{ويژه} امنیت در جوملا (قسمت دوم) – تنظیمات میزبانی وب و سرور

[farjadp]

امنیت در جوملا - امنیت در سرور و هاست و سرور اشتراکی

کاربران عزیز در مقاله مقدمه امنیت جوملا (که در فروم و دردیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
شروع و در سایتدیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
نیز می توانید ببینید به مباحث پایه ای و مقدماتی پرداختیم. حال قصد داریم تا در دومین مقاله به بررسی تنظیمات اصلی و اساسی برای وب و یا سرور بپردازیم. البته تنظیمات سرور رو هنگامی میتونید انجام بدید که دسترسی داشته باشید.

تجربه ی شخصی بنده از سال ۸۲ که وارد دنیای آی تی شدم اینه که یه سرور مطمئن خیلی راه ها برای نفوز رو میگیره. همونطور که در بحث قبلی گفتم اگر این قسمت رو ندارید بهتره بیخیال ادامه مطلب بشید.

خیلی راه ها هست برای اینکه بفهمیم یک سرور مطمئن هست یا نه. به نظرم بهترین شیوه مراحل پایینه‌ :

۱- گوگل را باز کنید!

۲- تایپ کنید « میزبانی وب »

۳- هر کدوم از سایت هایی که خوشتون! اومد رو انتخاب کنید. وارد سایتش بشید و آدرس اینترنتی یکی از مشتریانش رو کپی کنید.

۴ - وار سایتدیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
بشید

۵ - حالا اون آدرسیو که در قدم شماره ی ۳ کپی کردیم رو وارد کنید

۶ - ببینید تاحالا چند بار و چه سایت هایی که روی این سرور هستند هک شدند.. ارزش داره یا نه؟

:: انتخاب ارائه دهنده ی خدمات میزبانی مناسب!

» مهمترین تصمیم:

باز هم برای بار nام میگم. این خیلی مهمه. احتمالاْ هیچ تصمیمی حیاتی تر از انتخاب هسات و سرور مناسب برای امنیت سایت نیست. با توجه به تنوع و گوناگونی گزینه ها و پیکربندی های هاستینگ وسرور٫ به هیچ عنوان امکان ندارد بتوانیم یک لیست معمولی از این انتخاب ها را جدا کنیم. بهتر است چند نکته را که شاید فیلتر مناسبی برای کمتر کردن این لیست است را با هم بررسی کنیم:

۱ - آیا امنیت وب سایت برای شما مهم است؟ و به چه اندازه مهم است؟ ( خیلی کم / کم / متوسط / زیاد / خیلی زیاد )

۲- آیا می توانیم برای یک هاست هزینه ی بسیار بکنیم؟

۳- آیا می توانیم برای امنیت وب سایت نیز هزینه کنیم؟

فکر کنم پاسخ به هر سه مورد همزمان با هم کمک شایانی به دوستان باشد تا بتوانند بین گزینه های موجود انتخابی درست داشته باشند. یک نکته رو تا یادم نرفته بگم: هیچ ارزونی بی دلیل نیست و استفاده از هاستینگ های معتبر دلیل بر مطمئن بودن نیست.

» سرورهای اشتراکی :

پر خطرترین سرورها اینگونه سرورها هستند. اگر هاست شما بر روی اینگونه سرورها قرار دارد پس نباید انتظار داشته باشید تا اطلاعات شما به سرقت نرود. البته زیاد نگران نباشید چون اکثر عزیزان از اینگونه هاست ها استفاده می کنند و چون این سرویس ها به دلیل اشتراکی بودنشان بیشتر مورد استفاده است سعی می کنم مواردی را مطرح کنم تا به این دوستان کمک شود.

