Skip to main content

حماية الملفات والمجلدات لمدونة الووردبريس

بواسطة معاذ أشملي- wait... مشاهدة/ 10 تعليق
حماية الملفات والمجلدات لمدونة الووردبريس
2017-02-12

السلام عليكم ورحمة الله وبركاته

في هذه التدوينة احببت ان اتحدث عن حماية الملفات والمجلدات لمدونة الووردبريس نظرا لقلة الشروح عنها ونظرا لاهميتها وخطورتها في نفس الوقت و معنا سكريبت اليوم وجدته بينما ابحث في المواقع عن سكريبت يقوم بالعمل الذي نريده

الملفات التي يجب عليك حمايتها تختلف من نوع الى اخر هنا سنتطرق الى كل نوع على حدى

حماية الملفات readme.html و readme.txt

بالنسبة لهذه الملفات فهي تحتوي على معلومات الاصدار الذي تستعمل سواء اصدار الووردبريس او الاضافة او القالب وهذه المعلومات قد يتم استغلاهلها في اختراق موقعك في حالة كان الاصدار نفس الاصدار الذي تستعمل توجد له ثغرة بالنسبة لطريقة حماية هذه الملفات فهي بسيطة جدا كل ما عليك هو اضافة الاكواد ادناه الى ملف .htaccess

حماية ملفات wp-config.php

هنا يجب اخد الاحتياط لان هذا الملف الذي يحتوي على معلومات الاتصال بالقاعدة وفي الغالب تكون هذه المعلومات هي نفس معلومات cpanel لهذا يجب تحويل مكان هذا الملف وحمايته هنا سنتحدث عن خطوتين :

الخطوة الاولى بواسطة htaccess اي لمنع الوصول لهذا الملف عن طريق تغرات نقوم باضافة هذا الكود الى ملف htaccess في المجلد الرئيسي للمدونة

المجلد ما قبل الرئيسي للموقع هذه المنطقة يتم الوصول اليها  من قبل صاحب الموقع في اغلب الاحوال فقط عن طريق ftp او لوحة تحكم الاستضافة

الخطوة الثانية تحويل جزء من معلومات الاتصال بالقاعدة الى المجلد ما قبل الرئيسي للموقع للمنع الوصول اليه نهائياهنا سنحتاج لتغيير الملف wp-config.php واضافة ملف يحتوي على معلومات الاتصال بالقاعدة

اولا نقوم بانشاء ملف جديد باسم connect.php ونضع داخله الكود التالي :

define("DB_USER", "user");
define("DB_PASSWORD", "password");

قبل حفظ الملف

  1. لا تنسى ان تضيف اوسمة php بداية ونهاية الكود هذا مثال من موقع pastebin
  2. ايضا لا تنسى تغيير معلومات الاتصال الخاصة بقاعدة البيانات الخاص بموقعك

مسار هذا الملف يختلف من استضافة الى اخرى على حسب لوحة التحكم التي تستعمله الاستضافة مثلا cpanel الملف يجب ان يكون على المسار التالي :

/home/user/connect.php

بالنسبة لملف wp-config.php نقوم بازالة الاكواد التي اضفنا الى ملف connect.php ونضع مكانها استدعاء الملف المحمي كما هو موضح في السطر 8 من الكود التالي :

لاحظ ان ملف wp-config.php لم يعد يحتوي على معلومات الاتصال بالقاعدة يحتوي فقط على اسم القاعدة

تصاريح الملفات

قبل التكلم عن التصاريح راجع هذه المقالة لموقع الووردبريس الرسمي من هنا , لماذا الحديث عن تصاريح الملفات بكل بساطة ادخل Google Search : php bypass dir restriction وستجد طرق و ثغرات لتخطي المجلدات في البي اتش بي (php) هذا التخطي ليس من حسابك ولكن من حساب اخر معك في السيرفر وهنا ياتي دور التصاريح الذي قد يكون مهما حتى في حالة الاختراق المباشر (يعني حصل على باسورد لوحة التحكم الخاصة بك للووردبريس) هنا يجب ان تزيل من عقلك هذا التصريح 777 الا في بعض المجلدات مثل الكاش, لانه اخطر تصريح يسمح للكل بانشاء ملفات او الكتابة عليها. التصريح الذي يجب ان يكون للمجلدات هو 755 والملفات 644 على حسب ما كتب في موقع الووردبريس الرسمي

لا تستعمل الطريقة التي ذكرت اسفله بعد تجربته اتضح انها مرهقة جدا وايضا بعض الاضافات لن تعمل بالشكل المطلوب لهذا لا تقم بتغيير ترخيص اي ملف الى 544 توجد طريقة فعالة اكثر ذكرتها في المقالة التالية : 5 نصائح مهمة لحماية ووردبريس لتعطيل محرر القوالب والاضافات

ولكن من وجهة نظري ملفات القوالب و الاضافات خصوصا  يجب ان تأخد التصريح 544 لأكتر حماية هل تعلمون لماذا ؟ هنا سترون كيف يقوم المخترق باستغلال تصاريح هذه الملفات هناك طريقتين سنأخد واحدة. يستغل هذه الملفات اذا كانت معه معلومات لوحة التحكم هنا المخنرق يقوم بالكتابة فوق هذه الملفات ربما يضع كود اندكس الاختراق فقط او ربما لديه مشاريع في السيرفر (يعني الوصول لشيء اخر غير موقعك) اي سيقوم بنسخ بي اتش بي شيل (ومن اشهرها  C 9 9  او R 5 7) وضعت فراغات بسبب الاستضافة المجانية, على اي ملف من ملفات القوالب او الاضافات ويستعرضها مباشرة من المتصفح ويبداء شغله بدون ان تشعر بشيء

