افزایش امنیت جوملا از چه لحاظ دارای اهمیت می باشد؟
برخی از افراد بر این باور می باشند که فقط یک سرویس هاست جوملا خریداری کنند و سایت خود را بر روی آن راه اندازی کنند کفایت می کند
اما نکته ی مهم بعد از راه اندازی سایت جوملایی می باشد! موارد امنیتی است و بدین منظور ضروری است قبل از هرچیزی بفکر تامین امنیتی جوملای خود شویم.
با مسترآموز همراه باشید..
به صورت مختصر و کاربردی مواردی جهت افزایش امنیت پیشنهاد میکنم پس با مسترآموز همراه باشید…
1-حتما نام کاربری Admin را کنارگذارید.
می تواند منجر به هک شدن سایت شود. نام های کاربری Administrator یا Admin یا Manager و امثال این ها تکراری، ساده و قابل تشخیص می باشند.
بدین منظور مراحل زیر را دنبال نمایید:
- وارد کنترل پنل هاست جوملای خود شوید.
- وارد phpmyadmin شوید و دیتابیس مربوط به سایت جوملای خود را انتخاب نمایید.
- جداول دیتابس برای شما قابل نمایش خواهند شد. در این مرحله جدول users را انتخاب نمایید.
- رکورد های جدول برای شما قابل نمایش خواهند بود. از قسمت user login نام کاربری را از admin به یک نام کاربری غیر قابل تشخیص تعریف نمایید.
- هم اکنون نام کاربری شما تغییر یافته است.
2-رمز عبور های خود را قوی تر کنید.
رمز عبور های ساده و کوتاه می توانند بسیار خطرناک باشند.
تغییر نام کاربری admin :
- در phpmyadmin پس از تغییر نام کاربری ، از ستون login password می توانید رمز عبور خود را تغییر دهید. رمز عبور موجود در این فیلد hash شده است و برای رمز عبور جدید نیز باید کد هش شده ی آن را در این قسمت وارد نمایید.
- پس از آن به سایت http://www.md5hasher.net/ مراجعه کنید. این سایت به شما امکان هش کردن رمز عبورهایتان را می دهد.
- رمز عبور خود را در قسمت your input وارد نمایید.
- سپس بر روی hash it کلیک کنید تا کد هش شده را به شما بدهد. تمامی کد را انتخاب نمایید و آن را کپی نمایید.
- این کد را در phpmyadmin و جایگزین کد موجود در قسمت رمزعبور نمایید.
پس از آن میبایست مجدد به مدیریت جوملای خود را نام کاربری و گذرواژه ی جدید و البته ایمن خود لاگین نمایید.
3-بروز رسانی فراموش نشود!
همه می دانیم علت ایجاد نسخه های جدید از هر نرم افزار یا سیستمی ، علاوه بر افزودن امکانات جدید، وجود مشکلاتی در نسخه ی قبلی بوده است. این مشکلات می توانند حفره های امنیتی یا باگ های موجود در نسخه های قبلی باشند.
برای بروز رسانی جوملا و افزونه ها اقدامات زیر را انجام دهید :
- وارد مدیریت جوملای خود شوید.
- در صورت وجود نسخه ی بروز رسانی شده، در مدیریت جوملا اطلاعیه ای برای شما ظاهر می گردد که می توانید از طریق آن جوملای خود را بروز رسانی نمایید. بر روی دکمه ی « اکنون بروز کنید» کلیک نمایید.
- بر روی دکمه ی « نصب نسخه ی بروز رسانی » کلیک نمایید.
- برای بروز رسانی افزونه ها، از مدیریت جوملا بر روی منوی افزونه ها کلیک نمایید، از لیست کشویی باز شده، گزینه ی مدیریت افزونه ها را انتخاب نمایید.
- در صفحه ی مدیریت افزونه ها قسمت بروز رسانی را انتخاب نمایید. افزونه هایی که نیاز به بروز رسانی داشته باشند همگی در این قسمت قابل رویت بوده و می توانید آن ها را به آخرین نسخه ی موجود بروز رسانی نمایید.
4-هوشمندانه بکاپ گیری نمایید…
از اصول اولیه در اداره ی یک سایت تهیه ی بکاپ با فواصل زمانی کم می باشد. در این صورت اگر برای اطلاعات سایت شما مشکلی بجود آید نگرانی نخواهید داشت.
5-باید فایل php را دور از دسترس قرار داد
فایل Configuration.php یکی از مهم ترین فایل های یک سایت جوملایی است و حاوی تنظیمات دیتابیس ها و … می باشد و این فایل در مسیری دور از دسترس قرار داده شود.
مطابق ذیل اقدام کنید:
- فایل configuration.php را انتخاب نمایید. بر روی گزینه ی Move کلیک نمایید.
- مسیر روت هاست را انتخاب نمایید (در واقع می بایست در قسمت مسیر انتقال هیچ چیزی وارد ننمایید) و بر روی Move File کلیک نمایید.
- در مرحله ی بعدی برای اصلاح لینک ها وارد مسیر administrator/includes شوید. فایل php را انتخاب نمایید و بر روی Edit کلیک نمایید و تا کدهای آن در حالت ویرایش قرار گیرند.
کد زیر را پیدا کنید:
1
|
;define(‘JPATH_CONFIGURATION’, JPATH_ROOT)
|
به جای عبارت JPATH_ROOT); عبارت ‘/home/user); را جایگزین کنید و فایل را ذخیره نمایید.
در مسیر نصب جوملا ، پوشه ی includes ، نیز بر روی فایل defines.php نیز همین کار را انجام دهید.
با انتقال فایل به روت هاست ، هیچ گونه دسترسی به این فایل میسر نخواهد بود.
6-دسترسی به فایل php را محدود نمایید.
وقتی که سطح دسترسی این فایل به صورت خواندن، نوشتن و اجرا برای عموم باشد ، این فایل در معرض خطر قرار گرفته و با توجه به اینکه فایل بسیار مهمی نیز می باشد، باید حتما سطح دسترسی این فایل را محدود کنیم.
- بر روی فایل php راست کلیک نموده و از منوی باز شده، گزینه ی Change Permission را انتخاب نمایید.
- سطح دسترسی 0400 را برای این فایل اعمال نموده و بر روی دکمه ی Change Permission کلیک کنید.
7- لایه ی محافظ بر روی مدیریت جوملا ایجاد کنید.
با قرار دادن رمز عبور یا پروتکت برای پوشه ی مدیریت جوملا می توانید یک لایه ی امنیتی برای مدیریت سایت خود ایجاد نمایید بدین ترتیب برای دسترسی به مدیریت جوملا ابتدا یک رمز عبور و گذرواژه برای گذر از پروتکت ایجاد شده دریافت خواهد شد .
وارد هاست خود شوید و در مسیر نصب جوملا بر روی پوشه ی Administrator کلیک راست نمایید. سپس گزینه ی Password Protect را انتخاب نمایید.
8-مسیر مدیریت جوملا را غیر قابل تشخیص کنید
هنگامی که مسیر مدیریت جوملا را تغییر می دهید برای ورود به مدیریت به جای YourDomain.com/administrator از آدرسی مشابه YourDomain.com/sASFlfhw7ejfwM نیز می توانید استفاده نمایید.
در این حالت هیچ هکری قادر به تشخیص عبارتی که جایگزین administrator شده است نخواهد بود!
بدین منظور به صورت زیر اقدام نمایید:
وارد مسیر administrator/includes شوید. فایل defines.php را انتخاب نمایید و بر روی Edit کلیک نمایید و تا کدهای آن در حالت ویرایش قرار گیرند.
کد زیر را پیدا کنید:
1
|
define(‘JPATH_ADMINISTRATOR’, JPATH_ROOT . ‘/administrator’);
|
به جای عبارت JPATH_ROOT . ‘/administrator’); عبارت JPATH_ROOT.DS.’rename’ ); را جایگزین کنید و فایل را ذخیره نمایید.
در مسیر نصب جوملا ، پوشه ی includes ، نیز بر روی فایل defines.php نیز همین کار را انجام دهید.
بجای rename باید نام جدید مدیریت خود را وارد نمایید.
9-هیچ کسی جز ادمین نتواند وارد مدیریت سایت شود.
با استفاده از این امکان می توانید تمامی رنج ip ها را مسدود نموده و فقط ip هایی که خودتان استفاده می نمایید را جهت دسترسی به ناحیه ی مدیریت جوملای خود مشخص نمایید.
