αℓмαнα
12-21-2014, 02:10 PM
كثيرة هي المواضيع الأمنية التي نقرؤها هنا وهناك والتي ما تكون غالبا عبارة عن إشهار لاحد المنتجات الأمنية الرفيعة المستوى الخاصة بحماية المواقع والمنتديات. وكثيرة هي الهاكات والبرنامج الخاصة بحماية المواقع والمنتديات ..
لكن في الحقيقة، تستطيع بنفسك حماية موقعك على أعلى مستوى دون الحاجة لبرنامج غالي السعر ولا هاك أمني مدفوع ولا فريق حماية .. في هذه الموضوع تستطيع معرفة الخطوات المراحل التي يجب اتباعها لمنع اختراق موقعك. و تأكد بيقين تام بأن تجاهل بعض أو كل هذه المراحل سيؤدي لاختراق موقعك رغم أنف كل البرامج والهاكات الأمنية المدفوعة التي تستخدمها.
نحن لا نقول أن اتباع هذه الخطوات كلها سيمنع من اختراق موقعك بشكل تام ونهائي للأبد، وإنما هذه الخطوات والمراحل ترفع من نسبة حماية موقعك لأعلى الدرجات وتصعب مأمورية القراصنة بشكل معقد للغاية. أي أنك بعد اتخاذ كل التدابير التي سنشرح أسفله تستطيع حينها أن تقول أن موقعك مؤمن بشكل جيد جدا وحينها يبقى فقط التأكد من تأمين السيرفر الذي يوجد عليه موقعك.
تأمين وحماية موقعك يمر عبر أربع مراحل .. وكل مرحلة فيها مجموعة من الخطوات والتدابير والاحتياطات.
رجاء لا تستخف بأي خطوة ، تعامل مع كل هذه التدابير والخطوات بجدية وقم بتنفيذها لاجل رفع درجة حماية موقعك لأعلى المستويات.
تنويه : هذا الموضوع يخص كل المنتديات سواء الجيل الثالث أو الرابع أو الخامس . كما أن جزء كبير جدا منه يناسب منتديات الغزين فورو وبقية السكربتات.
لنبدء على بركة الله
-----------------------------------------------------------
أولا : إخفاء الثغرات
1- احذف مجلد Install كله بعد انتهاء أي عملية تنصيب أو ترقية. (احذف المجلد كله وليس فقط ملف التنصيب install.php)
2- تفحص لائحة أعضاء موقعك من خلال لوحة تحكم الإدارة admincp. لو وجدت أي عضو مشكوك في تواجده في موقعه وتشك في كيفية انضمامه لموقعك وبياناته غريبة، فلا تفكر مرّتين ؛ لا تقم بحظره ولا بتغيير مجموعته ، بل قم بحذفه تماما وفورا.
3- امنع الوصول إلى مجلد admincp الخاص بك باستخدام ملف .htaccess. استخدم الصلاحيات لإتاحة الدخول لـadmicp فقط لعضو معين مع كلمة مرور خاصة أو لعنوان IP محدد وخاص.
لمزيد من التفاصيل راجع هذا الموضوع :
كيف تمنع الوصول إلى مجلداتك الحساسة باستخدام htaccess.
-----------------------------------------------------------
ثانيا : سد الثغرات
1- افحص ملفات موقعك إن حدث أي تغيير عليها باستخدام خيار اختبارات Diagnostics من خلال خيار الصيانة Maintenance في لوحة تحكم الإدارة admincp.
2- احذف كل الملفات المشكوك فيها التي وجدتها بعض عملية الفحص والتشخيص.
3- استبدل أي ملف كانت نتيجة فحصه وتشخيصه "لا يحتوي على المحتويات المتوقعة / Does not contain expected content"
4- افحص كل البلوجانات Pulgins التي يستخدمها موقعك لمعرفة إن كانت تحتوي على محتويات أو أكواد خبيثة (exec, base64, system, pass_thru, iframe مثال على كلمات خبيثة). احذف أي ملف بلوجن يضمها على الفور.
