نشرت 2 months ago

مدونة نود اون عربية

في آخر إحصائيات سنة 2012 تم اختراق أكثر من 117000 موقع معروف يستخدم ووردبريس ناهيك عن المواقع الغير معروفة ، رقم مهول حقا حيث ان 82.1% من مستعملي مدونات ووردبريس ليست لهم ذراية كيف يعملون على حماية مدوناتهم من الإختراق ، وعلى هذا الاساس هذه التدوينة ستساعدك على توفير اللبنة الاولى في حماية مدونتك من الإختراق العشوائي وتبقى اهم خطوات الحماية التي يجبك عليك تطبيقها على مدونتك ووردبريس وذات الولوية قصوى هي :

كيف تحمي مدونتك ووردبريس من الإختراق

 

حماية مجلد Wp-admin

هذه الخطوة تتمثل في تحديد عنوان ايبي واحد من اجل تسجيل الدخول إلى مسار wp-admin وهكذا فإنك ستمنع الهاكر من تخمين باسورد دخول الادمن كون انه يجب عليه ان يكون عنده نفس الايبي الذي قمت بتحديده في ملف htaccess. طبعا إذا كان لذيك ايبي متغير فيجب عليك تغيره في كل مرة على ملف htaccess. قبل تسجيل الدخول  وذلك بإنشاء ملف جديد htaccess. تم إضافة هذه القيم

AuthUserFile /dev/null  

AuthGroupFile /dev/null  

AuthName "Wordpress Admin Access Control"  

AuthType Basic  

order deny,allow  

deny from all  

allow from *********

 

 

نقطة ثانية التي يمكنك كذلك إتباعها في حالة إن كان عندك عدة مدراء للموقع هي عن طريق وضع جذار ناري للملف من خلال Cpanel الموقع حيث بعد ولوجك لـ Cpanel  انقر على تبويبPassword Protect Directories .

 

 إختر المجلد الذي تود حمايته ضع إسم مستخدم وباسورد وعليه عند الرغبة في الدخول إلى مجلد Wp-admin سيطلب منك اولا إدخال إسم مستخدم وكلمة مرور قبل السماح لك بالدخول إلى ملف wp-admin وتسجيل الدخول بإسم الدخول وباسورد إدارة مدونة ووردبريس .

 

 

حماية ملف wp-config.php

هذا الملف هو مسؤول عن إتصال المدونة مع سرفر الموقع ، كما ان هذا الملف يتضمن بيانات حساسة للموقع كمعلومات قاعدة البيانات، يجب عليك حمايتها عن طريق ملف htaccess. وذلك بإنشاء ملف جديد htaccess. وإضافة هذه البيانات 

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

منع تصفح المسارات
من النقاط المهمة التي يجب عليك كذلك تتطبيقها على مدونتك هو منع الزوار من تصفح مسارات الموقع لان بذلك تسمح للمهاجم ان يتعرف اكثر على الإضافات المتواجدة في مدونتك وإصداراتها ... لهذا لكي نمنع تصفح المسار يكفي ان تقوم بإضافة هذا السطر إلى ملف  htaccess. الذي قمت بإنشائه

Options -Indexes
 


wp-content
يتوفر هذا الملف على إضافات الموقع ، الصور ، القوالب ، وعليه يمكن للهاكر ان يبحث عن ثغرات الإضافات المتواجدة في موقعك لهذا ، ولكي نمنعه من تصفح هذا المسار يجب عليك إضافة هذه الاسطر في الاسفل إلى ملف htaccess.

 Order deny,allow

    Deny from all

    <Files ~ ".(xml|css|jpe?g|png|gif|js)$">

    Allow from all

    </Files>

 

حماية  htaccess.
يمكنك انها فكرة جنونية ولكنها ضرورية من اجل إخفاء ملف  htaccess.عن اعين الهاكر ، او توهيمهم انه لايوجد ملف من اجل تضيع وقتهم في الفراغ ، ويكون ذلك عن طريق إخفاء اي كلمة تبتدأ بــ hta ، فقط قم بإضافة هذا السطر إلى ملف

<Files ~ "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    satisfy all
    </Files>


الإضافات Plugins
من الفخاخ التى يقع فيها كذلك المدونون على مدونات الوورد بريس هو كثرة إستعمال الإضافات plugins مما يجعل الموقع اكثر تهديدا مدام ان الهاكرز يبحثون كذلك عن الثغرات الامنية المتواجدة في هذه الإضافات والتي تسمح لهم بإختراق مدونتك ، وعليه يجب عليك ان تستعمل فقط الإضافات المشهورة والتي تحدث بإسمترار بل وانصحك في حالة كانت مدونتك معروفة الا تستخدم إلا الإضافات الغير مجانية او المبرمجة خصيصا لك والتي تحضىبالدعم والتحديث  ، وكذلك التقليل من الإضافات على قدر  المستطاع من اجل تقليل المخاطر .
 

