امنیت در وب سایت های جوملایی

[Joomla Armator]

در مبحث امنیت باید خدمت تمامی دوستان عرض کنم همونطور که مستحضر هستید هیچگاه امنیت مطلق نخواهد بود بدین معنی که ما سعی داریم امنیت سایت رو بالا ببریم اما هیچگاه بطور قطع نمی توان گفت امنیت سایت 100 برقرار شده(همونطور که دیده شده سایت های گروه های بزرگ امنیتی نیز مورد حجوم قرار میگیره)

لذا این انتظار نباید داشت که صرفا با انجام راه حل های ارائه شده می توان از امنیت وب سایت آسوده خاطر بود گرچه مواردی که در این تاپیک عرض خواهم کرد تا حدود 60-70 درصد می تواند امنیت سایت شما رو بهبود ببخشه.

در حوزه امنیت وب سایت ها در کل همیشه دو بحث مطرح هست:
1.امنیت سرور
2.امنیت وب سایت
هرگاه هریک از این دو عامل امنیت پایینی داشته باشند باید از هک شدن ترسیداما به مراتب میشه گفت امنیت سرور از امنیت سایت بسیار مهمتر هست!!!
علت؟؟؟
زمانی که یک وب سایت نا امن باشه و مورد هجوم واقع بشه (در صورتی که سرور امن باشه)نهایتا فقط و فقط همون سایت هک میشه اما فرض بفرمایید سروری نا امن باشه و بیش از 100 سایت بروی اون سرور سوار شده باشه زمانی که این سرور هک بشه هر 100 سایت هک خواهند شد. کما که مشاهده میشه هکرها برای دسترسی به یک سرور و به قصد هک کردن اون سرور میان و از اون سرور یک هاست خریداری میکنند و...

[Joomla Armator]

با این اوصاف اولین قدم جهت برقراری امنیت یک سایت
انتخاب سرور مناسب هست
چرا که حتی اگر شما تمام تدابیر امنیتی رو برای سایت در نظر گرفته باشید اما سرور خوبی رو انتخاب نکرده باشید؛میشه گفت فقط 10 درصد احتمال داره این سایت هک نشه(اونم واسه اینکه هکر دلش نیاد سرور رو بزنه:d)
اما برای انتخاب سرور مناسب چه باید کرد؟
بررسی و تحقیق در مورد شرکت های ارائه دهنده هاستینگ(گوگل کنید انجمن هایی هستند واسه بررسی هاست ها اونجا تقریبا در مورد تمامی هاست ها بحث شده و معمولا مدیران هاست ها در اون حضور فعال دارند ضمن اینکه میتونید از تجربه کاربران در زمینه استفاده از کدوم سرور استفاده کنید)

نقل از استاد افضلی(جوملا فروم):

معیارهای مهم در انتخاب یک سرور:
1- کیفیت پشتیبانی
2- امنیت سرور
3- نوع توزیعی که شرکت برای میزبانی سرورش استفاده میکنه
4- کشوری که دیتا سنتر در اون هست
5- ماژول هایی که در سرور فعال هست برای وب سرور آپاچی (طبعا بعضی از شرکت ها برخی ماژول های آپاچی رو بسته به نیاز کاربراشون البته اگه سرور اشتراکی بگیرید فعال و غیر فعال میکنند و میدونید که فعال بودن بعضی ماژول ها و یا پیکر بندی بعضی از اونا میتونه امنیت سرور رو با خطر جدی مواجه کنه)
6- سابقه میزبانی شرکت ارائه دهنده هاست و میزان اعتبار اون
7- قابلیت بک اپ روزانه

[Joomla Armator]

گام دوم جهت برقراری امنیت یک وب سایت جوملایی استفاده از آخرین نسخه های جوملا و افزونه ها است؛
سعی داشته باشید از آخرین نسخه ها استفاده کنید چون اکثر باگ ها در نسخه های جدید پچ میشن و تست نفوذ بروی اون ها از طریق تیم های امنیتی انجام میشه...
مهمتر اینکه تا حد امکان به هیچ عنوان از افزونه های نال شده استفاده نکنید زیرا برای نال کردن یه افزونه یا حتی یک قالب برخی از خط های برنامه پاک میشن که احتمال داره همون خط های پاک شده یباگ ایجاد نمایند.

[Joomla Armator]

سومین قدم برای برقرای امنیت یک وب سایت جوملایی نصب افزونه های امنیتی هست البته توصیه میکنم بازم بخصوص افزونه های امنیتی رو از خریداری کنید(نسخه های تجاری رو)اونم از وب سایتهای رسمیشون نه نسخه هایی که برخی افراد نال میکنن و بفروش میرسونند به هرحال افزونه های امنیتی جوملا را از لینک زیر میتونید مشاهده بفرمایید و در صورت نیاز از اون ها استفاده کنید.
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
البته در نظر دارم به حول قوه الهی و کمک سایر دوستان علاقمند یه تاپیک بزنم؛بهترین افزونه های امنیتی جوملا رو به همراه آموزششون قرار بدم؛بخاطر همین هست توی این تاپیک افزونه ها رو معرفی نکردم.
موفق باشید.

[Joomla Armator]

چهارمین قدم برقراری امنیت سایت استفاده از رمز عبور مناسب هست که بسیارمهمه...
در جوملا تمامی پسوردها بصورت Hash ذخیره میشوند که این امر امنیت جوملا رو در رمز عبور بسیار بالا می بره؛یه توضیح اجمال در مورد Hash عرض میکنم خدمتتون:

هش به چه معناست؟
خلاصه کردن یک عبارت به یک رشته ثابت که غیر قابل برگشت؛بدین معنی که اگر شما کلمه joomlafarsi رو هش کنید عبارت33e2d629525941d1498e24221084aea4 بدست خواهد آمد و درحالت عادی این عبارت قابل بازگشت به عبارت جوملافارسی نخواهد بود.

مدل های مختلف هش؟
هش دارای الگوریتم های متفاوتی هست که معروفترین اونها عبارتند از: md5 sha1 sha2 crc32 md2 و... عبارتی مورد نظر شما در هر الگوریتم دارای خروجی خاصی خواهد بود.
در جوملا از الگوریتم md5 برای هش کردن رمز عبور استفاده میشه یعنی هر رمز عبوری در جوملا زده میشه در دیتا بیس با الگوریتم md5 به یک رشته خاص تبدیل و فشرده میشه.

توجه داشته باشید هش کردن با رمز گذاری کاملا متفاوت هست دوستان

خوب عزیزان اگر توجه کرده باشید بنده عرض کردم تنها در حالت عادی نمیشه این عبارت رو برگردوند؟بله؛برخی از سایت ها هستند که اومدن یک دایره المعارف تهیه کردند و انواع عباراتی رو که تونستند دراون ذخیره کردند شما کافی عبارت هش شده رو به اون بدید و عبارت موررد نظر رو برگردونه بهتون؛این ها معمولا سایت هایی هستند که هکرها راه اندازی کردند(هر تکی پاتکی داره دیگه)
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]

راجع به این سایت ها دیگه توضیحی نمیدم خودتون تستش کنید.

این مطالب رو عرض کردم که استفاده از رمزهای عبور مطمئن رو دقیقا حس کنید.
خلاصه مطلب اینکه اگر رمزهای عبوری رو انتخاب کنید که قابل حدس زدن باشن با این که پسورد شما به هش تبدیل شده در جوملا(و این امر امنیت جوملا رو بالا برده)امکان هک رمز عبور شما وجود خواهد داشت.

چه رمز عبوری رو انتخاب کنیم؟
1.تعداد کاراکتر اون حداقل 12 کا1راکتر باشه
2.از ترکیب کلیدها استفاده کنید(از کلیدهای Alt و ... )از علامت های خاص استفاده کنید
3.سعی کنید محتوای رمز عبور هیچ ربطی به موضوع سایتتون نداشته باشه و حتی قابل حدس هم نباشه

یک مثال رمز عبور ایمن

P♦kw@1N/?◘m!*☺○

الان این یک رمز عبور هست که من انتخاب کردم حالا کاری که جوملا میکنه این رو به عبارت (با الگوریتم md5)

26fe1c66698a5f9e916e58d580c6acb9

تبدیل میکنه.
اگر هکر این رو بالفرض مثال بدست بیاره و در سایت های کرکر هش وارد کنه نمیتونه باز رمز اصلی رو بدست بیاره(میتونید بعنوان مثال این عبارت رو تست کنید)
نمونه سایت کرکر هش:

ww.onlinehashcrack.com