لقد قمنا ببعض التغييرات هنا !

اسمح لنا أن نعرفك على موقع نقرة بحلته الجديدة ! اختر القسم من القائمة لنوضح لك ما الذي حدث !

تنمية المحتوى العربي

الآن , أصبح تركيزنا الأكبر في نقرة على صناعة المحتوى وتعميمه , نعمل بشكل يومي لتوفير مقالات ذات جودة عالية من مصادر موثوقة لتحسين واقع الانترنت العربي, نحن في مهمة - كما الجميع - لتنمية التواجد العربي على الانترنت

لماذا ؟

قمنا ببحث بسيط , و وجدنا نتائج مخيفة ! يتحدث اللغة العربية ما يقارب 310 مليون شخص في حين أن المحتوى العربي لا يزيد عن 0.7% من محتوى الانترنت العام , و نصف هذا المحتوى محتوى غير هادف و أدنى من الجودة الحقيقية للمجتمع العربي , لذا كان لابد لأحدنا أن يتقدم في مسيرة لتحسين واقع الانترنت العربي .

خدمة سؤال و جواب

ملتزمون بدعمنا لجميع خدماتنا السابقة , لا تزال خدمة سؤال و جواب فعالة كما كانت من قبل , الفرق الوحيد هو انتقالها الى رابط فرعي على الموقع

لا تزال هذه الخدمة محل اهتمامنا كما هي محل اهتمام الكثير من مستخدمي الموقع , يمكنكم زيارة موقع خدمة سؤال و جواب من هنا , كل شيئ سيعمل كما كان في الماضي

qa.naqrah.net

ماذا عن حسابي ؟

كل شيئ تماماً كما تركته ! لا يوجد أي تغييرات في حسابات المستخدمين نهائياً

يمكنك تسجيل الدخول , تسجيل الخروج , تعديل بيانات الحساب , الاشتراك بالقائمة البريدية تماماً كما كنت تفعل سابقاً

حسابك الشخصي

تحديث السياسات

في حال كنت غائباً عن موقع نقرة لفترة طويلة , فنأمل منك اعطائنا بضع دقائق من وقتك لمراجعة سياسة الخصوصية و شروط الاستخدام للتأكد من أي تحديثات قد لم تقرأها قبلاً

سياسة الخصوصية و شروط الاستخدام

الخطوات التالية

الآن , بعد أن تعرفت على التحديثات الحاصلة في الموقع , سننتقل للخطوة التالية

نستطيع توفير مقالات مخصصة لك و تتمحور حول اهتماماتك , نحتاج منك أن تعرفنا باهتماماتك! سنفعل ذلك في الصفحة التالية ...

اختيار الاهتمامات
  • تنمية المحتوى العربي
  • خدمة سؤال و جواب
  • ماذا عن حسابي ؟
  • تحديث السياسات
  • الخطوة التالية

أهم أساليب الحماية من الاختراق لا بد لكل مالك موقع أن يعرفها

أهم أساليب الحماية من الاختراق لا بد لكل مالك موقع أن يعرفها

في عالم البرمجة والتقنيات , أصبح أمر الاختراق شائعا جداً لدرجة مرعبة , ويعد اختراق المواقع الإلكترونية من أكثر أنواع الاختراق شيوعاً مما يضعنا نحن أصحاب المواقع في حالة من التوتر والقلق والاحساس بحالة حرب دائمة مع عدو لا نعرفه فعلاً لكن نعرف تماماً أنه موجود في مكان ما ينتظر الفرصة المناسبة للهجوم , ان الأمر فعلاً ليس جميلاً ولا يمكن النظر اليه بنظرات التراجع أو الخوف , بل يجب النظر اليه بنظرات التحدي و الرغبة في البقاء ,  نحن كمبرمجين مواقع أو قادة فرق التطوير يقع على عاتقنا مهمة صعبة جداً وهي الحفاظ على نتاج - ربما سنوات من العمل - من الضياع لمجرد هفوة بسيطة لم نكن نتوقع انها ستكتب نهاية وجودنا على شبكة الانترنت.

القاعدة الأساسية لحماية موقعك أن تملك تفكير أمني _ أحمد صبحان ,  يختصر أحمد في جملته هذه الكثير من الكلام , وما يقصد بتفكير أمني هو ان تفكر بنفس الطريقة التي يفكر بها المخترق , فالمخترق أو ما يسمى بالهاكر لن يخترق موقعك بطرق أخلاقية لكن سيبحث عن نقطة الضعف التي تركتها انت , ربما تركت ملاحظة بجانبها على أن تقوم بحلها الأسبوع القادم ويستغلها لاختراق موقعك , ويمكنني توقع تعبيرات وجهك عند دخولك الى الموقع لتجد أنه لا يعمل لسبب مجهول , صدقني عزيزي لقد جربت هذا الشعور وهو ليس بشعور لطيف أبداً.