حذف  إصدار الوردبريس

وهذا امر ضروري لكي تمنع الهاكر من الوصول إليك عن طريق محركات البحث ، خصوصا جوجل ، حيث ان الهاكر بعد ان يكتشف او يحصل على ثغرة خاصة بإصدار معين للورود بريس يشرع في البحث عن المدونات التي تستعمل نفس الإصدار عن طريق البحث عن مايسمى ب dork هذا الاخير الذي سيضهر له جميع المدونات التي تستعمل نفس الاصدار وسيشرع في إستغلال الثغرة على المدونات واحدة تلو الاخرى وهناك إحتمال كبير ان تكون مدونتك كذلك من الضحايا وعليه يجب عليك حذف إصدار المدونة عن طريق الذهاب إلى الملف functions.php تم إضافة السطر الاتي :

remove_action('wp_head', 'wp_generator');



 

الحماية من هجمات SQLi

من الهجمات الاكثر تنفيذا من طرف الهاكر حيث يحاول الوصول إلى قاعدة بيانات الموقع عن طريق حقن اكواد في روابط المدونة او كذلك من خلال مدخلات في الموقع وعليه لمنع هذه الهجمات توجه اولا إلى هذا المسار في مدونتك :  wp-content/plugins
قم بإضافة مجلد بإسم  blocksqli تم داخل الملف اضف ملف blocksqli.php  والذي سيحتوي على الكود الاتي :

<?php  

 

global $user_ID;  

if($user_ID) {  

    if(!current_user_can('level_10')) {  

        if (strlen($_SERVER['REQUEST_URI']) > 255) {  

            @header("HTTP/1.1 414 Request-URI Too Long");  

            @header("Status: 414 Request-URI Too Long");  

            @header("Connection: Close");  

            @exit;  

        }  

    }  

}  

if (strpos($_SERVER['REQUEST_URI'], "eval(") ||  

strpos($_SERVER['REQUEST_URI'], "CONCAT") ||  

strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||  

strpos($_SERVER['REQUEST_URI'], "base64")) {  

    @header("HTTP/1.1 414 Request-URI Too Long");  

    @header("Status: 414 Request-URI Too Long");  

    @header("Connection: Close");  

    @exit;  

}  

?>

 

كما تلاحظ فإننا قمنا بإضافة plugin للمدونة لحمايتها من هجمات sqli ماعليك الان إلى تفعيل الإضافة لوحة تحكم الموقع .
 

تحديث المدونة 

من الامور الاساسية التي يجب عليك إتابعها ، هي تحديث المدونة دائما إلى آخر إصدار فهذا يجعلك دائما في اقصى حماية من الثغرات الامنية ، لهذا يجب عليك دائما متابعة جديد إصدارات مدونات ووردبريس إما من خلال موقع مدونة الووردبريس الرسمية او من خلال مدونات تقنية اخرى او منتديات 

 

 

الثغرات الامنية 

تطفوا إلى سطح من حين إلى آخر بعض الثغرات الامنية في مدونات ووردبريس ، لهذا يجب عليك ان تبقي عينيك مفتوحة دائما على بعض المواقع التي تنشر اخبار الثغرات الامنية واشهرها موقع exploit-db الاخير الذي يساعدك على معرفة جديد الثغرات الامنية المتواجدة في الانترنت ، كما يمكنك إستعمال بعض الاضافات الضرورية والتي تعمل على مسح المدونة scan من اي ثغرات امنية قد تتواجد بها وانصحك بهذه الإضافات المشهورة :

Exploit Scanner
Ultimate Security Checker

 

الحماية من محرك البحث جوجل :
 مادمنا نتحدث عن الإختراق العشوائي فهذا يعني انه يجب عليك حماية مدونتك من محرك البحث جوجل ، الاخير الذي يساعد الهاكرز بشكل كبير على الإختراق عن طريق الحصول على معلومات حساسة ، يتم ارشفتها في Google ، لهذا وجب عليك ان تحمي المسارات الحساسة في موقعك من ان يتم ارشفتها في محرك البحث جوجل عن طريق إضافة هذا السطر إلى ملف robot.txt في موقعك .

 

User-Agent: *

Disallow: /wp-*


اتمنى ان اكون قد وفيت في موضوع حماية مدونات ووردبريس ، طبعا لا انسى ان اذكر بشيئ مهم ، إذا عزم الهاكر على إختراق موقعك فسيقوم بذلك كل ما بإستطاعتك هو ان تجعل الامر صعب عليه ، ولاتتركه في متناول الجميع . شكرا لمتابعتكم

اقرأ أكثر


نشرت 2 months ago

العراق

أصبحت مهمة الموساد في تجنيد العملاء أكثر سهولة، مع وجود ثورة المعلومات التي اجتاحت العالم وبفضل التكنولوجيا المتطورة، حيث لم يعد من الضروري مقابلة العميل وجهاً لوجه من أجل انتزاع المعلومات منه، فالمعلومة قد تصل بطرق أسهل بكثير ولن يحتاج تجنيد العميل ومعرفة ميوله وأهوائه سوى دردشة بسيطة على مواقع التواصل الاجتماعي.

