| 5 اضافات أمنيّة لسكريبت ووردبريس |
| الكاتب Mohannad Shahat |
| الثلاثاء, 08 ديسمبر 2009 16:51 |
|
5 اضافات أمنيّة لسكريبت التدوين ووردبريس لحماية المدونة من محاولات الاختراق, يعتبر ووردبريس أشهر سكريبت تدوين مستخدم ورغم قلّة ثغراته نسبيّاً لكن هذه الاضافات ستقوم برفع مستوى الأمان فيه, سأركز على 5 منها بشكل مختصر لفائدتهم والخصائص المقدمة من هذه الإضافات.
SecurePress
اعتبر هذه الإضافة أساسية لكل المدونات، فتقوم بحماية المدونة من انواع كثيرة من الاختراقات مثل RFI وغيرها. وعند محاولة الإختراق لمدونتك سوف يتم ارسال ايميل فوري فيه معلومات عن المخترق ونوع محاولة الاختراق وماذا فعلت هذه الاضافة في حالة المحاولة. هناك ايضا تقارير عن الاختراقات بحسب البلد وبحسب النوع وغيرها الكثير. انصح بها
WordPress Exploit Scannerتقوم هذه الاضافة بالبحث في المواضيع والتعليقات والملفات في المدونة بحثاً عن اي ملفات ضارة مثل c99 shell او غيرها. انصح بها
WP Security Scanتقوم هذه الإضافة بتوضيح معلومات مهمة عن المدونة ومستوى الامان بشكل عام. مثل صلاحيات الملفات وقاعدة البيانات وغيرها. مفيدة
Secure WordPressتغنيك هذه الإضافة عن الكثير من التعديلات لحماية مدونتك مثل تعطيل بعض الخصائص التي قد تشكل خطر على مدونتك مثل اصدار المدونة او بعض رسائل الخطأ. انصح بها User Lockerللحماية من محاولات الـBrute Force للباسوردات تقوم هذه الإضافة بتعطيل المستخدم في حالة كتابة الباسورد بشكل خاطئ أكثر من مره حسب ماتحدده انت في اعدادات الإضافة. انصح بها عن الكاتب:
التعليقات (7)
  أرسلت بواسطة: Mohannad Shahat في December 12, 2009
العفو يالغالي..
بالنسبة لرابط ملف readme.html موجود في مجلد المدونة عندك مثلا مدونتي http://sophto.psdgroups.com/readme.html،، انا غيرت محتوى الملف :)
 أرسلت بواسطة: XP10 في December 17, 2009
SecurePress
بالنسبة لهذه الاضافة في التبليغ جميلة اما بالنسبة لثغرات الفايل انكلود فدالة في الاصدار الخامس من البي اتي بي قام بهذه المهم لكن المشكلة ان في طريقة تستخدم في تخطى هذه الدالة WordPress Exploit Scanner تبحث عن سكربت التجسس طيب كل السسيرفرات تبحث عنه وتحذفه لنفرض ان ما في حماية في السيرفر هذه الاضافة راح تفيدك بس المشكلة لو كان الشل مشفر فبرامج اللحماية الموجودة على السيرفر ما تكتشفها وحتى هذه الاضافة بالنسبة لاخفاءمحد يقدر يخفيهوواعطيني رابط اي مدونة وانا اعطيك اصدارها
 أرسلت بواسطة: عبدالمهيمن في December 17, 2009
من بعد اذن أخي مهنّد,
يمكن ضبط اعدادات السيرفر لعدم السماح لمفسّر php بعمل include لملفات خارج السيرفر أما بالنسبة لاضافة WordPress Exploit Scanner فهي تقوم بمقارنة الـ md5sum بملفات ووردبريس الأصليّة في حال تم تغييرهم وزرع ثغرة متعمّدة وأتوقّع أن الطريقة فعاّلة نوعاً ما. وبخصوص اخفاء اصدار المدوّنة الأمر ممكن وبشكل بسيط جداً, اما بتغييره بشكل يدوي من الملف version.php الموجود داخل المجلّد wp-includes أو اجراء بعض التغييرات على القالب المستخدم مثل الملف header.php لعدم عرض الـ Generator ضمن الـ meta tags وتعديل الملف functions.php لجعله لا يعرض الـ Generator في كامل صفحات المدوّنة وهذا يتضمن صفحات rss أيضاً لكن السؤال هل فعلا يوجد جدوى من اخفاء الاصدار؟ في النهاية شكرا أخي مهنّد على المقال والاضافات المفيدة :)
أرسلت بواسطة: XP10 في December 18, 2009
لاحظ كلامي تمام
SecurePress بالنسبة لهذه الاضافة في التبليغ جميلة اما بالنسبة لثغرات الفايل انكلود فدالة في الاصدار الخامس من البي اتي بي قام بهذه المهم لكن المشكلة ان في طريقة تستخدم في تخطى هذه الدالة عبدالمهيمن تعديلك على ردي حلو بس انا قلت دالة تمنع استغلال ثغرات الفايل في البي اتش بي الاصدار الخامس وفي طريقة تتخطى هذه الدالة لحد الان تعتبر برايفت ومحدوده بين قروبات شو اﻻفائده من اخفاء الاصدار طيب ليه مخفيها من مدونتك http://br4v3-h34r7.com والله امرك عجيب وحتى لو غير الملفات اللي قلت عليها اقدر اعرف الاصدار انا اعتقد ان هذا المجتمع لمشاركة الاراء مو تعديل وحذف جزء من الردود
أرسلت بواسطة: Mohannad Shahat في December 18, 2009
السلام عليكم،،
اشكر لك ردك اخي XP10 والتوضيح،، الغرض من وضع هذه الاضافات هي ليس الحماية الكاملة للمدونة وهذا شي لا يمكن الوصول اليه ... الغرض كان التعريف بإضافات مهمه تهم غير المتخصصين في مجال الحماية لحماية مدوناتهم حتى يصعب على الهاكرز المبتدئين خاصه عملية الاختراق. ومافي اي مشكلة من وضعها في اي مدونة.. ينطبق هذا الكلام على اصدار المدونة ايضا. صحيح ان مافي جدوى كبيره من اخفائه لكن ممكن يصعب العملية على البعض. قلت انه يمكنك معرفة اصدار المدونة حتى بعد اخفائه؟ ممكن توضح اكثر حتى نستفيد؟ اشكرك اخي عبدالمهيمن على المداخلة والتوضيح.. شكرا
أرسلت بواسطة: عبدالمهيمن في December 18, 2009
لم أقم بتعديل حرف واحد من تعليقك! أتمنى أن تتأكّد مما تكتب في المرّة القادمة قبل اتهام أحد!!!
التعليقات في iSecur1ty اما تنشر كما هي أو تحذف كلّياً ولم يتم تعديل حرف من أي تعليق منشور في الموقع. بخصوص مدوّنتي فأوّلا أتوقع أن ما أقوم به فيها شأني وليس لأحد علاقة في ذلك :) ثانياً عدم اظهار الـ Generator في القالب الذي أستخدمه تمّ قبل سنتين تقريباً ثالثاً الاصدار ليس مخفي وتستطيع معرفته من صفحة الـ rss كما ذكرت في ردّي الأول ان كان لديك مشكلة شخصيّة معي فيمكنك مراسلتي وحلّها عن طريق الايميل, أي تعليقات أخرى لا تتعلّق بهذا المقال لن يتم نشرها. شكراً لتفهمك!
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
لكن هل ممكن رابط Readme.htm
؟