سلام دوستانم حالتون خوبه امیدوارم که شاد وسلامت باشید امروزه بحث امنیت سایت ها بسیار پیچیده و حساس  است به طوریکه یکی از دغدغه های اکثر مدیران وب سایت تبدیل شده است. امروز میخوام در موزد این موضوع بیاموزیم .

Joomla 3 نیز مانند دیگر برنامه های منبع آزاد (open source) در معرض حمله ی هکرها قرار دارد . به همین دلیل, انجام اقدامات امنیتی از اهمیت بالایی برخوردار است . برای به حداقل رساندن این احتمالات (مانند هک شدن) دستورالعمل های زیر را دقیقا اجرا کنید :

Joomla و extension های آن را به صورت مداوم آپدیت کنید.

از جزئیات ورود (مانند رمزعبور و نام کاربر) منحصر به فرد و مناسب استفاده کنید.

از سطح دسترسی مناسب برای فایل و مالکیت آن استفاده کنید (Proper File permission & ownership).

حتماً از افزونه های امنیتی استفاده کنید.

به صورت مداوم از وب سایت جوملایی خود فایل پشتیبانی تهیه کنید.

به شدت از صفحه ی مدیریتی (administrative page) خود محافظت کنید.

مرحله ی اول : Joomla و extension های آن را به صورت مداوم آپدیت کنید.

مهمتریت قدم در ایمن سازی و حفظ امنیت وب سایت joomla، ارتقاء دادن مداوم آن به آخرین نسخه ی برنامه می باشد. تقریباً در تمام نسخه های جدید، راه حل ها و امکانات تازه برای رفع مشکلات امنیتی برنامه وجود دارد.

به روز رسانی extension های joomla نیز به همان اندازه برای حفظ امنیت وب سایت اهمیت دارد. در واقع، تعداد حملاتی که از ضعف های امنیتی extension ها برای هک کردن سایت استفاده می کنند بیش تر از حملاتی است که با رخنه در فایل های اصلی joomla هک را انجام می دهند .

مرحله ی دوم : از جزئیات ورود (مانند رمزعبور و نام کاربر) منحصر به فرد و مناسب استفاده کنید.

image

در مرحله ی اول، باید از به کار بردن username هایی مانند “admin” و “administrator” اکیداً خودداری کنید . نام کاربری های مزبور اولین جزئیاتی هستند که هکر استفاده می کند.

قدم بعدی، انتخاب رمزعبوری پیچیده و منحصر به فرد برای وب سایت است. بعضی از هکرها سعی می کنند به زور وارد وب سایت شوند، به این معنی که، فهرستی از رمزعبورهای معمول و پرکاربرد پیش روی خود دارند و با کمک آن ها سعی می کنند وارد سایت شما شوند. نکاتی وجود دارد که به کمک آن ها می توان سایت را در مقابل چنین حملاتی ایمن نگه داشت :

از کلمات معمول و پرکاربرد همچون love, god, pass, admin, admin 123 خودداری کنید.

اطلاعات شخصی همچون نام و نام خانوادگی را به عنوان رمزعبور به کار نبرید.

از password generator (برنامه های تولید رمزعبور) خودداری کنید. برنامه ی مذکور از الگوریتم برای تولید رمز استفاده می کند که به راحتی توسط هکرها دستکاری می شود.

تا حد ممکن از ارقام، حروف بزرگ و کاراکترهای خاصی همچون (*!@#)$) در رمزعبور خود استفاده کنید.

مرحله ی سوم : از سطح دسترسی مناسب برای فایل و مالکیت آن استفاده کنید(Proper File permission & ownership)

image

موضوع دیگری که باید برای حفظ امنیت وب سایت به آن توجه کرد، انتخاب مجوزهای (سطح دسترسی) مناسب برای فایل ها و پوشههای joomla است . به شما پیشنهاد می کنیم برای تنظیم سطح دسترسی (permission) مناسب از توصیه های زیر پیروی کنید :

سطح دسترسی پوشه های joomla را روی ۷۵۵ تنظیم کنید.

سطح دسترسی فایل های joomla را روی ۶۴۴ تنظیم کنید.

سطح دسترسی فایل configuration.php را روی ۴۴۴ تنظیم کنید.

هیچگاه از سطح دسترسی ۷۷۷(دسترسی کامل) استفاده نکنید.

مرحله ی چهارم : حتماً از extension (افزونه) های امنیتی استفاده کنید.

استفاده از افزونه های امنیتی روش دیگری است که به بهبود هر چه بیشتر امنیت سایت کمک می کند . می توانید از افزونه ی امنیتی jHackGuard برای بهبود امنیت سایت خود استفاده کنید. در زیر فهرستی از کارآمدترین افزونه های امنیتی را می بینید.

jHackGuard

Akeeba Admin Tools

jomDefender

jSecure

مرحله ی پنجم : به صورت مداوم از وب سایت joomla فایل پشتیبانی تهیه کنید.

سعی کنید در فواصل معین از وب سایت جوملایی خود backup بگیرید. باید همیشه یک کپی از فایل پشتیبانی وب سایت joomla و بانک اطلاعاتی آن در حافظه ی کامپیوتر خود نگه دارید.

مرحله ی ششم : به شدت از صفحه ی مدیریتی (administrative page) خود محافظت کنید!

اگر (دسترسی به سایت) joomla را طوری تنظیم کنید که فقط از طریق admin area بتوان وارد آن شد, امنیت وب سایت به صورت قابل توجهی بهبود می یابد. برای این منظور, ابتدا باید با رمزعبور از پوشه /administrator محافظت کنید. پس از انجام این کار، باید رمزعبور دیگری برای مشاهده فرم login (ورود) وارد کنید.

image

سپس, می توانید دسترسی به دایرکتوری /administrator  را فقط به آدرس IP خودتان محدود کنید . چناچه, فایلی به نام “.htaccess” در دایرکتوری /administrator وجود ندارد, یکی ایجاد کرده و آن را توسط FTP آپلود کنید . متناوباً، می توانید خطوط زیر را به انتهای فایل .htaccess اضافه کنید :

Deny from ALL

Allow from x.x.x.x

توجه داشته باشید که باید آدرس  IPعمومی خود را جایگزین x.x.x.x کنید . برای پیدا کردن آدرس IP خود می توانید از سایت What Is My IP Adress کمک  بگیرید . برای افزودن چند IP به طور همزمان، کافی است فرمان Allow from x.x.x.x را در خط جدیدی تکرار کرده و آدرس را تغییر دهید.

توجه : چناچه ارائه دهنده ی خدمات اینترنت, آدرس IP پویا در اختیار شما قرار می دهد استفاده از  قابلیت محدود کردن آدرس IP گزینه ی چندان مناسبی نمی باشد زیرا هر بار که IP شما تغییر می کند باید به دنبال آن، فایل htaccess را نیز ویرایش کنید .