۱۰ اشتباه امنیتی در جوملا که نباید مرتکب شوید

10 اشتباه امنیتی در جوملا که نباید مرتکب شوید

کاربران ساده عادت دارند بعد از نصب سیستم مدیریت محتوای سایت آن را همانطور که هست حفظ کنند که این باعث قابل نفوذ شدن وب سایت ها می شود. پس از نصب جوملا چند نکته امنیتی ساده وجود دارد که با رعایت آنها امنیت بسیار بیشتری برای سایت های جوملایی ایجاد می شود. در این مطلب به بررسی ۱۰ اشتباه برتر کاربران جوملا می پردازیم.

بروز رسانی نکردن به آخرین نسخه جوملا

همیشه نسخه های جدید CMS ها با رفع باگهای امنیتی و افزایش کارآیی ارائه می شوند، بنابراین همواره باید جوملا را به آخرین نسخه ارتقاء دهید. بسیار مهم است که نسخه های جدید و Patch های امنیتی را از منابع مطمئن مثل سایت رسمی جوملا دانلود کنید.

همواره قبل انجام آپدیت یک بکاپ از سایت خود داشته باشید که در صورتی که آپدیت باعث ایجاد مشکل در سایت شما شد بتوانید به راحتی به حالت اولیه بازگشت کنید.

کنترل نکردن سطح دسترسی پوشه ها

پوشه هایی با سطح دسترسی بالاتر از ۷۵۵ می توانند سایت شما را بخطر بیاندازند و راه را برای هکر ها برای آپلود شل ها باز می گذارند. همواره بعد از نصب سطح دسترسی فولدرها را کنترل کنید. پوشه هایی با دسترسی بالاتر از ۷۵۵ اجازه ویرایش فایل های داخل خود را به هکر می دهند و بسیار خطرناک می باشند.

کنترل نکردن سطح دسترسی فایل ها

پیشنهاد می کنیم کلیه فایل های جوملا سطح دسترسی ۶۴۴ و یا پایین تر داشته باشند. داشتن فایل هایی با دسترسی بالاتر از ۶۴۴ زندگی را برای هکر ها آسانتر می کند! و به راحتی می توانند به این فایل ها نفوذ کنند.

اجازه آپلود فایل های کنترل نشده ( کامنت، انجمن و … )

هکر ها همواره به دنبال راهی برای آپلود فایل های خود به هاست شما هستند، بنابراین شما باید کنترل کنید که در سایت خود اجازه آپلود چه نوع فایل هایی را به کاربران می دهید. هرگز اجازه آپلول فایل های اجرایی مانند php, phtml و … را ندهید. فقط چند پسوند خاص مثل تصاویر jpg و gifو یا موسیقی های mp3 و هر چه که کم خطر هست دسترسی آپلود بدهید.

دادن اجازه دسترسی به فایل ها و پوشه های مهم

باید از فایل ها و پوشه های حساس حفاظت کنید.

  • فایل configuration.php که تنظیمات اصلی جوملا می باشد
  • فولدر temporary جوملا که کلیه چیزهایی که در جوملا نصب می شود ابتدا به آن آپلود می شود
  • پوشه log های جوملا که فعالیت های سایت را ذخیره می کند و می تواند اطلاعات مهمی به هکر ها بدهد

بهترین کار برای حفاظت از این موارد این است که آنها را از public_html خارج کنید! روش هایی برای انجام این کار هست که با کمی جستجو پیدا خواهید کرد.

کانفیگ نشدن صحیح سرور

 برای امن کردن سرور چند تنظیم php هست که باید روی سرور اعمال شود. معمولا این تنظیمات توسط فایل php.ini به سرور داده می شوند.

  • خاموش کردن register_globals ، به افزونه هایی که از شما درخواست روشن کردن این گزینه را می کنند اعتماد نکنید در نسخه php 6 این گزینه بطور کلی حذف شده است.
  • خاموش بودن safe_mode که در نسخه های جدید php هم بطور کامل حذف شده است چون کارآیی امنیتی لازم را نداشت.
  • خاموش کردن allow_url_fopen هم برای جلوگیری از باز شدن فایل های خارج از سرور توسط اسکریپت ها بسیار مهم است.
  • تابع allow_url_include هم که اجازه اجرا و فراخوانی اسکریپت های ریموت را می دهد باید غیر فعال شود.
  • توابعی خطرناک php را با استفاده از گزینه disable_functions غیر فعال نمایید.

استفاده از نام کاربری admin

مدیریت وب سایت خود را با نام کاربری ساده ای مثل admin انجام ندهید و حتما چنین کاربری را حذف نمایید و کاربر دیگری را مدیر کل سایت کنید. همچنین برای امنیت بیشتر روی پوشه administrator نیز می توانید پسورد بگذارید.

استفاده از رمز ساده برای مدیران

در انتخاب پسوردهای خود بخصوص برای مدیریت وب سایت دقت کنید و از رمز های ساده و قابل حدس استفاده نکنید. همچنین به کاربران خود نیز توصیه کنید رمز های قوی انتخاب کنند.  از یک رمز مشترک برای دسترسی به چند ناحیه مثل مدیریت هاست، مدیریت جوملا، ایمیل و … استفاده نکنید. مطلب انتخاب پسورد مناسب را حتما مطالعه نمایید.

استفاده نکردن از آنتی ویروس مناسب و بروز

امنیت سایت شما از طریق کامپیوتر شخصی شما هم تهدید می شود! ویروس های جدید توانایی اتصال به ftp و آپلود فایل های مخرب به هاست شما را دارند! پس همواره کامپیوتر های خود را نیز با استفاده از آنتی ویروس های مناسب پاک و ایمن نگهدارید.

به سایت سالم خود اعتماد نکنید!

ممکن است شما هیچ علامتی از هک شدن سایت خود نبینید و هکر از طریق سرور شما و بدون اطلاع شما اقدام به سواستفاده و ارسال اسپم کند  یا به سایت های دیگر حمله کند! پس همیشه سایت خود را باید بررسی کنید و تحت نظر داشته باشید. برای بروزرسانی کردن سایت و افزونه های آن منتظر اتفاق بد نمانید!

موارد فوق فقط نکات مختصری برای ایجاد امنیت سایت شما بود. اما اگر سایت مهمی دارید ممکن است لازم باشد برای تامین امنیت آن با افراد متخصص مشورت کنید.

2 دیدگاه

ارسال دیدگاه