افزایش و بهبود امنیت جوملا با 12 ترفند
در طول دهه گذشته انقلاب در دسترسی به اینترنت رخ داده است.
در حالیکه وب سایت های ساختمانی تنها دامنه توسعه دهندگان و برنامه نویسان بود،
امروزه به مهارت های برنامه نویسی نیاز نداشته باشید حتی از پیچیده ترین وب سایت ها را نیز تنظیم کنید.
این انقلاب توسط جنبش Open Source (OS) هدایت شده است
که با ایجاد همبستگی بین افراد مختلف برای ایجاد یک نرم افزاری که به صورت رایگان برای هر کسی که بخواهد آن را دانلود کند، برآورده شده است.
تا آنجا که به وب سایت ها مربوط می شود، راه حل پیشرو در سیستم عامل وردپرس،
با تقریبا 20 درصد از تمام وب سایت های اینترنتی است که بر اساس این راه حل به وجود آمده است.
جوملا جایی نزدیک است اما تقریبا 7٪ از اینترنت در حال حاضر از جوملا استفاده می کند.
جوملا زندگی را به عنوان بخشی از پروژه مامبو آغاز کرد اما در سال 2005 از بین رفت.
مانند وردپرس، جوملا یک چارچوب را فراهم می کند
که تازه کارها می توانند برای ایجاد وب سایت های دینامیک که به راحتی قابل تغییر و به روزرسانی هستند، استفاده کنند.
چرا جوملا ؟
جوملا توسط یک جامعه گسترده از توسعه دهندگان پشتیبانی می کند که قالب های تجاری و بدون هزینه را ایجاد می کنند
که تغییر ظاهر یک وب سایت و بطور معنادار هزاران ماژول و پلاگین را تغییر می دهد که قابلیت سایت را تغییر می دهد.
برای مثال، اگر شما یک بنر متحرک را می خواهید، برای آن یک ماژول وجود دارد.
اگر شما نیاز به تبلیغ Adsense در سایت خود دارید، یک ماژول برای آن وجود دارد.
اساسا، ماژول برای هر چیزی که می توانید تصور کنید وجود دارد. اینجا را ببین.
در حالی که نرم افزار جوملا رایگان است، به این معنا نیست که بدون هزینه است.
در حالی که شما می توانید جوملا را بدون هزینه دانلود کنید، بنابراین لژیون هکرهایی هستند که قصد دستکاری جوملا را برای سود خود دارند.
آنها همچنین می توانند کد را دانلود کرده و آن را deconstructing و دقیقا یاد بگیرند که چگونه از آن برای کسب سود خود بهره برداری کنند.
مورد علاقه خاص کد تزریق به سایت های جوملا است که یک سایت را به صفحاتی که هکرها می توانند پول بدست آورند هدایت می کند.
چگونه می توانید از این نوع رفتار خود محافظت کنید؟
در زیر تعدادی از راهنمایی هایی وجود دارد که ممکن است به شما در جلوگیری از هک شدن سایت شما کمک کند
و اگر به سرعت به سرعت به اینترنت بازگردید، سریعا به اینترنت متصل شوید.
1. فایل .htaccess جوملا را فعال کنید
هنگامی که شما نصب جوملا آن را همراه با یک فایل .htacess است که با کد بارگذاری شده است که شما را از برخی از سوء استفاده های آشکار حفاظت می کند.
مطمئن شوید که این فایل را فعال کرده اید و با استفاده از یک فایل blank .txt آن را ننوشته اید. نام را از .htaccess.txt به .htaccess تغییر دهید.
2. همه چیز را نگه دارید
خوشبختانه جامعه جوملا در حال مبارزه با هکرها است.
آنها به طور مرتب جوملا را با رفع امنیتی به روز می کنند و وقتی بهروزرسانی لازم است، صاحب وب سایت می شود.
روی «بروزرسانی» کلیک کنید و جوملا به راحتی به آخرین نسخه تبدیل می شود.
متاسفانه، ارتقاء ماژول ها به صورت خودکار انجام نمی شود:
برای هر بروزرسانی اتوماتیک، باید آخرین نسخه از ماژول ها و پلاگین هایی را که استفاده می کنید را به طور دستی دانلود و به روز کنید.
