ts icon
سرور تیم اسپیک گاردایران

پست های پیشنهاد شده

به نام خدا

جوملا نیز همانند وردپرس یکی از مجبوب ترین و پراستفاده ترین سیستم های مدیریت محتوا در وب است. رعایت نکات امنیتی و امن کردن این سیستم مدیریت محتوا یکی از مهمترین موضوعاتی است که مدیران وب سایت ها باید به آن توجه کنند. در این آموزش نکات امینتی را بیان کرده ایم که با رعایت کردن این نکات می توان به امنیت قابل قبولی دست یافت.

joomla-webdesign.png.7584a93aae684e915bcdc19e09863d12.png.278f8e450b70141e96361d82b8d7f3d5.png

 

حذف کردن فایل های htaccess.txt و LICENSE.txt و README.txt و  web.config.txt

بعد از اینکه فایل های نصبی جوملا را در از حالت zip خارج کردید اقدام به حذف فایل های htaccess.txt و LICENSE.txt و README.txt و  web.config.txt کنید. برای اینکه اطلاعات اولیه را از دسترس اسکنرها خارج کنید حتما این فایل ها را حذف کنید.

 

انتخاب یوزر و پسورد مناسب

در آدرس site.com/installation/index.php اقدام به نصب جوملا کنید. در قسمت تنظیمات اصلی برای نام کاربری مدیر ارشد، یک یوزر مناسب و برای پسورد هم پسوردی مناسب را انتخاب کنید. دقت کنید از admin برای نام کاربری مدیر اصلی سایت استفاده نکنید.

 

تنظیمات دسترسی به دیتابیس

در قسمت تنظیمات پایگاه داده > نوع پایگاه داده، دو نوع پایگاه داده مشخص شده است که ما روی mysqli قرار می دهیم. نوع دیگر pdo است که تفاوت این دو را در اینترنت می توانید جستجو کنید. دقت کنید نام دیتابیس و یوزر با هم یکی باشند و برای انتخاب پسورد از پسورد قوی و مناسبی استفاده کنید.

موردبعدی که باید رعایت کنید استفاده از پیشوند جداول پایگاه داده است. این عمل بیشتر برای جلوگیری از حملات sql injection مناسب است.

 

66.PNG.73d141091984670bc96c85428c0cf421.png.df7f718bb9da5251c6c098121ee6495e.png

 

محدود کردن دسترسی به url صفحه ی لاگین با ست کردن کوکی (set cookie)

بعد از نصب جوملا با این آدرس site.com/administrator/index.php وارد صفحه ی لاگین مدیریت خواهید شد. با استفاده از کوکی دسترسی به این صفحه را محدود می کنیم.

ابتدا یک پوشه در مسیر اصلی سایت در هاست ایجاد کرده به عنوان مثال guardiran سپس یک فایل به نام index.php درون آن ایجاد می کنیم. فایل را ویرایش کرده و کد های زیر را درون آن قراردهید:

 

<?php

$cookie_code = 09120000000;

setcookie("AdminGuardiranCookie ",$cookie_code,0,"/");

header("Location:/administrator/index.php");

?>

 

ابتدا یک متغیر با نام cookie_code$ تعریف کرده و سپس مقداری را درون آن می ریزیم. نام متغییر و مقدار آن اختیاری است.

در خط بعد با استفاده از تابع setcookie به پارامترهای آن مقدار داده ایم. تابع ( ) setcookie ، یک کوکی را به وسیله یک دستور HTTP به مرورگر کاربر ( client ) ارسال میکند.

پارامتر اول name است که تعیین کننده نام کوکی است.

پارامتر دوم value است که مقدار کوکی را تعیین می کند که این مقدار را با استفاده از متغییر $cookie_code تعریف کرده ایم.

پارامترسوم expire است تعیین کننده مدت زمان اعتبار کوکی ، بر حسب ثانیه است که مقدار آن را برابر صفر 0 قرارداده ایم.

پارمترچهارم domain است که دامنه ای که کوکی بر روی آن قابل دسترس است را تعیین می کند .

تابع setcooki یک پارامتر دیگر به نام secure دارد که تعیین میکند که آیا کوکی فقط بایستی از طریق یک پروتکل امن HTTPS منتقل شود با خیر. مقدار پیش فرض این خاصیت FALSE بوده و تعیین آن نیز اختیاری است .

در خط بعدی با استفاده از تابع ( ) header ، یک دستور HTTP را به مرورگر کاربر ( client ) ارسال کرده ایم.

شکل کلی استفاده از این تابع به صورت زیر است  :

header( string , replace , http_response_code ) ;

 

که تنها از پارمتر string استفاده کرده ایم.