5- تفحص قوالب ستايلاتك واسترجع أي قالب تشك في أنك قمت بتغييرات عليه. لو كنت تستخدم ستايل خاص من الأفضل حذفه تماما لو وجدت فيه قوالب معدلة وتشكل في أنك من قام بتعديلها أو إجراء تغيير عليها. بعد حذفه، قم بتحميله من جديد من المصدر الموثوق والمؤمن قبل تركيبه من جديد.
6- قم دائما وبشكل مستمر بتحديث الهاكات التي تستخدمها لآخر تحديث متوفر. ولا تستخدم أبدا هاكات مجهولة المصدر.
7- قم بإعادة بناء الداتاستورز الخاصة بك Rebuild your datastores ، باستخدام أداة tools.php الموجودة داخلة مجلد "do not upload". قم بتحميلها لمجلد admincp قبل استخدامهما. وعند الانتهاء قم بحذفها تماما من المجلد.
-----------------------------------------------------------
ثالثا : تأمين الثغرات
1- كمدير وصاحب موقع من الواجب عليك متابعة كل تغييرات موقعك عن كتب وبشكل مستمر وذلك بتسجيل :
- التغييرات التي قمت بها في إعدادات موقعك.
- القوالب التي قمت بإجراء تعديلات عليه.
- العبارات التي قمت بتحديثها أو ترجمتها.
- الملفات التي قمت بإضافتها لمجلد موقعك والملفات المرفقة مع كل بلوجن Pulgin تستخدمه.
2- تأكد من أنك تملك عضوية واحدة فقط كعضوية Super Admin والتي تملك صلاحيات وتراخيص كاملة وتستطيع وحدها فقط الوصول إلى admin logs داخل الـ AdminCP. هكذا تستطيع كصاحب هذه العضوية وحدك معرفة من دخل للوحة تحكم الإدارة ومتى ومراقبة من يستخدمها.
3- إن كنت بحاجة لشخص (أو أشخاص) إضافيين لمساعدتك على إدارة موقعك، تأكد من أنك منحتهم صلاحيات وتراخيص إدارية خفيفة فقط. العضوية (أو العضويات) التي ستخل Admincp بشكل شبه يومي يجب أن تملك الحد الأدنى من التراخيص والصلاحيات الممكنة. فقط عضوية Super Admin من يجب أن تملك كل التراخيص والصلاحيات والتي ستقوم بحمايتها من خلال ملف config.php وهي ستكون خاصة فقط بمراقبة أمور الموقع التقنية والقيام بأعمال الصيانة والتشخيص و الإعدادات الخ الخ أي أن دخولها للوحة تحكم الإدارة محدود للغاية.
4- راجع باستمرار وبشكل دائم كل التراخيص والصلاحيات سواء الخاصة بمجموعات الأعضاء أو الأقسام والمنتديات أو المدونات.
5- استخدم ملف htaccess. لمنع الوصول للمجلدات التالية : includes - modcp - packages - vb
لمزيد من التفاصيل راجع هذا الموضوع :
كيف تمنع الوصول إلى مجلداتك الحساسة باستخدام htaccess.
6- انقل مجلد المرفقات خارج المجلد الرئيسي لموقعك (غالبا مجلد Public_html).
7- اعمل باك آب كامل وشامل لموقعك. ثم اعمل باك آب أسبوعي لقاعدة بيانات موقعك.
-----------------------------------------------------------
رابعا : احتياطات وقائية وأمنية
1- امنح دائما الصلاحيات والتراخيص لأعضائك على قدر الحاجة فقط. لا تتهور وتمنح تراخيص أو صلاحيات إضافية وزائدة (مثلا استخدام كود html).
2- تأكد من أن استضافة موقعك قد أمنت السيرفر الذي يوجد عليه موقعك وتقوم بالتحديثات الأمنية.
