نکاتی برای افزایش امنیت وب سایت شما

منتشرشده در مقالات هک و امنیت
چهارشنبه, 18 بهمن 1396 ساعت 09:09

 

نرم افزارهای مورد استفاده خود را به روز نگهدارید.
شاید ظاهر این امر ساده باشد اما بسیار کاربردی است، این بروزرسانی هم باید شامل سیستم عامل سرور شما و برنامه های موجود بر روی آن باشد و هم برای سیستم هایی که شما برای راه اندازی سایتتان از آنها استفاده می کنید(نظیر CMS ها و فروم ها). زمانی که یک رخنه امنیتی در یک نرم افزار کشف می شود هکرها فوراً از آن برای نفوذ به سیستم های آسیب پذیر استفاده می کنند. پس سعی کنید همیشه از نرم افزارهای بروز استفاده کنید.

در صورتی که از هاست اشتراکی استفاده می کنید مسئولیت بروزرسانی سیستم عامل و نرم افزارهای سیستمی آن به عهده شرکت ارائه دهنده این سرویس می باشد، لذا همواره در انتخاب سرویس دهنده مناسب برای سایتتان دقت نمایید.

 

پیام های خطا
مراقب باشید که در پیام های خطای خود چه مقدار اطلاعات به کاربر می دهید، مثلا در صفحه لاگین در صورتی که اطلاعات ورود اشتباه وارد شوند صرفاً از پیام " نام کاربری یا رمز عبور اشتباه است" استفاده کنید و مشخص نکنید که دقیقاً کدام بخش اشتباه بوده همچنین باید در زمان کد نویسی برای خطاهایی که ممکن است اتفاق بیفتد خطای مناسبی در نظر بگیرید و اجازه ندهید که زبان برنامه نویسی یا سرور پیام خطایی صادر کند چون ممکن است این پیام ها باعث درز ناخواسته اطلاعات سیستم شما شود.

 

استفاده از رمز عبور مناسب و ذخیره سازی امن
این مورد را حتماً بارها شنیده اید اما ما برای تأکید باز هم آن را ذکر کرده ایم، حتماً دقت کنید که رمز عبورتان حداقل هست کاراکتر باشد و همچنین ترکیبی از حروف کوچک و بزرگ و اعداد. سعی کنید در زمان برنامه نویسی کاربر را ملزم به رعایت این مسائل نمایید و رمز های عبور کاربران را به صورت کد شده در بانک اطلاعات ذخیره نمایید همچنین توصیه می شود از الگوریتم های یک طرفه برای کد کردن رمز های عبورتان استفاده کنید

 

آپلود فایل
اگر شما نیز در سایت خود به کاربرانتان اجازه آپلود فایل را می دهید توجه داشته باشید که این مسئله یک ریسک بزرگ است، حملات ناشی از آپلود فایل در صورتی که با موفقیت انجام شوند می توانند کل سیستم شما را تحت کنترل در آورند و انواع خرابکاری ها را انجام دهند، در صورت نیاز به استفاده از این مورد لازم است از یک برنامه نویس آشنا به مسائل امنیتی استفاده کنید یا با یک متخصص امنیت در این باره مشورت کنید. ( به زودی مقاله ای در این مورد منتشر خواهیم کرد)

 

استفاده از ماژول های معتبر
در صورتی که شما نیز یکی از کاربران سیستم های مدیریت محتوا نظیر جوملا یا وردپرس هستید توجه داشته باشید که هر نوع افزونه ای را بر روی سیستم خود نصب نکنید، لازم است ابتدا نسبت به معتبر بودن آن افزونه مطمئن شوید. بسیار از افراد با طراحی افزونه برای سیستم های مدیریت محتوا و قرار دادن نقاط آسیب پذیر بر روی آن تلاش می نمایند تا از این طریق اقدام به هک وب سایت های استفاده کننده نمایند.

