لا يكفي إزالة العواقب ، فأنت بحاجة إلى فهم أسباب الحدوث. لقد كتبت ذلك بالفعل تم اختراقنا ويفترض أننا قررنا جميعًا. ومع ذلك ، بعد أسبوع ، كررت القصة ، تم تغيير نص jquery آخر ، وكذلك ملفات htaccess. وفي .htaccess كانت هناك عمليات إعادة توجيه إلى بعض المواقع اليسرى فقط لأجهزة الجوال والأجهزة اللوحية ، وبالتالي لاحظت ذلك ليس على الفور.
في غضون يومين ، تمكنت من العثور على جميع الملفات المعدلة من قبل المهاجم ، وكذلك تلك التي أنشأها خصيصًا للاختراق (shell). ومرة أخرى ، بفضل الاستضافة لمساعدتهم. وبعد ذلك قررت اتخاذ جميع التدابير الموصوفة على الإنترنت.
محتوى المقال
- 1 الأسئلة الشائعة حول جميع أجزاء مدونتي الصغيرة:
- 2 وورد مدونة نصائح الأمن
- 2.1 تحديث رموز العداد والقطعة
- 2.2 قم بتحديث جميع المكونات الإضافية و WordPress إلى أحدث الإصدارات وإزالة غير المستخدمة
- 2.3 تحديث timthumb.php
- 2.4 تحقق من الأذونات على المجلدات والملفات
- 2.5 تغيير اسم مستخدم المشرف
- 2.6 تغيير جميع كلمات المرور إلى كلمات أكثر تعقيدًا
- 2.7 حماية ملفات .htaccess و wp-config.php من الوصول للجميع
- 2.8 حماية wp-include مجلد مع htaccess
- 2.9 حماية مجلد wp-admin باستخدام .htaccess و .htpasswd
- 2.10 تغيير بادئة قاعدة البيانات
- 2.11 تثبيت البرنامج المساعد Belavir
- 2.12 قم بتثبيت البرنامج المساعد WP Security Scan Plugin
- 2.13 قم بتثبيت البرنامج المساعد Better WP Security
- 2.14 مراقبة التغييرات على بروتوكول نقل الملفات الخاص بك
- 2.15 النسخ الاحتياطية لقواعد البيانات والملفات مرة كل بضعة أيام
الأسئلة الشائعة حول جميع أجزاء مدونتي الصغيرة:
لقد كتبت عددًا من المقالات المتعلقة بالتدوين. لا يدعون أنهم دليل كامل ، ولكن قد يكون المبتدئون مفيدون. يمكنك قراءتها ، إذا كنت مهتما.
0. أوصي بدورة «كيف تصبح مدون مليونير وكسب المال»
1. كيفية بدء بلوق
2. كيفية الترويج لمدونة - قائمة أفعالي
3. كيفية كسب المال على مدونة والسفر
4. مثال على الكسب على مدونتنا - فينستريب 2013, finstrip 2012, فينستريب 2011
5. القارئ وحركة البحث ، ولماذا لا يعود القراء
6. القليل من الحقيقة حول مدونات السفر
7. نصائح وورد حماية المدونة
وورد مدونة نصائح الأمن
وورد مدونة نصائح الأمن
من غير المرجح أن تكتمل القائمة ، وكما يقولون ، من يحتاج إليها ، فسوف يكسرونها على أي حال. ولكن على الأقل يمكن لأي مدون تقريبًا القيام بهذه الإجراءات من أجل حماية نفسه على الأقل قليلاً..
تحديث رموز العداد والقطعة
تحقق من رموز جميع العدادات والأدوات الاجتماعية على مدونتك وعلى الموقع ، أين حصلت عليها.
ربما تم تحديثها. لقد لاحظت أن Facebook غالبًا ما يغير رمز الأدوات ، ويعزز الأمان على ما يبدو.
قم بتحديث جميع المكونات الإضافية و WordPress إلى أحدث الإصدارات وإزالة غير المستخدمة
التعليقات هنا غير ضرورية ، والجميع يعرف كيف يفعل ذلك. عادة ما يتم تضمين نقاط الضعف في الإضافات والموضوعات ، لذلك ، على الأقل ، يجب إزالة جميع تلك غير المستخدمة.
تحديث timthumb.php
إذا كان السمة الخاصة بك تستخدم تغيير حجم الصور المصغرة باستخدام timthumb.php ، فيجب عليك بالتأكيد تحديث هذا الملف إلى أحدث إصدار ، نظرًا لأن الإصدارات القديمة لها ثغرة معروفة.
تحقق من الأذونات على المجلدات والملفات
يجب أن تحتوي جميع الملفات على 644 إذنًا و 755 مجلدًا باستثناء .htaccess - 444 إذنًا وتحميل المجلدات - 777 إذنًا.
تغيير اسم مستخدم المشرف
الخيار الأسرع هو الدخول إلى phpadmin وهناك ، في قاعدة البيانات الخاصة بك ، تنفيذ هذا الاستعلام:
تحديث wp_users SET user_login = ‘تسجيل دخولك الجديد’ حيث user_login = ‘مشرف’؛
أو يمكنك ببساطة إنشاء مستخدم جديد من خلال لوحة إدارة المدونة ، وإعادة تعيين جميع المقالات إليه ، وحذف المستخدم الإداري القديم..
تغيير جميع كلمات المرور إلى كلمات أكثر تعقيدًا
نصيحة عادية ، ولكن يجب أن تكون كلمات المرور معقدة ، تتكون من أرقام وحروف من السجلات المختلفة. أيضًا ، لا تنس أنه بعد مكافحة الفيروسات ، تحتاج إلى تغيير جميع كلمات المرور بأي شكل من الأشكال (مسؤول المدونة ، مشرف الاستضافة ، ftp ، قاعدة بيانات sql) ، ومن المنطقي أيضًا تغيير المفاتيح السرية في ملف wp-config.php.
