ما هي طريقة حماية الملفات والمجلدات لمدونة الووردبريس

  • بادئ الموضوع بادئ الموضوع raheel
  • تاريخ البدء تاريخ البدء

raheel

New member
6 فبراير 2019
1,149
0
0
38
في هذه التدوينة احببت ان اتحدث عن حماية الملفات والمجلدات لمدونة الووردبريس نظرا لقلة الشروح عنها ونظرا لاهميتها وخطورتها في نفس الوقت و معنا سكريبت اليوم وجدته بينما ابحث في المواقع عن سكريبت يقوم بالعمل الذي نريده
الملفات التي يجب عليك حمايتها تختلف من نوع الى اخر هنا سنتطرق الى كل نوع على حدى
حماية الملفات readme.html و readme.txt

بالنسبة لهذه الملفات فهي تحتوي على معلومات الاصدار الذي تستعمل سواء اصدار الووردبريس او الاضافة او القالب وهذه المعلومات قد يتم استغلاهلها في اختراق موقعك في حالة كان الاصدار نفس الاصدار الذي تستعمل توجد له ثغرة بالنسبة لطريقة حماية هذه الملفات فهي بسيطة جدا كل ما عليك هو اضافة الاكواد ادناه الى ملف .htaccess







# Protect Readme files <FilesMatch "readme.html"> order allow,deny deny from all satisfy all </FilesMatch>
<FilesMatch "readme.txt"> order allow,deny deny from all satisfy all </FilesMatch>






حماية ملفات wp-config.php

هنا يجب اخد الاحتياط لان هذا الملف الذي يحتوي على معلومات الاتصال بالقاعدة وفي الغالب تكون هذه المعلومات هي نفس معلومات cpanel لهذا يجب تحويل مكان هذا الملف وحمايته هنا سنتحدث عن خطوتين :
الخطوة الاولى بواسطة htaccess اي لمنع الوصول لهذا الملف عن طريق تغرات نقوم باضافة هذا الكود الى ملف htaccess في المجلد الرئيسي للمدونة







# Protect wp-config.php <Files wp-config.php> order allow,deny deny from all satisfy all </Files>






المجلد ما قبل الرئيسي للموقع هذه المنطقة يتم الوصول اليها من قبل صاحب الموقع في اغلب الاحوال فقط عن طريق ftp او لوحة تحكم الاستضافة

الخطوة الثانية تحويل جزء من معلومات الاتصال بالقاعدة الى المجلد ما قبل الرئيسي للموقع للمنع الوصول اليه نهائياهنا سنحتاج لتغيير الملف wp-config.php واضافة ملف يحتوي على معلومات الاتصال بالقاعدة
اولا نقوم بانشاء ملف جديد باسم connect.php ونضع داخله الكود التالي :
define("DB_USER", "user"); define("DB_PASSWORD", "password"); قبل حفظ الملف

  1. لا تنسى ان تضيف اوسمة php بداية ونهاية الكود هذا مثال من موقع pastebin
  2. ايضا لا تنسى تغيير معلومات الاتصال الخاصة بقاعدة البيانات الخاص بموقعك
مسار هذا الملف يختلف من استضافة الى اخرى على حسب لوحة التحكم التي تستعمله الاستضافة مثلا cpanel الملف يجب ان يكون على المسار التالي :
/home/user/connect.phpبالنسبة لملف wp-config.php نقوم بازالة الاكواد التي اضفنا الى ملف connect.php ونضع مكانها استدعاء الملف المحمي كما هو موضح في السطر 8 من الكود التالي :







