مقدمة

تعرضت لمشكلة تقنية امنية في مدونتي قبل مدة، اضطررت بعدها لمراجعة وفتح الملف الأمني … للـ (مدونة) :) .

جائتني رسالة تفيد ان مدونتي تظهر في محرك البحث وتحتها رسالة تحذير من جوجل تقول:
“This site may harm your computer.”

وهذا يعني ان الموقع قد يحوي على برامج ضارة (malicious software)، يمكن ان تحذف البيانات في جهازك، او تسرق المعلومات الشخصية مثل كلمات السر وأرقام بطاقات الائتمان وغيرها.

قمت بمجموعة من الاجراءات، علاجية، ووقائية سريعة …
والحمد لله حلت المشكلة سريعاً، وقام جوجل – مشكوراً – بازالة التحذير …

سأضمّن في هذه التدوينة بعض النصائح العامة .. قد تفيدك في تجنب مثل هذه المشاكل بشكل عام قبل وقوعها، او لاحقاً في كيفية التصرف بعد وقوعها.

 

ملاحظة هامة: هذه التدوينة (تقنية)، وموجهة لاصحاب المدونات، ومستخدمي الـ WordPress، ومن له اهتمام بالحماية.

 

مع تمنياتي بالسلامة، ودوام الامن والعافية،، لكم ولمدوناتكم. :)

 

1- ابق مدونتك محدثة دائماً (Up To Date)

قد تكون البرامج المفتوحة المصدر كالـ (wordpress) مفيدة جداً في احيان كثيرة، لكن احد ابرز عيوبها ان التحديثات الأمنية والمشاكل والثغرات تكون معروفة للكثيرين، ويتم الاعلان عنها بشكل كبير، ويشارك الجميع في اكتشافها، وتقريرها .. مما يعني ان تأخرك في اي تحديث .. يجعلك احد الضحايا المحتملين.. المعرّضين للخطر.

ابق مدونتك محدثة دائماً .. قم بأخذ الاجراءات المعتادة:
(النسخة الاحتياطية لقاعدة البيانات)،
و(النسخ الاحتياطي للاضافات او الثيم المستخدم وكافة الملفات)،
ثم (تثبيط الاضافات ;) – Deactivate ) كاجراء احترازي،
ثم قم بعملية التحديث واعادة تفعيل الاضافات، والتجربة.

 

2- يفضل عدم الافصاح عن الاصدار المستخدم لمدونتك

حتى لو لم تقم بالتحديث بشكل سريع ومستمر، حاول الا تصرح بالاصدار المستخدم، فهناك برمجيات وشبكات (تسبح :) ) في الشبكة العنكبوتية، لتلتقط عبر قراءة الاصدار مجموعة من الضحايا العشوائيين .. او حتى في حالة الهجوم المقصود، تكون الامور ابسط حينها والمعلومة والثغرات في متناول اليد ومعروفة جيداً.

مثال: هذا السطر يقوم باظهار النسخة المستخدمة في header.php:

<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-- leave this for stats -->

اخفاء هذا الاصدار المستخدم قد يقلل احتمالية تعرضك للخطر او يؤخره في حالة عدم التحديث المستمر.

وهناك اضافات صممت لتخفي رقم الاصدار المستخدم، سواءً في (هيدر الموقع)، او في (الفوتر) او في الـ Feeds وغيرها.
بل حتى Powered by WordPress .. ينصح بعض فلاسفة الووردبريس بازالتها، ودعم الووردبريس بطرق اخرى.. لتجنب المشاكل الامنية.

 

3- قم بتحديث الاضافات للمدونة

في كثير من الاحيان يتم الاختراق، او الوصول الى المدونة عبر الاضافات المثبتة.
ثغرات في الكود، او خلل في البناء ..

تأكد دائماً ان الاضافات الموجودة حديثة وموثوقة (حتى لو لم تكن بحاجة لبعض الخصائص الجديدة، قم بتحديثها للاسباب الامنية).

 

4- تأكد من منع عرض محتويات المجلدات في موقعك – Disable Directory Browsing

معرفة الاخرين بمحتويات مجلداتك، او معرفتهم للاضافات الموجودة مصدر خطر،،،
وهناك العديد من الطرق لاخفاء عرض مكونات المجلد: ،
من الممكن ببساطة تحميل ملف index.html / index.php في المجلدات الرئيسية كمجلد الـ Plugins ليظهر عند محاولة استعراض مكونات المجلد.

او من الممكن عمل هذاا عبر ملف .htaccess

باضافة كود:

# Disable Directory Browsing
Options -Indexes

وهناك ايضاً اضافة: Disable Directory Listings لها الغرض.

 

5- تأكد من الصلاحيات الممنوحة للملفات والمجلدات

راجع الصلاحيات في ملفات ومجلدات الووردبريس، تأكد من منح الصلاحيات اللازمة فقط. وجود مجلد بصلاحية 777 هو خطر .. يعني منح الصلاحيات الكاملة (Read/Write/Execute) للجميع ..

