السلام عليكم و رحمة الله و بركاته
في الآونة الأخيرة ظهرت مشاكل كثيرة لدى البعض من اختراق مواقعهم و يذهب بكل منهم الظن بأن الخلل في المنتدى مثلاً أو سكريبت الأخبار أو غيرها من السكريبتات الرئيسية في مواقعهم ..
فيما السبب الرئيس يكمن في سكريبتات بسيطة قد لايخظر ببالك أنها السبب لما يحصل ..
و أذكر منها مثالين اثنين :
1 - مركز تحميل الملفات .
2 - ألبوم الصور .
التفصيل :
1 - مركز تحميل الملفات : أغلب هذه السكريبتات المتوفرة لرفع الملفات ضرورية لأغلب أصحاب المواقع نظراً لرغبتهم في توفير هذه الخدمة الضرورية لأغلب الأعضاء و المشاركين ...
و طبعاً فإن أغلب السكريبتات المتوفرة من هذا النوع مجانية لذلك كل صاحب موقع يبث عن سكريبت و يقوم بتركيبه و يعتقد أنه انتهى من مشكلة رفع الملفات لدى أعضائه في حين أن الذي حصل هو العكس ..
فهو بهذا السكريبت يكون قد فتح ثغرة ( أو بالأصح بوابة كبيرة ) لاختراق موقعه دون أن يشعر .
فأي سكريبت من هذا النوع يطلب منك تكوين مجلد يتم حفظ الملفات فيه ثم إعطاء هذا المجلد تصريح 777 .
و بذلك يستطيع أي هاوي أعمال هاكار من اختراق موقعك بملف يقوم بتحميله ... ثم يسيطر على كل شيء و يخرب لك الدنيا ، و يصبح موقعك واجهة إعلانية له يعرض فيها عضلاته أنه قام باختراق الموقع .
2 - ألبوم الصور :
نفس الشيء الذي رأيناه في مركز تحميل الملفات ينسحب على ألبوم الصور حيث تضطر إلى إعطاء تصريح 777 لبعض مجلدات السكريبت و بذلك تكون قد فتحت ثغرات كثيرة يمكن الدخول منها .
وبهذين المثالين أعتقد أنني انتهيت من تلخيص المشكلة .
ولكن ماهو الحل ؟؟
هل سيضطر كل صاحب موقع إلى إلغاء خدمة تحميل الملفات في موقعه ؟؟؟
الجواب : نعم و لا .
1 - نعم : أي يجب فوراً إيقاف أي سكريبت لتحميل الملفات في موقعك الأساسي مهما كان نوعه .
2 - لا : أي يمكنك تجاوز هذه المشكلة بطريقة سهلة و هي كما يلي :
مثلاً : عنوان موقعك www.domain.com فتقوم بحجز دومين آخر بهذا الشكل www.domain.net ثم تستضيف هذا الدومين الثاني في استضافة أخرى على سيرفر ثاني غير موقعك الرئيسي ..
بل عليك استضافته في سيرفر آخر و استضافة أخرى ، ثم تقوم بتركيب مركز تحميل الملفات أو أي سكريبت آخر في المساحة الجديدة الثانية www.domain.net ...انتبه لاتستضيف الدومين الثاني www.domain.net على نفس السيرفر و إلا ستقع في نفس المشكلة من جديد .
بحيث يقوم زوار موقعك برفع ملفاتهم للمساحة الثانية www.domain.net ثم يأخذوا روابطها لعرضها في موقعك الأساسي www.domain.com .
هذا هو الحل المناسب برأيي ، و في حال تم اختراق www.domain.net فالمشكلة سهلة لأن المخترق لن يستطيع تخريب أكثر من بضعة ملفات يمكن استرجاعها بسهولة من خلال نسخة احتياطية يومية و لكنك تضمن أنه لن يستطيع تخريب موقعك الأساسي www.domain.com أو العبث به .
هذا ... و الله أعلم
والسلام عليكم
عماد الدين