حماية موقع ووردبريس من الاختراق والثغرات الأمنية الشائعة

السلام عليكم ورحمة الله وبركاته ،،، عنوان البوست حماية موقعك من الاختراق والثغرات الشائعة حاليا في ووردبرس وتامينها ،،،

قد تكون مخترق وأنت لا تعلم إذا لم يتوفر لديك الخبرة الكافية لذلك ،، في الفترة الأخيرة يوجد الكثير من الهاكر يخترقون المواقع ومنهم من يحول 30% من زيارات موقعك إليهم لكي لا تشك بالامر ومنهم من يضر موقعك لكي يتم حظره من محركات البحث ومنهم من يخترقك لغرض التجسس وأغراض شيطانية غير منتهية ،،،

أنا تعرضت للإختراق ولكن لأن لدي خبرة في البرمجة إكتشفت هذا الأمر ولكن شخص اخر ليس لديه الخبرة يكون مخترق مدي الحياة لأن الأسلوب الذي يقوم به الهاكر مبتكر وذكي ،، وصاحب الموقع لا يعلم أن تعبه ومجهوده يذهب لشخص اخر ليس لديه ضمير ولا دين وهالك بأفعاله.

المهم لهذا الأمر سوف أقدم الخلاصة والمختصر المفيد والخطوات اللازمة لكي تحمي نفسك ومن أين يمكن أن يدخل الهاكر إلي موقعك وأنت لا تعلم ،،،

حماية موقع ووردبريس من الاختراق

قد يكون زرع إضافة في الوورد برس تكون مخفية غير ظاهرة ولكي تظهر لك من السي بانيل قم بالدخول الي file manager ثم الي setting بإضافة خيار Show Hidden Files (dotfiles ) مرفق صورة ، واذهب الي الاضافات سوف تري ملف php باسم monit أو أي ملف أو اضافة لم تقف بتنزيلها علي الموقع هذه الإضافة تقوم بإظهار إعلان بوب من موقعك إذا قام الزائر بالدخول لموقعك من محركات البحث فقط ولا يظهر الإعلان ل ip الأدمن والمحرر وأي عضو لديك في الموقع ،،،أولا قد يكون زرع إضافة في الوورد برس تكون مخفية غير ظاهرة ولكي تظهر لك من السي بانيل قم بالدخول الي file manager ثم الي setting بإضافة خيار Show Hidden Files (dotfiles ) مرفق صورة ، واذهب الي الاضافات سوف تري ملف php باسم monit أو أي ملف أو اضافة لم تقف بتنزيلها علي الموقع هذه الإضافة تقوم بإظهار إعلان بوب من موقعك إذا قام الزائر بالدخول لموقعك من محركات البحث فقط ولا يظهر الإعلان ل ip الأدمن والمحرر وأي عضو لديك في الموقع ،،،

الثغرات الأمنية الشائعة

ثانيا ،،، أخي الكريم الهاكر يدخل لموقعك من خلال الإضافات والقوالب غالبا إضافة file manger لا تقم بتنزيلها نهائيا علي وورد برس إذا تريد التحكم في الملفات إذهب الي c panel فقط لانها مخترقة تماما وأيضا إضافة Really Simple SSL إي كانت قم بتحديثها أولا بأول ويفضل جلب شهادة من Cloudflare أفضل من تنزيل أي إضافة SSL والتي تحول الموقع الي HTTPS .