بعد از ذخیره کد بالا در مسیر اصلی سایت خود وارد پوشه administrator شوید و درون آن یک فایل htaccess. ایجاد کنید و کد های زیر را درون آن قراردهید:

RewriteEngine On

RewriteCond %{REQUEST_URI} ^/administrator

RewriteCond %{HTTP_COOKIE} ! AdminGuardiranCookie =09120000000

RewriteRule .* - [L,F]

 

در کد بالا نام کوکی + مقدار آن که در فایل index.php تعریف کردیم با هم برابر بود درخواست را ریدایرکت کن به صفحه  administrator.php در واقع با این کار تنها کسانی که url زیر را فراخوانی کند می تواند به صفحه ی لاگین دسترسی پیدا کند چون با این کار کوکی برای آن ست می شود.
 

Site.com/guardiran

 

اگر هرکاربری به صورت مستقیم صفحه ی site.com/ administrator/index.php را فراخوانی کند یقناً با صفحه ی forbidden 403 مواجه خواهد شد.

 

فعال کردن تایید دومرحله ای در صفحه لاگین پنل مدیریت

بعد از ورد به پنل مدیریت با پیغامی مبنی برای "شما پیام هایی در خصوص نصب بسته دارید" مواجه خواهید شد که با زدن بر روی "خواندن پیام ها" به صفحه ی موردنظر هدایت خواهید شد.

33.PNG.a549f123ad238102eb01552734f5e61a.png.ea62947614bf923b025692a7f1894f9c.png

در این صفحه بر روی "فعال کردن دو عامل احرازهویت" کلیک کنید که به صفحه ی کاربران >  ویرایش مشخصات میروید . در صفحه ی پیش رو یک تب جدید با نام "دو عامل احرازهویت" مشاهده می کنید.

دراین قسمت یک گزینه به نام متد احراز هویت وجود دارد که شما می توانید از احراز هویت گوگل استفاده کنیدکه ابتدا باید کد احراز هویت را از گوگل دریافت کنید.

35.PNG.96be4f0d42c2926ac81af8c1a7724fab.png.25957897a8acbad46902e36e3952b118.png

 

بر روی "کد احراز هویت با سیستم عامل اندروید و..." کلیک کرده وارد صفحه ی دانلود نرم افزار Google Authenticator خواهید شد نرم افزار را دانلود و نصب کنید.

در مرحله دوم اطلاعات احراز هویت که شامل "حساب کاربری و کلید" است را که در قدم دوم مشخص شده است به برنامه می دهیم با استفاده ازاسکن کد QR هم می توانید این کار را انجام دهید.

بعد از واردکردن اطلاعات احرازهویت کدی به شما داده خواهد شد که باید در قدم سوم در قسمت کد امنیتی واردکنید.

40.PNG.575402fa50adc6937d15b35930f35a77.png.02f18b24814d16a2d282662d0a429c74.png

بعد از ذخیره تغییرات از پنل کاربری خارج شده و وارد صفحه ی لاگین پنل مدیریت شوید متوجه خواهید شد یک گزینه با نام کلید امنیتی اضافه شده است.

 

41.PNG.38f787242f7dc0fc0b3a460887fa0cc0.png.27ed4c80e6ce089212c98fd55983ffa2.png

کد امنیتی هر 30 ثانیه یک بار تغییر می کند.

 

استفاده از فایل htaccess. جامع مستندات سایت جوملا

درمستندات سایت جوملا به این آدرس :

(https://docs.joomla.org/Htaccess_examples_(security

 رفته و کدهای پیشنهادی htaccess. را کپی کرده و درون فایل htaccess. در مسیر اصلی سایت خود قراردهید.

با این کدها خیلی از گزینه های امنیتی مثل جلوگیری از تزریق کدهای مخرب ، بایپس کردن سایت و.. برای شما فعال خواهند شد.

 

محدود کردن سطح دسترسی فایل های configuration.php , .htaccess

سطح دسترسی فایل های configuration.php , .htaccess را روی 0444 فقط خواندن قراردهید.

 

تهیه نسخه پشتیبان بک آپ از سایت

از مهترین کارهایی که یک مدیر وب سایت باید انجام دهد تهیه بک آپ از سایت خود است. سعی کنید همیشه آخرین بک آپ خود را بازگردانی کنید و برای اطمینان خاطر بیشتر نسخه های قبلی بک آپ را هم داشته باشید.

تمامی حقوق این مقاله متعلق به تیم امنیتی گاردایران و نویسنده مطلب می باشد.

موفق باشید.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری