تفضل من هنا لحماية موقعك

[stiwa10]

السلام عليكم
مسألة الحماية مهمة جدا وسنحاول التطرق في هدا الموضوع الى أهم طرق حماية موقعك بجلة جملة
أولا وقبل كل شيء اليك هدا الموضوع البسيط الدي يعلمك أساسيات الحماية لمجلة جملة وكنت أعددته سابقا


أو خطوة تبتدئ أتناء التنصيب وهي تقوم بتغيير اسم الجداول ادا صح التعبير وهو prefix الدي يكون في الحالة الافتراضية jos_ وننصح بشدة بتغيره إلى أي اسم أتناء التنصيب .
http://img8.imageshack.us/img8/2416/17195954.jpg



السبب الذي من أجله أنص بتغييره سيفهمه ببساطة من له دراية بسيطة في عالم الحماية , تصور مثلا أنك قمت بتنصيب إضافة وكانت هده الإضافة مصابة بثغرة حقن القواعد مثلا فلاستثمار هده الثغرة من أجل اختراق موقعك يقوم المخترق بوضع كود الاستغلال من أجل حقن قواعد بياناتك واستخراج اسم وكلمة سرك المشفرة , هدا الكود يتضمن اسم الجداول أو ال prefix الذي يقوم المخترق بوضع الاسم الافتراضي و هو jos_ .

فادا كنت قد غيرته فلن يتمكن من استثمار الثغرة حتى ولو كان الإضافة مصابة ومنصبة على مجلتك لأنه وببساطة يجهل اسم الجداول ولن يستطيع الحصول عليه . أتمنى أن تكون الفكرة واضحة ؟؟؟

بعد أن تقوم بتنصيب مجلتك وحدف ملف التتبيث قم بتغيير اسم الدخول الافتراضي من admin إلى اسم أخر واعتمد على كلمة سر مكونة من حروف وأرقام .

تفعيل نظام إعادة كتابة الروابط المدمج مع مجلة جملة يحمي حتما موقعك من بعض الثغرات التي يكون استغلالها عبر المتصفح .

قم بحماية مجلد administrator بواسطة جدار ناري عن طريق لوحة تحكم موقعك سي بانل .

عندما تستعمل إضافة أو برنامج لعمل نسخة من قاعدة بياناتك تأكد من مسح هده النسخ من موقعك ليس فقط حماية من المتلصصين لكن أيضا محركات البحت تقوم بأرشفة الملفات ذات الامتداد .sql .gzip .zip لهدا قم بحذفها فورا بعد أن تحملها على جهازك بالطبع .

قم بعمل نسخ دورية لموقعك سواء يومية أو أو أسبوعية أو شهرية حسب حجم وأهمية موقعك وتفرغك ولا تعتمد بشكل كلي على مستضيفك .

هده نصائح بسيطة جدا ولا تكلفك وقتا كبيرا ولا معرفة كبيرة لكنها ستحمي موقعك بنسبة كبيرة جدا دون أن تستعمل إضافات ودمتم بود .

الموضوع الأصلي من هنا
http://marocpolis.com/cours-joomla/59-2 ... 29-11.html

[stiwa10]

الخطوة الثانية

اضافات الحماية
أول اضافة اخترتها لكم هي اضافة
plugin sentielle

قمت بعمل شرح وافي باللغة الأنجليزية وسأحاول اختصار مزايا الاضافة هنا
عند ادخال أي كود أو استعلام عبر المتصفح يتم توجيه المخترق الى صفحة تحدير وحجب الايبي تبعه
نفس الشيء عند ادخال أكواد في أي فورم موجود في موقعك
ارسال ايميل للمدير بتفاصيل محاولة الاختراق
حجب ايبي المخترق في قاعدة البيانات
يمكن اضافة لائحة بقائمة الايبيات الممنوعة

اعتدر عن عدم طرح شرح الاعدادات لضيق الوقت
وأنصح بأخد نسخة احتياطية قبل التركيب ولم لا تجريب الاضافة على موقع في اللوكال هوست

