اصدارة الورد برس
فى حالة استعمالك ثيمز مجانى او غير مخصص بمعنى ان فى معظم حالات عملاء تصميم المواقع يتم عمل الثيمز بشكل مخصص لهم من خلال شركة لايت كريتف ولكن فى حالات استعمالهم ثيمزات مجانية هذا يأخذنا الى ظهور اصدار الورد برس فى الموقع او فى تسجيل لوحة الدخول ويمكنك فعل هذا بفتح الثميز الخاص بك ووضع هذة الشفرة فى اى مكان فى ملف functions.php وبالتالى لن يظهر اى اصدار تسستعمل
function wpt_remove_version() {
return '';
}
add_filter('the_generator', 'wpt_remove_version');
return '';
}
add_filter('the_generator', 'wpt_remove_version');
سابعا ً : ركب اضافة wordpress security scan
تقوم هذة الاضافة بفعل العديد من المميزات منها فحص الباسوردات تصريحات الملفات قاعدة البيانات وغيرها
ثامناً : لا تستعمل الأدمن الرئيسي
جميع او معظم اصحاب المواقع يفضلون استعمال حساب باسم الadmin وهذا فى قمة الخطورة بسبب عدم ان اى مخترق يبحث عن هذا العضو بشكل اساسى ويتوجه الية فى الهجوم وعليك ان تحمى نفسك من هذا الاسم حتى لا يتم تجريب الباسوردات عليه مثلا ً
تاسعا ً : ركب اضافة AskApache Password Protect
تقوم هذة الاضافة بعمل تشفير للعديد من الصفحات على موقعك منهم مثلا ً صفحة تسجيل الدخول الى الموقع وغيره أنصح بتركيبها جدا ً
عاشراً : وأهم نقطة على الاطلاق عدل تصريح ملفات موقعك
جميع عملاء تصميم المواقع واصحاب المواقع لا يهتم على الاطلاق بتصاريح الموقع الخاص به فالعديد من المخترقين يقومون بعملية اعادة كتابة الثيمز الخاص بالموقع ووضع صفحات تم الاختراق على الموقع من خلال السماح للمستخدمين بالكتابة على الملفات وهذة هى اكثر النقاطة المنتشرة فى عالم الاختراق للسيرفرات المشتركة هذة الايام والسبب فيها هو سماح صاحب الموقع بكتابة ملفات على موقعه او على الثيمز الخاص به
للتعديل من خلال السى بال على التصاريح للملفات
وبشكل عام عليك اختيار عدم الكتابة على الملف للاعضاء
اخيرا ً : وهو اهم كل تلك النقاط عليك اخذ نسخة احتياطية
النسخة الاحتياطية هى الامان الاقوى والوحيد لديك فجميع شركات الاستضافة بشكل عام تاخذ نسخة احتياطية من المواقع التى لدية ولاسباب فنية قد يتعطل اخذ هذة النسخة الكثير ولذالك عليك انت بالاهتمام بان تقم باخذ نسخة احتياطية لنفسك كل فترة هناك العديد من الاضافات للورد برس للنسخ الاحتياطية وتختلف اشكالها وقوتها وافضل وسيلة هى اخذ النسخة الاحتياطية من موقعك بشكل كامل من خلال السى بانل وليس من خلال الورد برس
ملخص المقال :
فى احد الايام ولصديق شخصى لى كان يمتلك موقع وكان على وشك بيع هذا الموقع بملغ 65 الف جنية مصرى بل واخذ اول دفعة من المبلغ ايضا ً وبعدها بـ24 ساعة تم اختراق موقعة وعلى الرغم من انه كان يستضيف الموقع تحت واحدة من اكبر الشركات الاستضافة إلا انه عند طلبه لنسخة احتياطية رجع المنتدى الخاص به الى اكثر من 14 شهرا ً وخسر اكثر من 150 الف عضو مشارك ومائات الآلاف من المواضيع المميزة والحصرية وانتهى مشروعه واستثماره فى الموقع بسبب عدم تأمينه الى مواضيع الموقع وملفاته وعدم اخذة نسخة احتياطية واعتماده عليها وحفظها على جهازه للعودة اليها فى اى وقت.
العديد من المواقع يحدث عليها هاك او اختراق وذالك يعود الى اسباب عديدة قد يكن السيرفر وآمان السيرفر هو واحد منهم ولكن ليس السبب الاكبر فاختراق السيرفر يعنى اختراق مائات من المواقع وليس موقع او اثنين, لاسباب متعددة عليك حماية موقعك بشكل كامل وعليك ان تعرف بان ملفات ومعلومات موقعك هى مسؤليتك وحدك ولا تعتمد على غيرك فى تأمين موقعك
ليست هناك تعليقات:
إرسال تعليق