10-فایل های کاربران و عدم نمایش آن ها
برخی از افراد هستند که با وارد نمودن انواع نام ها فایل های قابل رویت شما را مشاهده می نمایند.. برای رفع این مشکل می توان از تگ <Files></Files> استفاده نمود.
درون این تگ می توان از همان قابلیت ایجاد محدودیت در دسترسی استفاده نمود. به صورت:
1
2
3
4
|
<Files a.jpg>
Order Allow,Deny
Deny From All
</Files>
|
با وارد نمودن این چند خط کد در فایل .htaccess در مسیر نصب جوملا، می توانید دسترسی به این فایل را محدود نمایید. اگر به جای a.jpg از *.jpg استفاده نمایید نیز این محدودیت بر روی تمامی فایل های با پسوند .jpg اعمال خواهد شد. برای سایر نوع فایل ها نیز به همین ترتیب می باشد. این مورد برای محافظت از قالب های اختصاصی بسیار مفید می باشد که از ریپ زدن قالب می توانیم جلوگیری نماییم.
11-محافظت فایل .htaccess از خودش !
فایل .htaccess فایلی است که حاوی تنظیمات امنیتی سایت ما می باشد و این فایل موارد امنیتی در سطح دسترسی فایل ها اعمال می کند.
فایل .htaccess در مسیر نصب جوملا را باز نمایید و قطعه کد زیر را درون آن قرار داده و ذخیره نمایید.
1
2
3
4
|
<Files .htaccess>
Order Allow,Deny
Deny From All
</Files>
|
به همین راحتی توانستید یک قدم بزرگ در تامین امنیت فایل .htaccess بردارید. با این کد ، فایل .htaccess دسترسی به خودش را نیز محدود می نماید و هیچ شخصی قادر به مشاهده ی اطلاعات آن نخواهد بود.
12-دسترسی به فایل .htaccess را محدودترنمایید.
پرمیشن یا سطح دسترسی این فایل را تغییر دهیم. زمانیکه سطح دسترسی این فایل به صورت خواندن، نوشتن و اجرا برای عموم باشد ، این فایل در معرض خطر قرار گرفته و با توجه به اینکه فایل بسیار مهمی نیز می باشد، باید حتما سطح دسترسی این فایل را محدود نماییم.
- بدین منظور بر روی فایل .htaccess راست کلیک نموده و از منوی باز شده، گزینه ی Change Permission را انتخاب نمایید.
- سطح دسترسی 0444 را برای این فایل اعمال نموده و بر روی دکمه ی Change Permission کلیک کنید.
13-سطح دسترسی یوزر به دیتابیس را محدود کنید.
در زمان نصب جوملا می بایست تمامی Privileges ها برای یوزر دیتابیس فعال باشد ولی پس از آن برای رعایت امنیت میبایست دسترسی های غیر ضروری را از یوزر دیتابیس بگیریم.
- وارد هاست سی پنل خود شوید. از قسمت Database ، گزینه ی MySQL Databases را انتخاب نمایید.
- در لیست دیتابیس های موجود، دیتابیس جوملای خود را بیابید. بر روی نام یوزر اتصال داده شده به این دیتابیس کلیک نمایید تا Privileges های آن نمایان شود.
- در قسمت Manage User Privileges فقط 4 گزینه ی Insert، Select، Delete و Update را فعال و بقیه ی موارد را غیر فعال نمایید. سپس بر روی Make Changes کلیک نمایید.
هم اکنون سطح دسترسی یوزر دیتابیس شما نیز محدود شده است. ولی به این نکته توجه داشته باشید که برای ارتقاع دیتابیس و جایگزینی جداول میبایست مجدد این گزینه ها را فعال نمایید.
14-از چه منبعی جوملا و افزونه هایمان را دانلود کنیم؟
همیشه سعی نمایید برای سایت جوملایی خود از منبع رسمی جوملا یعنی joomla.org و در صورت نیاز به منبع فارسی، از سایت joomlafarsi.ir که تنها منبع رسمی جوملا فارسی درایران می باشد فایل های خود را تهیه نمایید.
15-هرآنچه را که نیاز هست را دور بیندازید.
این نکته را فراموش نکنید که فایل های اضافی در هاست ، می توانند خود منجر به ایجاد حفره های امنیتی در سایت شما شده و خطراتی را بوجود آورند.