12 قانون مهم امنیت در وب

منتشرشده در مقالات هک و امنیت
شنبه, 06 آذر 1395 ساعت 20:30

قانون شماره‌ی 1: فریب کلاه‌برداری‌های اینترنتی را نخورید

گاهی اوقات بزرگ‌ترین تهدید امنیت شما، خودتان هستید! آسان‌ترین راه برای به دست آوردن اطلاعات کاربران توسط هکرها، فریب دادن آن‌ها و گرفتن این اطلاعات به صورت مستقیم از خود کاربر است. این کار اغلب توسط ایمیل‌های «فیشینگ» (phishing emails) انجام می‌شود. در این ایمیل‌ها معمولاً وانمود می‌شود که رئیس‌تان، بانکی که در آن حساب دارید، سرویس دهنده‌ی اینترنتی و یا هر شرکت و فردی که به نوعی با آن در ارتباط هستید، از شما اطلاعات حساب‌تان را می‌خواهد؛ به این صورت که با فرستادن لینکی به یک وب‌سایت تقلبی، از شما تقاضا می‌شود که در آن لاگین کنید. اگر فریب این ایمیل‌ها را بخورید، نام کاربری و رمز عبور خود را به راحت‌ترین شکل ممکن در اختیار کلاه‌برداران قرار داده‌اید.
بعضی حملات فیشینگ بسیار ابتدایی هستند و به راحتی می‌توان آن‌ها را تشخیص داد، در حالی که بعضی از آن‌ها بسیار پیچیده‌ هستند و تنها افراد متخصص قادر به تشخیص جعلی بودن آن هستند. اما راه حل بسیار آسانی وجود دارد که در اکثر مواقع جواب می‌دهد: بر روی هیچ لینکی در یک ایمیل کلیک نکنید. اگر ایمیلی از بانک خود دریافت کرده‌اید که به شما می‌گوید باید هرچه زودتر نسبت به تعویض رمز عبور خود اقدام کنید، کافی است اسم بانک مورد نظر را در مرورگرتان جستجو کرده، و یا اگر از قبل آدرس را می‌دانید مستقیماً آن را در مرورگر وارد کنید.
قانون شماره‌ی 2: فایل‌های پیوست ایمیل را باز نکنید

راه دیگری که کلاه‌برداران ممکن است شما را فریب دهند، ارسال فایل‌های پیوست (attachment) آلوده از طریق ایمیل است. این موضوع وقتی خطرناک‌تر می‌شود که فرد کلاه‌بردار اطلاعات مختصری از شما داشته باشد و فایل را تحت عناوینی مانند "صورت حساب خرید اینترنتی"، "اطلاعیه‌ی نمرات ترم" و یا "فیش واریز حقوق" برای شما ارسال کند. اگر فرستنده‌ی ایمیل را نمی‌شناسید به هیچ وجه فایل پیوست را باز نکرده و ایمیل را پاک کنید. در صورتی که ایمیل از طرف یکی از دوستان یا همکاران‌تان برای شما ارسال شده است، این امکان وجود دارد که شخص مورد نظر هم به دام این کلاه‌برداری افتاده و آلوده شده باشد. در چنین مواردی قبل از باز کردن پیوست ایمیل، با شخص مربوطه تماس بگیرید تا مطمئن شوید که خود او ایمیل را برای شما ارسال کرده باشد.
قانون شماره‌ی 3: برای محافظت از فرزندانتان در محیط مجازی اطلاعات سایبری خود را افزایش دهید

با وجود خطراتی مانند ارسال محتوای مبتذل، مزاحمت‌های اینترنتی و کلاه‌برداری‌های سایبری، پدر و مادر بودن در عصر اینترنت کار آسانی نیست. بهترین کاری که می‌توانید انجام دهید، یادگیری در این باره است. سعی کنید با مرور متناوب اخبار فناوری، اطلاعات خود از دنیای تکنولوژی به روز نگه دارید. اگر از شبکه‌های اجتماعی مثل فیسبوک، توییتر یا اینستاگرام استفاده نمی‌کنید و چیزی درباره‌ی آن‌ها نمی‌دانید، می‌توانید با جستجو در اینترنت درباره‌ی آن‌ها یاد بگیرید. اگر فرزندتان زیر ۱۰ سال سن دارد، بهتر است با نصب اپلیکیشن‌های خاص و انجام برخی تنظیمات، کنترل کاملی بر نحوه‌ی دسترسی او به اینترنت داشته باشید.
قانون شماره‌ی 4: فلش پلیر جدید نصب نکنید

 

اگر به صورت اتفاقی گذرتان به سایت‌های مشکوک افتاده باشد، احتمالاً با پیغامی مبنی بر بروزرسانی فلش پلیر مواجه شده‌اید. هرگز و مطلقاً چنین کاری نکنید. اگر فریب این حقه را خوده و نرم‌افزار آلوده را نصب کرده‌اید، در بهترین حالت یک ابزار تبلیغاتی مزاحم بر روی سیستم خود نصب کرده‌اید و در بدترین حالت، شما به لیست کامپیوترهای آلوده شده توسط هکر مربوطه اضافه شده‌اید.