<?php /** إعدادات برنامج ووردبريس المعرب **/
// ** إعدادات قاعدة البيانات – ينمكنك الحصول على هذه المعلومات من مستضيفك ** // /** اسم قاعدة بيانات ووردبريس */ //Added by WP-Cache Manager define('DB_NAME', 'news');
include '/home/user/connect.php';
/** عنوان خادم قاعدة البيانات */ define('DB_HOST', 'localhost');
/** ترميز قاعدة البيانات */ define('DB_CHARSET', 'utf8');
/** مقارنات قاعدة الببيانات (Collation). * إذا كنت غير متأكّد أتركها فارغة */ define('DB_COLLATE', '');
/**#@+ * مفاتيح الأمان. * استخدم الرابط التالي لتوليد المفتايح {@link https://api.wordpress.org/secret-key/1.1/salt/} * @منذ 2.6.0 */ define('AUTH_KEY', ''); define('SECURE_AUTH_KEY', ''); define('LOGGED_IN_KEY', ''); define('NONCE_KEY', ''); define('AUTH_SALT', ''); define('SECURE_AUTH_SALT', ''); define('LOGGED_IN_SALT', ''); define('NONCE_SALT', '');
/**#@-*/
/** * بادئة الجداول في قاعدة البيانات. * تستطيع تركيب أكثر من مدونة على نفس قاعدة البيانات إذا أعطيت لكل قاعدة بادئة جداول مختلفة * استخدم فقط حروف, أرقام وخطوط سفلية! */ $table_prefix = 'wp_';
/** * اللغة الافتراضية المستخدمة في هذه النسخة هي العربية * إذا أردت أن تكون لوحة التحكم في مدونتك بالانجليزية قم بحذف الحرفين أدناه وهي الحروف ar */ define('WPLANG', 'ar');
/** * للمطورين: نظام تشخيص الأخطاء * قم بتغيير flase إلى true لتمكين عرض الملاحظات أثناء التطوير */ define('WP_DEBUG', false);
/* هذا هو المطلوب! توقف عن التعديل. نتمنى لك التوفيق في موقعك! */
/** المسار المطلق لمجلد ووردبريس. */ if ( !defined('ABSPATH') ) define('ABSPATH', dirname(__FILE__) . '/');
/** Sets up WordPress vars and included files. */ require_once(ABSPATH . 'wp-settings.php');






لاحظ ان ملف wp-config.php لم يعد يحتوي على معلومات الاتصال بالقاعدة يحتوي فقط على اسم القاعدة
تصاريح الملفات

قبل التكلم عن التصاريح راجع هذه المقالة لموقع الووردبريس الرسمي من هنا , لماذا الحديث عن تصاريح الملفات بكل بساطة ادخل Google Search : php bypass dir restriction وستجد طرق و ثغرات لتخطي المجلدات في البي اتش بي (php) هذا التخطي ليس من حسابك ولكن من حساب اخر معك في السيرفر وهنا ياتي دور التصاريح الذي قد يكون مهما حتى في حالة الاختراق المباشر (يعني حصل على باسورد لوحة التحكم الخاصة بك للووردبريس) هنا يجب ان تزيل من عقلك هذا التصريح 777 الا في بعض المجلدات مثل الكاش, لانه اخطر تصريح يسمح للكل بانشاء ملفات او الكتابة عليها. التصريح الذي يجب ان يكون للمجلدات هو 755 والملفات 644 على حسب ما كتب في موقع الووردبريس الرسمي
لا تستعمل الطريقة التي ذكرت اسفله بعد تجربته اتضح انها مرهقة جدا وايضا بعض الاضافات لن تعمل بالشكل المطلوب لهذا لا تقم بتغيير ترخيص اي ملف الى 544 توجد طريقة فعالة اكثر ذكرتها في المقالة التالية : 5 نصائح مهمة لحماية ووردبريس لتعطيل محرر القوالب والاضافات