» اجتناب از پیکربندی های اشتباه! :

کافیست با کمی در اینترنت نتایج حاصل از جستجوی گزارش هایی مبتنی بر هک شدن سایت هایی که phpinfo()آنها باز بوده است را ببینید. بیش از ۴۰٪ نفوذ ها از طریق اطلاعاتی است که هکرها از همین فایل پیدا می کنند. خیلی آمار تکاندهنده ای است!!! این گزارش ها شامل آمار هشدار دهنده ای درباره ی درصد سایت هایی که با استفاده از تنظیمات بد (افتضاح) مانند rehister_global یا مجموعه ای open_basedir مورد هجوم قرار گرفته اند و نتوانسته اند سرور و یا هاست خود را در برابر نفوذ امن نگه دارند. البته این حداقل کاریست که باید می کردند! به هر حال ٫ اگر تا به حال این کلمات به گوش شما نخورده است و یا خورده! ولی نمیدانید چیست ایرادی ندارد. بنده در این سری مقالات به شما همه چیزی را که یاد گرفته ام توضیح خواهم داد.

:: پیکربندی آپاچی (Apache)

{در آینده ی نزدیک به بحث و مقالات تکمیلی در این زمینه می پردازم}

» استفاده از .httaccess

ابتدا ببینیم این فایل httaccess چیست؟ و چرا برای ما از نقطه نظر امنیت مورد اهمیت است.

httaccess یک فایل متنی (یا همون text خودمون) است. وظیفه ی این فایل هم اینه که تقریباْ تمامی محدودیت های اعمالی بر روی دایرکتوری را بر عهده دارد و میتواند پیغام های خطا را مدیریت کند و چند وظیفه ی مهم دیگر که در مقاله ای جداگانه به طور مفصل هم در فروم پارس جوم و هم در سایت آموزش نوین آی تی به بررسی و توضیح هر کدام می پردازم. ولی نکته ی مهم اینه که اگر کمی غفلت در پیکر بندی اون انجام بشه موجب میشه تا سایتتون از ضریب نفوذ بالایی برخوردار بشه!!!

نسخه های متفاوت جوملا همگی این فایل را دارند و تقریباْ از یک نوع کانفیگ برخوردارند. البته برای اینکه از آن استفاده کنید باید نقطه ی انتهایی را به ابتدا منتقل کنید!

httaccess. >> .htaccess

کافیست توسط یک FTP Manager این کار را انجام دهید... یک گشتی در فروم بکنید متوجه فواید این فایل میشید.

» استفاده از mod_security

پیکربندی دو گزینه ی mod_security و mod_rewrite در آپاچی موجب امن تر شدن سایت شما می شود. برای اینکه از روش های جدید باخبر شوید و بدانید که چگونه هکر ها از پیکربندی غلط این دو گزینه توانسته اند یک سایت را تهدید میکنند می توانید سرچی در موتورهای جستجو بزنید. در زیر نمونه ای از پیکربندی این دو مورد را ملاحظه می فرمایید

RewriteEngine On
RewriteBase /xyz
RewriteRule ^oldstuff\.html$ newstuff.html

و نمونه ی زیر برای mod_security

Order Deny,Allow
Deny from all

البته اینها نمونه های پیش پا افتاده ای هستند که بنده با کمی سرچ دو نمونه را پیدا کردم و به بی نهایت نمونه برخوردم!



:: پیکربندی MySql

پایگاه داده را امن کنید

اولین قدم این است که مطمئن باشید که پایگاه داده و به خصوص سطوح کاربری در حالت محدود هستند. و بعد باید به این قضیه اشاره کرد که این تازه ابتدای راه است و شما تنها با مشخص کردن سطح دسترسی کار خاصی انجام نداده اید! (در حال آماده سازی مقاله ای مرتبط با پایگاه داده هستم. پس از اتمام این دوره آن را شروع می کنم)



:: پیکربندی PHP

» php.ini

شاید عجیب به نظر بیاید ولی کد نویسی هم بخش اعضمی از وب سایت است . پس اگر کدهای خوبی ننویسید و پر از باگ باشد راحت تر می توان به سایت شما دسترسی پیدا کرد!!!

در زبان برنامه نویسی پی اچ پی یک فایل تقریباْ مهم داریم با نام php.ini . دوستان برنامه نویس لطفاْ به پیکربندی این فایل دقت کنند. شما بهتر از بنده در این زمینه استاد هستید و اهمیت این فایل را می دانید. پس دقت کنید. لطفاْ در پیکربندی این فایل به سه نکته ی (سه خط کد) زیر دقت کنید

php_flag register_globals off
php_flag magic_quotes_gpc on
php_value upload_max_filesize 20M

در این زمینه می توانید اطلاعات جامعی در این سایت پیدا کنید.