للتحميل من هنا
http://www.web-infoservice.com/menu-pri ... info&id=37

الموضوع الأصلي بالللغة الأنجليزية من هنا وفيه شرح الاعدادات وهي بسيطة جدا
http://marocpolis.com/cours-joomla/100- ... urity.html

[stiwa10]

اضافة
jsecure

هده الاضافة تجعل الدخول على ادارة موقعك بهدا الشكل
http://www.site.com/administrator?erwpoi44599poid
بدل الشكل المعتاد
http://www.site.com/administrator

بحيث تضيف كود أنت فقط من يعرفه من أجل الدخول الى لوحة التحكم
فحتى لو عرف أحدهم كلمة سر المدير لا يستطيع الدخول الى لوحة التحكم ادا لم يكن يعرف الكود

اتمنى أن تفيدكم هده المواضيع وستكون لنا عودة ان شاء الله

[suneye]

معلومات هامة وقيمة
وانا استعمل خاصية jsecure منذ نصح بها الخ شريف وهي سهلة وفعالة وضرورية

بارك الله بك
ونفع الجميع بها

[pearls]

جزاك الله خير

[HH]

بارك الله فيك على هذه المعلومات القيمة
ثمة أشياء كنت أعرفها وثمة أخرى كنت أجهلها كل الجهل

العلم نور يا ولاد

[dr_lionheart]

مشكور جدا على النصيحة
بس بالنسبة لجداول البيانات prefix
اذا انا موقع خلاص جداوله كله jos
هل في طريقة لتغييرها
وشكرا

[powerlovers]

الرجاء من الأستاذ صاحب الموضوع التوضيح أكثر بالنسبة لجداول البيانات prefix للأنها اثارت اهتمامنا
والسؤال ..
بالنسبة للمواقع المقامة بالفعل والتى تريد تغير هذه القائمة ماذا تفعل ؟ وكيف ؟

عند تسطيب موقع جديد هل هناك اسامى محددة لا استطيع التبديل الا بها ام استطيع التبديل للاى أسم أخر ؟

[sherif]

لتغيير البادئة أو
prefix
في قاعدة البيانات للمواقع العاملة بالفعل
اليكم رابط شرح الطريقة
http://forum.joomla.org/viewtopic.php?p ... 9#p1613109
تحياتي للجميع

[almustafa]

و أنا أقرء خطوات الحماية . أستوقفتني العبارة التالية ولم أفهم كيف يتم العمل بها
(( قم بحماية مجلد administrator بواسطة جدار ناري عن طريق لوحة تحكم موقعك سي بانل ))

هل نرفع أضافة برمجية أو ماذا ؟ كيف نضع جدار ناري على ملف الأدارة ؟

أذا ممكن توظيح مع الشكر الجزيل

[sherif]

حماية فولدر الأدمن مشروح هنا
http://forum.joomla.org/viewtopic.php?f=551&t=465489
تحياتي

[feelings]

السلام عليكم رحمته الله وبركاته


ممكن أحد يشرح لنا

أولاً
تفعيل نظام إعادة كتابة الروابط المدمج مع مجلة جملة يحمي حتما موقعك من بعض الثغرات التي يكون استغلالها عبر المتصفح .

ثانياً
ممكن شرح وافي للإضافة plugin sentielle

ثالثاً
ممكن شرح وافي للإضافه jsecure

وشكراً

[omar altameme]

شكرا لكم ماقصرتم

[meto]

السلام عليكم
بداية أتوجه بخالص الشكر للأخ stiwa10 جزاه الله خير بالفعل، أفكار قوية وبسيطة ولا تكلف شئ وتحمى الموقع بشكل جيد
كما نى أتوجه بالشكر والتقدير لغواص جملة الأكثر من رائع حبيبي وأخى شريف وكل المشرفين العظام
ولتعم الفائدة ويكتمل النفع ، فقد كنت قرأت موضوعا هاما فى حماية جملة تحت عنوان 10 نقاط هامة لحماية موقعك
وستجدون الموضوع على الرابط التالى:
http://blog.joomla.in/joomla-developmen ... oomla-site