ولكن من وجهة نظري ملفات القوالب و الاضافات خصوصا يجب ان تأخد التصريح 544 لأكتر حماية هل تعلمون لماذا ؟ هنا سترون كيف يقوم المخترق باستغلال تصاريح هذه الملفات هناك طريقتين سنأخد واحدة. يستغل هذه الملفات اذا كانت معه معلومات لوحة التحكم هنا المخنرق يقوم بالكتابة فوق هذه الملفات ربما يضع كود اندكس الاختراق فقط او ربما لديه مشاريع في السيرفر (يعني الوصول لشيء اخر غير موقعك) اي سيقوم بنسخ بي اتش بي شيل (ومن اشهرها C 9 9 او R 5 7) وضعت فراغات بسبب الاستضافة المجانية, على اي ملف من ملفات القوالب او الاضافات ويستعرضها مباشرة من المتصفح ويبداء شغله بدون ان تشعر بشيء
ولكن دعنا نبين بعض النقاط ملفات القوالب اذا قمت باعطائهم التصريح 544 فلن تتمكن من التعديل عليها من لوحة تحكم الووردبريس اي يجب عليك اعطائهم التصريح 777 من لوحة تحكم (Cpanel) او (FTP) وبعد الانتهاء من التعديل قم باعطائهم مرة اخرى التصريح 544 ولا تنسى الاضافات هي الاخرى يمكن استغلالها من قبل المخترق , اي عندما يحصل على باسورد موقعك ويرد لصق الشيل في احد ملفات القالب يجد ملفات القالب على النحو التالي :
يجب أن تجعل هذا الملف قابل للكتابة حتى تتمكن من حفظ تغييراتك، اقرأ المزيد عن جعل الملفات قابلة للقراءة
وهنا سيحتاج الى معلومات ftp لهذا ينصح بعدم استعمال نفس باسورد (cpanel). حتى تكتمل الفكرة نبين الفرق بين التصريحين 544 و 644
التصريح 544 حماية من الداخل والخارج ( الخارج تعني من اي موقع تاني معك في السيرفر)
التصريح 644 حماية من الخارج فقط
بالنسبة لطريقة التخطي من موقع ثاني معك في السيرفر باستعمال احدى ثغرات ال php فيكفي التصريح 644 لانه فقط يمكنه القرائة وهذا لن يفيد الا في حالة واحدة اذا اراد قرائة ملف الكونفيج (wp-config.php) لذا يجب تغير صلاحياته ومكانه سنضع له شرح لوحده
بالنسبة للملفات هناك سكريبت روعة وجدته لتغيير الصلاحيات ولكن سوف نستعمله فقط للملفات العادية ام القوالب فستحتاج تغيرها بنفسك الى 544 هذا السكريبت يقوم بتغير صلاحيات المجلدات الى التصريح 755 و الملفات الى التصريح 644 وانشاء index.htm فارغ في المجلدات
موقع السكريب من هنا ولكن يحتاج تسجيل لتحميل السكريبت , هذا السكريب صمم لجملة بس بيشتغل حتى على الووردبريس او اي سكريبت اخر يمكن تحميله من هنا
طريقة عمل السكريبت:

  1. قم بفك الضغط عن الملف
  2. ارفع الملف sitescan.php الى موقعك
قم الان بتصفح اسكريبت مباشرة من الموقع هكذا :
http://sitename.com/sitescan.phpلاحظ معي الصور التالية:
site-scan-permission-option.jpg

site-scan-options2.jpg

بالنسبة للخيار الاول Action required هنا يعرض عليك الاختيار بين مسح للمجلدات او الملفات او حذف السكريبت
بالنسبة للخيار التاني Change permissions هنا اذا قمت بوضع علامة سيقوم السكريبت بتغيير التصريحات حسب اختيارك الاول, هنا اذا اخترت مسح المجلدات فسيقوم بتغيير صلاحيات المجلدات الى 755 و اذا اخترت مسح الملفات فسيقوم بتغيير تصريحاتها الى 644 ,في حالة تركته فارغ سوف يكتفي بعملية مسح وعرض تصريحات الاختيار الذي قمت به في الخيار الاول
بالنسبة للخيار الاخير Add index files يقوم باضافة ملف اندكس فارغ في المجلدات التي لا تحتوي عليه مثل الصور images لاخفاء محتوياتها وهذا نوع من الحماية
بس اذا حبيت تغيير نوع التصريح يمكنك تحرير الملف sitescan.php السطرين 3 و 4
// The following 2 lines may be edited to suit your specific needs. $directory_permission = ‘0755’; // The default Joomla! directory permission is – 0755 $file_permission = ‘0644’; // The default Joomla! file permission is – 0644 // There is no need to edit below this line ————————————————- /** * @package sitescan.php * @copyright (C) 2010 Bodvoc Ltd. All rights reserved. * @date 15 April 2010 * @version 1.0.1 * @license GNU General Public License Version 2 * @dependency PHP 5.1.0 or later * * Scans the web directory in which it is placed and all sub-directories under the directory * */ وفي النهاية اود ان اشير ان هناك طرق للحماية كتيرة وطرق للاختراق كتيرة وما تطرقنا له في هذه التدوينة اليوم فقط القليل
اذا كان هناك اي استفسار يرجى وضع تعليق ولا تنسى الاشتراك في قائمتنا البريدية ولك جزيل الشكر