GEN.TROIGN
رقـــيب
الـبلد : المهنة : ارهابي التسجيل : 05/01/2012 عدد المساهمات : 227 معدل النشاط : 275 التقييم : 8 الدبـــابة : الطـــائرة : المروحية :
| موضوع: سكريبت وورد بريس(مهم جدا لاصحاب المواقع)تعلم القتال ليس من اجل أن تلحق الضرر بالآخرين لا بل من اجل الإثنين 27 فبراير 2012 - 0:57 | | | سكريبت وورد بريس(مهم جدا لاصحاب المواقع)تعلم القتال ليس من اجل أن تلحق الضرر بالآخرين لا بل من اجل أن تدافع عن نفسك. الوورد بريس هو نظام لإدارة المواقع بشكل عام وتم بناءه باستخدام لغة PHP وقواعد بيانات MySQL ، وهو مفتوح المصدر وهذا النظام يعتبر من أكثر الأنظمة استخداما في عالمنا….ويبلغ عدد تحميل النظام باللغة الانجليزية للجيل الثاني ملاينن وملاينن وملاينن وكان أول ظهور لورد بريس في أيار.. 2003 قام بتأسيسه Matt Mullenweg و Mike Little الهجوميقال حتى تعالج المرض لابد أن تعرفه فبذلك أول خطوه لحماية موقعك اذا كان يستخدم سكريبت وورد بريس اعرف عدوك ثم اعرف كيف توجهه….. فكيف لك أن تواجه عدو لا تعرفه أصلا…..و المعرفة هنا لا نقصد بها ملامح الجسمية لا بل كيف يفكر المخترق معرفة الوسائل التي يستخدمها لسرقتك مثلا تعلم أن لص المنازل قد يسرق منزلك عن طريق الدخول من الباب أو من النافذة … فاذا تكون احد طرق الحماية مثلا إغلاق أبواب المنزل الخارجية والحرص على أن يكون مفتاح الأبواب الخارجية مع أشخاص على دراية بان بفقدانه سوف يكون المنزل معرض للخطر و أيضا من وسائل الحماية تامين النوافذ بجهاز إنذار وجعل أسوار البيت عالية الخ…حين تفكر بحماية موقعك الذي يستخدم سكريبت وورد بريس يجب ان تسال نفسك من هم الاعداء وكيف سيسرقون الموقع؟؟؟؟و في حالة سرقة الموقع لن يكتفون بسرقته وضياع تعبك بل يرفعون صفحة توضح الاعتداء تدعى (index) وقد يسخرون منك وأنت لا حيلة لك الا النظر. مواقع كثيرة وشهيرة اخترقت على أيدي أشخاص هدفهم أما الابتزاز أو إشباع رغبات نفسية مريضة داخلهم. دوافع الاختراق كثيرة لسنا في صدد ذكرها الان.يبدو أن الأمر أصبح مخيفا فتخيل بعد تعبك وسهرك و شهرت موقعك بين ليلة وضحاها تسرق وليت الأمر يقف عند هذا الحد فقد تتعرض لسخرية والابتزاز أيضا .هذه الأسباب جعلت الكثيرين يزيلون فكرة إنشاء مواقع بأسمائهم الصريحة وآخرين يختبؤن خلف الأسماء المستعارة. إذا تعلم القتال ليس من اجل أن تلحق الضرر بالآخرين لا بل من اجل أن تدافع عن نفسك.هناك أشخاص يلجئون إلى شركات حماية وهذا هو الأفضل فعلا لكن التكلفة مرتفعة لذلك احمي نفسك بنفسك.للاختراق عدت طرق ومنها: عن طريق سرقة اسم المستخدم وكلمة مرور لوحة تحكم الوورد بريسوهذه هي أسهل طريقة ويحصل المخترق على اسم المستخدم وكلمة مرور لوحة تحكم الوورد بريس بعدة طرق منها السهل ومنها الصعب ومن الطرق السهلة أن يكون اسم مستخدمك admin وهو الاسم الافتراضي لمدونات الووردبريسورقم السر مثلا تاريخ ميلادك بتخمينهم يستطيع المخترق الدخول للوحة التحكم.-عن طريق ثغرات النظامثغرات النظام تمكن المخترق من الوصول إلى قاعدة البيانات والمحاولة إلى الوصول إلى اسم مستخدم و كلمة المرور للدخول على لوحة تحكم الووردبريس ومن ثم الاختراق بنفس طريقة اختراق لوحة تحكم الوردبريس لكن الفرق في كانت طريقة الحصول على اسم المستخدم وكلمة المرور سهلة أما هنا فهي تحتاج إلى وقت وجهد. – عن طريق سرقة حساب شركة الاستضافةعند سرقة اسم مستخدم و كلمة مرور شركة الاستضافة يستطيع رفع (index) يبين أن المدونة قد اخترقت.- عن طريق الخادم (server)أحيانا يتم اختراق الخادم الذي علية موقعك وبالتالي يخترق و تذهب ضحاياه العديد من المواقع … فحتى لو كانت موقعك خالية من الثغرات باختراق الخادم يمكن اختراق موقعكولكن بتغير الاستضافة تستطيع حل المشكلة وعودة موقعك كما كانت إذا كنت تملك نسخة من المدونة (backup) .