|
ويژه امنیت در جوملا - مقدمه (قسمت اول)
|
|
۳-۹-۱۳۹۰, ۰۸:۴۴ عصر
ارسال: #1
|
|||
|
|||
|
امنیت در جوملا - مقدمه (قسمت اول)
مقدمه:
با درود خدمت بازدید کنندگان عزیز. چندی پیش با دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. آشنا شدم و می تونم به جرات بگم یکی از بهترین فروم های متن باز به زبان شیرین پارسی است. بنده در این فروم شروع کردم به پست گذاشتن و به اشتراک گذاشتن دانسته هام در زمینه ی جوملا و نا گفته نمونه ، بیشتر از اینکه یاد بدم یاد گرفتم. تا اینکه چند روز پیش حرف امنیت در جوملا بود و به مدیریت این فروم آقای گنجی پیشنهاد راه اندازی این بخش رو دادم و ایشون با آغوش باز پذیرفتن و بنده ی حقیر رو برای مدیریت این بخش انتخاب کردند. ( دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. )... به همین دلیل شروع کردم به یادگیری امنیت در حوزه های مختلف وب سایت و برای شروع جوملا... دیگه ادامه نمیدم و میرم سراغ شروع!!!! یک نکته مهم : هرجا به مشکل برخوردید در وهله ی اول به دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. مراجعه نمایید و اگر در آنجا پاسخ داده نشد می توانید از طریق وبسایت شخصی بنده دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. پیگیری فرمایید. ولی تمرکز بنده برای امنیت جوملا در فروم پارس جوم خواهد بود :: مسائل امنیتی امنیت در اینترنت! مبحثی که هیچ گاه کهنه نخواهد شد و همیشه جا برای کار وجود دارد. ما در دوره های مختلف ایزو 27001 همیشه یک مطلب را از استادان می شنیدیم : امنیت در تمامی شاخه ها و زیر شاخه های آی تی 100% نیست! امنیت در اینترنت در حال رشد است و همیشه هم با وجود تهدیدات به چالش کشیده شده است. هیچ راهی برای ایمن سازی یک وب سایت به طور 100% وجود ندارد و تمام روش های امنیتی به منسوخ شدن فوری، بهبود تدریجی و تجدید نظر ثابت قرار دارند. احتمال رخنه به تمامی سایت های چه کوچک، چه بزرگ، سازمانی، شخصی، فروشگاهی و ... وجود دارد. آیا شما زمان و توانایی لازم به صورت 7*24 (هفت روز هفته و به صورت 24 ساعته) تمامی اعمال وب سایت خود را زیر نظر بگیرید و هر ثانیه آپدیت های امنیتی را انجام دهید و کارهای اینچنینی؟ آیا شما زمان و منابع لازم برای پاسخگویی به یک جریان ثابت از مسائل امنیتی (در اصل اینترنتی - امنیتی) را در اختیار دارید؟ یا هر ثاینه به فروم های مختلف امنیتی که باگ ها را منتشر می کنند رجوع می کنید؟ بر اساس تجربه ی شخصی معمولاً یک سری نکات را برای طراحی و پیاده سازی وب سایت ها انجام می دهم تا از لحاظ نفوذ پذیری در حد قابل قبولی قرار گیرند. سعی می کنم در مابین مطالب به این نکات اشاره ای داشته باشم ولی چنانچه مایلید سرعتر از بنده پیش بروید می توانید با کمی گشت در فروم پارس جوم شما نیز به مانند بنده به این اصول برسید. امنیت در وب به چند دسته تقسیم می شود 1- امنیت در سرور 2- امنیت در هاست 3 - امنیت در کل سایت (برنامه نویسی و طراحی) 4 - امنیت در پلاگین ها و کامپوننت ها و ماژول ها البته این دسته بندی شخصی بنده است و دسته بندی استاندارد به دو دسته ی امنیت سطح 1 (سرور و هاست) و امنیت سطح دو ( سایت ) تقسیم بندی می شود. البته این را هم اضافه کنم که هر کدام از این بخش ها به زیر مجموعه های ریزتری قابل تقسیم است. مثلاً امنیت سرور خود مبحث مفصلی مانند امنیت و نوع سیستم عامل، امنیت و نوع روتر ، امنیت و نوع فایر وال ، امنیت و نوع ISAسرور ، کانفیگ و .... بخش بندی می شوند. با توجه به تقسیم بندی امنیت در وب که بالا به آن اشاره شد ٫ به این نکته هم توجه کنید برای برقراری امنیت در سطح بسیار بالا یا همون ۹۹٪ شما باید شرایط خیلی خاص داشته باشید: ۱ - لازمه ی اجرای روش های امنیت داشتن