وللتيسير على جميع الأخوة لأن الموضوع باللغة الإنجليزية فسأقوم بترجمة النقاط بإيجاز وأضيف عليها إضافات بسيطة كما يلي:
عشر نقاط هامة لحماية أى موقع جملة
1- تهيئة المستضيف، ويقصد بذلك أن تعمل ال php على السيرفر تحت حسابك وتحكمك أنت وليس تحت التحكم للعام للأباتشي بشكل عام وهنا أنت لست بحاجة إلى أن تعطى التصاريح 777، وفى هذه النقطة يشير الشارح إلى عدة نقاط يجب توفرها فى السيرفر وهى
أ- تأكد من إغلاق ال register_globals --->> OFF
ب- تأكد من إغلاق allow_url_fopen
ج- لا تقم بتفعيل السيف مود safe_mode
د- لمستخدمي جملة 1.0 فقط عليهم تفعيل ال magic_quotes_gpc ، أما جملة 1.5 فليسوا بحاجة إلى ذلك.
(تعديل: لمعرفة هذه المعلومات عن موقعك يمكنك الاطلاع عليها من خلال لوحة التحكم الادارية لجملة، من قائمة المساعدة Help ثم اختيار الخيار الثاني System info
كما أن هناك كود برمجى من أساسيات أكواد البرمجة بلغة PHP قم بكتابته فى ملف php ورفعه على جذر الموقع ثم قم باستدعاء الملف فى المتصفح:
الكود هو

Code: Select all

<?
phpinfo();
?>

2- قم بتغيير بادئة جداول قاعدة البيانات (jos_)، ويتم عمل ذلك خلال التثبيت ، أما الذين يستخدمون مواقع قائمة بالفعل فأنصح بالرجوع لموضوع أخى شريف على الرابط التالى : http://forum.joomla.org/viewtopic.php?p ... 9#p1613109

3- عدم تفعيل ال FTP أثناء التثبيت

4- قم بتغيير إسم الدخول لمجلد الأدمن ، والافتراضي هو admin

5- الاعتماد على كلمة سر صعبة الحفظ ، مثال: E@^M!$<9@k

6- قم بتفعيل الروابط الصديقة SEF من إعدادات جملة، لأنها تصعب على المخترق اكتشاف الرابط ومعرفة النظام المستخدم شيئا ما، لأن رابط برنامج جملة معروف index.php?option=com_componentname

7- الترقية المستمرة لآخر إصدار جملة، وهنا ينصح بالاشتراك فى خدمة التغذية الإخبارية لأخر إصدارات جملة ومتطلبات الحماية على الرابط التالى http://feeds.joomla.org/JoomlaSecurityNews
كما أننى أنصح فى هذا الصدد بقراءة هذا الموضوع الرائع لأخى شريف : http://forum.joomla.org/viewtopic.php?f=551&t=344674

8- عدم تثبيت أية إضافة إلا بشرطين : أولهما ألا تكون ضمن قائمة الإضافات المحظورة والغير آمنة ويمكنك معرفة ذلك من خلال الرابط التالى على موقع جملة الرسمي: http://docs.joomla.org/Vulnerable_Extensions_List
وثانيهما : طبعا أن تكون بحاجة ماسة لها
كما أوصي بقراءة هذا الموضوع لأخى شريف أيضا http://forum.joomla.org/viewtopic.php?f=313&t=134308

9- تأكد من تصريحات الملفات الموجودة على موقعك كاملة
PHP files: 644
Config files: 644 or 444
Other folders: 755
الملفات 644 ، المجلدات : 755


10- قم بأخذ نسخة احتياطية باستمرار وبشكل دورى، كما أنى أوصي بخدمة هامة جربتها فى سيرفر أعرفه وهو يوقم بعمل سيرفر دورى أسبوعى مقابل دفع مبلغ من المال، وهو يتولى تثبيتها وتركيبها إن حدث شئ لا قدر الله

