المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : شرح مفصل لحماية منتديات mybb و تحصين المنتدى ضد محاولات الاختراق


حبيبه الرحمن
09-10-2012, 11:29 AM
شرح مفصل لحماية منتديات mybb و تحصين المنتدى ضد محاولات الاختراق
شرح مفصل لحماية منتديات mybb و تحصين المنتدى ضد محاولات الاختراق


عند تركيب منتدى يجب عليك أن تأخذ بعين الاعتبار حماية هذا المنتدى و تحصينه ضد الاختراق وعبث العابثين
و في هذا الموضوع سأقدم شرحا كاملا عن حماية منتديات mybb

يجب عليك اتباع الخطوات التالية لحماية متينة لمنتديات mybb
تابع معي و بالتفصيل

أولا
قوة كلمة السر
يجب عليك أن تضع كلمة سر قوية لحسابك و كلمة السر القوية يجب أن تتضمن حروف صغيرة و كبيرة و أرقام و رموز
مما يجعل صعوبة احتمالات كلمة المرور صعبة جدا و احرص على عدم استخدام كلمات شائعة في كلمة مرورك
فمثلا Admin4425 ليست جيدة ككلمة مرور آمنة بينما A7dm5&me@6f3 تعتبر أكثر أمانا و قوة

ثانيا
تصاريح المجلدات و الملفات المهمة
كقاعدة عامة يجب تغيير أذونات الملفات التي قد تلعب دور في تسهيل عميلة الاختراق في حالة
كانت اذوناتها 777 في منتديات mybb لاحظ المجلدات أدناه و ضع لها الأذونات المناسبة :

الملف file
/inc/settings.php.
أعطه التصريح 666


الملف file
./inc/config.php
عند تنصيب المندى أعطه التصريح 666
و بعد الانتهاء من التنصيب غير الأذونات الى 444


المجلدات folder
./cache/
./cache/themes/
./uploads/
/uploads/avatars.

أعطها التصريح 777
هذه هي قائمة المجلدات و الملفات التي يجب أن تتغير تصاريحها
بالاضافة أنه يمكنك تغيير التصاريح للمجلد التالي و هو خيار وليس ضروري
/admin/backups/
باعطاءه التصريح 777


ثالثا
حماية الملف config.php
عند تركيب منتديات mybb يجب أن يحمل الملف /inc/config.php التصريح 666 من أجل تمكين
معالج التثبيت من كتابة معلومات قاعدة البيانات به
وبعد الانتهاء من تثبيته يتوجب عليك تغيير تصريح الملف الى 444 لوجود خطورة أمنية من خلال هذا الملف
اذ يحتوي على بيانات الاتصال بقاعدة البيانات
طبعا و عند ترقية المنتدى من اصدار الى اصدار يجب أن يكون تصريح الملف 666
وان نسيت تغيير التصريح لا تقلق فمعالج التثبيت سيخبرك بذلك

كما يمكنك اضافة حماية لمنع الوصول المباشر للملف عن طريق قواعد .htaccess ولعمل ذلك اذهب الى مجلد /inc/ وقم بانشاء ملف
وقم بتسميته .htaccess وضع فيه الأسطر التالية




الكود :
<files config.php>
Order deny,allow
deny from all
</files>


رابعا
النسخ الاحتياطي لقاعدة البيانات بشكل دوري
اذا تم حذف ملفات منتداك أو حصل اي خطأ أثناء تحديثك للمنتدى أو حذفت أحد المواضيع
فهو أمر عادي و يمكن ان تسعيد ما حذف من هذه الملفات أو المواضيع
ولكنك لن تستطيع استعادة قاعدة بيانات منتداك لو انها حذفت أو تعرضت لأي سوء
وهنا تكمن أهمية عمل نسخة احتياطية لقاعدة البيانات
طبعا بشكل تلقائي منتديات mybb تقوم بعمل نسخ احتياطي لقاعدة البيانات
ولكن لا تعتمد عليها بل قم بتحميل نسخة من قاعدة البيانات الى جهاز كمبيوترك
و احتفظ بها

خامسا
تمويه حساب الإدارة (اترك هذه الخطوة اذا كنت غير قادر على تطبيقها)
عندما يريد أحد المخربين تهكير المنتتدى يبحث عن حساب المدير في الموقع لأنه الحساب الوحيد الذي يعطيه الصلاحيات كاملة
ويحاول الحصول على كلمة مرور هذا الحساب
و بسهولة يستطيع معرفة اي من الحسابات هي حساب المدير من خلال الذهاب الى فريق ادارة المنتدى أو من خلال لون المجموعة

نستطيع أن نلعب هنا لعبة بسيطة و هي عبارة عن تمويه
تابع معي
اذهب الى لوحة التحكم و أنشأ مجموعة جديدة و سمها ما شئت و اترك تنسيق اسم المستخدم كمجموعة مستخدمين عاديين
اعطها جميع التصاريح الادارية انتبه جميع التصاريح لكي لا تتعرض لمشاكل
قم بازالة تصاريح الادارة عن مجموعة الاداريين
هنا ستدير منتداك من خلال الحساب الجديد
و عندما يريد احدهم الوصول الى حساب الادارة
سيحاول مع الحساب الأول الذي ازلنا عنه التصاريح الادارية
و ان استطاع الوصول الى كلمة مرور هذا الحساب
فسيكون قد أضاع وقته من دون أي نتيجة لأنه لا يوجد تصاريح ادارية في هذا الحساب
أي نحن عملنا عملية تمويه لحساب الادارة

سادسا
تغيير اسم مجلد الادارة
بشكل افتراضي اسم مجلد ادارة المنتدى في منتديات mybb هو admin فعندما لا يعرف المخترق اسم مجلد الادارة طبعا لن يحاول الوصول اليه
علينا تغيير هذا الاسم بالطريقة التالية
اذهب الى الملف ./inc/config.php ف المنتدى
وقم بتغيير admin في السطر التالي الى اي اسم تريده
$config['admin_dir'] = 'admin';
احفظ التغييرات
ثم اذهب الى المجلد admin وقم بتغيير اسمه الى الاسم الجديد الذي اخترته

سابعا
تعطيل استخدام HTML
طبعا من البديهي منع استخدام HTML في المواضيع
قم بتعطيل هذا الخيار من خصائص المنتدى
ستجد خيار السماح بـ HTML تأكد من تعطيله

ثامنا
اخفاء اصدار المنتدى
قم باخفاء اصدار المنتدى لديك لأن أي مخرب يجب أن يعرف ما هو اصدار المنتدى
لكي يعرف ما هي ثغراته
اذهب الى لوحة التحكم > الخصائص > اختيارات عامة > عرض رقم الإصدار اختر مغلق

و اخيرا
التحديث و ترقية المنتدى
تابع أخبار المنتدى و أهم التحديثات و قم بترقية المنتدى الى أحدث إصدار دائما