اگر شما این کار را نکنید، وب سایت خود را تا حد امکان سوءاستفاده می کنید.
3. از یک رمز عبور قوی استفاده کنید و نام مدیرتان را تغییر دهید
سیستم جوملا افرادی را که سایت های جوملا را “مدیران سوپر” می برند و افرادی را که نام کاربری “Administrator” را به آن اضافه می کنند، به شما می گوید.
متأسفانه، بخش بزرگی از هک ها از طریق “نیروی بی رحم” انجام می شود – به این معنی که کسی نشسته است و فقط کلمات عبور را حدس زده تا زمانی که درست نباشد.
با انتشار «Administrator» به عنوان نام مدیر Super Administrator، چیزهایی که برای هکرها ساده می شوند را ساده می کند.
دانستن نام مدیر شما، فقط باید رمز عبور را حدس بزنید، و اینکه چگونه این “myjoomlawebsite123” یا چیزی شبیه به آن ساده است؟
نام جوملا اجازه نمی دهد که نمادها، اما اگر شما نام مدیر خود را به چیزی likiki “3TChVEVWxBYM2PM” تغییر دهید و رمز عبور خود را به “mSXfCaXcwvo7cWk” شما زندگی خود را سخت تر.
ژنراتور رمز عبور تصادفی مانند Generator Password Secure را امتحان کنید تا چیزهای بیشتری را امن کنید.
4. نگاهی به برنامه های افزودنی که می خواهید استفاده کنید
هسته محبوبیت جوملا گسترش آن (ماژول ها، پلاگین ها، قالب ها) است اما البته همه توسعه دهندگان با هم برابر نیستند.
بعضی از افراد به طور ناگهانی سایت خود را برای سوء استفاده باز می کنند، بنابراین شما باید تحقیقات خود را انجام دهید.
نگاهی به جوملا! دایرکتوری افزوده (JED) (به لینک https://extensions.joomla.org/) و اطمینان حاصل کنید که ماژول یا پلاگین مورد نظر شما دارای شهرتی خوب است.
به همین ترتیب، فقط در سمت امن باشید، ماژول ها و پلاگین هایی که استفاده نمی کنید را حذف کنید.
این به نفع افزایش سرعت سایت شماست.
5. تنظیم اعتبار دو عامل
سایت هایی که از نسخه 3 جوملا استفاده می کنند می توانند از احراز هویت دو عامل استفاده کنند.
این به این معنی است که کسی که برای ورود به سیستم باید یک نام کاربری، یک رمز عبور و رمز عبور یک بار (OTP) را به طور خودکار ایجاد کند تا از سایت ها در برابر نفوذ محافظت کند.
Backend جوملا جزئیات بیشتری در مورد نحوه تنظیم این مطلب ارائه می دهد:
6. غیرفعال کردن ثبت نام کاربر
جوملا برای وب سایتهایی که جوامع دارند طراحی شده است.
مردم می توانند ثبت نام کنند تا عضو شوند و شما می توانید مستقیما از بنتن به اعضا ارسال کنید.
اگر شما یک وب سایت اجتماعی دارید این جذابیت است، اما بدیهی است که سایت شما آسیب پذیر است.
اگر شما یک خبرنامه داشته باشید، از چیزی مانند YMLP استفاده کنید.
با این حال، بهتر است بازدیدکنندگان را به فیس بوک یا سایر رسانه های اجتماعی هدایت کنید و آنها را مدیریت کنید.
7. از URL های موتور جستجوگر استفاده کنید
مردم از URL های موتور جستجوگر دوستانه (SEF) استفاده می کنند، زیرا به گوگل اجازه می دهد سایت شما را راحت تر متوجه شود.
بنابراین www.mysite.com/099-626-xccm.php به www.mysite.com/friendly-url تبدیل می شود.
با این حال، URL های SEF دارای مزیت افزوده شده به مخفی ساختن سایت شما هستند.
دانستن ساختار سایت می تواند هکرها را برای افزودن سوء استفاده آسان تر کند. فقط روی دکمه کنترل پنل کلیک کنید:
8. محدود کردن دسترسی ویرایشگر
با هماهنگی این اخلاق جامعه، جوملا در مورد محتوای جالبی احساس همدلی واقعی دارد.
مدیران سوپر می توانند مدیران برخی از کاربران را ویرایش کنند و توانایی تغییر برخی از محتوای جوملا را بدون نیاز به دسترسی به سیستم backend داشته باشند.
در دنیای ایدهآل، این یک رویاست – یک وبسایت که مردم میتوانند به برخی صفحات دسترسی داشته باشند و به صورت خودکار آنها را به روزرسانی کنند، وبسایت خود را با تلاش اسمی در جریان قرار دهیم.
اما البته این دسترسی به بهره برداری باز است و حتی اگر مردم شروع به دوستانه کنند، می توانند به سمت تاریک تبدیل شوند.
محدود کردن و نظارت دقیق بر اینکه چه کسی ویراستاری می کند – یا اگر شما مشاوره خود را بپذیرید، همه کارها را انجام دهید و به هیچ کسی اجازه ندهید “Editor”.
9. دسترسی به پنل مدیریت جوملا خود را محدود کنید
به احتمال زیاد وب میزبانی شما به عنوان کنترل پنل شما از cPanel یا Plesk استفاده خواهد کرد.
هر دو به شما این امکان را خواهند داد که از صفحه مدیریت جوملا خود محافظت کنید، بنابراین فقط به آن دسترسی دارید.
شما حتی می توانید پانل خود را تنظیم کنید تا تنها با استفاده از آدرس IP خودتان قابل دسترسی باشد.
برای کسب اطلاعات بیشتر در مورد چگونگی انجام این کار با استفاده از پنل مدیریت میزبانی فعلی خود، از میزبان وب خود تماس بگیرید.
با این وجود این ممکن است با استفاده از حساب های میزبانی وب امکان پذیر نباشد، زیرا آدرس IP شما به احتمال زیاد پویا و تغییر زیادی خواهد کرد.
10. FTP را غیرفعال کنید
FTP برای انتقال فایل های وب به سرورها استفاده می شود.
جوملا ابزار خود را برای آپلود فایل ها (عکس ها و غیره) دارد،
بنابراین غیرفعال کردن FTP یکی دیگر از راه های متوقف کردن نفوذ احتمالی است – مجددا از طریق میزبان وب خود می توانید نحوه انجام این کار را برای سایت جوملا خود بپرسید.
11. مجوز فایل را شروع کنید
شما می توانید مجوز ها را به فایل ها و پوشه های جوملا اضافه کنید تا بتوان آنها را فقط توسط حساب کاربری شما مشاهده کرد.
اضافه کردن این مجوز ها می تواند افراد بی شماری را از تلاش برای دسترسی به فایل های اصلی جوملا و پوشه ها، به ویژه فایل های پیکربندی جوملا خود، متصل کند.
جزئیات در مورد مجوزها در اینجا می توانید پیدا کنید، اما اگر شما یک تازه کار هستید، ممکن است بهتر باشد که یک برنامه نویس یا کسی با تجربه ای برای انجام این کار داشته باشید.
12. در یک گواهی SSL سرمایه گذاری کنید
گواهینامه های SSL در اصل برای رمزگذاری سایت هایی که حاوی داده های حساس مانند شماره کارت اعتباری هستند، در نظر گرفته شده است،
اما امروزه آنها به ویژه برای سایت های سیستم عامل به کار می روند.
URL وب سایت شما از http://www.mysite.com به https://www.mysite.com تغییر می کند
و بدین معنی است که نام کاربری و رمز عبور شما قبل از ارسال آنها از طریق اینترنت رمزگذاری می شوند.
بدیهی است که کسی که اطلاعات شما را از بین می برد قادر به استفاده از آنها نیست اگر آنها رمزگذاری شده باشند.
13. از SiteLock و Codeguard استفاده کنید
اگر شما می توانید آن را با استفاده از SiteLock و Codeguard استفاده کنید.
SiteLock فراهم می کند “راه حل های جامع، مبتنی بر ابر مبتنی بر وب” است که به طور خودکار برخی از مسائل را حل زمانی که سایت شما به خطر بیافتد و اطلاع از دیگران از طریق ایمیل.
Codeguard به سادگی از وب سایت شما به ابر پشتیبانی می کند و اگر مشکلی وجود داشته باشد می توانید به یک نسخه کار قبلی بازگردید.