وأضيف إليها أشياء قليلة ذكرها إخوانى قبلى ولكن للتذكير فقط وتكميل الفائدة:
إستخدام الملحق البرمجى JSecure authentication لحماية ملف الأدمين.
والملحق موجود على الرابط التالى:
http://extensions.joomla.org/extensions ... rity/12254
يمكنك أيضا وضع كلمة سر لمجلد الأدمين من لوحة تحكم السي بانل cpanel من خلال تحديد مجلد الادارة ثم عمل Password Protect واختيار اسم وكلمة مرور لتوفير قدر إضافى من الحماية للمجلد، يعنى بهذه الطرق مجتمعة يصبح مجلد الأدمين محمى من خلال التصريحات، ومن خلال الملحق البرمجى Jsecure ومن خلال كملة المرور التى وضعناها للدخول للمجلد أصلا من السي بانل.
ولشرح عمل الملحق للأخ الذي سال عن الشرح من هنا : http://forum.joomla.org/viewtopic.php?f=551&t=369214

إن كنت تريد مزيد من الحماية للمجلد فتابع معي:
يمكنك أيضا الاعتماد على ال 3rd part Extension مثل ال GuardXT أو ال RSFirewall من إضافات جملة، وأوصي بقراءة هذا الموضوع للأخ شريف حول إضافة GuardXT
http://forum.joomla.org/viewtopic.php?f=551&t=376523
أما عن رابط ال RsFirewall :
http://extensions.joomla.org/extensions ... urity/8968

إن كنت تريد مزيد من طرق الحماية فواصل القراءة:

هناك طريقة اكتشفتها مؤخرا وهى من أبسط ما يكون ومجدية، عبارة عن 3 كلمات فقط ولكنها فى الحقيقة غير مجدية فى بعض الحالات:
قم برفع ملف .htaccess فى داخل مجلد الأدمين، ثم اكتب فى أوله هذا السطر لمنع دخول المجلد مطلقا حتى أنت لن تستطيع دخوله:

Code: Select all

deny from all

أضف الكود التالى إن كنت تريد منع اى مستخدم من الدخول ماعدا أنت فقط:

Code: Select all

deny from all
allow from 12.34.56.78

طبعا قم بتغيير الآيبي الموجود أعلاه، إلى الآيبي الخاص بك.
للتعرف على الآيبي الخاص بك فهى طريقة من أبسط ما يكون هذا الموقع يكفيك هذه النقطة http://www.knowmyip.com/

أما عن عدم جدوى هذه الطريقة فناتج من: أولا أن الآيبي يتغير كل فترة، ثانيا قد تحتاج لفتح الإدارة من جهاز آخر فلا يمكنك إلا عند الدخول لملف ال .htaccess وتعديل الآيبي الخاص بك كما أنه يمكنك أن تضيف أكثر من سطر أى أكثر من آيبي.
مثال ذلك:

Code: Select all

allow from 12.34.56.178
allow from 12.34.45.12
allow from 12.34.264.124

أرجو من الله أن أكون وفقت فى تغطية وتكملة الموضوع، وأن ينتفع الجميع، لذا أرجو من الأخوة المشرفين إن وجدوا فى الموضوع نوعا من التغطية الشاملة أن يقوموا بثبيت الموضوع ليكون مرجعا وإجابة لكل الأسئلة التى تدور فى خاطر كل مستخدمى جملة، وتبصير المستخدمين الجدد.
تقبلوا تحياتى ونسألكم الدعاء

[sherif]

- تأكد من تصريحات الملفات الموجودة على موقعك كاملة
PHP files: 644
Config files: 666
Other folders: 755
الملفات 644 ، المجلدات : 755 ، ملف الكونفيج: 666
(وهنا لى استفسار: هل من الأفضل لملف الكونفيج إعطاؤه التصريح 777 أو 666 كما يقول الشارح أعلاه) لأننى أرجح 777 فما رأي الأخوة المحترمين فى هذا الأمر؟

ملف الكونفيج لابد من اعطائه تصريح قوي نسبيا وهذا قد يكون 644 مثل أي ملف معتاد
أو 444 وهذا هو التصريح الافتراضي الذي يستخدمه نظام جملا عندما تقوم بحفظ أي تغيير في الاعدادات العامة

أما 666 أو 777 فهذه ليست تصريحات ، بل دعوة مفتوحة للمخترقين

أرجو الكلام يكون واضح ولا مجال للخطأ في هذا الموضوع
تحياتي

[meto]

أحيك أخى وأتمى لك التوفيق
تقبل تحياتى، لقد قمت بالفعل بالتعديل على المشاركة حتى لا يحدث خطأ عند أحد
لذا أرجو منكم أخى تثبيت الموضوع إن أمكن حتى تعم الفائدة لما للموضوع من اهمية قصوى
أشكرك جزيل الشكر ياغواص جملة

[sherif]

حاضر جاري التثبيت



انت تأمر يا عم متولي

[dramasyria]

يرجى شرح تطبيق jsecure
لانني جربته سابقاً وحدثت مشكلة كبيرة بالوصول للوحة التحكم
وتعذبت حتى استطعت استرجاع الامر الى ماكان عليه

[suneye]

الأمر بسيط ياصديقي
اقرأ الشرح وطبق ماجاء فيه
وانتبه فالخطأ أحيانا يكون هنا:
http://forum.joomla.org/viewtopic.php?f=551&t=501603

بالتوفيق

[stiwa10]

السلام عليكم
مضت مدة طويلة لم ادخل هدا المنتدى
والان دخلت تفاجأت بان موضوعي لازال هنا في الصفحة الاولى
هههههههههههه
مفاجأة جميلة بالنسبة لي

[karwan]

السلام علیکم



لدیة موقع جملة قمت بتغیر
jos_
في لوحة التحکم الادارة و اختفی الموقع ماالحل؟؟
مثال في الصورة
http://img8.imageshack.us/img8/2416/17195954.jpg

مع الشکر

[sherif]

السلام علیکم



لدیة موقع جملة قمت بتغیر
jos_
في لوحة التحکم الادارة و اختفی الموقع ماالحل؟؟
مثال في الصورة
http://img8.imageshack.us/img8/2416/17195954.jpg

مع الشکر

مرحبا بك
سبق أن أشرت هنا الى رابط الشرح التفصيلي للطريقة
أرجو قراءته جيدا والالتزام به

لتغيير البادئة أو
prefix
في قاعدة البيانات للمواقع العاملة بالفعل
اليكم رابط شرح الطريقة
http://forum.joomla.org/viewtopic.php?p ... 9#p1613109
تحياتي للجميع

[meto]

بالإمكان استرجاع الوضع الافتراضي لتصاريح مجلدات وملفات جملة حيث الافتراضي للمجلدات 755 والملفات 644 ويمكنك كزيادة فى الحماية والأمان أن تقوم بإعطاء ملفى configuration.php و htaccess تصريح 444

ولعمل هذا الأمر بمجرد ضغطة زر واحدة: قم برفع الملف المرفق (fixpermissions.php ) (بعد فك ضغطه) على جذر الموقع الخاص بك وبعد ذلك قم باستدعاء هذا الملف من المتصفح (http://www.yoursite.com/fixpermissions.php) وبعدها سيعود الوضع على ماكان عليه ، أو سيتم إصلاح خلل التصاريح إن وجد، حيث سيتم عمل التصاريح تلقائيا للمجلدات 755 وللملفات 644 وإرجاعها لوضعها الأول الذي يجب أن تكون عليه

fixpermissions.zip

[sherif]

بالإمكان استرجاع الوضع الافتراضي لتصاريح مجلدات وملفات جملة حيث الافتراضي للمجلدات 755 والملفات 644 ويمكنك كزيادة فى الحماية والأمان أن تقوم بإعطاء ملفى configuration.php و htaccess تصريح 444

مشكور يا صديقي على المعلومة المفيدة
واسمح لي أن أضيف أن كمبوننت الحماية guardXT توجد فيه هذه الخاصية أيضا لمن يرغب
http://forum.joomla.org/viewtopic.php?f=551&t=376523