قانون شماره‌ی 5: از یک ابزار مدیریت رمز عبور استفاده کنید

استفاده از پسوردهای طولانی و پیچیده شاید چندان خوشایند نباشد، اما تا زمانی که جایگزین امنیتی بهتری برای آن پیدا نشود، بهترین راه برای حفظ امنیت همین پسوردها هستند. با استفاده از ابزارهای مدیریت پسوردی مانند 1Password، Dashlane یا Lastpass می‌توان بدون نگرانی از پسوردهای متفاوت و قوی در سایت‌ها و سرویس‌های مختلف استفاده کنید.
از این ابزارها می‌توان هم به عنوان گاوصندوقی ایمن برای ذخیره‌ی تمامی رمزهای عبور، و هم برای تولید خودکار رمزهای عبور ایمن و پیچیده‌ استفاده کرد. تنها باید مطمئن باشید که یک رمز عبور قوی برای دسترسی به این اپلیکیشن‌ها انتخاب می‌کنید، در غیر این صورت تمامی پسوردهای شما در معرض خطر قرار خواهند گرفت.
قانون شماره‌ی 6: از ورود دو مرحله‌ای استفاده کنید

 

هر روز سایت‌های و سرویس‌های بیشتری از حساب فیسبوک، توییتر یا جیمیل برای ورود استفاده می‌کنند. به همین دلیل اهمیت تامین امنیت این حساب‌ها دوچندان است. ورود دو مرحله‌ای (2-Step Verification) یکی از ایمن‌ترین روش‌هایی است که می‌توان از آن برای محافظت از امنیت حساب‌های خود استفاده کنید. در این روش هنگام اقدام برای ورود به حساب، پیامی حاوی یک کد ۴ یا ۶ رقمی به تلفن همراه شما ارسال می‌شود. با فعال کردن این قابلیت، حتی اگر کسی رمز عبور حساب شما را هم داشته باشد نمی‌تواند به آن وارد شود.
قانون شماره‌ی 7: پسورد پیش‌فرض مودم را تغییر دهید


بیشتر افراد به این نکته توجه ندارند که وای-فای آن‌ها در حقیقت دو پسورد دارد. یکی از آن‌ها رمز دسترسی به وای-فای است (که هنگام وصل شدن با دستگاه‌ها آن را وارد می‌کنید) و دیگری پسورد روتر است، که با استفاده از آن می‌توانید تنظیمات مودم خود از جمله پسورد وای-فای را تغییر دهید. اکثر افراد یک رمز عبور قوی برای اولی انتخاب می‌کنند، درحالی که فراموش می‌کنند رمز عبور پیش‌فرض مودم را تغییر دهند. رمز عبور پیش‌فرض اکثر مودم‌ها مشخص است (معمولاً admin و password). پس اگر کسی به مودم شما دسترسی داشته باشد، به راحتی می‌تواند به آن وارد شده و رمز عبور وای-فای شما را تغییر دهد و یا به اطلاعاتی که از طریق روتر رد و بدل می‌شود دسترسی داشته باشد. انتخاب یک پسورد قوی برای وای-فای هم بسیار مهم است.
قانون شماره‌ی 8: فریب وای-فای‌های تقلبی را نخورید

هنگام اتصال به اینترنت در کافه، رستوران، هتل و یا فرودگاه، احتمالاً با هات‌اسپات‌های وای-فای رایگان زیادی مواجه خواهید شد. برخی از آن‌ها واقعی و برخی دیگر ساختگی هستند. قبل از اتصال به وای-فای، از اینکه کافه یا هتلی که در آن هستید واقعاً اینترنت رایگان ارائه می‌دهد، و نام دقیق آن مطمئن شوید. در غیر این صورت اگر به وای-فای مشکوک وصل شوید احتمالاً دارید تمامی ترافیک ورودی و خروجی دستگاه خود را دو دستی تقدیم یک فرد شیاد می‌کنید. اگر شک دارید و راهی برای اطمینان وجود ندارد، موقتاً از کانکشن دیتای گوشی خود استفاده کنید.
قانون شماره‌ی 9: در اماکن عمومی از اتصال رمزگذاری شده استفاده کنید

حتی اگر قصد دارید به یک وای-فای واقعی و معتبر رایگان متصل شوید، باز هم این احتمال وجود دارد که یک نفر دیگر که به همان وای-فای وصل است بتواند به اطلاعات شما دسترسی پیدا کند. قبل از هر چیز مطمئن شوید که هنگام ورود به حساب ایمیل، بانک و یا دیگر حساب‌های مهم خود حتماً از نسخه‌ی رمزگذاری شده‌ی وب‌سایت که با https آغاز می‌شود استفاده می‌کنید. در غیر این صورت هرچه که تایپ می‌کنید به صورت نوشته‌ی ساده (Plain Text) ارسال خواهد شد و شخص دیگری که در همان شبکه است می‌تواند به آن‌ها دسترسی پیدا کند.
قانون شماره‌ی 10: استفاده از تکنولوژی بسیار مفید است، اما نمی‌توان کاملاً به آن تکیه کرد