» کدام ورژن PHP

خیلی وقت است که php4 غیر استاندارد شناخته شده است و همه جا اعلام کرده اند که ایهاالناس آپدیت کنید به php5 . ولی کو گوش شنوا؟؟ شاید باور نکنید ولی سه هفته پیش داشتم برای یکی از مشتریام سایت طراحی می کردم گفت هاست دارم و از شرکت معتبر و بزرگ **** تهیه کردم. منم خوشحال که هزینه نمیکنم و هاستش مطمئنه و پولش میره تو جیب خودم. بعد اینکه کار روی لوکال تموم شد بهم مشخصات هاست رو داد. جوملا رو نصب کردم و چند تا ارور داشتم.. هرکاری کردم درست نشد یه نگاه به مشخصات هاست انداختم دیدم نه تنها از ورژن php4 استفاده می کنه بلکه پشتیبانی محترمشون با تمام اعتماد به نفس میگه این جدیدترین ورژنه... واقعاْ حرفی برای گفتن نداشتم و کلی تشکر کردم و تلفن رو قطع کردم :دی (این ماجرا کاملاْ جدیه. هرکی دوست داره تو پیام خصوصی میتونم اسم این شرکت معتبر رو بگم و برید چک کنید)

جوملا و امنیت در جوملا نیازمند PHP5 است.



» استفاده از کد پی اچ پی disable_function

این تابع بسیار مهم برای غیر فعال کردن توابع خطرناک در PHP به کار می رود و توصیه می کنم حتماْ استفاده کنید. در اینجا من یک نمونه از این کد را برای شما می نویسم.

disable_function = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

چنانچه خواستید با توابع دیگر آشنا شوید می توانید در اینترنت جستجو کنید. ولی این مورد کافیست

» استفاده از کد پی اچ پی open_basedir

open_basedir باید فعال و به درستی تنظیم شده باشد. این تنظیمات فایل‌هایی را که می‌توانند توسط PHP در یک دایرکتوری درختی خاص باز شوند را محدود می‌کند. این تنظیمات از روشن یا خاموش بودن حالت امن هیچ تاثیری نمی‌پذیرد.

نمونه ای از کد را در زیر مشاهده می کنید:
open_basedir = /home/users/you/public_html

دربرخی از پیکربندی‌های سیستم، منظورم سرورهایی است که ورژن پی اچ پی آنها PHP 4.4.8 و یا کمتر است٫ از slash برای محدود کردن دسترسی تنها به دایرکتوری مشخص شده٫ ممکن است سبب اخطار JFolder::create: Infinite loop detected در جوملا شود . البته این موضوع زمانی رخ می دهد . این اخطار به سبب عدم درست کار کردن PHP file_exists() function است. پس بازم برمی گردیم به نکات قبلی که آپدیت باشید!!!!!

» تنظیم صحیح magic_quotes_gpc

magic_quotes_gpc را آن‌گونه که مورد نیاز سایت‌تان است، تنظیم کنید. البته این مورد بیشتر مربوط به جوملا نسخه های ۱.۰ می باشد. ولی به طور کلی بهترین حالت
magic_quotes_gpc =۱ است.

[مرتضی محمدجانی]

با تشکر ا زشما بابات آموزش خیلی خوب و کاربردی
برای وارد کردن وبسایت در سایتی که در بالا فرمودید .
باید به چه آدرسی وارد شویم تا استعلام سرویس دهنده مود نظر را پیدا کنیم؟
با تشکر

[farjadp]

با درود
شرمنده دیر اومدم...
کافیه وارد قسمت آرشیو بشید دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.

البته اگر مشکل هزینه ندارید اگر عضو حرفه ای این سایت بشید با هزینه ی سالیانه میتونید ریپورت های متنوعی بگیرید

موفق باشید
مرتضی پورمحمد