ثالثا ،، لا أريد الدخول في امور برمجية سوف أعطيك كيف تحمي نفسك دون ان تكون لديك علاقة بالبرمجة لأن طبعا أغلب مستخدمي ووردبرس لا يعرفون php لهذا سوف أقدم لكم إضافتين وورد برس بها كل ما أريد قوله لكي لا تدخل في التعديل داخل الموقع برمجيا ولكي تحمي نفسك بنسبة مئة في المئة بإذن الله ،،، هي مدفوعة ولكن سوف انزلها بالمجان لكم ،، مبدئيا قم بوضع هذا الأمر

define( ‘DISALLOW_FILE_EDIT’, true );

داخل ملف htaccess هذا الامر معناه لا يتم التعديل البرمجي داخل الملفات من داخل وورد برس لا في الاضافات ولا في ملف القالب أي التعديل فقط من داخل c panel ،،

داخل c panel ادخل علي security و فعل خيار two factor authentication التحقق عبر تطبيق جوجل قبل الدخول الي c panel لان الهاكر يقوم باختراق سي بانيل عبر سكربت بايثون وشرحه علي اليوتيوب ولكن مش هانزله طبعا المهم هو انه اذا فعلت التطبيق ما بيقدر يدخل علي سي بانيل .

الإضافة الأولي Wordfence

اولا قم بتنزيلها وتفعيل كل الخيارات

Web Application Firewall

Firewall Rules: Premium

Real-Time IP Blocklist: Enabled

Brute Force Protection

وتأكد أن الجميع ظهر إشارة الصح في الواجهة ( مرفق صورة) ثم إذهب إلي Firewall Options أولا هنا في الواجهة سوف ترى:

Web Application Firewall Status

Protection Level

Real-Time IP Blocklist

قم بتفعيلها بالخطوات التي سوف تراها امامك سهلة قم فقط بمتابعة الثلاث خطوات مع الواجهة ،،، ثم انزل للأسفل في هذا الخيار Immediately block IPs that access these URLs ضع هذه الروابط

/xmlrpc.php

/wp-includes/

/wp-content/

هذا يعني أي شخص يذهب هنا يقوم بحظره مباشرة ومن هنا أحد مسارات الهاكر للإختراق ثم انزل للإسفل إلي هذا الخيار Enable brute force protection ثم ضع

Lock out after how many login failures 2

Lock out after how many forgot password attempts 2

Count failures over what time period 1 day

Amount of time a user is locked out 2 months

– الاول يعني حظر المستخدم بعد 2 محاولة كتابة الباسوورد خطأ

– الثاني الحظر بعد 2 محاولة لاستعادة الباسوورد

– الثالث والرابع حظره الأول يوم كامل والثاني 2 شهر وهي أكبر مدة موجودة في الإضافة لكي تضمن حظر ip الهاكر اكبر مدة من الزمن

ثم انزل للأسفل هتلاقي Immediately block the IP of users who try to sign in as these usernames حط هاد اليوزرات:

[login]

admin

AnonymousFox

تعني حظر من يقوم بالتسجيل عبر هذه اليوزرات وهذه أكثر اليوزرات التي يقوم الهاكر بالدخول اليها وتخمين باسوورد للدخول لموقعك وخاصة [login] وهو نفسه AnonymousFox بعد ما يدخل لموقعك ،، ومن ثم قم بعمل حفظ الاعدادات ،،،

يوجد في الاضافة خيار scan قم بفحص الموقع وهو يقول لك أين توجد المواد المشبوهة والثغرات وأيضا في خانة Tools تري كافة النشاطات المشبوهة و ip وكل التفاصيل ،،، طبعا اخوتي الاضافة يوجد بها أشياء من نفسها تقوم بحماية الموقع أنا لم أشرحها لكي لا يطول الشرح أنا قدمت الأشياء الضرورية في الاعدادات لتحمي نفسك بشكل كامل إن شاء الله ،،

الإضافة الثانية iThemes Security Pro

نزل الإضافة أولا هذه iThemes Security Pro وهي مرفقة لكم ويصل التحديثات إليها أيضا مجانا وممكن تقوم بشرائهم مباشرة ،،، عندما تقوم بتنزيلها سوف يطرح لك خيارات لفحص امان الموقع Security Check مرفق صورة إضغط علي الفحص ونفذ ما يقول لكم مثلا هيكون ناقص خيار او إثنان فعلهم وإضغط علي run secure site ،،