تکنولوژی به شما کمک می‌کند تا از نرم‌افزارهای مخرب در امان بمانید، رمزهای عبور قوی داشته و آن‌ها را مدیریت کنید، بر فعالیت‌های اینترنتی فرزندان خود نظارت داشته و یا با استفاده از نرم‌افزارهای مسدود کننده‌ی محتوای غیر اخلاقی، جلوی دسترسی کودکان به سایت‌های نامناسب را بگیرید. اما این پایان راه نیست و نمی‌توان با اطمینان کامل در تمام طول سال کنار نشست. حفظ امنیت در فضای مجازی نیازمند هوشیاری کامل و آموزش‌های مناسب و مستمر است.

قانون شماره‌ی 11: سیستم عامل و نرم‌افزارهای خود را به موقع آپدیت کنید

تنها یک چیز از آپدیت کردن مهم‌تر است: آپدیت کردن سریع و به موقع. اگر یک آسیب‌پذیری در سیستم عامل، مرورگر و یا دیگر نرم‌افزارهایی که از آن‌ها استفاده می‌کنید وجود داشته باشد، مطمئن باشید که هکرها از آن خبر دارند. هر قدر هم که سازندگان نرم‌افزار به سرعت مشکل امنیتی را برطرف کنند، در صورتی که آن را به موقع نصب نکنید فایده‌ای نخواهد داشت. پس به محض آماده شدن آپدیت‌های امنیتی آن‌ها را در اسرع وقت نصب کنید؛ مخصوصاً آن‌هایی که با برچسب «بسیار مهم» (Critical) مشخص شده‌اند. اگر امکانش وجود دارد، سیستم‌ عامل و نرم‌افزارهای خود را بر روی حالت آپدیت اتوماتیک تنظیم کنید. درست است که آپدیت کردن تعداد زیادی از نرم‌افزارها ممکن است حجم زیادی از اینترنت شما را مصرف کند، و یا در بعضی مواقع نسخه‌ی جدید نرم‌افزار باب میل شما نبوده و پایدار نباشد، اما اگر به امنیت خود اهمیت می‌دهید، باید با این مشکلات کنار بیایید.
قانون شماره‌ی 12: آنتی ویروس را جدی بگیرید

 

داشتن آنتی ویروس مانند گذشته تضمینی بر امنیت شما نیست، اما اکثر آنتی ویروس‌ها جلوی ۹۰ درصد تهدیداتی که ممکن است با آن‌ها روبرو شوید را می‌گیرند. اگر حاضر نیستید سالی ۳۰ تا ۶۰ دلار بابت بیت‌دیفندر یا مک‌آفی بپردازید، می‌توانید از آنتی ویروس‌های AVG و Avast به صورت رایگان استفاده کنید.

IBM مرکز تجاری امنیت سایبری راه اندازی می کند

منتشرشده در مقالات هک و امنیت
سه شنبه, 02 آذر 1395 ساعت 20:30

شرکت آی. بی. ام در اویل سال 2016، بودجه ای 200 میلیون دلاری را برای ایجاد خدمات بهبود سرعت پاسخ به تهدیدات تصویب کرد و ساخت مرکز اکس-فورس در کمبریج توسط آن ها تنها یکی از خدمات این شرکت است. از دیگر بخش های این سرمایه گذاری می توان به ارتقا خدمات، نرم افزارهای و گسترش رویدادهای امنیتی در مراکز اکس-فورس در آتلانتا، بنگولار هند و لهستان اشاره کرد.

مرکز فرماندهی اکس-فورس آتلانتا هم اکنون 4500 کاربر از 133 کشور مختلف داشته و روزانه بیش از 200 هزار اطلاعیه تهدید را بررسی می کنند.
شرکت آی. بی. ام علاوه بر موارد بالا یک گروه جدید مشاوره پاسخ به حادثه را نیز با نام «واکنش به حادثه و خدمات اطلاعاتی اکس-فورس آی. بی. ام» (IRIS) معرفی کرد. این گروه متشکل از 100 مشاور امنیت سایبری در سراسر جهان است که روی آمادگی و برنامه ریزی برای مقابله با تهدیدات امنیت سایبری بالقوه تأکید می کنند. این مشاوران به مشتریان خود در ایجاد یک برنامه ی مقابله و تقویت نقاط ضعف آن ها کمک می کنند.

