خطوة للأمام في طريق حماية مدونتك
20 يناير 2008 – 5:29 مهذه فكرة بسيطة جداً من شأنها أن تجعل مدونتك آمن بدرجة كبيرة نسبياً
اذهب إلى العنوان التالي في مدونتك : http://yourdomain.com/wp-content/plugins
ماذا وجدت ؟
أستطيع معرفة أي الإضافات تستخدم في مدونتك, بكل بساطة.
أنصحكم أحبتي بوضع ملف فارغ بإسم index.html أو إستخدام الملف التالي : index.html والذي يوجد مثيل له في جميع مجلدات المدونة , بإستثناء مجلدي الإضافات والقوالب ( wp-content/plugins & wp-content/themes ) وإستخدمنا في هذا المجلد الامتداد HTMLعوضاً عن PHP حتى لا تتعارض مع نظام التعرف على الإضافات بشكل آلي.
بإمكاني معرفة جميع الإضافات التي تستخدمها, وحينها ليس علي سوى البحث عما نشر من ثغرات في هذه الإضافة, من الصعب على المخرب تجربة مئات الثغرات المنشورة حول إضافات لا يعلم هل أنت تستخدمها أم لا.
حتى لو لم يكن هناك ثغرة معلنة, الإضافات كثير منها غير مبني بشكل جيد وتحوي ثغرات أمنية, الآن لن يستطيع المخرب البحث عن ثغرات قاتلة في ملفات الإضافة.
هذه الخطوة البسيطة, والفكرة العادية ستخدمنا كثيراً, وأكتبها اليوم إيماناً بحديث المصطفى :”لا تحقرن من المعروف شيئاً ولو أن تلقى أخاك بوجه طلق”
حيث كنت أؤجل الكثير من المواضيع التي أود الكتابة عنها, أو النصائح السريعة كهذه, بحجة إيفاء الموضوع حقه من البسط والتوضيح, وتقديم مادة دسمة للمتقدمين. وهذا مالا طاقة لي به في هذه الأيام بسبب ضيق الوقت.
الآن أنا مقتنع بأنه يجب أن أكتب لو سطراً واحداً. لعله أنفع للغير من مئات الأسطر.
صورة مع التحية للأخ الفلسطيني الذي زارني في هذا الموضوع “تسمح لي اخترق موقعك ؟” و يتخفى خلف أسماء متعددة, ويستخدم الموقع هذا : http://Surf-Anon.com/ (http://208.76.240.226/) لكتابة تعليقات مليئة بالشتائم والقدح, تحت أسماء مختلفة. لا أعلم لماذا أنت غاضب من حديثي حول هؤلاء المخربين
ولكن أسئل الله أن يشفيك مما أنت فيه. وأنصحك بأن تكون أكثر ذكاءً في المرات القادمة, حينما تكتب تحت أسماء مختلفة, حتى لا تكشف هويتك.
دمتم سالمين.
تحديث : يبدو أن الموضوع أشبع حديثاً في المواقع الأجنبية على مدى الشهرين الماضيين, وأنا آخر من يعلم 
26 تعليقات على “خطوة للأمام في طريق حماية مدونتك”
بواسطة عائشة بتاريخ يناير 20, 2008 |
إقتباس
السلام عليكم
ياخوي مافهمت شو لازم أسوي
هل أحط ملف فاضي تحت هالمجلد
وشو الفايده من ورا هالشي
بواسطة Saudi Wanderer بتاريخ يناير 20, 2008 |
إقتباس
وعليكم السلام ورحمة الله وبركاته
الفكرة هي وضع ملف بإسم index.html داخل هذا المجلد
أي مجلد لا يحوي ملف بإسم index.php أو index.html يمكن للزوار مشاهدته محتوياته, بينما لو هناك index سيتم فتحه بشكل تلقائي بدلاً من عرض قائمة بمحتويات المجلد
لاحظي ما نشاهد في هذا الرابط : http://www.7rouf.com/wp-content/plugins
قائمة ملفات ومجلدات
ولكن هنا :
http://www.7rouf.com/wp-content/
.صفحة فارغة, لأنه يوجد ملف بإسم index.php داخل هذا المجلد
من مشاهداتي في المدونات العربية, عدم معرفة المخترق بالإضافات المستخدمة سيكون داعم قوي لآمان المدونة. حيث أغلب الإختراقات كانت تستغل ثغرات أمنية في بعض الإضافات.
بواسطة blue بتاريخ يناير 20, 2008 |
إقتباس
رغم بساطة الفكرة ، الا أني كنت غافل عنها
يعطيك العافيه ، نصيحة رائعة ^_^
بواسطة الخلوق بتاريخ يناير 20, 2008 |
إقتباس
شكراً ..
شكراً لك أخي الكريم ..
ممكن ترسل لي على الإيميل ملف اندكس حتى أضعه ؟!!
شاكر لك تواصلك يا كريم ..
بواسطة فـــــــواز بتاريخ يناير 20, 2008 |
إقتباس
الله يعطيك العافية اخوي
كفيت و وفيت
جزاك الله كل خير
دمت بود
بواسطة موسعـ(ـن) صدرهـ بتاريخ يناير 20, 2008 |
إقتباس
الله يجزاك خير ولا يحرمك الأجر
الله يبيّض وجهك ويكثر من أمثالك .. سويت مثل ماقلت بالضبط .. والحين اتحداك تخترق مدونتي
هههههههه
كل الشكر لك (وردة)
بواسطة Exganza بتاريخ يناير 20, 2008 |
إقتباس
يعطيك العافية .. ضبطت الأموررررر
بواسطة بنت الروح بتاريخ يناير 20, 2008 |
إقتباس
بارك الله فيك اخوي ,,
وجزاك الله الف خير على هالمعلومة وعلى حرصك على ايصالها لنا عبر الايميل
لاهنت والله يقويك
بواسطة عـائــشـــة بتاريخ يناير 20, 2008 |
إقتباس
مرحبا أخوي
فعلا كانت نقطه معظمنا غافلين عنها
جزاك الله خيرا
وفعلا طبقتها وتفتح عندي الصفحه الفاضية
ننتظر الجديد من النصائح الي تعزز نقاط الأمن في مدوناتنا
وشكرا
بواسطة إبراهيم عبد الغني بتاريخ يناير 21, 2008 |
إقتباس
أوووووووووووه
أمر خطير هذا .. كيف لم ألحظه ؟!!
و كيف يسهو مبرمجي الوردبرس عن هذا الخطأ
و تخيل أيضاً المسار http://thwab.com/blog/wp-content/uploads
كان مفتوح ع البحري
يعنى لو كتبت بوست عن كود PHP و رفعت ملف كمثال ثم عثر على هذا الملف أحد …. كان ممكن يبقى عليه العوض ف المدونة!!
كلمات شكري لن توفيك حقك أخى .
بواسطة إحساس بتاريخ يناير 21, 2008 |
إقتباس
معلومه رائعة جدا..
شكرا لك وتم التطبيق..
لكن هل نحن بحاجة لوضع اندكس في مجلد الثيمات..
بواسطة أنسام الغروب . . بتاريخ يناير 21, 2008 |
إقتباس
سبحان الله كنت أقرأ هذا الموضوع عصر اليوم
قبل أن يصلني على الايميل ..
ممتاز جداً فهمت الفكرة وطبقتها بالشكل المضبوط ..
لاعدمناك أستاذنا الكريم .. جزاك الله كل خير ..
وشكراً لتنبيهنا على الايميل ..
سؤال خارج الموضوع اذا سمحت .. !!
اعجبتني جداً فكرة اقتباس الردود هل هي اضافة
أم ماذا ؟؟!!
أعلم أنك كريم ونحن طماعين
بواسطة ابراهيم بتاريخ يناير 21, 2008 |
إقتباس
يعطيك ألف عافيه يالسنافي …
سنافي اللي اقصده مو اللي غيري يقصده
بواسطة سامي منصور بتاريخ يناير 21, 2008 |
إقتباس
الله يعطيك العافية أخوي swanderer
شكراً على تنبيهك لنا …
بصراحة بالأمس قرأت إيميلك و الموضوع … و لما وصلت أخر الموضوع فكرت إنه انت بتقصدني بالموضوع لأنك باعت لي على الايميل …
بس لا يهمك هذول الحثالة … فصدقني ما اختار مدونتك أو موقعك إلا لأنها رائعة بالفعل …
شكراً و سأطبق الشرح بالتمام و الآن …
تحياتي و تقديري
بواسطة Turki Al- Fassam بتاريخ يناير 21, 2008 |
إقتباس
شكراً لك على حرصك.
دايماً سبّاق للخير والنصح والتوجيه إليه.
أشكرك جزيل الشكر على التنبيه، وألحين سأقوم بالخطوات المذكورة، بارك الله فيك.
بواسطة Saudi Wanderer بتاريخ يناير 22, 2008 |
إقتباس
blue كتب:
الله يعافيك أخوي, التلميحات البسيطة والبدهية هذه لها فوائد كبيرة.