بعد هيك بيظهر إلك واجهات للإضافة هتلاقي خيار 404 Detection فعله عادي ما بده شرح ،، بعد هيك روح علي File Change Detection واعمل تفعيل اله برضه ما بده شرح هاد معناه إي حد يقوم بالتعديل علي ملفاتك بيرسل إلك شعار علي الإيميل ،، بعد هيك روح علي Local Brute Force Protection وثم علي Max Login Attempts Per Host حط الرقم 2 و علي Max Login Attempts Per User حط الرقم 2 ثم علي Minutes to Remember Bad Login (check period) هاد معناه كم الوقت الي بدك إياه ينحظر فيها الي بيقوم بعمليات تسجيل دخول خاطئة أو أي نشاط مشبوه حط الرقم 600 دقيقة ،،، وإضغط صح هان Automatically ban “admin” user لمنع أي عضو يدخل بيوزر admin وطبعا انت لو مسجل يوزرك باسم admin غيره يا شاطر ،،،

الإضافة عشان بالإنجليزية في المواقع الإنجليزية هتلاقي كلمة save setting أسفل الواجهة لكن في المواقع العربية مش هتلاقيها عشان هيك بعجل الماوس حط علي 60% واجهة الموقع بتلاقي الحفظ (مرفق صورة لما أقول وللإعدادات )

ثم إذهب إلي System Tweaks و من ثم قم بتحديد كل الخيارات واعمل حفظ ،،، طبعا عشان ما بدي اطول في الشرح إقرا الخيارات وإفهم لشو ،، بعد هيك روح علي SSL واضغط علي خيار Redirect All HTTP Page Requests to HTTPS وهذا معناه كل روابط تتحول الي https يعني روابطم محمية بالشهادة وفش مجال حد يدخل عن طريق هذا الرابط http:\\site.com/xmlrpc.php دون الحماية لأن أكثر الإختراقات عن طريق هذا البروتوكول .

ثم إذهب إلي Password Requirements وقم بتفعيلها معني هذا الخيار وضع كلمات سر قوية للمستخدمين وعم السماح بكلمات سهلة الإختراق ،،

ثم إذهب إلي الخيار Site Scan Scheduling وقم بتفعيله هذا معناه ان الإضافة سوف تقوم بفحص ملفاتك تلقائيا أولا بأول بشكل يومي ،،

اذهب لهذا الخيار reCAPTCHA وقم بتفعيله وهناك خطوات موجودة داخل الإضافة لتوليد كود من جوجل لخيار التحقق ومرفق صورة للإعدادات الصحيحة وطبعا كما قلت في السابق قم بتحريك عجلة الماوس للأسف لكي يظهر خيار save setting ،،،

ركز هنا هذه الخطور مهمة جدا Two-Factor Authentication قم بالدخول هنا وقم بعمل التحقق بخطوتين قبل الدخول لأي عضو لديم أي كان كاتب ادمن محرر مشترك لكل الأعضاء وهنا Authentication Methods Available to Users قم بوضع الخيار Select Methods Manually وقم بالإشارة الي Email وهذا معناه أن أي عضو يدخل لديك يرسل له الموقع رسالة عبر الايميل ليقوم بالتحقق منه والإيميل الخاص به طبعا انت تقوم بوضعه ،،، أو ممكن ان تضع خيار Mobile App ويقوم العضو بالدخول عبر التطبيق الخاص بجوجل Authentication المهم أن تضمن أن الزائر الذي دخل قام بالتحقق من جواله أو إيميله.

ويوجد بها خيارات اخري قم بقرائتها وإختر المناسب لك ،،

قد قمت بكتابة هذا الشرح لوجه الله تعالي ولكي لا يذهب مجهود أشخاص وتعبهم لأشخاص لا ملة لهم ولا ضمير ولا يؤمنون إلا بالمال وهم هالكون بإذن الله، وإذا تذكرت شيء اخر سوف اكمل شرحه في البوست عبر تحديثه أو تعليق.

هذا ملف الاضافتين هنا ومرفق صور الشرح