السلام عليكم
اليوم قررت تخصيص بعض وقت لكل أصحاب مواقع الجدد أو قدمي المستخدمين لنسخة wp ، شئ أكثر أهمية بنسبة لأصحاب مواقع قبل إختيار سكربت إدارة محتوي أو تدوين وهو الحماية ، بنسبة wp لاحظت كثير من أصحاب مواقع يستخدمون إضافة إخفاء نوع سكربت و إصدار خوفا من هاكر لأن بنسبة لهم نسخة wp ضعيفة حماية ، للأسف مفهوم خطاء ، هل تصدق أن أكبر شركة تبرمج سكربتات خاصة و تصرف ألف دولار لتأمين منظومة حماية شهاريا ، الأن سوف أشركوكم أهم عملية التي قمت بها لتأمين مدونتي كـ شركة كبري و التي سوف ستحمي مدونتك 95% بإذن الله.
- سؤال شائع حول ملف .htaccess ؟ أين يوجد ملف .htaccess ؟
ملف .htaccess يكون في العادة في المجلد الرئيسي للموقع او السكربت المستخدم !
ووردبريس في هذه الحالة يحتوي علي ملفيين ، يوجد ملف أول في المجلد الرئيسي و ثاني في مجلد أدمين !
- في هدا شرح سوف نستهدف ملف .htaccess مسؤول عن بعض أوامر الحماية للملفات من إختراق :
بنسبة عند تثبيت المدونة لأول مرة غير بادئة الجدول (prefix) بإضافة بعض الحروف أو الارقام لتمنع استغلال الثغرات في حقن قاعدة البيانات (zero-day SQL Injection) .
إذا كنت مثبت الWordPress حاليا فهناك إضافة تمكنك من تغيير بادئة الجدول مثل [سجل الدخول لترى الرابط]
- الأن سوف نبدأ بإضافة أكواد حماية داخل ملف .htaccess أتمني تركيز حتي لا يحدث خطاء حتي ولو بسيط لأن ملف .htaccess حسس جدا وقد يعرقل عمل مواقع :
لتذكير ملف .htaccess يكون في العادة في المجلد الرئيسي للموقع او السكربت المستخدم (ووردبريس في هذه الحالة). افتح الملف والصق هذا الكود فيه.
\[code\]
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY\_STRING} (\\<|%3C).\*script.\*(\\>|%3E) \[NC,OR\]
RewriteCond %{QUERY\_STRING} GLOBALS(=|\\\[|\\%\[0-9A-Z\]{0,2}) \[OR\]
RewriteCond %{QUERY\_STRING} \_REQUEST(=|\\\[|\\%\[0-9A-Z\]{0,2})
RewriteRule ^(.\*)$ index.php \[F,L\]
\[/code\]
هذه الطريقة تساعد في الحماية من scripts injection و هجمات \_REQUEST او GLOBALS.
- احصر الدخول للوحة التحكم لل IP الخاص بك فقط عن طريق اضافة الكود التالي لملف htaccess. الموجود في مجلد wp-admin
\* مع مراعاة تغيير xxx.xxx.xxx.xxx لل IP الخاص بك.
\[code\]
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
\[/code\]
- حماية ملف (wp-config), هذا الملف يحتوي على معلومات قاعدة البيانات مثل اسم المستخدم والباسورد لذلك يجب حمايته جيداً, وإخفائه عن الجميع, قم بوضع هذا الكود في ملف htaccess.
\[code\]
\# protect wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
\[/code\]
- قم بمنع محركات البحث من ارشفة محتويات المجلدات الداخلية للمدونة مثل الإضافات أو القوالب, لأنك بذلك ستكون قد سهلت عملية الإختراق بسماحك للملفات بالظهور, قم بإضافة الكود التالي لملف robots.txt في المجلد الرئيسي للمدونة, قم بإنشاء الملف إن لم يكن موجود.
\[code\]
User-agent: \*
Disallow: /cgi-bin
Disallow: /wp-\*
\[/code\]
- عرض الملفات التي بداخل المجلدات تشكل خطر حقيقي, لانها تكشف محتويات المدونة, قم بإضافة الكود التالي لملف htaccess.
\[code\]
\# disable directory browsing
Options All -Indexes
\[/code\]
\* هذه أهم أكواد خاصة بـ htaccess. لحمايته من إختراق.
- سوف ننتقل أن لبعض إضافات أستعملها شخصيا لزيادة حماية مدونتك :
\* استعمل إضافة [سجل الدخول لترى الرابط] , وظيفة عملها هو منع اكثر من مثلاً 5 محاولات دخول خاطئة للوحة التحكم ( مشكل شائع في هذه إضافة عند محاولة إختراق يتوقف موقعك 60 دقيقة تلقائيا ، يمكن أن تغيير وقت من إعدادت إذا كنت تري أنها لا تنسبك أو أحيانا تخطئ في دخول )
\* احمي مدونتك من الأكواد الخبيثة مثل eval, base64 بفضل هذه الإضافة [سجل الدخول لترى الرابط]s فقط قم بتنصيبها وستعمل على اكمل وجه.
\* لفحص تصاريح الملفات, و فحص مدى فاعلية حماية مدونتك , قم بتنصيب [سجل الدخول لترى الرابط]
- مع هذا الشرح ستحمي مدونتك 95% بإذن الله، ارجو إبداء الرأي من ملاحظات أو تعديلات أو نصائح أخرى