حماية ملفات .htaccess و wp-config.php من الوصول للجميع
أضف إلى htaccess الخاص بك في جذر المدونة ، هذا الرمز:
رفض الأمر ، والسماح
رفض من الجميع
يسمح النظام ، ينكر
رفض من الجميع
حماية wp-include مجلد مع htaccess
أنشئ ملفًا نصيًا عاديًا ، واسمه htaccess وانسخه إلى مجلد wp-include بعد إضافة الكود إلى الملف:
طلب السماح ، الرفض
رفض من الجميع
السماح من الجميع
حماية مجلد wp-admin باستخدام .htaccess و .htpasswd
أنشئ ملفًا نصيًا عاديًا ، واسمه htaccess وانسخه إلى مجلد wp-admin ، بعد إضافة الرمز إلى الملف:
AuthUserFile /home/public/.htpasswd
AuthType Basic
Authname “محدد”
رفض الطلب ، والسماح
رفض من الجميع
تتطلب مستخدم صالح
إرضاء أي
أين, «/home/public/.htpasswd» هو المسار الكامل لملف .htpasswd. من المستحسن أن يكون هذا الملف موجودًا فوق دليل مدونتك.
يحتوي ملف .htpasswd على كلمة المرور للوصول إلى منطقة wp-admin في نموذج مشفر. إن أسهل طريقة لإنشاء هذا الملف هي إدخال اسم المستخدم وكلمة المرور بالطريقة المعتادة. من الأفضل عدم تكرار البيانات التي تختلف عن الحسابات الحالية والإشارة إليها.
لا يوجد سوى إزعاج واحد مع هذه الطريقة - لا تنطبق إذا كان لديك مدونة متعددة المستخدمين ، حيث سيتم طلب كلمة المرور من جميع المستخدمين.
تغيير بادئة قاعدة البيانات
قم بتغيير بادئة قاعدة بيانات SQL الخاصة بك من قياسي «wp_» على بعض «wpsdjflk647_» كان من الممكن في بداية إنشاء المدونة. لكن الآن هذه ليست مشكلة. لقد صنعته مكونًا إضافيًا ، والذي سيتم مناقشته أدناه. على الرغم من أنه يمكنك الانتقال إلى phpadmin ، استبدل جميع أسماء الجداول هناك ، ثم قم بتغيير البادئة في ملف wp-config.php
تثبيت البرنامج المساعد Belavir
قم بتثبيت البرنامج المساعد Belavir ، والذي سوف يتتبع التغييرات في جميع ملفات php لمدونتك. لا يراقب المكون الإضافي نفسه أي شيء ، ولكنه يبدأ الفحص عند الانتقال إلى لوحة إدارة المدونة على صفحة وحدة التحكم ، حيث يعرض التغييرات بالفعل. ليس لديه إعدادات.
قم بتثبيت البرنامج المساعد WP Security Scan Plugin
قم بتثبيت البرنامج المساعد WP Security Scan ، والذي يمكنك من خلاله القيام ببعض الأشياء ، على وجه الخصوص:
- تغيير بادئة قاعدة البيانات
- التحقق من الأذونات على المجلدات والملفات
- إخفاء إصدار WordPress
- قم بتوصيل برنامج مكافحة الفيروسات للمدونة والتحقق منها
قم بتثبيت البرنامج المساعد Better WP Security
قم بتثبيت البرنامج المساعد Better WP Security ، فهو مطلوب أكثر من الاثنين السابقين. قائمة ميزاته كبيرة جدًا ، وسأذكر جزءًا:
- يسمح لك بتغيير بادئة قاعدة البيانات
- يزيل المعلومات غير الضرورية من كود المدونة حسب نوع نسخة وورد
- يراقب التغييرات في جميع الملفات
- يحظر الملكية الفكرية لأولئك الذين يدخلون عناوين غريبة في المتصفح بعد اسم مدونتك ، ويتلقى خطأ 404
- يحظر اختيار كلمة مرور للوحة الإدارة ، حظر ip
- يغير عناوين تسجيل دخول المشرف الافتراضية ، حماية ممتازة ضد هجمات القوة الغاشمة
- وأكثر بكثير.
مراقبة التغييرات على بروتوكول نقل الملفات الخاص بك
قم بتثبيت برنامج ftpinfo على جهاز الكمبيوتر الخاص بك ، والذي يسمح لك بالاتصال بخادم ftp الخاص بك ومراقبة التغييرات في جميع ملفات الحساب لمظهرها / حذفها / تغييرها. مفيد جدا خلال هجمات الفيروسات. لا يمكنك مراقبة جميع الملفات فحسب ، بل يمكنك أيضًا إنشاء أقنعة للملفات والمجلدات.
النسخ الاحتياطية لقواعد البيانات والملفات مرة كل بضعة أيام
شيء مفيد للغاية ، يمكن أن يكون مفيدًا لمكافحة الفيروسات. ستكون الملفات الأصلية في متناول اليد دائمًا وستكون هناك فرصة للتراجع إذا لم يكن من الممكن تنظيف الموقع من الفيروسات. أنا أستخدم البرنامج المساعد BackWPup. يحتوي على العديد من الميزات ، بما في ذلك نسخ البيانات إلى Dropbox - خدمة ملائمة توفر 2 جيجابايت من المساحة الحرة على الإنترنت والمزامنة مع جهاز الكمبيوتر الخاص بك.
هذه هي النصائح لحماية مدونة WordPress التي قمت بتطبيقها على مدونتنا. إذا كان هناك أي أسئلة أو إضافات (ربما يمكن القيام بشيء آخر) ، اكتب في التعليقات 🙂
