مقال : 5 اضافات أمنيّة لسكريبت ووردبريس
5 اضافات أمنيّة لسكريبت التدوين ووردبريس لحماية المدونة من محاولات الاختراق, يعتبر ووردبريس أشهر سكريبت تدوين مستخدم ورغم قلّة ثغراته نسبيّاً لكن هذه الاضافات ستقوم برفع مستوى الأمان فيه, سأركز على 5 منها بشكل مختصر لفائدتهم والخصائص المقدمة من هذه الإضافات.
SecurePress
اعتبر هذه الإضافة أساسية لكل المدونات، فتقوم بحماية المدونة من انواع كثيرة من الاختراقات مثل RFI وغيرها. وعند محاولة الإختراق لمدونتك سوف يتم ارسال ايميل فوري فيه معلومات عن المخترق ونوع محاولة الاختراق وماذا فعلت هذه الاضافة في حالة المحاولة. هناك ايضا تقارير عن الاختراقات بحسب البلد وبحسب النوع وغيرها الكثير. انصح بها
WordPress Exploit Scanner
تقوم هذه الاضافة بالبحث في المواضيع والتعليقات والملفات في المدونة بحثاً عن اي ملفات ضارة مثل c99 shell او غيرها. انصح بها
WP Security Scan
تقوم هذه الإضافة بتوضيح معلومات مهمة عن المدونة ومستوى الامان بشكل عام. مثل صلاحيات الملفات وقاعدة البيانات وغيرها. مفيدة
Secure WordPress
تغنيك هذه الإضافة عن الكثير من التعديلات لحماية مدونتك مثل تعطيل بعض الخصائص التي قد تشكل خطر على مدونتك مثل اصدار المدونة او بعض رسائل الخطأ. انصح بها
User Locker
للحماية من محاولات الـBrute Force للباسوردات تقوم هذه الإضافة بتعطيل المستخدم في حالة كتابة الباسورد بشكل خاطئ أكثر من مره حسب ماتحدده انت في اعدادات الإضافة. انصح بها
اخير حاب اضيف شي اخير لإخفاء اصدار المدونة حيث الاضافات السابقة تحذف من ملفات php لكن يبقى ملف واحد من خلاله نستطيع معرفة اصدار المدونة وهو Readme.html. يمكنك حذف الملف او تغير اسمه.
عن الكاتب:
مهند شحات, خريج جامعة الملك فهد للبترول والمعادن وحاصل على بكلوريس في هندسة البرمجيات, يعمل حاليّاً في أرامكو السعودية وأحد أعضاء PSD Group. يمكنك قراءة هذا الموضوع في مدوّنته بالاضافة للعديد من المواضيع المفيدة الأخرى.
مشكوووووووور
لكن هل ممكن رابط Readme.htm
؟
العفو يالغالي..
بالنسبة لرابط ملف readme.html موجود في مجلد المدونة عندك
مثلا مدونتي http://sophto.psdgroups.com/readme.html،، انا غيرت محتوى الملف 🙂
SecurePress
بالنسبة لهذه الاضافة في التبليغ جميلة اما بالنسبة لثغرات الفايل انكلود
فدالة في الاصدار الخامس من البي اتي بي قام بهذه المهم لكن المشكلة ان في طريقة تستخدم في تخطى هذه الدالة
WordPress Exploit Scanner
تبحث عن سكربت التجسس طيب كل السسيرفرات تبحث عنه وتحذفه لنفرض ان ما في حماية في السيرفر هذه الاضافة راح تفيدك بس المشكلة لو كان الشل مشفر فبرامج اللحماية الموجودة على السيرفر
ما تكتشفها وحتى هذه الاضافة
بالنسبة لاخفاءمحد يقدر يخفيهوواعطيني رابط اي مدونة وانا اعطيك اصدارها
من بعد اذن أخي مهنّد,
يمكن ضبط اعدادات السيرفر لعدم السماح لمفسّر php بعمل include لملفات خارج السيرفر أما بالنسبة لاضافة WordPress Exploit Scanner فهي تقوم بمقارنة الـ md5sum بملفات ووردبريس الأصليّة في حال تم تغييرهم وزرع ثغرة متعمّدة وأتوقّع أن الطريقة فعاّلة نوعاً ما.