تجربه و دانش است. یعنی برفرض از ده راه برقراری امنیت شما با توجه به دانش خود بتوانید پنج تای آن را اجرا نمایید. پس اگر در آینده ی نزدیک در این آموزش ها شما نتوانستید موردی را انجام دهید دلیل بر اشتباه بودن آن نیست! ۲ - لازمه ی بعدی داشتن سطح دسترسی به هاست و سرور است! اگر شما از یک سرور اشتراکی استفاده می کنید٬ ممکن است خیلی از سطوح دسترسی را نداشته باشید. همچنین ممکن است مدیر سرور شما برخی تنظیمات را روی سرور انجام داده باشد که شما نتوانید کار خاصی انجام دهید. مثلاْ محدود کردن حجم آپلود در هرزمان و یا .... ۳ - همه ی تاکتیک های امنیتی مناسب برای تمام نسخه های ممکن است مناسب باشد. ولی پیشنهاد من این است اکر از ورژن های مختلف جوملا استفاده می کنید حتماْ از آخرین نسخه ی آن استفاده کنید. مثلاْ اگر از سری نسخه ۱.۵ استفاده میکنید در حال حاضر آخرین نسخه ی آن ۱.۵.۲۵ می باشد(تاریخ نگارش این متن : ۴/۹/۹۰) :: مهمترین دستورالعمل ها این موارد برای شروع کافی نیست ولی مهم است.همچنین به دلیل بزرگی مسئله و پیچدگی هرروز آپدیت می شود! در اینجا چند رهنمود برای تامین امنیت هر وب سایت به شما پیشنهاد می دهم. چنانچه اینها را انجام دهید به شما قول میدهم خیلی از کار را انجام داده اید و احتمال رخنه کمتر می شود. دقت کنید این موارد برای هر گونه وب سایتی کارایی دارد: ۱- بک آپ گیری منظم: لازم نیست هر دقیقه و ثانیه بک آپ داشته باشید. حداقل خود من وقت این را ندارم تا از سایتم هر لحظه بک آپ بگیرم. ولی یک برنامه ی مدون دارم که در تاریخ هایی از ماه بک آپ را می گیرم. هر ده روز . البته متناسب با سایت شما ممکن است این عدد فرق کند. این عدد را برای سایت شخصی خود یعنی آموزش های نوین فارسی تعیین کرده ام. ولی از سایت فدراسیون اتومبیلرانی هر سه روز حتماْ یک بک آپ میگیرم ... و چون تعداد بک آپ ها زیاده و حجم بالا را اشغال می کنند هر دو ماه ۵۰٪ بک آپ های قدیمی را پاک می نمایم. یک پیشنهاد هم می کنم : ترجیحاْ از بک آپ یک تست بگیرید! من خودم نه وقت دارم و نه حوصلشو ! یکی دو بار هم ضربه خوردم ولی خب دیگه! ۲- بروز رسانی ها: حتماْ و حتماْ و حتماْ سرور٫ سایت ٬ ماژول و .... به آخرین ورژن ها ارتقا دهید. این امر تضمین می کند تا سایت شما از جدید ترین آسیب پذیری ها در امان بوده و از آخرین روش های حمله! دفاع کند! ۳ - استفاده از میزبان امن : اگر این قسمت رو ندارید یعنی میزبانتون امن نیست بهتره دیگه ادامه ی مقالرو نخونید! یک نکته رو دقت کنید گول تبلیغات رو نخورید اون کسی که با سالی هفت هزار تومن به شما همه چی نا محدود میده حتماْ مشکل داره. شک نکنید.. فقط یک دلیل ساده براتون میارم ؛ مگه میشه نامحدود؟؟؟ بزرگترین دیتاسنتر های دنیا همیشه از کلمه ی UnMeter استفاده می کنند نه Unlimited اگر باورتون نمیشه کافیه یه سرچ تو گوگل بکنید و ببینید. چیزی به اسم نا محدود وجود نداره. اونم چی؟ ماهی هفت هزار تومان! راه های تشخصی میزبان مطمئن رو قبلاْ قرار بود مطلبشو آقای گنجی در فروم قرار بدهند. امیدوارم این مهم هرچه زودتر انجام بشه... ۴ - جوامع مجازی : در این مورد خودتون استاد هستید! نمیتونیم امروزه نقش جوامع مجازی مانند فروم ها رو نادیده بگیریم. حتی شاید براتون جالب باشه که سازمان استاندارد جهانی یک کنترل برای این قضیه در نظر گرفته (در حوزه ی امنیت اطلاعات ما برای سرممیزی و برای اینکه به شرکتی گواهینامه صادر کنیم باید ۱۳۳ تا کنترلر رو پیاده سازی کرده باشند) یکی از این کنترلر ها ارتباط با جوامع مجازیه! جالبه ؟ نه؟ علتش اینه که شما رد جوامع مجازی از همه نوع تفکر و نگرشی برخوردار هستید. مثلاْ در همین فروم پارس جوم خودمون! ببینید کافیه یک سوال و یا مشکل داشته باشید غیر ممکنه بیشتر از یک ساعت شما به نتیجه نرسید. و یا حتی میتونید از مشکلات دیگر کاربران اطلاع پیدا کنید و یا از آخرین حفره ها و نحوه ی بستن آنها. بازم بگم؟ مهمترینش اینه که بنده در این فروم فعال هستم :دی از این مهمتر؟! ۵ - عضویت در سایت های رفرنس : راستشو بخواید این هم یجورایی به مطلب بالا ربط داره. مطمئنا شما هر روز به سایت رسمی جوملا سر نمینید ولی حتماْ روزی ده دقیقه پای پست الکترونیکی خود هستید. مثلاْ شما بهتره عضو خبرنامه ی جوملا باشید تا اگر اتفاق مهمی افتاد خود جوملا براتون ارسال کنه. و یا حتماْ عضو سایت های سازنده ی ماژول های مهم و معتبر بشید... :: دو خبر! اخبار بد! » خبر بد شماره یک : امنیت کامل در وب وجود ندارد! همانطور که اقتصاد دانان می گویند " ناهار مجانی وجود ندارد " . هر شخصی با این شعار که "جوملا برنده ی جایزه ی سهولت در استفاده شده است " سعی بر پیاده سازی سایت کرد کاملاْ در اشتباه است. حفظ و نگهداری یک وب سایت امن نیازمند موارد متعددی از جمله مهارت و دانش٫ پشتیبانی٫ به روز رسانی و ... پس اینکه جوملا راحت است کافی نیست یا بهتر بگویم حتی ۳۰٪ هم از کل کار نیست. » خبر بد شماره دو : همیشه بیش از یک راه وجود دارد! با توجه به تنوع و پیچیدگی سیستم های مدرن وب٫ مسائل امنیتی متفاوت و ... یک الگوی واحد نمی توان برای همه مشکلات طراحی و پیاده سازی کرد. پس راه های متفاوت نفوذ و هک ٫ راه های بیشمارتری هم برای جلوگیری را میطلبد. » خبر بد شماره سه : هیچ جایگزین مناسبی برای تجربه وجود ندارد! برای تامین امنیت وب سایت ٫ شما باید تجربه ی واقعی (که بعضی از آنها تلخ خواهند بود) کسب کنید. همیشه پدر بزرگم بهم میگفت از تجربش استفاده کنم ولی من همیشه سرم به سنگ میخورد . متاسفانه این قضیه توی ما ایرانیها خیلی زیاده.. البته واسه من شیرین بوده! یعنی الان که به تاریخ پیوسته٫ شیرین شده. ولی این نصیحت رو از من پیر! قبول کنید "سعی کنید از تجربه ی دیگران استفاده کنید" »خبر بد شماره چهارم: من هم مانند خیلی از دوستان اطلاعات زیادی ندارم و فقط دارم مانند یک دانش آموزش کلاس اول یاد می گیرم و مانند یک دانشجویی که عاشق درس دادنه به عزیزان درس پس میدهم! اخبار خوب! » خبر خوب اول فرعی اینه که فرجاد وارد می شود! :دی ( دوستان در فروم پارس جوم با این جمله آشنا هستند ) » خبر خوب اول اصلی : حتی یک مبتدی نیز می تواند شروع کند! مهم نیست شما در چه سطحی هستید . انصافاً جوملا و دنیای اپن سورس این کمک را به همه کرده تا پیشرفت کنند. خیلی راحت... و از اون مهمتر حتی یک مبتدی هم میتونه امنیت را برای سایت خودش فراهم کنه... اگر شما در حال مطالعه ی این متن و سری مقالات هستید تبریک می گوئئم! در حال حاضر شما یک قدم از باقی عزیزان جلوتر هستید!!!! » خبر خوب دوم : زیاد سخت نگیرید! برای تامین امنیت لازم نیست شما همه چیز ر بلد باشید. لازم نیست PHP / HTML / CSS / FTP / XSS / DDOS / و امثال اینها را کاملاْبلد باشید. کافیست مبانی امنیت رو بدونید و همچنین کمی وقت بگذارید . این را هم اضافه کنم اگر سایت شما از لحاظ اهمیت در درجه ی بالایی قرار ندارد (مثلاٌ سایت سازمان دولتی و یا یک خبرگزاری مهم و ...) زیاد نگران نباشید. در غیر اینصورت این مورد را به خبرهای بد اضافه کنید!و به یک متخصص رجوع کنید چون ما اول راه هستیم! » خبر خوب سوم : شما می توانید هم اکنون کمک بگیرید! اگر سایت شما مورد حجوم واقع شده کافیست با مراجعه به فروم پارس جوم و مطرح کردن مشکل در کمترین زمان ممکن به نتیجه برسید. پایان بخش اول / امیدوارم مطلب خوبی بوده باشه لطفاْ با نظراتتون بنده رو کمک کنید. مرسی موفق باشید مرتضی پورمحمد (فرجاد) |
|||
|
|
|
|
کاربرانِ درحال بازدید از این موضوع: 1 مهمان