|
ويژه امنیت در جوملا - پیکربندی (قسمت چهارم)
|
|
۳-۱۱-۱۳۹۰, ۰۲:۳۲ صبح
ارسال: #1
|
|||
|
|||
امنیت در جوملا - پیکربندی (قسمت چهارم)
![[تصویر: joomla-security-4.png]](http://www.faedu.ir/wp-content/uploads/2012/01/joomla-security-4.png) پیکربندی جوملا :
نصب نسخه های رسمی جوملا نصب نسخه های غیر استاندارد و متفرقه ی جوملا یک ریسک بسیار بزرگ است. بهترین نسخه های جوملا ، همونهایی هست که در سایت رسمی جوملا منتشر میشه. میتونید نسخه های فارسی رو نیز از دوسایت جومینا و پارس جوم دریافت کنید ولی بهتون پیشنهاد می کنم نسخه ی لاتین رو از سایت رسمی جوملا و این لینک دریافت کنید سپس زبان فارسی رو نصب کنید همچنین نسخه های مختلف جوملای خودتون رو سعی کنید به روز نگه دارید تا باگ های امنیتی نداشته باشه. بهترین منبع سایت خود جوملاست که در این صفحه میتونید نسخه های جدید رو پیدا کنید و به روز کنید و در بین سایت های فارسی زبان هم دوستان پارس جوم فکر در فروم اینکار رو انجام می دهند و آخرین نسخه ها به همراه نسخه های آپدیت را قرار می دهند. نحوه ی نصب جوملا هم که همه ی دوستان بلد هستند. سعی می کنم یک آموزش تصویری هم درست کنم. :: تغییر نام کاربری پیش فرض جوملا پس از اینکه جوملا نصب شد پیشنهاد میشه وارد بخش مدیریت جوملا بشید و از اونجا وارد بخش مدیریت کاربران و نام کلاربری که به صورت پیش فرض admin هست رو تغییر بدید. منظورم هردو اسم Administrator و admin هست. هر دوتای اینها رو تغییر بدید و هر از چند گاهی رمز عبور خودتون رو نیز تغییر بدید در دوره های مشاوره ما به مدیران سرور و شبکه ی سازمانها پیشنهاد که هر 14 روز این کار رو انجام بدهند و از رمزهای عبور مطمئن استفاده کنند. میدونم کار سختیه هر 14 روز. من خودم اینکارو انجام نمیدم :دی ولی سعی می کنم هر 40-50 روز اینکارو بکنم. از اونجایی که رمزهایی که انتخاب می کنم 16 کارکتر هستند همیشه این رمز جدید رو درون گوشیم (توی NOTE) ذخیره می کنم. البته چون حدود 10 رمز عبور مختلف برای سایت های متفاوت هست خودم میدونم کدوم رمز برای کدوم سایته و جهت اطمینان بیشتر اسم سایت ها رو وارد نوت نمی کنم... یا مثلاً یکی از دوستانم یک فایل اکسل داره و اسم سایتها رو به صورت نا مشخص و با حروفی که خودش فقط میفهمه ، اونجا به همراه رمز عبور جدید وارد می کنه و یک نسخه پرینت شده همراه خودش داره. نکته – رمز عبور مناسب : یک رمز عبور مناسب می بایست حداقل 12 و حداکثر 18 کارکتر باشه. اعدا، سیمبل، حروف کوچک، حروف بزرگ تشکیل شده باشه و در نهایت پیشناد میشه یک فاصله (اسپیس space) نیز در آخر به آن اضافه شود :: محافظت از پوشه ها و فایل ها در ابتدا مهمترین فایل جوملا رو بررسی کنید. یعنی فایل configuration.php بهتره سطح دسترسی این فایل روی 444 قرار گرفته باشه. در بعضی مواقع پیشنهاد میشه این فایل رو به خارج از دایرکتوری public_html انتقال بدید. در مورد افزونه هایی که فولدری تحت عناوین آپلود و یا دانلود دارند دقت کنید. مثل Docman و یا PhocaGallery که یک فولدری تحت عنوان upload دارند. دقت کنید فقط سطح دسترسی این فولدر ها آزاد باشد و بقیه ی فولدرهای مربوطه 755 و یا 644 که این بستگی به نوع افزونه دارد. یک بخشی در مدیریت جوملا هست تحت عنوان مدیریت تغییرات کلی یا Global Configuration . وارد آن شوید و آدرس فولدر log و temp رو تغییر دهید. ترجیحاً این دو را نیز به به خارج از دایرکتوری public_html انتقال بدهید و در بخش مدیریت آدرس جدید را وارد نمایید :: حذف فایل های غیر ضروری ترجیحاً عکس های اضافه، قالب های اضافه و هرچیزی که جوملا بری شما به صورت پیش فرض نصب می کند را حذف نمایید. در جوملا 1.5 یک مورد هست با نام XML-PRC ، چنانچه نیاز ندارید لطفاً غیر فعال نمایید فولدر Installation و فایل install.php را بعد از نصب جوملا حتماً حذف نمایید وقتی فایل زیپ شده ای مانند بسته ی نصبی جوملا را بر روی هاست آپلود و نصب کردید حتماً اینگونه فایل ها را حذف نمایید. چنانچه احساس می کنید در آینده نیاز است ترجیحاً نام آن را تغییر دهید به طور کلی هرچیزی که مدت هاست استفاده نکرده اید و یا بلااستفاده است یا غیر فعال کنید و یا حذف. هر فایلی یک تهدید بالقوه است. :: تغییر آدرس مدیا در بخش مدیرت تغییرات یا همون Global Configuration یک گزینه هست با نام Path to Media Folder که شما میتونید آدرس فایل هالی عکس و یا فیلمی که آپلود می کنید رو میتونید تغییر بدید. بهتون پیشنهاد می کنم یک فولدر درست کنید و آدرس عکسهاتون رو تغییر بدید :: نصب افزونه قبل از اینکه بخواهید افزونه ای رو روی هاست نصب کنید بهتره اول روی لوکال تست کنید ببنید مشکلی نداشته باشه و با جوملای شما سازگار باشه. بعد از دیتابیس خودتون یک بک آپ بگیرید. می تونید از افزونه هایی که برای اینکار طراحی شدند استفاده کنید. مثل akeba . و در نهایت افزونه ی خودتون رو نصب کنید البته میدونم این کار سخته و راه طولانیه ولی واقعلاً بعضی از مواقع که یک افزونه مشکل ساز میشه متوجه میشید این مرحله چقدر میتونه ارزش داشته باشه! افزونه ها را لطفاً از سایت های معتبر دانلود کنید. معمولاً افزونه هایی که در سایت جهانی جوملا هست معتبره ولی چون تعداد این افزونه ها زیاده و تیم جوملا نمیتونه همشونو بررسی کنه کمی با احتیاط عمل کنید. ترجیح بنده و پیشنهادم اینه که از فروم جوملای جهانی بیشتر استفاده کنید. چون در اونجا اگر افزونه ای مشکل داشته باشه حتماً کاربران مطلبی و پستی در موردش دارند و در اکثر مواقع کلی پیشنهاد ... برای افزونه هایی هم که فارسی شده بهترین مرجع پارس جوم و فروم جومینا هست :: هاست و سرور در مورد هاست وسرور در جلسه ی اول کلی صحبت کردم. ولی چون یکی از موارد بسیار مهمه خواستم بادآوری کنم. ترجیحاً از هاست های اشتراکی استفاده نکنید. از سرورهای معتبر هاست را تهیه کنید. مطمئن شوید پشتیبانی همیشه پاسخگوست. مطمئن شوید در چهار سال اخیر این سرور و دیتاسنتر زیاد به مشکل بر نخورده باشند . و مواردی از این قبیل... :: استفاده از پروتکل SSL اگر توانایی هزینه کردن را دارید حتماً این پروتکل را برای سایت خود فعال کنید. قیمت این پروتکل بنا به آپشن هایی که انتخاب می کنید متغیر است. مثلاً از کدام کشور؟ ساب دامین را نیز پشتیبانی ککند یا خیر ؟ پشتیبانی IDN ؟ و چند چیز دیگر.. ولی حدود قیمت هشتاد هزار تومان در سال قیمت متوسط است. ترجیحاً این را خریداری نمایید. البته ایران تحریمه ولی میتونید از گواهینامه های شرکت های چینی استفاده کنید! :: فایل .httaccess ترجیحاً این فایل را به درستی کانفیگ کنید و بر روی آن رمز عبور قرار دهید. همچنین توسط این فایل بهتر است برای فولدر مدیریت نیز رمز عبرو تعیین کنید. موفق باشید مرتضی پورمحمد بدرود |
|||
|
|
|
۵-۱-۱۳۹۱, ۰۳:۳۹ صبح
ارسال: #2
|
|||
|
|||
|
RE: امنیت در جوملا - پیکربندی (قسمت چهارم)
اینجوری که باید همه چیزو عوض کنیم!!! کسی بلد نباشه سایت میفته پایین که!!
|
|||
|
|
|
|
کاربرانِ درحال بازدید از این موضوع: 1 مهمان