السلام عليكم ورحمة الله وبركاته
اخواني الكرام ان الكثير منا يجهل اساسيات الحماية للمنتدى بعد انشائه فيتفاجا بالاختراق وتغيير المحتويات وما للحماية من اهمية كبيرة في سير الموقع وبقائه. هنا بعض الدروس و النصائح التي ستفيدكم حتما في حماية مواقعكم من الاختراقات وعبث ذوي القلوب الضعيفة في محتوياته .
يجب ان نعلم ان اساسيات الحماية تعتمد على 3 مصادر ان تم الاهتمام بها وحمايتها تمت الحماية الشاملة للموقع باذن الله.
اولا : نوع السكريبت المستخدم للمنتدى ومدى خلوه من الثغرات وطريقة الحماية (ينصح بسكريبت الفي بي لقلة الثغرات فيه نوعا ما وتوفر الحماية)
ثانيا: نوع السيرفر الذي يعمل عليه المنتدى ومدى حمايته(ينصح باستخدام سيرفرات اللينكس لصعوبة اختراقه وتوفر الحماية عليه)
ثالثا: حماية جهاز الادمن وخلوه من الفيرواسات (ينصح باستخدام برامج الحماية واخر التحديثات مع عدم حفظ كلمات سر الاف تي بي او كلمة الدخول للمنتدى على الجهاز وتجنب فتح الرسائل المشبوهة في الايميل او تحميل برامج او مرفقات دون فحصها اولا ببرامج الحماية)
حيث ان المخترق يعمد الى اختراق المنتدى عن طريق احدى هذه المصادر.
ناتي الان لشرح كيفية حماية ملفات المنتدى لذا يرجى الانتباه والتطبيق بعد الفهم.
1.ينصح باستخدام اخر اصدارات المنتدى مع متابعة التعديلات والثغرات التي تظهر من الشركة الام لتفادي الثغرات في النسخة.
2.الكلمات الممنوعة: ضع محتوى الملف في خيارات الرقابة من لوحة التحكم لمنع سكريبتات التحويل.
لتحميل الكلمات الممنوعة
3.Cracker Tracker:لقتل اي عملية سكريبت وافشالها( مع احضار IP المخترق وعدد محاولات الاختراق الفاشلة).بالفعل سكريبت قوي جدا وفعال وينصح به.
لتحميل cracker tracker
4. اخفاء ملفات المنتدى عن العيون : قم بفتح ملف txt وانسخ هذه الكلمات داخله ثم احفظه باسم robots وانقل الملف داخل ملفات المنتدى.
كود PHP:
User-agent: Mediapartners-Google*
Disallow: User-agent: * Disallow: admincp.php
Disallow: /admincp/index.php
Disallow: /images/
Disallow: /includes/
Disallow: /includes/cron/
Disallow: /includes/datastore/
Disallow: /includes/paymentapi/
Disallow: /includes/xml/
Disallow: /massy/
Disallow: /modcp/index.php
Disallow: /install/
Disallow: /customprofilepics/
Disallow: /customavatars/
Disallow: /cpstyles/
Disallow: /clientscript/
Disallow: /archive/
Disallow: /cron/
Disallow: /datastore/
Disallow: /paymentapi/
Disallow: /xml/
Disallow: /modcp/
او هنا ملف جاهز للrobots حمله
robots
5.التعديل على ملف الكونفيج(config) الموجود في انكلودز(includes)
افتح الملف باي برنامج لتحرير الملفات editor او wordpad او الفرونت بيج
وعدل التالي
ابحث عن الكود التالي وعدل كلمة modcp وadmincp لاي اسم اخر مثلا adminx وmodx
كود PHP:
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
والان اذهب الى ملفات المنتدى وعدل اسم الملفات modcp وadmincp للاسم الذي اخترته في ملف الكونفج adminx وmodx
ملاحظة يفضل وضع ملفات باسم admincp و modcp لكن فاضية وخالية من المحتوى مع وضع جدار حماية عليها ايضا لتشتيت تركيز المخترق واستنفاذ قواه على ملفات خالية فيصاب بالاحباط في النهاية وفقدان الاهتمام باختراق المنتدى.
