امنیت جوملا

نوشته شده توسط: محمد

امنیت جوملا برای کسانی از ان استفاده می‌کنند و به خصوص کسانی که یکبار سایت انها هک شده است بسیار مهم می‌باشد و نصب فقط کامپوننت‌های امنیتی از قبیل Defender، RS Firewall، X-Defender و یا غیره نمی‌تواند کافی باشد.
به همین منظور در این آموزش راه کارهایی جهت بهبود امنیت وب سایت شما ارائه می‌شود:
اولین و مهمترین نکته بروز رسانی نسخه جوملا ، حذف پلاگینهای ضروری و استفاده از پلاگینهایی که مدام بروز رسانی می شوند

محافظت از طریق .htaccess

کلیه فرآیندهای جوملا براساس ۲ فایل index.php و index2.php انجام می‌شود به همین منظور شما می‌توانید با استفاده از کدهای زیر از اجرای سایر فایل‌های PHP که ممکن است در میان فایل‌های شما آپلود شده باشند و در درون آنها backdoor وجود داشته باشد خودداری نمایید.
کد:

<Filesmatch ".(php)$">
order deny,allow
deny from all
</Filesmatch>
 
<Filesmatch "^index.php">
order allow,deny
allow from all
</Filesmatch>
 
<Filesmatch "^index2.php">
order deny,allow
allow from all
</Filesmatch>

البته ممکن است یک هکر دانا یک backdoor را با نام index.php در یکی از پوشه‌های جوملا شما آپلود نماید به همین منظور از کد زیر در همه زیر پوشه‌ها استفاده نمایید:
کد:

<Files ~ ".(php)$">
Deny from all
</Files>

در پوشه مدیریت نیاز است شما از کد زیر استفاده نمایید:
کد:

<Files ~ ".(php)$">
Deny from all
</Files>

محافظت از طریق FTP

می‌دانید که مشخصات FTP هاست شما در درون فایل configuration.php برای استفاده جوملا وجود دارد و در صورت دست یافتن هکر به این اطلاعات ، هکر می‌تواند به سادگی سایت شما را هک نماید.
به همین منظور شما می توانید دسترسی به FTP را به IP خود سرور و مثلا IP خودتان محدود نمایید.
مثال زیر برای proftpd می‌باشد و این امر برای سایر سرویس دهنده‌های FTP کمی متفاوت است.
در فایل /etc/proftpd.conf خط زیر را اضافه نمایید
کد:

<Limit LOGIN>
Order allow,deny
Allow from 11.۲۲.۳۳.۴۴
Allow from 127.۰.۰.۱
Deny from all
</Limit>

IP شماره ۱۱.۲۲.۳۳.۴۴ مثلا متعلقه به کامپیوتر شما است و IP شماره ۱۲۷.۰.۰.۱ متعلق به سرور است تا بتواند از FTP استفاده نماید

بلوک کردن IP‌ها

معمولا اکثر سایت‌ها نیازی به مراجعه کاربران از کشورهای هکرخیز مانند چین و روسیه ندارند به همین منظور می‌توانید با استفاده از سایت زیر ، بازه IP‌های کشور مورد نظر را یافته و مسدود نمایید:
کد:

countryipblocks.net/country-blocks/select-formats
/sbin/iptables -I INPUT -s 88.147.196.0/88.147.253.255 -j DROP

فایل‌ها و پوشه‌ها

اکنون زمان محافظت از فایل‌ها و پوشه‌ها است. مالک فایل‌ها و پوشه‌ها کاربر FTP و دسترسی پوشه‌ها ۷۵۵ و دسترسی فایل‌ها ۶۴۴ می‌باشد به همین منظور دستور زیر را اجرا نمایید:
کد:

Navigate to joomla root chown -R user:group ./ chmod -R 0644 ./ find . -type d -exec chmod 755 {} ;

با این کار مالک فایل‌های شما تغییر کرده و دیگر PHP قادر به نوشتن بر روی فایل‌ها نمی‌باشد.
البته فراموش نکنید که باید به صورت دستی دسترسی cache و backupsرا ۷۷۷ نمایید.

جوملا خود را به روز نگه دارید

شما همواره باید جوملا خود را به روز نگه دارید و پس از انتشار هر نسخه جدید ، سریعا جوملا خود را به نسخه جدیدتر ارتقا دهید.

محافطت از پوشه administrator

یکی از راه‌های ساده جهت محافظت از جوملا گذاشتن رمزعبور بر روی پوشه Administrator است با این کار در صورتی که هکر ، نام کاربری و رمزعبور شما را هم داشته باشد قادر به تخریب زیادی در سایت شما نخواهد بود.

کاهش دسترسی کاربر admin

کاربر admin که مدیرکل جوملا می‌باشد همواره یکی از اهداف حمله هکرها می‌باشد. به همین منظور یک کاربر مدیر کل دیگر ایجاد نموده و سپس با آن وارد بخش مدیریت شده و دسترسی کاربر admin را به “کاربر ثبت شده” تغییر دهید.