يلجأ الموساد الإسرائيلي إلى أحدث طرق الجاسوسية أسوة بالمخابرات الأمريكية، عن طريق أشخاص عاديين لا يعرفون أنهم يقومون بمثل هذه المهمة الخطيرة، فيعتقدون بأنهم يقتلون الوقت أمام صفحات الدردشة الفورية واللغو في أمور قد تبدو غير مهمة، وأحيانا تافهة أيضًا ولا قيمة لها.
الخطير في الأمر أن الموساد يستدرج الشباب العربي دون أن يشعر، إلى الإدلاء بتفاصيل مهمة عن حياته وحياة أفراد أسرته ومعلومات عن وظيفته وأصدقائه والمحيطين به وصور شخصية له ومعلومات يومية تشكل قدراً لا بأس به لأي جهة ترغب في معرفة أدق التفاصيل عن عالم الشباب بالدول العربية.
بات الشباب العربي "جواسيس" دون أن يعلموا، وأصبحوا يقدمون معلومات مهمة للمخابرات الإسرائيلية أو الأمريكية دون أن يعرفوا، لاسيما وأن الأمر أصبح سهلاً، حيث لا يتطلب الأمر من أي شخص سوى الدخول إلى الإنترنت، خاصة غرف الدردشة، والتحدث بالساعات مع أي شخص لا يعرفه في أي موضوع بما في ذلك الجنس، معتقدا أنه يفرغ شيئًا من الكبت الموجود لديه وأنه يضيع وقته بالتسلية.
وكانت إذاعة الجيش الإسرائيلي قد كشفت عن وحدة "حتسف" التابعة لجهاز الأمن العام الإسرائيلي "الشاباك"، وهي الوحدة المسؤولة عن متابعة ومراقبة الإعلام العربي، والتي أنشئت منذ 10 سنوات، وتمد جهاز المخابرات الحربية الإسرائيلية بالمعلومات الهامة التي يمكن الاستفادة منها من خلال رصد ومراقبة مواقع التواصل الاجتماعي"فيس بوك" و"تويتر" الخاصة بالعدو (على حد وصفهم) والذي يتمثل في الدول العربية ومنها مصر، حيث ترصد تلك الوحدة كل كلمة أو تغريدة أو صورة يتم نشرها على مواقع التواصل الاجتماعي العربي، كما أنها تقوم بالرد على الصور "المزيفة" من وجهه نظرها.
لم تكتف إسرائيل بتلك الوحدة العسكرية، حيث دشنت وزارة الخارجية الإسرائيلية عددا من الصفحات الناطقة باللغة العربية علي موقع فيس بوك، من أهمها صفحة "إسرائيل تتكلم بالعربية"، و(هي الصفحة الرسمية بالعربية لدولة إسرائيل على فيس بوك) وتعتبر تلك الصفحة هي الأكثر احترافية في نشر الأخبار التي تُجمل صورة إسرائيل بشكل كبير.
وتشير إحصائيات الصفحة إلى أن عدد أعضائها يبلغ حوالي 113350 عضوا، ومن اللافت للانتباه هنا، أن مدينة القاهرة هي من أكثر المدن المُتابعة للصفحة، والفئة العمرية الأكثر إقبالا عليها تتراوح ما بين 18 إلي 24 عاما، إضافة إلى غيرها من الصفحات مثل "إسرائيل بالعربية"، و"إسرائيل بدون رقابة.
تفاصيل كثيرة ومشوقة، يكشفها كتاب "احترس.. الموساد يراك" للكاتب والباحث الشاب محمود صبري، الذي يرصد مدى توغل الشيطان الأكبر "جهاز الموساد الإسرائيلي" وبشاعته بالوطن العربي والعالم بأسره.
الكتاب المثير يكشف بوضوح أسرارًا خفية في عالم الموساد، ذلك الجهاز الذي لا يتورع عن فعل أي شيء من أجل تحقيق أهدافه بدء بالإغراء بالجنس ومروراً بتقديم الأموال الطائلة والهدايا وانتهاء بالابتزاز والتهديد والاغتيال.
كما يكشف الكتاب النقاب عن كل الأساليب التي ينتهجها الموساد من أجل تحقيق أغراضه الدنيئة بما في ذلك مراحل تجنييد العملاء وكيفية اختيار العميل وتطويعه حتى يكون أداة طيعة تنفذ كافة التعليمات.
ويتناول الكتاب محاولات الموساد لمنع العرب والمسلمين من امتلاك سلاح نووي مهما كان الثمن، سواء بتجنيد العملاء أو باغتيال العلماء، أو بضرب المفاعلات النووية، واغتيال قيادات المقاومة الفلسطينية واللبنانية واستغلال الجنس كوسيلة للإيقاع بالعملاء وتجنيدهم، كما يكشف النقاب أهم الشخصيات التي تم تجنيدها، إضافة إلى عمليات الموساد القذرة خلال تاريخ الجهاز.

المصدر الوفد

اقرأ أكثر