ولكن دعنا نبين بعض النقاط ملفات القوالب اذا قمت باعطائهم التصريح 544 فلن تتمكن من التعديل عليها من لوحة تحكم الووردبريس اي يجب عليك اعطائهم التصريح 777 من لوحة تحكم (Cpanel) او (FTP) وبعد الانتهاء من التعديل قم باعطائهم مرة اخرى التصريح 544 ولا تنسى الاضافات هي الاخرى يمكن استغلالها من قبل المخترق , اي عندما يحصل على باسورد موقعك ويرد لصق الشيل في احد ملفات القالب يجد ملفات القالب على النحو التالي :

يجب أن تجعل هذا الملف قابل للكتابة حتى تتمكن من حفظ تغييراتك، اقرأ المزيد عن جعل الملفات قابلة للقراءة

وهنا سيحتاج الى معلومات ftp لهذا ينصح بعدم استعمال نفس باسورد (cpanel). حتى تكتمل الفكرة نبين الفرق بين التصريحين 544 و 644

التصريح 544 حماية من الداخل والخارج ( الخارج تعني من اي موقع تاني معك في السيرفر)

التصريح 644 حماية من الخارج فقط

بالنسبة لطريقة التخطي من موقع ثاني معك في السيرفر باستعمال احدى ثغرات ال php فيكفي التصريح 644 لانه فقط يمكنه القرائة وهذا لن يفيد الا في حالة واحدة اذا اراد قرائة ملف الكونفيج (wp-config.php) لذا يجب تغير صلاحياته ومكانه سنضع له شرح لوحده

بالنسبة للملفات هناك سكريبت روعة وجدته لتغيير الصلاحيات ولكن سوف نستعمله فقط للملفات العادية ام القوالب فستحتاج تغيرها بنفسك الى 544 هذا السكريبت يقوم بتغير صلاحيات المجلدات الى التصريح 755 و الملفات الى التصريح 644 وانشاء index.htm فارغ في المجلدات

موقع السكريب من هنا ولكن يحتاج تسجيل لتحميل السكريبت , هذا السكريب صمم لجملة بس بيشتغل حتى على الووردبريس او اي سكريبت اخر يمكن تحميله من هنا

طريقة عمل السكريبت:

  1. قم بفك الضغط عن الملف
  2. ارفع الملف sitescan.php الى موقعك

قم الان بتصفح اسكريبت مباشرة من الموقع هكذا :

http://sitename.com/sitescan.php

لاحظ معي الصور التالية:

حماية ملفات
حماية ملفات

بالنسبة للخيار الاول Action required هنا يعرض عليك الاختيار بين مسح للمجلدات او الملفات او حذف السكريبت

بالنسبة للخيار التاني Change permissions هنا اذا قمت بوضع علامة سيقوم السكريبت بتغيير التصريحات حسب اختيارك الاول, هنا اذا اخترت مسح المجلدات فسيقوم بتغيير صلاحيات المجلدات الى 755 و اذا اخترت مسح الملفات فسيقوم بتغيير تصريحاتها الى 644 ,في حالة تركته فارغ سوف يكتفي بعملية مسح وعرض تصريحات الاختيار الذي قمت به في الخيار الاول

بالنسبة للخيار الاخير Add index files يقوم باضافة ملف اندكس فارغ في المجلدات التي لا تحتوي عليه مثل الصور images لاخفاء محتوياتها وهذا نوع من الحماية

بس اذا حبيت تغيير نوع التصريح يمكنك تحرير الملف sitescan.php السطرين 3 و 4

// The following 2 lines may be edited to suit your specific needs.
	$directory_permission = ‘0755’; // The default Joomla! directory permission is – 0755
	$file_permission = ‘0644’; // The default Joomla! file permission is – 0644

// There is no need to edit below this line ————————————————-

/**
 * @package		sitescan.php
 * @copyright	(C) 2010 Bodvoc Ltd. All rights reserved.
 * @date		15 April 2010
 * @version		1.0.1
 * @license		GNU General Public License Version 2
 * @dependency	PHP 5.1.0 or later
 *
 * Scans the web directory in which it is placed and all sub-directories under the directory
 *
 */

وفي النهاية اود ان اشير ان هناك طرق للحماية كتيرة وطرق للاختراق كتيرة وما تطرقنا له في هذه التدوينة اليوم فقط القليل

اذا كان هناك اي استفسار يرجى وضع تعليق ولا تنسى الاشتراك في قائمتنا البريدية ولك جزيل الشكر

والسلام عليكم ورحمة الله وبركاته

حماية الملفات والمجلدات لمدونة الووردبريس بواسطة مجلة ووردبريس, يمكنك نقل ومشاركة التدوينة مع ذكر المصدر الأصلي للموضوع ، مع رابطه, التدوينة مرخصة بموجب المشاع الابداعي Creative Commons A-NC-SA 3.0.

التعليقات10 تعليقات

المرجوا الانتظار لتحميل التعليقات...
عرض التعليقات
اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


شروط التعليق :

1 - المرجوا الابتعاد عن كتابة تعليقات بنمط (يعطيك العافية)، (روعة)، (ممتاز)، (مشكوووور)، (ابداع).

2 - زاوية التعليقات هي جزء مكمّل للموضوع الذي قرأته للتو. حاول أن تحصر تعليقك في صلب الموضوع حتى نستثمر هذا التعليق لكسب المزيد من الفائدة سواءً عن طريق مناقشة الموضوع أو عن طريق إضافة معلومات مكمّلة أو إبداء ملاحظات أخرى في نفس السياق.