أدوات وبرامجامن وحماية تطبيقات الويبمواضيع ومقالات

مقال : 5 اضافات أمنيّة لسكريبت ووردبريس

تم أرشفة هذا المحتوى


5 اضافات أمنيّة لسكريبت التدوين ووردبريس لحماية المدونة من محاولات الاختراق, يعتبر ووردبريس أشهر سكريبت تدوين مستخدم  ورغم قلّة ثغراته نسبيّاً لكن هذه الاضافات ستقوم برفع مستوى الأمان فيه, سأركز على 5 منها بشكل مختصر لفائدتهم والخصائص المقدمة من هذه الإضافات.

 

SecurePress

WordPress

اعتبر هذه الإضافة أساسية لكل المدونات، فتقوم بحماية المدونة من انواع كثيرة من الاختراقات مثل RFI وغيرها. وعند محاولة الإختراق لمدونتك سوف يتم ارسال ايميل فوري فيه معلومات عن المخترق ونوع محاولة الاختراق وماذا فعلت هذه الاضافة في حالة المحاولة. هناك ايضا تقارير عن الاختراقات بحسب البلد وبحسب النوع وغيرها الكثير. انصح بها

 

WordPress Exploit Scanner

تقوم هذه الاضافة بالبحث في المواضيع والتعليقات والملفات في المدونة بحثاً عن اي ملفات ضارة مثل c99 shell او غيرها. انصح بها

 

WP Security Scan

تقوم هذه الإضافة بتوضيح معلومات مهمة عن المدونة ومستوى الامان بشكل عام. مثل صلاحيات الملفات وقاعدة البيانات وغيرها. مفيدة

 

Secure WordPress

تغنيك هذه الإضافة عن الكثير من التعديلات لحماية مدونتك مثل تعطيل بعض الخصائص التي قد تشكل خطر على مدونتك مثل اصدار المدونة او بعض رسائل الخطأ. انصح بها

 

User Locker

للحماية من محاولات الـBrute Force للباسوردات تقوم هذه الإضافة بتعطيل المستخدم في حالة كتابة الباسورد بشكل خاطئ أكثر من مره حسب ماتحدده انت في اعدادات الإضافة. انصح بها

اخير حاب اضيف شي اخير لإخفاء اصدار المدونة حيث الاضافات السابقة تحذف من ملفات php لكن يبقى ملف واحد من خلاله نستطيع معرفة اصدار المدونة وهو Readme.html. يمكنك حذف الملف او تغير اسمه.

عن الكاتب:


مهند شحات, خريج جامعة الملك فهد للبترول والمعادن وحاصل على بكلوريس في هندسة البرمجيات, يعمل حاليّاً في أرامكو السعودية وأحد أعضاء PSD Group. يمكنك قراءة هذا الموضوع في مدوّنته بالاضافة للعديد من المواضيع المفيدة الأخرى.

مقالات ذات صلة

‫10 تعليقات

  1. SecurePress
    بالنسبة لهذه الاضافة في التبليغ جميلة اما بالنسبة لثغرات الفايل انكلود
    فدالة في الاصدار الخامس من البي اتي بي قام بهذه المهم لكن المشكلة ان في طريقة تستخدم في تخطى هذه الدالة
    WordPress Exploit Scanner
    تبحث عن سكربت التجسس طيب كل السسيرفرات تبحث عنه وتحذفه لنفرض ان ما في حماية في السيرفر هذه الاضافة راح تفيدك بس المشكلة لو كان الشل مشفر فبرامج اللحماية الموجودة على السيرفر
    ما تكتشفها وحتى هذه الاضافة

    بالنسبة لاخفاءمحد يقدر يخفيهوواعطيني رابط اي مدونة وانا اعطيك اصدارها

  2. من بعد اذن أخي مهنّد,

    يمكن ضبط اعدادات السيرفر لعدم السماح لمفسّر php بعمل include لملفات خارج السيرفر أما بالنسبة لاضافة WordPress Exploit Scanner فهي تقوم بمقارنة الـ md5sum بملفات ووردبريس الأصليّة في حال تم تغييرهم وزرع ثغرة متعمّدة وأتوقّع أن الطريقة فعاّلة نوعاً ما.