وبخصوص اخفاء اصدار المدوّنة الأمر ممكن وبشكل بسيط جداً, اما بتغييره بشكل يدوي من الملف version.php الموجود داخل المجلّد wp-includes أو اجراء بعض التغييرات على القالب المستخدم مثل الملف header.php لعدم عرض الـ Generator ضمن الـ meta tags وتعديل الملف functions.php لجعله لا يعرض الـ Generator في كامل صفحات المدوّنة وهذا يتضمن صفحات rss أيضاً لكن السؤال هل فعلا يوجد جدوى من اخفاء الاصدار؟
في النهاية شكرا أخي مهنّد على المقال والاضافات المفيدة 🙂
السلام عليكم،،
اشكر لك ردك اخي XP10 والتوضيح،، الغرض من وضع هذه الاضافات هي ليس الحماية الكاملة للمدونة وهذا شي لا يمكن الوصول اليه … الغرض كان التعريف بإضافات مهمه تهم غير المتخصصين في مجال الحماية لحماية مدوناتهم حتى يصعب على الهاكرز المبتدئين خاصه عملية الاختراق. ومافي اي مشكلة من وضعها في اي مدونة.. ينطبق هذا الكلام على اصدار المدونة ايضا. صحيح ان مافي جدوى كبيره من اخفائه لكن ممكن يصعب العملية على البعض.
قلت انه يمكنك معرفة اصدار المدونة حتى بعد اخفائه؟ ممكن توضح اكثر حتى نستفيد؟
اشكرك اخي عبدالمهيمن على المداخلة والتوضيح..
شكرا
لاحظ كلامي تمام
SecurePress
بالنسبة لهذه الاضافة في التبليغ جميلة اما بالنسبة لثغرات الفايل انكلود
فدالة في الاصدار الخامس من البي اتي بي قام بهذه المهم لكن المشكلة ان في طريقة تستخدم في تخطى هذه الدالة
عبدالمهيمن
تعديلك على ردي حلو بس انا قلت دالة تمنع استغلال ثغرات الفايل في البي اتش بي
الاصدار الخامس وفي طريقة تتخطى هذه الدالة لحد الان تعتبر برايفت ومحدوده بين قروبات
شو اﻻفائده من اخفاء الاصدار طيب ليه مخفيها من مدونتك
http://br4v3-h34r7.com
والله امرك عجيب
وحتى لو غير الملفات اللي قلت عليها اقدر اعرف الاصدار
انا اعتقد ان هذا المجتمع لمشاركة الاراء
مو تعديل وحذف جزء من الردود
لم أقم بتعديل حرف واحد من تعليقك! أتمنى أن تتأكّد مما تكتب في المرّة القادمة قبل اتهام أحد!!!
التعليقات في iSecur1ty اما تنشر كما هي أو تحذف كلّياً ولم يتم تعديل حرف من أي تعليق منشور في الموقع.
بخصوص مدوّنتي فأوّلا أتوقع أن ما أقوم به فيها شأني وليس لأحد علاقة في ذلك 🙂
ثانياً عدم اظهار الـ Generator في القالب الذي أستخدمه تمّ قبل سنتين تقريباً
ثالثاً الاصدار ليس مخفي وتستطيع معرفته من صفحة الـ rss كما ذكرت في ردّي الأول
ان كان لديك مشكلة شخصيّة معي فيمكنك مراسلتي وحلّها عن طريق الايميل, أي تعليقات أخرى لا تتعلّق بهذا المقال لن يتم نشرها. شكراً لتفهمك!
بورك فيك اخي عبد المهين
مشكور على الإضافات ممتازة جداً وشرح ولا أحلى . . . دمت بود أخي
قد يكون نقاشكم انتم اخواني على جدوى عمل الاضافات او التعديل اليدوي او هل الاداه تقوم بعمل الحمايه الجيده ام مجرد تعديلات بسيطيه نستطيع عملها في السرفر او عن طريق PHP بس اذكركم اخوان عبد المهيمن ومنهد والاخرون ان هناك من يتابع اي سكورتي من ليس لهم علاقه باختبار الاختراق
فمدونات الورد بريس يملكها المبرمج والمختبر الامني والدكتور والطالب والصيدلاني والتاجر والكثير فالمقال ان لم ينفعنا فينفع من ليس لهم علاقه بالكيبوتر وانمما لديهم المدونات لاغراض اخرى
وشكرا اخي على المقال الله يوفقك ويزيد من خبرتك والف الف شكر تحياتي
اخوك علي الوشلي