3- قم دائما بالتحديث إلى آخر نسخة رسمية متوفرة سواء من vBulletin الخاص بك، أو من البلوجانات Pulgins و الهاكات addons التي تستخدمها.
لكن في الحقيقة، تستطيع بنفسك حماية موقعك على أعلى مستوى دون الحاجة لبرنامج غالي السعر ولا هاك أمني مدفوع ولا فريق حماية .. في هذه الموضوع تستطيع معرفة الخطوات المراحل التي يجب اتباعها لمنع اختراق موقعك. و تأكد بيقين تام بأن تجاهل بعض أو كل هذه المراحل سيؤدي لاختراق موقعك رغم أنف كل البرامج والهاكات الأمنية المدفوعة التي تستخدمها.
نحن لا نقول أن اتباع هذه الخطوات كلها سيمنع من اختراق موقعك بشكل تام ونهائي للأبد، وإنما هذه الخطوات والمراحل ترفع من نسبة حماية موقعك لأعلى الدرجات وتصعب مأمورية القراصنة بشكل معقد للغاية. أي أنك بعد اتخاذ كل التدابير التي سنشرح أسفله تستطيع حينها أن تقول أن موقعك مؤمن بشكل جيد جدا وحينها يبقى فقط التأكد من تأمين السيرفر الذي يوجد عليه موقعك.
تأمين وحماية موقعك يمر عبر أربع مراحل .. وكل مرحلة فيها مجموعة من الخطوات والتدابير والاحتياطات.
رجاء لا تستخف بأي خطوة ، تعامل مع كل هذه التدابير والخطوات بجدية وقم بتنفيذها لاجل رفع درجة حماية موقعك لأعلى المستويات.
تنويه : هذا الموضوع يخص كل المنتديات سواء الجيل الثالث أو الرابع أو الخامس . كما أن جزء كبير جدا منه يناسب منتديات الغزين فورو وبقية السكربتات.
لنبدء على بركة الله
-----------------------------------------------------------
أولا : إخفاء الثغرات
1- احذف مجلد Install كله بعد انتهاء أي عملية تنصيب أو ترقية. (احذف المجلد كله وليس فقط ملف التنصيب install.php)
2- تفحص لائحة أعضاء موقعك من خلال لوحة تحكم الإدارة admincp. لو وجدت أي عضو مشكوك في تواجده في موقعه وتشك في كيفية انضمامه لموقعك وبياناته غريبة، فلا تفكر مرّتين ؛ لا تقم بحظره ولا بتغيير مجموعته ، بل قم بحذفه تماما وفورا.
3- امنع الوصول إلى مجلد admincp الخاص بك باستخدام ملف .htaccess. استخدم الصلاحيات لإتاحة الدخول لـadmicp فقط لعضو معين مع كلمة مرور خاصة أو لعنوان IP محدد وخاص.
لمزيد من التفاصيل راجع هذا الموضوع :
كيف تمنع الوصول إلى مجلداتك الحساسة باستخدام htaccess.
-----------------------------------------------------------
ثانيا : سد الثغرات
1- افحص ملفات موقعك إن حدث أي تغيير عليها باستخدام خيار اختبارات Diagnostics من خلال خيار الصيانة Maintenance في لوحة تحكم الإدارة admincp.
2- احذف كل الملفات المشكوك فيها التي وجدتها بعض عملية الفحص والتشخيص.
3- استبدل أي ملف كانت نتيجة فحصه وتشخيصه "لا يحتوي على المحتويات المتوقعة / Does not contain expected content"
4- افحص كل البلوجانات Pulgins التي يستخدمها موقعك لمعرفة إن كانت تحتوي على محتويات أو أكواد خبيثة (exec, base64, system, pass_thru, iframe مثال على كلمات خبيثة). احذف أي ملف بلوجن يضمها على الفور.