 

اذاً كيف نحمي أنفسنا من الاختراق ؟ اليك هذه القواعد الهامة وبالأصح هذه الأساسات الهامة التي عليك من الآن فصاعداً بناء مواقعك عليها...

 

فكر كما يفكر المخترق , ليس كما يفكر المبرمج

كما سبق , عليك أن تملك تفكير أمني لحماية نفسك , وبما أن المخترق بفكر بطريقة اختراق الموقع فربما أول فكرة تأتي الى باله هي المدخلات

يعتبر خطر المدخلات من أسهل الطرق للمخترق للدخول الى موقعك واسقاطه دون أن تشعر , لكن لحسن الحظ فهذه الثغرة ان صحت تسميتها هي أسهل الثغرات لحمايتها

نستعرض في الكود التالي مثال لحماية صالحة وحماية غير صالحة ...

$username = $_POST['username']; //Bad Way Of Getting a Code


$username = clean($_POST['username']); //Good Way , Do it From Now On

 

كما نلاحظ في الكود السابق , ليس هناك فرق كبير في الكود سوا دالة Clean التي تعمل حرفياً على تنظيف المدخلات من الأكواد الضارة , وطبعاً دالة clean ليست دالة أساسية في لغة php بل هي دالة تم انشائها يدوياً وأرى في ذلك الكثير من النقاط الايجابية ! حيث يمكنك فلترة المدخلات حسب احتياجاتك 

 

 

عرض البيانات , ليس أقل أهمية من ادخالها !

هل سبق ودخلت الى موقع وتفاجئت من التصميم الغير متناسق فيه ؟ بعض النصوص بأحجام أكبر حتى من حجم الموقع  نفسه ! الموقع بطيئ جداً بشكل غريب ؟ هل يبدو أياً من هذا طبيعياً ؟ بالتأكيد لا , لكن هناك خطأ كارثي في الحماية حصل هنا , وتشترك في هذه المشكلة فلترة المدخلات كما تشترك فيها عرض البيانات .

في هذه الحالة قد يكون استخدام دالة htmlspecialchars هو الحل الأمثل .

 

اذا كانت لغة جافاسكريبت قادرة على فلترة البيانات , فلم استخدام غيرها ؟

نعم , صدق أو لا تصدق لقد سمعت هذه الجملة من المتعصبين للغة جافاسكريبت  , طبعاً لا يمكننا انكار قوة هذه اللغة أو حبنا لها , لكن هل فعلاً الاعتماد على فلترة جافاسكريبت للحماية من الاختراق يكفينا ؟ لا أعتقد ذلك ولسبب بسيط جداً , في جميع متصفحات الويب الحديثة يوجد خيار سهل جداً لالغاء تفعيل جافاسكريبت , أما المتصفحات القديمة فهي لا تدعم جافاسكريبت من الأساس :) وفي حال تم ايقاف تفعيل جافاسكريبت في المتصفح , يمكنك القول ان موقعك سيحصل على تذكرة طيران مجانية الى آخر نتيجة في محركات البحث , وسيحصل أيضاً على تأشيرة دخول دائمة الى منطقة انعدام ثقة المستخدمين , ليس رائعاً.

 

رفع الملفات , الثغرة الأشهر و الحل أكثر تعقيداً

هل يحتوي موقعك على نظام أعضاء ؟ نظام تدوين ربما ؟ اي نظام ادارة محتوى ؟ لا ؟ اذا لم أنت هنا من الاساس ان كان موقعك ليس ديناميكي ؟ اما ان كانت اجابتك نعم , فاليك المشكلة ...

رفع الملفات هو أسهل طريقة لاختراق الموقع وعلى الرغم أن حل هذه المشكلة سهل نوعاً ما الا أنه أكثر تعقيداً من فلترة المدخلات مثلاً , حصل سابقاً عمليات اختراق خطيرة عبر هذه الثغرة وقد تحدثنا عن هذه المشكلة في مقال سابق بعنوان 5 ثغرات خطيرة عليك التأكد من حمايتها في موقعك , فلا يكفيك فقط التأكد من لاحقة الملف أو حجم الملف , لا يكفي أبداًُ استخدام الدوال الأساسية للحماية من هذه الثغرة , بل عليك هنا استخدام مخيلتك الأمنية لابتكار اساليب حماية جديدة للتأكد من نوع الملف وحجمه وتحديد اسم مناسب له وارساله الى المسار الصحيح على موقعك , وتأكد أن لا يتم عرض هذا المسار للعامة لانك عندما تفعل ذلك , لن تجد نتائج جميلة لهذا التصرف أبداً.

