اشتراک گذاری در facebook
اشتراک گذاری در twitter
اشتراک گذاری در linkedin
اشتراک گذاری در whatsapp
اشتراک گذاری در email
اشتراک گذاری در telegram
امنیت در جوملا

امنیت در جوملا

ایمن نمودن سایت یکی از مهمترین مواردی است که میباید بدان پرداخته شود گرچه سعی شده است این بخش از
کتاب کامل باشد و دید مفیدی از بحث امنیت خصوصاً در سایت های جوملایی به شما دهد اما باز هم هیچ کتاب ،
مقاله و سایتی نمیتواند ادعا کند که %۱۰۰کامل است . به کلامی دیگر هیچ سایتی ایمن نیست منتها ممکن است
حمله کننده هنوز راه نفوذ به آن را پیدا ننموده باشد . این موضوع هم ربطی به مدیریت جوملا ، ورد پرس و … ندارد
بلکه تمامی سایت ها حتما راه نفوذی دارند .
قصد ما در این بخش سعی در قفل و زنجیر کردن سایت است که مسلماً کار را برای مهاجمان به سایتمان سخت تر
خواهد نمود . یک نکته هم در رابطه با هکر ها )مهاجمان( باید متذکر شویم اصولا هکر ها میباید یا دارای سواد
بالایی باشند و یا از سواد نسبی خوبی برخوردار باشند به همین دلیل این دسته از افراد اکثراً در استخدام شرکت های
امنیتی بزرگ هستند و حقوق بسیار بالایی هم دارند و قابل احترام هستند. اما خود هکر ها به ۲دسته تقسیم میشوند:
حا
اصطلا هکر های سفید و سیاه که خوب از لقبی هم برای خودشون انتخاب میکنند مشخصه هر کدام دارای چه
خصوصیاتی هستند البته خود این دسته ها هم به شعب مختلف تقسیم میشه و حتی زبان نگارش مخصوص خودشون
هم دارند . خلاصه دنیاییه ! در این بخش قصد نداریم به این تاریخچه بپردازیم تنها قصد ما بهبود امنیت است لذا از
این بحث میگذریم . قبل از هر چیز باید بدانید یک هکر میتواند از ۲طریق کلی سایت شما هک کند :
-١از سمت سرور
-۲از سمت سایت
الف ( حمله از سمت سرور
در این حالت حمله کننده به سرور دسترسی دارد و آنچنان کاری از شما بر نمیاید هر چقدر هم امنیت سایتتان را بالا
برید فایده ای ندارد چرا که حمله کننده اصلاً به سایت شما کاری ندارد و به منابع سرور دسترسی دارد . اما چند نکته
را باید در نظر بگیرید:
-۱اول اینکه سروری انتخاب کنید که قبلاً هک نشده باشد . برای این انتخاب باید به شنیده های خود اعتماد کنید و
یا پاشنه ها را بالا بکشید و شروع کنید به جستجو در سایت هایی که تصاویر هک سایت ها را میگذارند سپس سرور
آن ها را پیدا نمایید و ….
-۲در هنگام خرید هاست باید به ردی
موا که مربوط به تنظیمات سرور است دقت کنید ازجمله به موارد زیر:
۱-۲قبل از خرید هاست از سرپرست سرور بپرسید که آیا در PHPاز su_phpاستفاده میکنند با خیر ؟
استفاده از این حالت به معنا ی آن است که فایل های موجود در هاست شما تحت کنترل خود دارنده اکانت که شما
باشید میباشد و نیازی به تنظیمات GLOBALنیست به زبان ساده تر در این حالت سطح دسترسی ۷۵۵توسط
اسکریپت قابل نگارش تشخیص داده میشود و نیازی نیست که شما این سطح دسترسی ها را به ۷۷۷تغییر دهید .
وقتی دسترسی یک پوشه را روی ۷۷۷قرار میدهید به معنای آن است که محتویات آن را برای عموم آزاد کرده اید !
register_globals 2-2در سرور که سایت جوملایی روی آن قرار دارد باید خاموش باشد
safe_mode 3-2در سروری که یک سایت جوملایی بر روی آن قرار دارد باید خاموش باشد
allow_url_fopen 4-2در سروری که یک سایت جوملایی بر روی آن قرار دارد باید خاموش باش.
allow_url_include 5-2در سروری که یک سایت جوملایی بر روی آن قرار دارد باید خاموش باشد.
disable_functions 6-2در سروری که یک سایت جوملایی روی آن قرار دارد باید فعال باشد.
۷-۲همین موارد هم باید برای open_basedirصدق میکند منتها اگر سرور از su_phpاستفاده کرده باشد
این گزینه دیگر دارای اهمیت نیست.
-۳یکی دیگر از مواردی که در هنگام خرید هاست باید از سرپرست فنی سرور بپرسید این است که آیا بر روی سرور
برنامه های امنیتی مثل آنتی شل نصب است یا خیر ؟
شل ها برنامه های کوچکی هستند به هکر ها قدرت دسترسی به برخی منابع را میدهند . اگر جواب سرپرست سرور
بلی بود اسم برنامه را هم بپرسید و در مورد آن تحقیق کنید . هزینه این برنامه برای سرور ها بسیار بالا است و تا
۳۰۰دلار هم میرسد به همین دلیل برخی سرور ها از این امر غفلت میکنند.
-۴از سرپرست سروتان بپرسید که آیا برای ورود به phpmyadminدوباره نام کاربری و رمز عبور پرسیده میشود و
یا خیر ؟
این ها حداقل مواردی است که قبل از خرید باید از سرپرست هاستتان بپرسید به دلیل آنکه در این مقاله قصد داریم
راه کار ارائه دهیم تا اینکه روش ها را توضیح دهیم به همین دلیل از ذکر مفاهیم بالا خودداری میکنیم و تنها به اینکه
این موارد باید در سرور دارای چه تنظیماتی باشد اکتفا میکنیم . گروه امیدوار است که مدیران سرور ها هم این
بخش را بخوانند وتنظیمات سرورهای خود را بهینه نمایند. البته همانطور که عرض شد این ها حداقل ها هستند.
ب( حمله از سمت سایت
این حمله ها به روش های گوناگونی انجام میشود که مهمترین های آن استفاده از
_$POST
_$GET
_$COOKIE
eval()
base64_decode
Allow_url_fopen
SQLفیلتر دستورات
Allow_url_include
میباشد. قبلا در سایت یک پلاگین امنیتی معرفی شده بود که با نصب آن امنیت سایت در مقابل این حملات
بالا میرفت این پلاگین را میتوانید از آدرس
http://www.joomina.ir/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-D8%B3%D8%A7%DB%8C%D8%AA/joomina-:
decurityt.html
نجا
ای دریافت و نصب و فعال کنید . نکته ای که رابطه با این پلاگین بود درج کپی رایتی بود که در پایین سایت قرار
داشت برای این که کپی رایت هم بردارید .وارد فایل jhackguard.phpشوید و خط
$replacement=”xxxxxxxxxxx”;
را با عبارت زیر جایگزین کنید:
$replacement=”” ;
به این ترتیب کپی رایت هم حذف میشود دوباره فایل را فشرده نموده و نصب کنید.
بسیار خوب حال که جلوی این حمله ها را گرفتیم میباید وارد مرحله بعدی شویم در این مرحله کارهای دیگری باید
انجام دهید که به ترتیب برای شما فهرست شده و آموزش داده میشود:
ب- ( ۱نام کاربری خود را از adminبه نام کاربری دلخواه تغییر دهید.
برای این کار از منو بالا مدیریت کاربر را انتخاب نموده و بر روی نام کاربری adminکلیک کنید در صفحه جدید
این نام کاربری را به نام دلخواه تغییر داده و ذخیره را فشار دهید.
ب- (۲از رمز های سخت استفاده کنید.
رمز خود را سخت انتخاب کنید بدین معناکه حتی المکان از حروف، اعداد و سمبل ها در رمز ورود خود استفاده نمایید.
ب- ( ۳برروی پوشه ادمین خود رمز بگذارید.
این کار را براحتی میتوانید هم از طریق پنل هاست خود انجام دهید وارد گزینه Password Protect
Directoriesشوید و نام کاربری و رمز ورود خود را انتخاب نمایید .
ب- ( ۴جوملا خود را بروز نگه دارید.
گروه طراحان وب همواره آخرین نسخه های بروز رسانی این سیستم مدیریت محتوا را منتشر مینماید شما
میتوانید بسته های بروز رسانی را دانلود نموده و از قسمت مدیریت افزونه ها همانند یک افزونه جوملا بسته
بروز رسانی را نصب نمایید.
ب- sef ( 5سایت خود را فعال نمایید.
در مبحث ارتقا سایت جهت موتورهای جستجو مفاهیمی همچون sefو seoمطرح میشود به صورت خلاصه sef
اصلاح کننده لینک های یک سایت است . اهمیت این نکته زمانی است که شما در سایت خود از افزونه های مختلفی
استفاده میکنید . ممکن است برخی از افزونه ها دارای حفره های امنیتی باشند اگر sefرا در سایت خود فعال ننموده
باشید هکر میتواند در گوگل نام افزونه ای که در سایت شما بکار رفته است را جستجو نماید براحتی سایت شما را
مورد حمله قرار دهد . برای فعال نمودن sefدر جوملا کافی است به روت سایت خود رفته )بوسیله فایل منیجر
هاست ( و فایل با نام htaccess.txtرا نامش را تغییر دهید بدین صورت که .txtرا از انتهای آن پاک نموده و
در ابتدای آن یک “.” )نقطه( بگذارید.
نکته : زمانی که میخواهید وارد فایل منیجر شوید از شما پرسیده میشود که فایل های مخفی نمایش داده شود و یا
خیر .htaccessبرای سرور ها فایل مخفی شناخته میشود به همین دلیل پس از آنکه شما این نام را تغییر میدهید.
ممکن است آن را نبینید که با این کار این مشکل حل میشود.
در گام بعدی وارد مدیریت سایت خود شده و در قسمت تنظیمات اصلی )پیکربندی( از تب سایت از قسمت تنظیمات
SEOگزینه ها را بر روی بلی قرار دهید.
در برخی از موارد مشاهده شده که بعضی از سرور ها با فعال نمودن تمامی موارد مشکل دارند برای همین میتوانید
تک به تک گزینه ها را بر روی بلی قرار داده و امتحان کنید.
ب- ( ۶استفاده از .htaccessجهت ارتقا امنیت
این فایل همانطور که از نام آن هویدا است برخی دسترسی ها و .. را به سایت تنظیم مینماید برای اینکه امنیت سایت
خود را بالا ببرید این فایل را باز نمایید و دستورات زیر را در آن وارد کنید .
deny from all
<FilesMatch “index.php”>
allow from all
</FilesMatch>
<FilesMatch “index٢.php”>
allow from all
</FilesMatch>
برای اینکه این دستورات در htaccessدرست کار کند سرور شما میباید حداقل از ۵.۲ PHPاستفاده نماید این
دستور بدین معنا است که دسترسی خارجی به تمامی فایل ها به غیر از index.phpو Index٢.php
بسته باشد . در صورتی که پس از اجرای دستور با مشکلی مواجه شدید میتوانید آن را حذف کنید اما قائدتاً نباید
مشکلی وجود داشته باشد.
نکته : به این روش میتوانید از فایل های ترجمه شده خود نیز محافظت کنید.
ب- ( ۹افزونه هایی که در سایت خود استفاده مینمایید را همواره بروز نگه دارید.
به عنوان مدیر یک سایت این وظیفه شما است که از بروز بودن افزونه های سایت خود مطمئن باشید برای این کار
میتوانید دائما به سایت های انتشار دهنده این افزونه ها سر بزنید و از بروز بودن آن ها اطمینان حاصل کنیدو البته
بسیاری از افزونه در قسمت مدیریتشان نسخه افزونه را اعلام میکنند.
ب- ( ۱۰افزونه و فایل هایی که استفاده نمیکنید را پاک کنید !
ب- ( ۱۱طول عمر کش را زیاد نکنید :این گزینه در پیکربندی سایت قرار داد و برخی موارد دیده ام که طول عمر
کش را برخی از سایت ها زیاد میکنند تا تعداد میهمانان را زیاد نشان دهد . ببینید در پوشه کش جوملا نام کاربری و
رمز ورود شما تا زمانی که جلسه کاری به پایان نرسد وجود خواهد داشت و سیستم شما را وارد شده فرض میکند
کافی است هکر به این پوشه و پوشه لاگ دسترسی پیدا کند و …. )راه استخراج را به دلایل امنیتی ذکر نمیکنیم (
ب – ( ۱۲فایل های index.htmlموجود در پوشه ها را پاک نکنید.
این فایل یک صفحه سفید را نمایش میدهد یعنی اگر کسی مستقیما آدرس یک پوشه را وارد نماید با یک صفحه
سفید روبرو میشود . این مورد مخصوصا در پوشه logs , tmpخیلی مهم است.
ب- ( ۱۳از سایت هایی که سایت شما را به صورت رایگان اسکن میکنند استفاده نمایید نمونه این سایت ها را
میتوانید از اینجا ببینید
http://hackertarget.com/joomla-security-scan/
ب- ( ۱۴به غیر مواقع لازم از ftpاستفاده نکنید.
در صورتیکه از سروری که از su_phpاستفاده مینماید بهره میبرید نیازی به فعال سازی ftpنیست . حال فرض
کنید که اینطور نباشد . در صورتی که ftpرا فعال نمایید مشخصات آن در فایل configشما ثبت میشود حال اگر
هکر به این فایل دسترسی پیدا کند کل سایت شما در دستان وی خواهد بود ! به همین دلیل اگر هم مجبور شدید
ftpرا فعال کنید پس از استفاده آن را غیر فعال ) نام کاربری و رمز عبور آن را عوض کنید (نمایید . گرچه فعال بودن
ftpباعث بهبود سرعت سایت شما میشود.
ب- ( ۱۵فایل configخود را کد کنید.
شما میتوانید این فایل را که تمامی مشخصات شما در آن قرار دارد کد نمایید گرچه کد شکن همه نرم افزار ها موجود
است اما باز هم کار را کمی برای هکر سخت میکند در این مورد بهتر است با سرپرست سرور صحبت نمایید.
این موارد تنها خلاصه ای از مواردی است که باید در سایت های خود بکار ببرید.

اشتراک گذاری در facebook
اشتراک گذاری در twitter
اشتراک گذاری در linkedin
اشتراک گذاری در whatsapp
اشتراک گذاری در email
اشتراک گذاری در telegram

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

وب نگاران پارسه

پشتیبانی آنلاین!