-عن طريق سرقة النطاق (domain) وهذا هو اخطر نوع لماذا أيامنا هذه ارتبط اسم النطاق بشخصية معينة أو شركة معينة فملا موقعي انا http://security-sy.comمحجوز من شركة name.comواذا تم اختراق هذه الشركة سيتم سرقة دومين الموقع مع10 مليون موقع اخر مثال على ذلك :عندما قام احد الهواكر الايرانين باختراق شركة جودادي الاميركية وقام بسرقة جميع دومينات مواقع الخليج العربي ومنهم موقع العربيةوسرقة دومين اقوى موقع هاكر عربيفي ذلك الوقت اما عن الدفاع مواطن الضعف في جهاز الكمبيوتر الخاص بكتأكد من أن أجهزة الكمبيوتر التي تستخدمها في الدخول على لوحة تحكم الوورد بريس خالية من البرمجيات التجسسية، والبرمجيات الخبيثة والفيروسات ولابد من وجود برنامج حماية قوي على الجهاز الذي تستخدمه.ومن الأفضل يكون الجهاز الكمبيوتر الذي تدخل بواسطته إلى لوحات التحكم والبريد الالكتروني لا بد إن يكون مخصص فقط لهذا الغرض.(-) نقاط الضعف في حزمة وورد بريس نفسهاقد يكون الضعف في حزمة الورد بريس فقد يكون هناك خطاء برمجي يخول المخترقين من اختراق موقعكوالحل ترقية مدونتك إلى الإصدار الأخير.أيضا تتبع ثغرات إصدارك ومعرفة كيفية ترقيعها و كيف يمكن أن تستغل .هنا موقع يعرض ثغرات التطبيقات ومن ضمنها الورد بريس نقاط الضعف في الخادم(server)الخادم الذي يعمل عليه الموقع , قاعدة البيانات وغيرها قد يكون فيها ضعف لذلك لابد من التأكد أنك تقوم بتشغيل آمن ومستقر للإصدارات خادم الويب. ، أو على الأقل التأكد من أن شركة الاستضافة التي تتعامل معها ترعى هذه الأمور.وفي حالة كانت الاستضافة مشتركة واحد الأشخاص الموجودين على نفس الاستضافة معرض للخطر فأنت أيضا معرض للخطر وحتى لو استخدمت جميع وسائل الحماية فلابد من التأكد من مستوى حماية شركة الاستضافة التي تتعامل معها. أيضا -احرص على إدخال معلوماتك الشخصية صحيحة عند تسجيلك لشركات الاستضافة والنطاق وخصوصا رقم هاتفك وذلك في حالة الاختراق تستطيع إثبات ملكيتهم لك.(-) نقاط ضعف الشبكةوينبغي على كلا من طرفي الشبكة وهما الوورد بريس في جانب الخادم والعميل في الجانب الأخر أن يكون الاثنين موثوق منها . وهذا يعني توفر جدار حماية على جهاز (الروتر) وان تكون على حذر أن الشبكة التي تعمل عليها هي شبكتك الخاصة. والحذر من مقاهي الانترنت المزدحمة فبسبب الازدحام تقوم بإرسال كلمات السر في نص واضح عبر اتصال لاسلكي غير مشفر.(-) كلمة المرورويمكن تصنيف بعض نقاط الضعف التي يمكن تجنبها بالعادات الأمنية الجيدة . عنصرا هاما من عناصر هي كلمات السر وهذه بعض النصائح للحماية:1-لا تفشي اسم المستخدم و رقم السري لوحات التحكم لأحد 2-غير الرقم السري للوحات التحكم دوريا.3-اجعل كلمة المرور طويلة وخليط من أرقام حروف كبيرة وصغيرة ورموز.4-احذر أن تكتب كلمة المرور واحد يشاهدك6- تنوع اسم المستخدم و كلمة المرور فاسم المستخدم و كلمة مرور لوحة تحكم الووردبريس تختلف عن اسم مستخدم لوحة تحكم النطاق وهكذا.(-) تراخيص الملفاتالكثير قد يتجاهلها أو لا يعرفها وخصوصا المبتدئين فمن الأفضل من منظور امني تقليل تراخيص الكتابة للملفات المهمة.(-) الإضافات (Plugins )يزودنا الوورد بريس بالعديد من الإضافات المجانية التي لها أهمية في حماية الورد بريس ورد من المخترقين ومنهاExploit Scannerhttp://www.ahmedgeek.com/facebook-like-button-v5-0-major-updateتأمين الوورد بريسhttp://www.websitedefender.com/secure-wordpress-plugin/النسخ الاحتياطي (data backups )لابد من القيام بأخذ نسخ احتياطية للمدونة بشكل منتظم ووضع هذه النسخ على أقراص(Tapes )أو أقراص ضوئيةوتتضمن هذه النسخة ملفات الووردبريس و نسخة من قاعدة البيانات.فلا بد من وجود إستراتيجية للنسخ الاحتياطية تتضمن وقت اخذ النسخ الاحتياطية ونوع الأقراص المستخدمة ومكان وضع النسخ.ملاحظة هامة جدا لاتسوا وضع جدار ناري على مجلد wp-adminعن طريق لوحة تحكم موقعك الرئيسية غيفار سليمان sy@security-sy.comالمراجع http://wordpress.org/ http://www.websitedefender.com/ http://ocaoimh.ie// |
|