نصف حماية الموقع تأتي منك , والنصف الآخر من السيرفر المستضيف 

قد يبدو تشبيهاً غريباً , لكن اختيارك للشركة المناسبة لاستضافة موقعك هو تماماً كاختيارك للسيدة/السيد الذي ستكمل/ي حياتك معه , انه حقاً قرار مصيري في حياة موقعك , هل تعتقد أني ابالغ ؟ 

لقد ثبت فعلاً ان حماية السيرفر هو شيئ لا يقل أهمية عن حماية الموقع نفسه , يعمل السيرفر كمنزل لموقعك , فعند حدوث ضعف في المنزل سيؤثر ذلك بشكل مباشر على موقعك الذي يسكن عملياً في هذا المنزل.

حدث كل الاضافات في موقعك , احذر التغاضي عن ذلك !

لنأخذ ووردبريس عل سبيل المثال هنا , هي بالفعل من الخدمات القوية والمستقرة جداً والتي تحتوي بطبيعة الحال على اضافات متعددة الخدمات منها للحماية ومنها لتحسين محركات البحث او حتى لاضافة خدمات معينة الى موقعك , يبدو جيداً حتى الآن , لكن أحذرك عزيزي القارئ من التهاون في تحديث أي اضافة أو قالب أو غيره , لا تدع الثقة الزائدة في ووردبريس تتملك منك , فحتى مبرمجو ووردبريس أنفسهم كتبو 

نحن على اتفاق تام ان ووردبريس لا يُوفر لك الأمان الكامل لموقعك ، وفي ذات الوقت ووردبريس يمنحك درجات الأمان الأساسية للحماية من الاختراق ، وباقي تفاصيل الأمان تكون من طرفك انت ، لذا احرص دوماً على استخدام قالب آمن ، احذر من القوالب المدفوعة المنتشرة مجانا على الانترنت ، احرص دوماً على استخدام اضافات موثوق بها ، مع ضمان تحديثها باستمرار .

المصدر : https://bit.ly/2Fe05hh

 

مزيد من التعلم == مزيد من الحماية

نقر بأن الدورات العربية لا تغطي محتويات الحماية بشكل كافي , نعم ولذلك ولعد عملية بحث طويلة استطعنا الوصول الى هذه الدورة , دورة في حماية سكريبتات php 

 

هذه الدورة مقدمة من مدرسة الزيرو لتعليم تقنيات الويب , وتعتبر بداية جيدة لمن يريد البدء في تعلم أساسيات الحماية .

أما هذه الدورة فيمكن اعتبارها دورة متقدمة ومميزة , للأسف فهي متوفرة فقط باللغة الانكليزية لكن يمكنك من خلالها الحصول على كم هائل من المعلومات القيمة التي تستحق وقتك 

https://www.youtube.com/watch?v=29XdrC6wtUg&list=PL7K_NRckWQJY_OzUMfL7QTwo-6PS9UpAs

 

في النهاية ...

تعتمد حماية الموقع عليك أنت في البداية و النهاية , لا يوجد اي طريق حول ذلك , نأكد لك أن الأمر ليس بتلك الصعوبة لكن أيضاً ليست بتلك السهولة , ان كنت مالك موقع فعلياً فأنصحك بالتوجه فوراً الى موقعك والتأكد من موقعك ومستوى الحماية فيه وانت كنت مقبل على انشاء موقع فأيضاً أحثك على مراجعة موقعك تماماً قبل اطلاقه , المفارقة العجيبة هي ان أي شخص يدخل موقعك للمرة الأولى خاصة ان كان مبرمج , فأول ما يخطر بباله هو تطبيق ما تعلمه في دورات الاختراق - كما يسميها اصحابها - على موقعك , تأكد أنك مستعد لهذا التحدي...

كما يجب التنويه على أن ما سبق ذكره ربما هو نقطة بسيطة في محيط الحماية , لم نتطرق الى أنواع الهجمات المخصصة ولم نتحدث عن حقن SQL او البرمجة عبر المواقع XSS