نصب پلاگین jSecure Authentication

نصب این پلاگین باعث ایجاد امنیت بیشتر در مسیر ورودی به مدیریت جوملای شما می‌شود.

تغییر پیشوند جداول دیتابیس

  1. از دیتابیس خود بکاپ بگیرید.
  2. وارد مدیریت جوملا شوید.
  3. در تنظیمات کلی وارد بخش دیتابیس شوید.
  4. پیشوند جداول را به مثلا به rthf_ تغییر داده و سپس ذخیره نمایید.
  5. وارد phpMyAdmin شوید.
  6. وارد export شده و از دیتابیس خود خروجی ساده بگیرید.
  7. کل خروجی ایجاد شده را کپی نمایید.
  8. در phpMyAdmin کلیه جدول‌ها را حذف نمایید.
  9. در notepad عبارت jos_ را مثلا با rthf_ جایگزین نمایید.
  10. وارد تب SQL شده و متن را از notapad کپی و سپس بر روی دکمه Go کلیک نمایید.

 
 
 
در ادامه راهکارهای زیر را نیز مطالعه کنید:
– حذف کامل پوشه installation پس از نصب جوملا.
۲– خودداری از نصب افزونه‌های ناشناس و نامعتبر و کرک شده:
برای مثال یک ماژول یا قالب تجاری که در اینترنت به صورت رایگان توسط برخی سایت‌ ها ارائه می‌شوند ممکن است وسیله‌ای برای نفوذ به سایت جوملای شما باشند (اسب تروا)، یا اینکه افزونه‌ای رایگان ارائه شده ولی تهیه کننده موارد امنیتی را بدرستی رعایت نکرده و این خود زمینه ساز هک سایت شما می‌شود.

۳– استفاده از افزونه‌های امنیتی جوملا:
می‌توانید افزونه‌های امنیتی جوملا را از آدرس http://extensions.joomla.org/extensions/access-a-security/site-security بررسی و نصب نمایید.
۴– تغییر نام کاربری پیش فرض مدیر جوملا.
۵– حتما از رمز عبوری استفاده کنید که برای سایرین قابل حدس زدن نباشد و به راحتی کشف نشوند.
۶– همیشه از یک رمز عبور استفاده نکنید و به صورت دوره‌ای رمز عبور جدیدی استفاده کنید.

۷– رمز عبورهای مختلف برای محیط های مختلف:
برای ورود به مدیریت سایت و مدیریت هاست و دیتابیس و غیره از رمز عبورهای یکسان استفاده نکنید و برای هر یک رمز عبور مجزایی تعریف نمایید. با این روش هنگام فاش شدن یک رمز عبور، دیگر نگران از دست دادن سایت و اطلاعات خود نیستید.

۸– از رمزهای عبور استفاده شده در موارد فوق در سایت‌ها و انجمن‌های اینترنتی استفاده نکنید.
۹- حذف افزونه‌های بلا استفاده در سایت:
اگر از افزونه‌ای استفاده نمی‌کنید بی جهت آن را نگه ندارید چون علاوه بر مزاحمت و اشغال فضا بدلیل اینکه بروزرسانی نمی‌شود امکان نفوذ از طریق آن افزونه وجود دارد.
۱۰- استفاده ازافزونه‌های دارای قابلیت بروزرسانی:
تا حد ممکن ازافزونه‌های معتبری که سازندگان آن، بسته ی بروزرسانی برای افزونه منتشر می‌ کنند استفاده کنید. این کار علاوه بر اینکه باعث می‌ شود افزونه شما مرتب پیشرفته‌ تر شود، بر امنیت آن نیز خواهد افزود.
۱۱– افزونه هایی که در سایت خود استفاده مینمایید را همواره بروز نگه دارید:
به عنوان مدیر یک سایت این وظیفه شما است که از بروز بودن افزونه های سایت خود مطمئن باشید برای این کار میتوانید دائما به سایت های انتشار دهنده این افزونه ها سر بزنید و از بروز بودن آن ها اطمینان حاصل کنید .و البته بسیاری از افزونه در قسمت مدیریتشان نسخه افزونه را اعلام می کنند
۱۲– طول عمر کش را زیاد نکنید این گزینه در پیکربندی سایت قرار داد و برخی موارد دیده ام که طول عمر کش را برخی از سایت زیاد میکنند تا تعداد میهمانان را زیاد نشان دهد . ببینید در پوشه کش جوملا نام کاربری و رمز ورود شما تا زمانی که جلسه کاری به پایان نرسد وجود خواهد داشت و سیستم شما را وارد شده فرض میکند کافی است هکر به این پوشه و پوشه لاگ دسترسی پیدا کند و …
 13– فایل های index.html موجود در پوشه ها را پاک نکنید.
این فایل یک صفحه سفید را نمایش میدهد یعنی اگر کسی مستقیما آدرس یک پوشه را وارد نماید با یک صفحه سفید روبرو می شود. این مورد مخصوصا در پوشه logs , tmp بسیار مهم است.

مطالب مرتبط

نظر شما