5- تفحص قوالب ستايلاتك واسترجع أي قالب تشك في أنك قمت بتغييرات عليه. لو كنت تستخدم ستايل خاص من الأفضل حذفه تماما لو وجدت فيه قوالب معدلة وتشكل في أنك من قام بتعديلها أو إجراء تغيير عليها. بعد حذفه، قم بتحميله من جديد من المصدر الموثوق والمؤمن قبل تركيبه من جديد.
6- قم دائما وبشكل مستمر بتحديث الهاكات التي تستخدمها لآخر تحديث متوفر. ولا تستخدم أبدا هاكات مجهولة المصدر.
7- قم بإعادة بناء الداتاستورز الخاصة بك Rebuild your datastores ، باستخدام أداة tools.php الموجودة داخلة مجلد "do not upload". قم بتحميلها لمجلد admincp قبل استخدامهما. وعند الانتهاء قم بحذفها تماما من المجلد.
-----------------------------------------------------------
ثالثا : تأمين الثغرات
1- كمدير وصاحب موقع من الواجب عليك متابعة كل تغييرات موقعك عن كتب وبشكل مستمر وذلك بتسجيل :
- التغييرات التي قمت بها في إعدادات موقعك.
- القوالب التي قمت بإجراء تعديلات عليه.
- العبارات التي قمت بتحديثها أو ترجمتها.
- الملفات التي قمت بإضافتها لمجلد موقعك والملفات المرفقة مع كل بلوجن Pulgin تستخدمه.
2- تأكد من أنك تملك عضوية واحدة فقط كعضوية Super Admin والتي تملك صلاحيات وتراخيص كاملة وتستطيع وحدها فقط الوصول إلى admin logs داخل الـ AdminCP. هكذا تستطيع كصاحب هذه العضوية وحدك معرفة من دخل للوحة تحكم الإدارة ومتى ومراقبة من يستخدمها.
3- إن كنت بحاجة لشخص (أو أشخاص) إضافيين لمساعدتك على إدارة موقعك، تأكد من أنك منحتهم صلاحيات وتراخيص إدارية خفيفة فقط. العضوية (أو العضويات) التي ستخل Admincp بشكل شبه يومي يجب أن تملك الحد الأدنى من التراخيص والصلاحيات الممكنة. فقط عضوية Super Admin من يجب أن تملك كل التراخيص والصلاحيات والتي ستقوم بحمايتها من خلال ملف config.php وهي ستكون خاصة فقط بمراقبة أمور الموقع التقنية والقيام بأعمال الصيانة والتشخيص و الإعدادات الخ الخ أي أن دخولها للوحة تحكم الإدارة محدود للغاية.
4- راجع باستمرار وبشكل دائم كل التراخيص والصلاحيات سواء الخاصة بمجموعات الأعضاء أو الأقسام والمنتديات أو المدونات.
5- استخدم ملف htaccess. لمنع الوصول للمجلدات التالية : includes - modcp - packages - vb
لمزيد من التفاصيل راجع هذا الموضوع :
كيف تمنع الوصول إلى مجلداتك الحساسة باستخدام htaccess.
6- انقل مجلد المرفقات خارج المجلد الرئيسي لموقعك (غالبا مجلد Public_html).
7- اعمل باك آب كامل وشامل لموقعك. ثم اعمل باك آب أسبوعي لقاعدة بيانات موقعك.
-----------------------------------------------------------
رابعا : احتياطات وقائية وأمنية
1- امنح دائما الصلاحيات والتراخيص لأعضائك على قدر الحاجة فقط. لا تتهور وتمنح تراخيص أو صلاحيات إضافية وزائدة (مثلا استخدام كود html).
2- تأكد من أن استضافة موقعك قد أمنت السيرفر الذي يوجد عليه موقعك وتقوم بالتحديثات الأمنية.
3- قم دائما بالتحديث إلى آخر نسخة رسمية متوفرة سواء من vBulletin الخاص بك، أو من البلوجانات Pulgins و الهاكات addons التي تستخدمها.