السلام عليكم متابعين قناة ومدونة Shadow Hacker، اليوم رجعتلكم بمقال مهم جداً لكل صاحب موقع أو مدوّنة أو حتى تطبيق ويب بسيط كثير ناس تسألني: "كيف أختبر أمان موقعي بنفسي؟ هل لازم أكون هاكر محترف؟ وهل في أدوات مجانية تساعدني؟" والجواب ببساطة تقدر تعمل اختبار اختراق بنفسك حتى لو ما عندك خلفية تقنية قوية، طالما إنك تمشي على الخطوات وتفهم شو تعمل بالضبط في هذا المقال رح أشرحلك كل شي بالتفصيل، خطوة بخطوة، عن كيف تختبر أمان موقعك بنفسك، وبدون ما تحتاج تدفع لأي شركة خارجية، وباستخدام أدوات مجانية وأوامر بسيطة، رح تحلل موقعك، وتكتشف الثغرات، وتحمي بياناتك من التسريب أو السرقة. كل الشرح رح يكون بطريقة بسيطة، مثل أسلوبي دايمًا، ومش أكاديمية أو مملة.
 |
| Penetration Testing |
كيفية اختبار اختراق موقعك بنفسك Test Website Security
أغلب أصحاب المواقع يشتغلوا شهور طويلة على موقعهم، تصميم وبرمجة ومحتوى، بس ينسوا أهم نقطة: أمان الموقع. الموقع غير الآمن مثل بيت بدون باب، ممكن أي شخص يدخل عليه وياخذ كل شي ما في أسوأ من إنك تصحى تلاقي موقعك تم اختراقه، أو صفحاتك تم تغييرها، أو بيانات العملاء تسربت. علشان هيك، لازم كل صاحب موقع يتعلم كيف يعمل فحص أمان بسيط بنفسه.
مفهوم اختبار الاختراق (Penetration Testing) هو ببساطة إنك تتصرف وكأنك هاكر، وتحاول تهاجم موقعك بطرق مختلفة، حتى تكتشف الثغرات قبل ما يكتشفها غيرك. طبعًا مش ضروري تكون خبير شبكات أو برمجيات علشان تبدأ في أدوات كثيرة حالياً تسهّل عليك العملية، تعطيك تقارير، وتوضحلك المشاكل. ومو شرط كمان يكون عندك سيرفر خاص أو صلاحيات متقدمة، حتى المواقع المبنية على WordPress أو Blogger أو Shopify ممكن تختبرها.
الشي الأهم في اختبار الاختراق هو إنك تتعلم كيف تفكر زي الهاكر، كيف تبحث عن نقاط الضعف، وكيف تفهم النتيجة وتحمي نفسك. واللي حلو بالموضوع إنك تقدر تتعلم وتشتغل بنفسك، بدون ما تنتظر شخص ثاني يشرحلك أو يدير عنك الموقع أنا كتبت هالمقال عشان أشرحلك، خطوة بخطوة، كيف تبدأ باختبار اختراق موقعك بنفسك وبأسلوب بسيط وسلس.
كيف يتم عمل أختبار أختراق للمواقع Test Website Security
 |
| Test Website Security |
قبل ما ندخل بالأدوات والأوامر، لازم نوضح نقطة مهمة: كل عملية اختبار لازم تكون على موقعك أنت فقط، مش مواقع الآخرين. إذا اختبرت موقع مش ملكك بدون إذن، تعتبر عملية غير شرعية، وممكن تسببلك مشاكل قانونية. لكن لما تشتغل على موقعك، فأنت عندك الإذن الكامل، وتقدر تجرب براحتك، وهذا هو الهدف من المقال.
الاختبار ينقسم إلى عدّة أنواع: اختبار الواجهة (Front-end)، اختبار الخوادم (Back-end)، واختبار البنية التحتية. في هذا المقال، رح نركّز على اختبار الواجهة والخوادم، لأنها الأكثر استهدافًا من الهكر. رح نستخدم أدوات مثل Nmap، Nikto، Dirb، وبعض الخدمات السحابية مثل Detectify وUpGuard. رح نوضح كل أداة، كيف تستخدمها، وشو النتيجة اللي تطلعلك، وكيف تفسرها. بنهاية المقال، رح تكون عندك خريطة كاملة لأمان موقعك، وتقدر تعرف إذا كان يحتاج تقوية أو لا.
أداة Nmap لفحص البورتات المفتوحة
 |
| Nmap |
أول أداة لازم تبدأ فيها هي Nmap لأنها تعطيك فكرة شاملة عن البورتات المفتوحة على سيرفر موقعك، يعني ببساطة كل منفذ مفتوح ممكن يستغله هاكر للدخول للموقع. أداة Nmap قوية وسريعة، وتقدر من خلالها تعرف إذا السيرفر فيه خدمات غير محمية، أو بورتات المفروض تكون مغلقة لكنها مفتوحة بالغلط. بعض السيرفرات بيكون فيها بورتات لتطبيقات ما تستخدمها أصلاً، ومع الوقت تنساها، وهذه تشكّل ثغرة بدون ما تحس.
تقدر تشغّل Nmap على نظام كالي لينكس أو من أي توزيعة لينكس أو حتى من خلال Termux أو iSH Shell على الآيفون. الأمر الأساسي اللي رح تستخدمه هو: nmap yoursite.com -Pn هذا الأمر يفحص البورتات المفتوحة بدون ما ينتظر رد من جدار الحماية، ويعطيك لائحة بكل الخدمات اللي شغالة. بعد ما يخلص الفحص، اقرأ النتيجة كويس، وراجع كل بورت، وإذا شفت بورت مش مفهوم أو خدمة ما تعرفها، لازم تعطلها أو تحميها. رابط تحميل الأداة Nmap.
استخدام Nikto لكشف الثغرات في السيرفر
 |
| Nikto |
Nikto هي أداة تحليل قوية تقدر تفحص موقعك وتطلعلك ثغرات السيرفر الأساسية، زي XSS أو مشاكل إعدادات Apache أو ملفات حساسة مكشوفة. الأداة مجانية وتشتغل من التيرمنال، يعني حتى لو مبتدئ، تقدر تستخدمها بكل سهولة. ببساطة، تكتب الأمر التالي: nikto -h http://yoursite.com وتنتظر، رح يعطيك تقرير طويل فيه كل المشاكل اللي اكتشفها.
التقرير ممكن يكون مخيف شوي لو أول مرة تشوفه، بس لا تقلق، ركّز على المشاكل اللي مكتوب جنبها "High" أو "Critical" لأنها الأكثر خطورة. من خلال هذا التقرير، رح تعرف إذا عندك ملفات إدارية مكشوفة مثل phpinfo.php أو لوحات تحكم مش محمية. كمان بيوضحلك إذا موقعك بيستخدم نسخ قديمة من السيرفر أو PHP، وهذا مهم تعالجه بسرعة. رابط الأداة Nikto.
Dirb لاكتشاف الصفحات والملفات الخفية
 |
| Dirb |
Dirb هي أداة مهمتها تدور داخل موقعك وتشوف إذا فيه صفحات أو مجلدات مخفية ما تظهر للزائر العادي، لكنها مكشوفة على الإنترنت. هاكر كثيرين يستخدموا Dirb علشان يلاقوا ملفات حساسة زي admin.old أو backup.zip أو حتى ملفات الإعدادات. الأداة تشتغل بسهولة، تكتب الأمر التالي: dirb http://yoursite.com ورح تبدأ تدور في صفحات كثيرة وتحاول تكتشف اللي مش ظاهر بشكل مباشر.
النتائج ممكن تشمل صفحات تسجيل دخول إدارية، نسخ قديمة من صفحات الموقع، أو ملفات config. وإذا لقيت هيك ملفات، لازم يا تحذفها، يا تنقلها لمكان آمن، أو تحميها بكلمة سر قوية. Dirb كمان تقدر تخصّص البحث فيها باستخدام قوائم كلمات (wordlists) علشان توسع دائرة البحث وتكشف أكثر. رابط الأداة Dirb.
أداة Detectify للفحص المواقع والسيرفرات
 |
| Detectify |
Detectify هي خدمة فحص سحابية متقدمة، ما تحتاج تثبّت أي شي، فقط تسجل حساب وتربط موقعك، وهي بتقوم بفحص شامل من جميع النواحي. رابط الأداة Detectify بتفحص لك كل شيء من SSL، إلى XSS، إلى أخطاء الـ HTML، وتعطيك تقرير مفصل في نهاية الفحص.
كيف تفسر نتائج الفحص وتتخذ الإجراءات
ابدأ أولًا بالثغرات المصنّفة "High" أو "Critical"، لأنها الأخطر وغالبًا بتكون بوابة للاختراق. سجّل كل ثغرة بصيغة واضحة، مع رابط التقرير وموعد الاكتشاف، علشان تتابعها بعدين. حاول دومًا تطبّق مبدأ "الوقاية خير من العلاج"، حتى لو ما في خطر مباشر، تحسين الأمان مفيد على المدى البعيد.
احرص إنك تحدث كل سكربت أو إضافة تستخدمها، وخصوصًا لو ظهر فيها CVE جديد. تأكد من صلاحيات الملفات والفولدرات، وما تخلي أي ملف حساس بدون حماية افحص دومًا نسخ قواعد البيانات، وخزنها في أماكن آمنة مش مكشوفة على السيرفر. تابع اللوجات (logs) باستمرار، ولو شفت أي دخول مشبوه، حلله وشوف مصدره.
هل فحص موقعك من الثغرات كافي لحماية موقعك؟
فحص الأمان خطوة أولى ممتازة، لكنه مو كافي لوحده. لازم تتابع باستمرار، تفحص شهريًا، تحدث السكربتات، وتراقب الدخول للموقع. حاول تركّب Firewall بسيط، وتفعل 2FA (المصادقة الثنائية) على لوحة التحكم. إذا عندك فريق، درّبهم على أساليب الأمان، لأنه كثير اختراقات تبدأ بخطأ بشري بسيط.
وخليك دائمًا متابع لأخبار الثغرات، خصوصًا في السكربتات اللي تستخدمها. جرب أدوات جديدة كل فترة، وقيّم أداء موقعك من ناحية الأمان. ولو كنت تستخدم CMS زي WordPress، فعل إضافات الحماية مثل Wordfence. وبهيك، بتكون سويت أفضل استثمار ممكن لحماية موقعك، بجهد بسيط ونتيجة قوية.