6.تغيير الprefixفي الconfig
ابحث عن الكود
كود PHP:
$config['Misc']['****ieprefix'] = 'bb';
واستبدل ال bb لا شيء اخر مثلا wggtgz3234
7.تابع التعديل في الconfig
ابحث الكود
كود PHP:
$config['SpecialUsers']['canrunqueries'] = '';
وضع رقم 1 بين العلامة '' لتصبح
كود PHP:
$config['SpecialUsers']['canrunqueries'] = '1';
ابحث الكود
كود PHP:
$config['SpecialUsers']['undeletableusers'] = '';
وضع رقم 1 بين العلامة '' لتصبح
كود PHP:
$config['SpecialUsers']['undeletableusers'] = '1';
لحمايتك من الاوامر التخريبة ومحاولات تغيير معلومات دخولك للمنتدى
8. تغيير مكان الconfig وتشفيره (انا لا انصحه )
9.تغيير تصريح ملفات المنتدى:يفضل التصريح للملفات 111 اذا واجهت مشكلة فهذا يعني ان السيرفر لا يستطيع قراءة الملفات ايضا لذلك اجعلها 751 وكن حذر جدا من استخدام التصريح 777 وينصح بشدة عدم استخدامه.
10.وضع جدار حماية على الملفات التالية
modcp وadmincp وincludes
مهم جدا ويتم عن طريق السي بانل توجد شروحات كثيرة بهذا الخصوص
11. حماية المنتدى من المراقبين
توجه الى vb/modcp/thread.php وقم بتغيير thread.php لا اسم اخر وبالتالي تمنع المراقبين من حذف كل المواضيع من المنتدى لان هذه الصلاحية موجودة في لوحة تحكم المراقب
12.يجب ان يكون اسمك وكلمة المرور صعبة وتحتوي على مجموعة من الاشارات والرموز والارقام مع تغيرها دوريا وطلب من المراقبيين تغيير كلمات المرور ايضا
13.ينصح بعمل مسميين احدهما ترد به على الاعضاء ويكون ليس له اي صلاحية والاخر يستطيع الدخول للوحة التحكم لكنه مخفي عن الانظار.
14.يفضل تعطيل اي شيء لاتحتاجه في المنتدى مثل نظام الدفع او قائمة الاعضاء او الاعلانات الادارية لان بها ثغرات وهي غير مهمة .وينصح بشدة عدم تركيب منتجات او هاكات كثيرة لانها بالاضافة لامكانية احتوائها على الثغرات تؤثر على اداء المنتدى وسرعته لذلك ركب فقط ماتحتاجه بالفعل من هاكات وبعد فحصها من الخبراء
15.احذف ملف الانستول نهائي فانت لاتحتاجه .
16.ينصح بمسح اصدارة المنتدى
17.تعديل في ملف ال newthread.php الموجود بملف المنتدى الرئيسي
ابحث عن
كود PHP:
$newpost['title'] =& $vbulletin->GPC['subject'];
ضع اسفله مباشرة
كود PHP:
if (preg_match('/<|>/',$newpost['title'])) { $newpost['title'] = str_replace(array("<", ">"), array("(", ")"), $newpost['title']); }
18.راقب من يحاول الدخول الى لوحة التحكم.
19.ينصح باستخدام نسخة المنتدى من الشركة الام لضمان خلو النسخة من عبث العابثين.
20. ينصح باخذ باك اب دوري( نسخة احتياطية في اسوا الاحتمالات )مرة كل اسبوع او كل يوم في حال ان المنتدى كبير جدا.
الموضوع مجهود شخصي وتجميع لخبرة في حماية المواقع والمنتديات وارجو من الله تعالى ان اكون قد وفقت فيه وننتظر استفساراتكم.
وفي الدرس القادم انشاء الله شرح بعض المشاكل بعد عملية الاختراق والتخريب وكيفية حلها
مع اجمل وارق تحية عيدكم مبارك عساكم من عواده.
اخوكم
HILLIS
24/12/2007, 12:09 am