اي انك ضمنياً.. تقدم دعوة صريحة لوليمة عشاء شهية.. لمجموعة من الهكرز الطيبين ! :D

هنا موقع يعرض بعض الصلاحيات المقترحة اللازمة – (Recommended File & Folder Permissions)

وهنا اضافة يمكنك تحميلها – WP Security Scan … (احد خصائصها) القيام بفحص المجلدات، واخبارك بالصلاحيات الامثل:


[سنابشوت]

ايضاً كن حريصاً عند اعطاء الـ Write Permissions صلاحيات الكتابة.

يفضل الا تمنحها الا عند الحاجة القصوى، وفي حالة ان السكربت المستخدم موثوق وآمن.

 

6- المستخدم، كلمة السر …

من النصائح في هذا المجال، ان تغير المدير العام (Super user) ليكون مدير غير الـ admin المعروف، وتستخدمه .. ثم قم باختيار كلمة سر معقدة وتأكد من قوتها عبر هذا الموقع مثلاً ..

اذا كانت المدونة جديدة، فيمكنك ببساطة اضافة مستخدم جديد ومنحه الصلاحيات، ومسح المدير الافتراضي.

واذا كانت المدونة موجودة منذ مدة، فيمكنك مثلاً استخدام الكود التالي في قاعدة البيانات لتغيير اسم المدير الافتراضي:

UPDATE wp_users SET user_login = 'alseri' WHERE user_login = 'admin';

 

مدير غير معروف + كلمة سر معقدة … ستصعب عملية الاختراق بالتخمين او التجربة.

وهناك ايضاً اضافة: Login LockDown والتي تقوم بتسجيل عمليات الدخول الخاطئة من نفس الشخص، ومنعه من الدخول لبعض الوقت

7- النسخ الاحتياطي

يجب ان تكون لديك نسخة احتياطية من مدونتك دائماً، حيث لا يمكن بشكل عام تجنب الاخطار التقنية، ولكن يجب ان تكون لديك خطة لمواجهتها .. والحفاظ على بياناتك.

الباك اب ضروري جداً لبقاء كينونتك ;P

تذكر النقاط التالية:
- قم بجدولة\اتمتة عملية النسخ الاحتياطي.
- احتفظ بالنسخة الاحتياطية خارج موقعك\سيرفرك .. حتى تتمكن من استرجاعها في حالة سقوط السيرفر بشكل كامل.
- النسخ الاحتياطي يشمل قاعدة البيانات، وايضاً ملفات الموقع .. لأن هناك اضافات وملفات وصور يلزمك حفظها ايضاً – uploads.

هناك طرق معروفة للقيام بعملية النسخ الاحتياطي اليدوي من قاعدة البيانات او الملفات…
لكن هناك اضافات مفيدة تساعد في القيام بهذه المهمة.

اضافات تجارية – Premium/Commercial:
- BackupBuddy
- BlogVault

اضافات مجانية:
- WP-DB-Backup – تقوم بالنسخ الاحتياطي لقاعدة البيانات
- BackWPup
- WordPress Backup to Dropbox

وهناك عشرات الاضافات الاخرى للنسخ الاحتياطي

 

8- عمليات المسح الامنية – Scanning

هناك اضافات هدفها المسح الأمني لقالب الووردبريس المستخدم ..
مثل اضافة: AntiVirus .. والتي تقوم بعملية مسح يومية – Scan – للتأكد من خلو موقعك من اي كود ضار او مشكلة امنية

وهناك ايضاً اضافة Exploit Scanner والتي تقوم ايضاً بالبحث في قاعدة البيانات، وملفاتك حول اي مؤشرات لاي برمجيات ضارة او اكواد خبيثة.

قم بجدولة هذا المسح الأمني وتكراره.. وتأكد ايضاً من سلامة جهازك ايها المدير .. قبل سلامة سيرفر مدونتك.

 

9- قم باخذ اجراءات اخرى

- ملف الـ wp-config يحوي على معلومات مهمة، وسرية ..
قم بمنع الوصول اليه عبر اضافة هذا الكود مثلاً في ملف الـ .htaccess

<Files wp-config.php>
order allow,deny
deny from all
</Files>

- قم بحماية ملف .htaccess ايضاً

يمكنك مثلاً اضافة الكود في .htaccess لتمنع الوصول اليه

# STRONG HTACCESS PROTECTION</code>
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

مقتطفات مفيدة

احد الاضافات المفيدة خلال اجراء اي تعديل او اصلاح في مدونتك هي اضافة:
Maintenance Mode – [تحديث تايم] :)
وهي تقوم باعطاء رسالة للزائر ان الموقع قيد التحديث\الصيانة .. وفي ذات الوقت تمكّن المدير او من لديه الصلاحية الدخول الى صفحات الادارة وصفحات الموقع ايضاً.

 

 

هنا تصميم بياني يوضح بشكل عام خطوات تحديث الووردبريس

Ultimate Guide to Upgrade WordPress for Beginners [Infograph]

ماهي تجربتك؟

هل لديك نصائح اخرى للوقاية، ولرفع اجراءات الحماية في مدونتك ..؟
هل تعرضت لمشكلة امنية وماهو سببها؟
هل لديك اي ملاحظة او اضافة حول ما ذكر في هذه التدوينة؟

مشاركتكم تسرنا وتفيدنا .. :)


هل أعجبك هذا الموضوع؟