الكشف عن تصريحات جميع الملفات والفولدرات واخطارك بالخاطئ منها و القدرة على تصليحها جميعا بضغطة زر

[bentjo]

بالإمكان استرجاع الوضع الافتراضي لتصاريح مجلدات وملفات جملة حيث الافتراضي للمجلدات 755 والملفات 644 ويمكنك كزيادة فى الحماية والأمان أن تقوم بإعطاء ملفى configuration.php و htaccess تصريح 444

مشكور يا صديقي على المعلومة المفيدة
واسمح لي أن أضيف أن كمبوننت الحماية guardXT توجد فيه هذه الخاصية أيضا لمن يرغب
http://forum.joomla.org/viewtopic.php?f=551&t=376523

الكشف عن تصريحات جميع الملفات والفولدرات واخطارك بالخاطئ منها و القدرة على تصليحها جميعا بضغطة زر

انا استفدت منك كثير مشكور

[eyad72]

السلام عليكم
مسألة الحماية مهمة جدا وسنحاول التطرق في هدا الموضوع الى أهم طرق حماية موقعك بجلة جملة
أولا وقبل كل شيء اليك هدا الموضوع البسيط الدي يعلمك أساسيات الحماية لمجلة جملة وكنت أعددته سابقا


أو خطوة تبتدئ أتناء التنصيب وهي تقوم بتغيير اسم الجداول ادا صح التعبير وهو prefix الدي يكون في الحالة الافتراضية jos_ وننصح بشدة بتغيره إلى أي اسم أتناء التنصيب .
http://img8.imageshack.us/img8/2416/17195954.jpg



السبب الذي من أجله أنص بتغييره سيفهمه ببساطة من له دراية بسيطة في عالم الحماية , تصور مثلا أنك قمت بتنصيب إضافة وكانت هده الإضافة مصابة بثغرة حقن القواعد مثلا فلاستثمار هده الثغرة من أجل اختراق موقعك يقوم المخترق بوضع كود الاستغلال من أجل حقن قواعد بياناتك واستخراج اسم وكلمة سرك المشفرة , هدا الكود يتضمن اسم الجداول أو ال prefix الذي يقوم المخترق بوضع الاسم الافتراضي و هو jos_ .

فادا كنت قد غيرته فلن يتمكن من استثمار الثغرة حتى ولو كان الإضافة مصابة ومنصبة على مجلتك لأنه وببساطة يجهل اسم الجداول ولن يستطيع الحصول عليه . أتمنى أن تكون الفكرة واضحة ؟؟؟

بعد أن تقوم بتنصيب مجلتك وحدف ملف التتبيث قم بتغيير اسم الدخول الافتراضي من admin إلى اسم أخر واعتمد على كلمة سر مكونة من حروف وأرقام .

تفعيل نظام إعادة كتابة الروابط المدمج مع مجلة جملة يحمي حتما موقعك من بعض الثغرات التي يكون استغلالها عبر المتصفح .

قم بحماية مجلد administrator بواسطة جدار ناري عن طريق لوحة تحكم موقعك سي بانل .

عندما تستعمل إضافة أو برنامج لعمل نسخة من قاعدة بياناتك تأكد من مسح هده النسخ من موقعك ليس فقط حماية من المتلصصين لكن أيضا محركات البحت تقوم بأرشفة الملفات ذات الامتداد .sql .gzip .zip لهدا قم بحذفها فورا بعد أن تحملها على جهازك بالطبع .

قم بعمل نسخ دورية لموقعك سواء يومية أو أو أسبوعية أو شهرية حسب حجم وأهمية موقعك وتفرغك ولا تعتمد بشكل كلي على مستضيفك .

هده نصائح بسيطة جدا ولا تكلفك وقتا كبيرا ولا معرفة كبيرة لكنها ستحمي موقعك بنسبة كبيرة جدا دون أن تستعمل إضافات ودمتم بود .

الموضوع الأصلي من هنا
http://marocpolis.com/cours-joomla/59-2 ... 29-11.html