شرکت آی. بی. ام به تازگی یک مرکز امنیت سایبری را برای آموزش نیروهای امنیتی در برابر حملات سایبری راه اندازی کرده است.

به گزارش واحد بین الملل سایبربان؛ شرکت آی. بی. اِم به تازگی اولین مرکز جهانی امنیتی را با امکان اجرای رزمایش سایبر رنج (Cyber Range) در کمبریج افتتاح کرد. در این محل یک حمله سایبری با استفاده از بدافزاری های فعال موجود شبیه سازی می شود و شرکت کنندگان از آن برای آزمایش امنیت سایبری و میزان آمادگی خود در برابر تهدیدات بهره می گیرند.
«مرکز فرماندهی سایبر رنج اکس-فورس آی. بی. ام در کمبریج» طیف کاملی از شبیه سازی حملات سایبری را با استفاده از سناریوهای واقعی برای آموزش های گروه های امنیتی شرکت های بزرگ ارائه می دهد. این آموزش ها در زمینه های برنامه ریزی، مقابله و روش های مبارزه با موقعیت های تهدیدآمیز در دنیای واقعی ارائه می شود. به عنوان مثال این شبیه سازی بدافزارها و باج افزارهای فعال را برای ایجاد یک تهدید سایبری واقعی روی شبکه های خیالی فورچون 500 (Fortune 500) از دارک وب (Dark Web) استخراج می کند. این تمرین با استفاده از یک شبکه ی کامل، دارای یک پتابایت داده، 3 هزار کاربر و یک اینترنت شبیه سازی شده انجام می گیرد. به علاوه در یک زمان بیش از 36 اپراتور می توانند حملات را شبیه سازی کرده و گروه های امنیتی با شرکت در آن سناریوهایی آمادگی ضروری سایبری را آزمایش کنند.

نظر کارشناسان امنیت در مورد سال 2017

منتشرشده در مقالات هک و امنیت
سه شنبه, 02 آذر 1395 ساعت 20:30

باج افزارها

باج افزارها در سال 2016 یکی از مشکل سازترین نوع حملات بوده اند. طبق گزارش ها تا یکم ژوئیه ی سال 2016 در هرروز حدود 4 هزار حمله ی باج افزاری ثبت شده که نسبت به دوره مشابه در سال 2015 رشد 300 درصدی داشته است. پیشنهاد کارشناسان برای جلوگیری از این نوع آسیب ها ایجاد فایل های پشتیبان (بک آپ) به طور مداوم و در مکان های مختلف است.

اینترنت اشیاء

آسیب پذیری های اینترنت اشیاء (IoT) در سال آینده بدون شک افزایش چشم گیری خواهد داشت و باید برای مقابله با قربانی شدن مسائل امنیتی را بسیار جدی گرفت. در سال 2016 تنها در کنفرانس دف کان (Def Con) 47 آسیب پذیری برای 23 ابزار از 21 تولیدکننده، کشف کردند. برای نمونه، در ماه اکتبر حمله ی DDoS عظیم به یکی از بزرگ ترین شرکت های اینترنتی جهان وبگاه های معروفی چون توئیتر، ردیت و نتفلکس را به قطعی کشاند. به نظر برای جلوگیری از تکرار حوادث این چنینی، دولت ها باید اقدامات لازم را در اولویت کاری خود در سال 2017 قرار دهند.

 

امنیت در جوملا

منتشرشده در مقالات هک و امنیت
چهارشنبه, 19 آبان 1395 ساعت 20:30


ایمن نمودن سایت یکی از مهمترین مواردي است که میباید بدان پرداخته شود گرچه سعی شده است این بخش از
کتاب کامل باشد و دید مفیدي از بحث امنیت خصوصاً در سایت هاي جوملایی به شما دهد اما باز هم هیچ کتاب ،
مقاله و سایتی نمیتواند ادعا کند که %100کامل است . به کلامی دیگر هیچ سایتی ایمن نیست منتها ممکن است
حمله کننده هنوز راه نفوذ به آن را پیدا ننموده باشد . این موضوع هم ربطی به مدیریت جوملا ، ورد پرس و ... ندارد
بلکه تمامی سایت ها حتما راه نفوذي دارند .
قصد ما در این بخش سعی در قفل و زنجیر کردن سایت است که مسلماً کار را براي مهاجمان به سایتمان سخت تر
خواهد نمود . یک نکته هم در رابطه با هکر ها )مهاجمان( باید متذکر شویم اصولا هکر ها میباید یا داراي سواد
بالایی باشند و یا از سواد نسبی خوبی برخوردار باشند به همین دلیل این دسته از افراد اکثراً در استخدام شرکت هاي
امنیتی بزرگ هستند و حقوق بسیار بالایی هم دارند و قابل احترام هستند. اما خود هکر ها به 2دسته تقسیم میشوند:
حا
اصطلا هکر هاي سفید و سیاه که خوب از لقبی هم براي خودشون انتخاب میکنند مشخصه هر کدام داراي چه
خصوصیاتی هستند البته خود این دسته ها هم به شعب مختلف تقسیم میشه و حتی زبان نگارش مخصوص خودشون
هم دارند . خلاصه دنیاییه ! در این بخش قصد نداریم به این تاریخچه بپردازیم تنها قصد ما بهبود امنیت است لذا از
این بحث میگذریم . قبل از هر چیز باید بدانید یک هکر میتواند از 2طریق کلی سایت شما هک کند :
-١از سمت سرور
-2از سمت سایت
الف ( حمله از سمت سرور
در این حالت حمله کننده به سرور دسترسی دارد و آنچنان کاري از شما بر نمیاید هر چقدر هم امنیت سایتتان را بالا
برید فایده اي ندارد چرا که حمله کننده اصلاً به سایت شما کاري ندارد و به منابع سرور دسترسی دارد . اما چند نکته
را باید در نظر بگیرید:
-1اول اینکه سروري انتخاب کنید که قبلاً هک نشده باشد . براي این انتخاب باید به شنیده هاي خود اعتماد کنید و
یا پاشنه ها را بالا بکشید و شروع کنید به جستجو در سایت هایی که تصاویر هک سایت ها را میگذارند سپس سرور
آن ها را پیدا نمایید و ....
-2در هنگام خرید هاست باید به ردي
موا که مربوط به تنظیمات سرور است دقت کنید ازجمله به موارد زیر:
1-2قبل از خرید هاست از سرپرست سرور بپرسید که آیا در PHPاز su_phpاستفاده میکنند با خیر ؟
استفاده از این حالت به معنا ي آن است که فایل هاي موجود در هاست شما تحت کنترل خود دارنده اکانت که شما
باشید میباشد و نیازي به تنظیمات GLOBALنیست به زبان ساده تر در این حالت سطح دسترسی 755توسط
اسکریپت قابل نگارش تشخیص داده میشود و نیازي نیست که شما این سطح دسترسی ها را به 777تغییر دهید .
وقتی دسترسی یک پوشه را روي 777قرار میدهید به معناي آن است که محتویات آن را براي عموم آزاد کرده اید !
register_globals 2-2در سرور که سایت جوملایی روي آن قرار دارد باید خاموش باشد
safe_mode 3-2در سروري که یک سایت جوملایی بر روي آن قرار دارد باید خاموش باشد
allow_url_fopen 4-2در سروري که یک سایت جوملایی بر روي آن قرار دارد باید خاموش باش.
allow_url_include 5-2در سروري که یک سایت جوملایی بر روي آن قرار دارد باید خاموش باشد.
disable_functions 6-2در سروري که یک سایت جوملایی روي آن قرار دارد باید فعال باشد.
7-2همین موارد هم باید براي open_basedirصدق میکند منتها اگر سرور از su_phpاستفاده کرده باشد
این گزینه دیگر داراي اهمیت نیست.
-3یکی دیگر از مواردي که در هنگام خرید هاست باید از سرپرست فنی سرور بپرسید این است که آیا بر روي سرور
برنامه هاي امنیتی مثل آنتی شل نصب است یا خیر ؟
شل ها برنامه هاي کوچکی هستند به هکر ها قدرت دسترسی به برخی منابع را میدهند . اگر جواب سرپرست سرور
بلی بود اسم برنامه را هم بپرسید و در مورد آن تحقیق کنید . هزینه این برنامه براي سرور ها بسیار بالا است و تا
300دلار هم میرسد به همین دلیل برخی سرور ها از این امر غفلت میکنند.
-4از سرپرست سروتان بپرسید که آیا براي ورود به phpmyadminدوباره نام کاربري و رمز عبور پرسیده میشود و
یا خیر ؟
این ها حداقل مواردي است که قبل از خرید باید از سرپرست هاستتان بپرسید به دلیل آنکه در این مقاله قصد داریم
راه کار ارائه دهیم تا اینکه روش ها را توضیح دهیم به همین دلیل از ذکر مفاهیم بالا خودداري میکنیم و تنها به اینکه
این موارد باید در سرور داراي چه تنظیماتی باشد اکتفا میکنیم . گروه امیدوار است که مدیران سرور ها هم این
بخش را بخوانند وتنظیمات سرورهاي خود را بهینه نمایند. البته همانطور که عرض شد این ها حداقل ها هستند.
ب( حمله از سمت سایت
این حمله ها به روش هاي گوناگونی انجام میشود که مهمترین هاي آن استفاده از
_$POST
_$GET
_$COOKIE
eval()
base64_decode
Allow_url_fopen
SQLفیلتر دستورات
Allow_url_include
میباشد. قبلا در سایت یک پلاگین امنیتی معرفی شده بود که با نصب آن امنیت سایت در مقابل این حملات
بالا میرفت این پلاگین را میتوانید از آدرس
http://www.joomina.ir/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-D8%B3%D8%A7%DB%8C%D8%AA/joomina-:
decurityt.html
نجا
ای دریافت و نصب و فعال کنید . نکته اي که رابطه با این پلاگین بود درج کپی رایتی بود که در پایین سایت قرار
داشت براي این که کپی رایت هم بردارید .وارد فایل jhackguard.phpشوید و خط
$replacement="xxxxxxxxxxx";
را با عبارت زیر جایگزین کنید:
$replacement="" ;
به این ترتیب کپی رایت هم حذف میشود دوباره فایل را فشرده نموده و نصب کنید.
بسیار خوب حال که جلوي این حمله ها را گرفتیم میباید وارد مرحله بعدي شویم در این مرحله کارهاي دیگري باید
انجام دهید که به ترتیب براي شما فهرست شده و آموزش داده میشود:
ب- ( 1نام کاربري خود را از adminبه نام کاربري دلخواه تغییر دهید.
براي این کار از منو بالا مدیریت کاربر را انتخاب نموده و بر روي نام کاربري adminکلیک کنید در صفحه جدید
این نام کاربري را به نام دلخواه تغییر داده و ذخیره را فشار دهید.
ب- (2از رمز هاي سخت استفاده کنید.
رمز خود را سخت انتخاب کنید بدین معناکه حتی المکان از حروف، اعداد و سمبل ها در رمز ورود خود استفاده نمایید.
ب- ( 3برروي پوشه ادمین خود رمز بگذارید.
این کار را براحتی میتوانید هم از طریق پنل هاست خود انجام دهید وارد گزینه Password Protect
Directoriesشوید و نام کاربري و رمز ورود خود را انتخاب نمایید .
ب- ( 4جوملا خود را بروز نگه دارید.
گروه طراحان وب همواره آخرین نسخه هاي بروز رسانی این سیستم مدیریت محتوا را منتشر مینماید شما
میتوانید بسته هاي بروز رسانی را دانلود نموده و از قسمت مدیریت افزونه ها همانند یک افزونه جوملا بسته
بروز رسانی را نصب نمایید.
ب- sef ( 5سایت خود را فعال نمایید.
در مبحث ارتقا سایت جهت موتورهاي جستجو مفاهیمی همچون sefو seoمطرح میشود به صورت خلاصه sef
اصلاح کننده لینک هاي یک سایت است . اهمیت این نکته زمانی است که شما در سایت خود از افزونه هاي مختلفی
استفاده میکنید . ممکن است برخی از افزونه ها داراي حفره هاي امنیتی باشند اگر sefرا در سایت خود فعال ننموده
باشید هکر میتواند در گوگل نام افزونه اي که در سایت شما بکار رفته است را جستجو نماید براحتی سایت شما را
مورد حمله قرار دهد . براي فعال نمودن sefدر جوملا کافی است به روت سایت خود رفته )بوسیله فایل منیجر
هاست ( و فایل با نام htaccess.txtرا نامش را تغییر دهید بدین صورت که .txtرا از انتهاي آن پاك نموده و
در ابتداي آن یک "." )نقطه( بگذارید.
نکته : زمانی که میخواهید وارد فایل منیجر شوید از شما پرسیده میشود که فایل هاي مخفی نمایش داده شود و یا
خیر .htaccessبراي سرور ها فایل مخفی شناخته میشود به همین دلیل پس از آنکه شما این نام را تغییر میدهید.
ممکن است آن را نبینید که با این کار این مشکل حل میشود.
در گام بعدي وارد مدیریت سایت خود شده و در قسمت تنظیمات اصلی )پیکربندي( از تب سایت از قسمت تنظیمات
SEOگزینه ها را بر روي بلی قرار دهید.
در برخی از موارد مشاهده شده که بعضی از سرور ها با فعال نمودن تمامی موارد مشکل دارند براي همین میتوانید
تک به تک گزینه ها را بر روي بلی قرار داده و امتحان کنید.
ب- ( 6استفاده از .htaccessجهت ارتقا امنیت
این فایل همانطور که از نام آن هویدا است برخی دسترسی ها و .. را به سایت تنظیم مینماید براي اینکه امنیت سایت
خود را بالا ببرید این فایل را باز نمایید و دستورات زیر را در آن وارد کنید .
deny from all
<FilesMatch "index.php">
allow from all
</FilesMatch>
<FilesMatch "index٢.php">
allow from all
</FilesMatch>
براي اینکه این دستورات در htaccessدرست کار کند سرور شما میباید حداقل از 5.2 PHPاستفاده نماید این
دستور بدین معنا است که دسترسی خارجی به تمامی فایل ها به غیر از index.phpو Index٢.php
بسته باشد . در صورتی که پس از اجراي دستور با مشکلی مواجه شدید میتوانید آن را حذف کنید اما قائدتاً نباید
مشکلی وجود داشته باشد.
نکته : به این روش میتوانید از فایل هاي ترجمه شده خود نیز محافظت کنید.
ب- ( 9افزونه هایی که در سایت خود استفاده مینمایید را همواره بروز نگه دارید.
به عنوان مدیر یک سایت این وظیفه شما است که از بروز بودن افزونه هاي سایت خود مطمئن باشید براي این کار
میتوانید دائما به سایت هاي انتشار دهنده این افزونه ها سر بزنید و از بروز بودن آن ها اطمینان حاصل کنیدو البته
بسیاري از افزونه در قسمت مدیریتشان نسخه افزونه را اعلام میکنند.
ب- ( 10افزونه و فایل هایی که استفاده نمیکنید را پاك کنید !
ب- ( 11طول عمر کش را زیاد نکنید :این گزینه در پیکربندي سایت قرار داد و برخی موارد دیده ام که طول عمر
کش را برخی از سایت ها زیاد میکنند تا تعداد میهمانان را زیاد نشان دهد . ببینید در پوشه کش جوملا نام کاربري و
رمز ورود شما تا زمانی که جلسه کاري به پایان نرسد وجود خواهد داشت و سیستم شما را وارد شده فرض میکند
کافی است هکر به این پوشه و پوشه لاگ دسترسی پیدا کند و .... )راه استخراج را به دلایل امنیتی ذکر نمیکنیم (
ب - ( 12فایل هاي index.htmlموجود در پوشه ها را پاك نکنید.
این فایل یک صفحه سفید را نمایش میدهد یعنی اگر کسی مستقیما آدرس یک پوشه را وارد نماید با یک صفحه
سفید روبرو میشود . این مورد مخصوصا در پوشه logs , tmpخیلی مهم است.
ب- ( 13از سایت هایی که سایت شما را به صورت رایگان اسکن میکنند استفاده نمایید نمونه این سایت ها را
میتوانید از اینجا ببینید
http://hackertarget.com/joomla-security-scan/
ب- ( 14به غیر مواقع لازم از ftpاستفاده نکنید.
در صورتیکه از سروري که از su_phpاستفاده مینماید بهره میبرید نیازي به فعال سازي ftpنیست . حال فرض
کنید که اینطور نباشد . در صورتی که ftpرا فعال نمایید مشخصات آن در فایل configشما ثبت میشود حال اگر
هکر به این فایل دسترسی پیدا کند کل سایت شما در دستان وي خواهد بود ! به همین دلیل اگر هم مجبور شدید
ftpرا فعال کنید پس از استفاده آن را غیر فعال ) نام کاربري و رمز عبور آن را عوض کنید (نمایید . گرچه فعال بودن
ftpباعث بهبود سرعت سایت شما میشود.
ب- ( 15فایل configخود را کد کنید.
شما میتوانید این فایل را که تمامی مشخصات شما در آن قرار دارد کد نمایید گرچه کد شکن همه نرم افزار ها موجود
است اما باز هم کار را کمی براي هکر سخت میکند در این مورد بهتر است با سرپرست سرور صحبت نمایید.
این موارد تنها خلاصه اي از مواردي است که باید در سایت هاي خود بکار ببرید.

آدرس : تهران ، میدان انقلاب ، کوچه رشتچی ، پلاک ۱۴ (ساختمان ایرانیان) ،طبقه دوم واحد ۸

 

خط ویژه: ۶۶۹۲۸۷۸۷-۰۲۱

تلفن : ۶۶۹۲۸۰۴۰-۰۲۱ | ۶۶۱۲۴۱۴۹-۰۲۱ | تلفن همراه : ۰۹۱۲۳۷۹۰۵۸۸

فکس دیجیتال: ۸۹۸۷۷۳۷۳-۰۲۱

آدرس ایمیل : wnegaran[at]gmail.com 

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت وب نگاران پارسه می باشد