    وبخصوص اخفاء اصدار المدوّنة الأمر ممكن وبشكل بسيط جداً, اما بتغييره بشكل يدوي من الملف version.php الموجود داخل المجلّد wp-includes أو اجراء بعض التغييرات على القالب المستخدم مثل الملف header.php لعدم عرض الـ Generator ضمن الـ meta tags وتعديل الملف functions.php لجعله لا يعرض الـ Generator في كامل صفحات المدوّنة وهذا يتضمن صفحات rss أيضاً لكن السؤال هل فعلا يوجد جدوى من اخفاء الاصدار؟

    في النهاية شكرا أخي مهنّد على المقال والاضافات المفيدة 🙂

  3. السلام عليكم،،

    اشكر لك ردك اخي XP10 والتوضيح،، الغرض من وضع هذه الاضافات هي ليس الحماية الكاملة للمدونة وهذا شي لا يمكن الوصول اليه … الغرض كان التعريف بإضافات مهمه تهم غير المتخصصين في مجال الحماية لحماية مدوناتهم حتى يصعب على الهاكرز المبتدئين خاصه عملية الاختراق. ومافي اي مشكلة من وضعها في اي مدونة.. ينطبق هذا الكلام على اصدار المدونة ايضا. صحيح ان مافي جدوى كبيره من اخفائه لكن ممكن يصعب العملية على البعض.

    قلت انه يمكنك معرفة اصدار المدونة حتى بعد اخفائه؟ ممكن توضح اكثر حتى نستفيد؟

    اشكرك اخي عبدالمهيمن على المداخلة والتوضيح..

    شكرا

  4. لاحظ كلامي تمام
    SecurePress
    بالنسبة لهذه الاضافة في التبليغ جميلة اما بالنسبة لثغرات الفايل انكلود
    فدالة في الاصدار الخامس من البي اتي بي قام بهذه المهم لكن المشكلة ان في طريقة تستخدم في تخطى هذه الدالة

    عبدالمهيمن

    تعديلك على ردي حلو بس انا قلت دالة تمنع استغلال ثغرات الفايل في البي اتش بي
    الاصدار الخامس وفي طريقة تتخطى هذه الدالة لحد الان تعتبر برايفت ومحدوده بين قروبات

    شو اﻻفائده من اخفاء الاصدار طيب ليه مخفيها من مدونتك

    http://br4v3-h34r7.com

    والله امرك عجيب
    وحتى لو غير الملفات اللي قلت عليها اقدر اعرف الاصدار

    انا اعتقد ان هذا المجتمع لمشاركة الاراء

    مو تعديل وحذف جزء من الردود

  5. لم أقم بتعديل حرف واحد من تعليقك! أتمنى أن تتأكّد مما تكتب في المرّة القادمة قبل اتهام أحد!!!

    التعليقات في iSecur1ty اما تنشر كما هي أو تحذف كلّياً ولم يتم تعديل حرف من أي تعليق منشور في الموقع.

    بخصوص مدوّنتي فأوّلا أتوقع أن ما أقوم به فيها شأني وليس لأحد علاقة في ذلك 🙂
    ثانياً عدم اظهار الـ Generator في القالب الذي أستخدمه تمّ قبل سنتين تقريباً
    ثالثاً الاصدار ليس مخفي وتستطيع معرفته من صفحة الـ rss كما ذكرت في ردّي الأول

    ان كان لديك مشكلة شخصيّة معي فيمكنك مراسلتي وحلّها عن طريق الايميل, أي تعليقات أخرى لا تتعلّق بهذا المقال لن يتم نشرها. شكراً لتفهمك!

  6. قد يكون نقاشكم انتم اخواني على جدوى عمل الاضافات او التعديل اليدوي او هل الاداه تقوم بعمل الحمايه الجيده ام مجرد تعديلات بسيطيه نستطيع عملها في السرفر او عن طريق PHP بس اذكركم اخوان عبد المهيمن ومنهد والاخرون ان هناك من يتابع اي سكورتي من ليس لهم علاقه باختبار الاختراق
    فمدونات الورد بريس يملكها المبرمج والمختبر الامني والدكتور والطالب والصيدلاني والتاجر والكثير فالمقال ان لم ينفعنا فينفع من ليس لهم علاقه بالكيبوتر وانمما لديهم المدونات لاغراض اخرى

    وشكرا اخي على المقال الله يوفقك ويزيد من خبرتك والف الف شكر تحياتي
    اخوك علي الوشلي

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى