زمان کنونی: ۳۱-۱-۱۴۰۳, ۱۲:۲۱ صبح درود مهمان گرامی! (ورودثبت نام)

پارس جوم :: انجمن های تخصصی جوملا آموزش آموزش امنیت v راهکارهای افزایش امنیت سایت های جوملایی

ارسال پاسخ 
 
امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5
راهکارهای افزایش امنیت سایت های جوملایی
۲۱-۶-۱۳۹۱, ۰۵:۴۷ عصر
ارسال: #1
nohz آفلاین
نوید
****
عضو حرفه ای 		ارسال‌ها: 373
تاریخ عضویت: ۷ ارديبهشت ۱۳۹۱
اعتبار: 10
سپاس ها 229
سپاس شده 160 بار در 93 ارسال
راهکارهای افزایش امنیت سایت های جوملایی
با توجه به گسترش روزافزون هکرهای اینترنتی، افزایش امنیت سیستم مدیریت محتوای سایت شما بسیار مهم و حیاتی می باشد.
بسیاری از طراحان وب بیشترین زمان خود را صرف طراحی گرافیکی و بالا بردن رتبه سایت در گوگل می کنند و زمان نسبتا کمی را برای بالا بردن امنیت سایت صرف می کنند.
در این مقاله سعی شده است تا با ارائه راه کارهای مختلف شما را در بالاتر بردن امنیت سیستم مدیریت محتوا جوملا یاری رساند.

1.ایجاد بک‌آپ از سایت
اولین و مهمترین قدم در جلوگیری از عواقب هک شدن سایت ایجاد بک‌آپ از سایت می باشد که این بک‌آپ شامل فایل های اصلی جوملا و نیز دیتابیش جوملا می شود.
گرفتن بک‌آپ بصورت ماهیانه را در برنامه خود بگنجانید زیرا با در اختیار داشتن بک‌آپ شما می توانید درصورت مواجهه با هر مشکلی آن را صرف چند ساعت به حالت اولیه بازگردانید.

2.بروزرسانی نسخه جوملا
با توجه به کدباز بودن سیستم مدیریت محتوا جوملا، احتمال یافت شدن رخنه های امنیتی در آن بالا می باشد و برای درامان ماندن از هک بوسیله این رخنه های امنیتی شما می بایست همیشه از آخرین نسخه های جوملا که توسط وب سایت رسمی جوملا منتشر می شود استفاده نمایید.

3.احتیاط در استفاده از ماژول و کامپوننت ها
ماژول ها و کامپوننت هایی که توسط خود جوملا منتشر نمی شوند به عنوان دسته سوم (3rd Party) شناخته می شوند.
بسیاری از سایت های جوملایی بواسطه رخنه های امنیتی موجود در ماژول ها و کامپوننت های دسته سوم هک می شوند.
در زمان نصب کامپوننت و ماژول دسته سوم نسبت به مسائل امنیتی آن تحقیق کنید و نیز آخرین نسخه های آن را نصب و بصورت مداوم بروز نمایید.
در زمان حذف ماژول و کامپوننت نیز از پاک شدن کامل فایل های مربوط به آن و نیز اطلاعات مربوط در دیتابیس اطمینان حاصل نمایید.

4.سطح دسترسی پوشه ها
به محض پایان تنظیمات و نیز نصب کامپوننت ها و ماژول های لازم، سطح دسترسی تمامی پوشه های را به 744 تغییر دهید.
برای انجام این کار می توانید از Cpanel ارائه شده استفاده نمایید.

5.سطح دسترسی فایل ها
سطح دسترسی تمامی فایل ها را به 644 تغییر دهید.

6.سطح دسترسی به Configuration.php
سطح دسترسی به این فایل را به 644 تغییر دهید.
این مورد بسیار مهم می باشد چون تنظیمات اصلی جوملا در این فایل گنجانده شده است.

7.امنیت .htaccess
تمامی نسخه های منتشر شده جوملا شامل فایل .htaccess می باشند که شما می توانید با استفاده از آخرین نسخه این فایل بسیاری از رخنه های امنیتی شناخته شده در سایت خود را از بین ببرید.
آخرین نسخه این فایل را به سرور انتقال داده و سطح دسترسی آن را به 644 تغییر دهید.

8.تنظیم Register Globals
در محیط مدیریتی جوملا از غیرفعال بودن Register Globals اطمینان حاصل کنید.
در صورت روشن بودن آن (Register Globals Is Set To On) با شرکت میزبانی وب خود تماس گرفته و از آنها بخواهید تا این قابلیت را برای شما غیرفعال نمایند.
راه دیگر برای غیرفعال کردن این قابلیت تغییر فایل .htaccess و افزودن کد زیر به آن می باشد.
php_flag register_globals off



جوملا (Joomla) سیستم مدیریت محتوا بسیار بزرگی است که در سراسر جهان مورد استفاده قرار می گیرد. به همین دلیل، هکرها اغلب سعی می کنند راهی برای نفوذ به وب سایت های ایجاد شده توسط جوملا پیدا کرده و به آن سایت ها حمله کنند. در این مقاله با ۷ نکته برای بهینه سازی سیستم امنیتی جوملا، برای جلوگیری از هک شدن وب سایت جوملای خود آشنا می شوید.به عنوان جعبه کمک های اولیه، همیشه به یاد داشته باشید به طور منظم یک نسخه ی پشتیبان (Backup) از وب سایت و پایگاه داده خود تهیه کنید. اگر در این حالت سایت شما هک شود، با استفاده از پشتیبان، همیشه می توانید به نسخه های قدیمی تر وب سایت خود برگردید. اطمینان حاصل کنید افزونه ای که باعث آسیب پذیری سایت شما گشته را پیدا کرده و آن را حذف کنید.
تغییر پیشوند پیش فرض پایگاه داده (jos_)
بیشتر حملات تزریق اس کیو ال (SQL injections) که به منظور هک نمودن وب سایت های جوملا نوشته می شوند، سعی در بازیابی داده ها از جدول . دارند. به این ترتیب، این حملات می توانند نام کاربری و رمزعبور مدیر وب سایت را بازیابی و در اختیار هکر قرار دهند. تغییر پیشوند پیش فرض به چیزی تصادفی، می تواند از اکثر و شاید همه حملات تزریق کد جلوگیری نماید.
شما می توانید در هنگام نصب جوملا روی وب سایت، پیشوند پایگاه داده را تغییر داده و به چیزی دلخواه تنظیم کنید. اگر قبلا جوملا را نصب کرده و حالا می خواهید این پیشوند را تغییر دهید، اقدامات زیر را انجام دهید:
• به سیستم مدیریت جوملای خود وارد شوید (Log on)
• به تنظیمات سراسری (global configuration) رفته و پایگاه داده را جستجو کنید.
• پیشوند پایگاه داده خود را تغییر دهید (به عنوان مثال: fdasqw_ یا _mohsen) و روی Save کلیک کنید.
• برای دسترسی به پایگاه داده (database) خود به phpMyAdmin بروید.
• به تب export بروید، تمام مقادیر پیش فرض را به حال خود رها کرده و دکمه Start را بزنید. ساخت و دانلود خروجی از بانک اطلاعاتی می تواند مدتی به طول بیانجامد.
• وقتی که این کار انجام شد، همه کدهایی را که نمایش داده شده، انتخاب کرده و آن ها را در یک فایل متنی در notepad (یا هر ویرایشگر متنی دیگر) کپی کنید.
• در phpMyAdmin ، همه جداول (tables) را انتخاب و آنها را حذف (delete) کنید.
• در ویرایشگر متنی که کدها را وارد کرده اید عمل جستجو و جایگزینی (search and replace) را انجام دهید.در کادر عبارت جستجو jos_ را وارد کرده و در کادر جایگزینی با، پیشوند جدید خود (مثلا fdasqw_) را وارد کرده و دکمه Replace all را فشار دهید.
• با زدن Ctrl + A همه متن را انتخاب کرد و از آن کپی بگیرید. در phpMyAdmin به SQL رفته، query ها (متن کپی شده) را پیست کرده و روی Start کلیک کنید.
شماره نسخه و نام افزونه را حذف کنید
بیشترین آسیب پذیری ها تنها در نسخه های ویژه ای از افزونه های (extension) خاص رخ می دهند. نمایش نسخه 2.14 از افزونه ای مثل MyExtension چیز واقعا بدی است. شما می توانید با انجام اقدامات زیر کاری کنید که این پیام تنها نام افزونه را نشان دهد:
• همه فایل های افزونه را از روی سرور خود دانلود کنید.
• برنامه Dreamweaver را باز کنید.
• هر کدام از فایل های افزونه را که روی کامپیوتر خود دانلود کرده اید بارگذاری کنید.
• از بخش جستجو استفاده کرده و جستجو را در حالت «Search through specified folder» تنظیم کنید. به پوشه ای که افزونه را در آن دانلود کرده اید، بروید.
‏ • MyExtension 2.14 را به عنوان عبارت جستجو وارد نموده و OK کنید تا در تمامی فایل های پوشه انتخابی به دنبال آن بگردد.
• هنگامی که فایل درست را یافتید، شماره ورژن (version number) را حذف کنید.
• فایل تغییریافته را روی سرور آپلود کرده و بررسی کنید که تغییرات اعمال شده یا خیر.
از عناصر متناسب با موتور جستجو استفاده کنید.
اکثر هکرها از دستورGoogle inurl: command برای یافتن و بهره برداری از آسیب پذیرها بهره می گیرند. از افزونه های مبتنی بر SEF، sh404sef و ARTIO برای بازنویسی url در جوملا بر اساس اصول SEF استفاده کنید تا جلوی نفوذ هکرها از طریق پیدا کردن آسیب پذیری های اینچنینی را بگیرید.
علاوه بر این، وقتی که از آدرس URL متناسب با قوانین موتور جستجو (SEF یا Search Engine Friendly) استفاده کنید، در موتورهای جستجو مانند گوگل رتبه بندی بالاتری برای نمایش سایت خود در نتایج جستجو بدست خواهید آورد.

جوملا و افزونه های آن را همیشه به روز نگه دارید
این یکی که بسیار آشکار است. همیشه به دنبال استفاده از آخرین نسخه های جوملا و همچنین افزونه های نصب شده در آن باشید. بسیاری از آسیب پذیری های نسخه های قدیمی تر در نسخه های جدیدتر برطرف شده و می تواند گره گشای مشکلات شما باشد.
برای هر پوشه و فایل از CHMOD صحیح استفاده کنید.
تنها زمانی تنظیم پرمیشن فایل ها و یا پوشه ها را CHMOD of 777 or 707 قرار دهید که یک اسکریپت نیاز به بازنویسی آن فایل یا دایرکتوری داشته باشد. همه فایل های دیگر باید تنظیمات زیر را داشته باشند :
• فایل های پی اچ پی : 644
• فایل های پیکربندی (Config) : 666
• سایر پوشه ها : 755
فایل های باقی مانده و زائد را حذف کنید
هنگامی که یک افزونه نصب می کنید اما بعد می فهمید نیاز و تمایلی به استفاده از آن ندارید، افزونه را به حال خود رها نکنید. اگر چنین کاری را انجام دهید، فایل های آسیب پذیر هنوز هم در وب سایت شما وجود دارند. بنابراین به سادگی از منوی un-install استفاده کنید تا از شر افزونه های زائد خلاص شوید.
فایل .htaccess را تغییر دهید.
خطوط زیر را به فایل .htaccess خود برای جلوگیری از برخی از سوء استفاده رایج وارد کنید:
کد: (انتخاب همه)
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a tag in URL
RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
امضاء nohz
راه رفتن در زمین های ناهموار بهتر از روی آسفالت است .
یكی از ضررهای آسفالت اینست كه بر روی پاشنه پا فشار می آید
و موجب ضعیف شدن چشم و قلب می شود.

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
مشاهده‌ی وب‌سایت کاربر یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ بازگشت به بالا
 سپاس شده توسط محمدرضا بهارلو ، btheme ، farjadp
ارسال پاسخ 


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان
تماس با ما | پارس جوم :: انجمن های تخصصی جوملا | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS