سبع نصائح مهمة لحماية مدونتك (ووردبريس) من عبث العابثين

[رشيد]

السلام عليكم ورحمة الله وبركاته

هذه بعض النصائح أقدمها لكم على أمل أن تفيدكم في حماية مدوناتكم (ووردبريس) من عبث العابثين:

1. ضع حماية على المجلد wp-admin من خلال السي بانل بحيث اذا حاول أي شخص أن يدخل على اي ملف في هذا المجلد سوف يطلب منه اسم مستخدم ورقم سري.

2. استعمل ملف .htaccess حتى تحدد أي ip توجد له صلاحية للوصول الى مجلد wp-admin وذالك عن طريق وضع ملف .htaccess داخل مجلد wp-admin وتكتب به الامر التالي:

كود:

<LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000
</LIMIT>

00.000.00.000 : هنا تضع الاي بي الخاص بك وهو الاي بي الوحيد المسموح له بالوصول للمجلد. تستطيع أن تضيف أكثر من اي بي في قائمة السماح بواسطة اضافة أسطر جديدة. مثال:

كود:

<LIMIT GET>
order deny,allow
deny from all
# whitelist home IP address
allow from 00.000.00.000
allow from 11.111.11.111
allow from 22.222.22.222
</LIMIT>

3. ضع ملف index فارغ بداخل مجلد ال plugins حتى لا يعرف احد ما هي الاضافات الموجودة في مدونتك حتى لا يستغل وجود اضافة معينة بها ثغرة. يمكنك ايضا أن تمنع عرض محتويات أي مجلد في موقعك بسهولة بواسطة ملف ال htaccess وذالك عن طريق اضافة ملف htaccess للمجلد المطلوب وتكتب به الامر التالي:

كود:

Options All -Indexes

4. ادخل على مجلد القالب الذي تستعمله وافتح ملف header.php واحذف منه السطر:

كود:

****** name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” /> <!-– leave this for stats please -->

لا يوجد أي سبب أن يعرف أحد ما هي نسخة الووردبريس التي تستعملها.

5. قم بتغيير اسم المستخدم الافتراضي للوورديرس من admin الى اسم مستخدم اخر. العملية تتم من خلال ال phpmyadmin وهي مشروحة هنا:
How to change Wordpress’ default username | Bindanaku

ايضا ضع رقم سري للمدونة بحيث يكون مكون من أرقام وحروف انجليزية صغيرة وكبيرة. لا تضع باسوورد سهل مثل عنوان مدونتك أو أرقام/احرف متتالية أو بجانب بعضها على الكيبورد. هنالك روبوتات يمكن تشغيلها لمحاولة الدخول الى لوحة تحكم المدونة وهذه الروبوتات تستعمل طريقة ال brute force بحيث تحاول ان تتكهن ما هو الباسوورد مستعملة ملايين التكهنات بل وأكثر.

6. اضافة Login LockDown
[Login LockDown] لحماية اختراق مدونتك - منتديات عرب ووردبريس

7. اشترك بخدمة ال rss لتحصل على اخر الملاحظات بخصوص اصدارات ووردبريس وهل توجد ثغرات أمنية.

الرابط:
WordPress Development Blog

أيضا اعمل بحث في هذا الموقع عن كلمة wordpress حتى تفحص اذا في ثغرات معينة.

الرابط:
milw0rm - exploits : vulnerabilities : videos : papers : shellcode

بالتوفيق.

----
المصدر:
نصائح مهمة لحماية مدونتك - منتديات عرب ووردبريس

[سحاب اون لاين]

جزاكم الله خيرا
موضوعكم رائع مثل مدونتكم
والتي ألزم نفسي بزيارتها يوميا

ولكن ما هي نسبة الحماية المتوقعة بإذن الله
إذا قمنا بتطبيق هذه الخطوات بحذافيرها

[رشيد]

حياك الله أخوي سحاب اون لاين.
ان شاء الله هذه الخطوات سترفع كثيراً من نسبة الأمان في المدونة, طبعا لا يوجد امان 100% ولا لأي موقع , لكن تطبيق الخطوات المذكورة في الموضوع ترفع مستوى الأمان بدرجتين على الأقل من 10 درجات.
هذه النصائح قد لا تساعدك اذا لم تقم بترقية مدونتك الى الاصدار الأحدث أو اذا قمت بتركيب اضافة قام ببرمجتها أحد الهواة وترك تحديثها وتم العثور على ثغرة بها.
بالتوفيق لك.

[TlT]

صراحة شرح رائع
ولي سؤال بخصوص نقطة تحديد مسجل الأي بي
شركات الإتصال إذا سويت ريستارت للمودم بيتم تغير رقم الأي بي هل لهذا حل ؟
وايضا لي سؤال اخر هل تنفع خطوة تحديد الإي بي علي المنتديات
ولكم جزيل الشكر

[رشيد]

صراحة شرح رائع
ولي سؤال بخصوص نقطة تحديد مسجل الأي بي
شركات الإتصال إذا سويت ريستارت للمودم بيتم تغير رقم الأي بي هل لهذا حل ؟
وايضا لي سؤال اخر هل تنفع خطوة تحديد الإي بي علي المنتديات
ولكم جزيل الشكر

اذا كان الاي بي دينامي هذه مشكلة لكن تقدر تاخذ اي بي ثابت من مزود النت وسعره يمكن 100 او 150 ريال شهري.

نعم, حتى على المنتديات تنفع, ملف htaccess غير مخصص للمدونات فقط بل لجميع المواقع.