الخلوق كتب:
العفو أخي الخلوق
الملف موجود في التدوينة , تستطيع تحميله من هنا :
http://swanderer.ws/upload/wp/index.rar
فـــــــواز كتب:
الله يعافيك
موسعـ(ـن) صدرهـ كتب:
و وجهك
الله يكفيك شر المخربين
Exganza كتب:
الحمد لله
بنت الروح كتب:
واياك يارب
عملت ما بيدي, وابريت ذمتي
إبراهيم عبد الغني كتب:
أمر خطير فعلاً , ولكنهم يعتمدون على الملف .htaccess والذي يفترض أنه يرفض أي طلب مباشر للوصول لهذا المجلد, ولكن في الإصدارات الحديثة من الوورد برس أصبح المجلد مكشوف.
العفو أستاذي الكريم
إحساس كتب:
لا حاجة لذلك
فيمكنه معرفة القالب المستخدم في كل الأحوال, والقالب الغير مستخدم لن يفيده في شئ معرفته.
أنسام الغروب . . كتب:
الله يوفقك أخت أنسام الغروب
نعم هي إضافة, وأبشري بموضوع خاص عنها قريباً بإذن الله عز وجل
ابراهيم كتب:
الله يعافيك
سامي منصور كتب:
معاذ الله أن أكون أقصدك أخي طيب الخلق
قريباً سأذكر الشخص , وأوقفه عند حده
وفقك الله
Turki Al- Fassam كتب:
العفو أخ تركي
بواسطة FahadOnline بتاريخ فبراير 1, 2008 |
إقتباس
السلام عليكم
أخي الكريم أشكرك على التنبيه
بس بصراحة أعتقد إنه مقدم الإستضافة يجب أن يمنع ميزة تصفح المجلدات بشكل إفتراضي على السيرفر…
يعني مثلا بموقعي لو تروح إلى الرابط التالي
http://fahadonline.com/blog/wp-content/plugins
مارح يفتحلك المجلد رغم عدم وجود أي ملف index
وممكن تحدد بنفسك مجلدات معينة في الموقع يمكن تصفحها إما عن طريق وضع ملف htaccess وتحط فيه أمر للاباتشي أو عن طريق لوحة تحكم الموقع كما هو الحال في موقعي
وهذا مثال
http://fahadonline.com/files
والشي إللي ذكرته أنا بصراحة عملتها أيام كنت ابغى اتعلم على تعريب ثيمات الوردبريس … كنت أدور مجلد الثيمات في المودنات العربية … ويعجبوني العالم إللي أحصل عنده الثيم محطوط في ملف tar وجاهز للتحميل :-)
والفضل يعود بصراحة لـ Google في النهاية
تحياتي
بواسطة أبو مهند بتاريخ فبراير 2, 2008 |
إقتباس
بأطبق هالخطوة قبل نشر المدونة
مشكور
بواسطة KaWaii GiRl بتاريخ فبراير 3, 2008 |
إقتباس
اوووه وناسه ان شاء الله اذا خلصت اختبارات اتفضى لها واسويها
يعطيك الف عافيه يااستاذ ماقصرت والله
بواسطة Saudi Wanderer بتاريخ فبراير 6, 2008 |
إقتباس
FahadOnline كتب:
أختلف معك في هالنقطة
الأصل هو كشف الملفات والخطر الأمني هو حالة خاصة هنا.
عدم إظهار الملفات أرى بأنه نوع من فرض الوصاية من قبل المظيف ويفترض في عملاءه انهم مبتدئين.
أشكر لك إثراءك للموضوع
وحياك الله
أبو مهند كتب:
وبإنتضار انطلاقة المدونة
KaWaii GiRl كتب:
الله يوفقك ان شاء الله
وشاكر لك مرورك
بواسطة q8female بتاريخ أبريل 25, 2008 |
إقتباس
شكرا لك اخي على التذكرة
المفروض السكربت نفسه يكون فيه ملف اندكس بكل فولدر !
بواسطة دردشة بتاريخ يوليو 10, 2008 |
إقتباس
دردشة كتب:
شكرا لك على وضع هذا الاقتباس الذي اراحنا
مدونة دردشة فنتزي
بواسطة دردشة سعودية بتاريخ يوليو 10, 2008 |
إقتباس
قصدت بالاقتباس هذه الجملة
شكرا لك اخي على التذكرة
المفروض السكربت نفسه يكون فيه ملف اندكس بكل فولدر !
حيث لم تظهر من ضمن الاقتباس
بواسطة ودّ بتاريخ أكتوبر 4, 2008 |
إقتباس
تم عمل اللازم
شكرا لك ..