امنیت joomla

[B@RBOD]

مباحث مربوط به بمنیت جوملا در این تاپیک مطرح شود

[B@RBOD]

با استفاده از این مطلب می توانید بر روی فولدر administrator و سایر فایلها و فولدرهای های زیر مجموعه آن پسورد به صورت pop-up بگذارید .
این ترفند سبب بالا رفتن امنیت وبسایت شما می شود و بسیاری از سایتهای دولتی از این امکان استفاده می کنند.
این کار با استفاده از فایل .htaccess انجام می گیرد بنابراین فقط در سرورهای لینوکس این ترفند را می شود به کار برد .

برای اینکار فایلهای کد:
.htaccess
و کد:
.htpasswd
را در فولدر administrator جوملای خود ایجاد کنید
درون فایل .htaccess کد زیر را قرار دهید :

کد:
AuthUserFile /home/user/administrator/.htpasswd
AuthGroupFile /dev/null
AuthName "Private Area"
AuthType Basic
<Limit GET POST>
require valid-user
</Limit>
کد:
/home/user/public_html/administrator/.htpasswd
در سرورهایی که دارای cpanel هستند کافی هست فقط user را تغییر دهید در سایر موارد مسیر فایل .htpasswd در فولدر administrator را باید وارد کنید .
کد:
Private Area
نیز عنوان پنجره پاپ-آپ می باشد .

حال درون فایل .htpasswd کد زیر را قرار دهید :

کد:
Username:PassWord
به جای username نام کاربری مود نظر و به جای password ، پسورد مورد نظر را وارد کنید .
لازم به ذکر است که اولا نباید بین سرتاسر کد فاصله ایجاد شود + پسورد شما باید encode شود برای اینکار می توانید به آدرس زیر مراجعه کنید:
VICNET Help: Online - Web Design - .htpasswd encoder

*همچنین شما می توانید با رفتن به خط بعد و وارد کردن نام کاربری و پسورد دیگر چندین user&pass تعریف کنید .

* این پسوردها و نام کاربری ها از خود جوملا جدا می باشد .

خوب کار تمام شد !

[B@RBOD]

سلام

همان طور که مستحضر هستید جوملا 1.5.6 با یک بسته امنیتی با درجه حساسیت بالا چند روز پیش منتشر شد و طی صحبت هایی که من با بعضی دوستان داشتم بسیاری از دوستان اهمیت ارتقاء سایتشون به این نسخه رو جدی نمی گرفتن و باز هم با تنبلی تمام حتی وقت برای بروز رسانی این سیستم نمی گذاشتند و این کار رو به تعویق می انداختند.
ضروری دیدم که یک موضوع درباره اهمیت این ارتقاء باز کنم.
در کل این حفره بر روی سیستم مدیریتی جوملا تاثیر نسبی می ذاشت و باعث می شد که شخص هکر با بعضی از شیوه ها به سایت شما متصل شه و خرابکاری هایی رو انجام بده که بعضی از اونها شاید غیر قابل بازگشت بودن.
اما در همان ساعت های اولیه تیم مدیریتی جوملا نگارش 1.5.6 رو منتشر و جلوی عملیات های خرابکارانه Cracker ها رو گرفت.
اما در مورد کاربرانی که سایتشون هک شد و حالا در مورد برگشت اطلاعاتشون سوال دارن دو حالت وجود داره :


اما اگر ایمیل تغییر داده شده بود به phpmyadmin سایتتون برید و در جدول _users گزینه browse را زده و در جلوی نام کاربری خودتون روی آیکون edit کلیک کنید.در پنجره باز شده ایمیل خودتون رو تغییر داده و ذخیره کنید.حال دوباره مراحل بالا را برای بازگشت اطلاعات انجام دهید.

اما نحوه ارتقاء :
اگر از پارس جوملا 1.5.4 استفاده می کنید :
Joomla_1.5.4_to_1.5.6-Stable-Patch_Package.zip
2) این بسته را از حالت فشرده خارج کنید



اما اگر از پارس جوملا 1.5.5 استفاده می کنید باید بسته Joomla_1.5.5_to_1.5.6-Stable-Patch_Package.zip را دریافت و عملیات بالا را روی آنها انجام دهید.

در هر حال اگر تاکنون این کار را انجام نداده اید پیشنهاد می کنم با توجه به حجم کم فایل های مربوط به ارتقا در کمتر از 5 دقیقه این کار رو انجام بدید.

سرافراز باشید

[B@RBOD]

سلام دوستان
با توجه به آنکه جوملا یکی از امن ترین CMS های حال حاضر جهان هست ؛ اما قصد دارم تا با ارائه یک سلسله آموزشهای ساده امنیت این CMS محبوب را افزایش بدیم .

لذا با توجه به استقبال شما عزیزان آموزشهای بعدی را نیز در اختیارتون میزام.

خوب حالا بریم سر آموزش :

همه شما دوستان واقف به این موضوع هستید که در هسته جوملا یک سری فایلها دارای ضرورت حیاتی برای ما هستند و ما با اعمال تغییراتی ساده برروی آنها اقدام به محافظت آنها در برابر عوامل مخرب میکنیم ، یکی از این فایلهای ضروری فایل configuration.php هست که معمولا با تغییر پرمیشن این فایل اونو از دسترسی و قابلیت نوشتن مصون میکنیم .

حال در این آموزش ساده قصد دارم به شما روشی را بیاموزم که با انتقال فایلهای حیاتی به داخل یک پوشه دلخواه امنیت آنرا بالا ببریم

حال قدمهای زیر را بر میداریم :

1) یک پوشه با نام دلخواه خود بسازید به عنوان مثال : joomla

2) فایل configuration.php را که در محلی که شما جوملا را نصب کرده اید موجود میباشد ، نام و پسوند آنرا به هر فرمی که دلخواه شماست تغییر داده و به پوشه ای که در گام 1 ساخته اید منتقل کنید به عنوان مثال به : joomla.conf

3) حال یک فایل با نام configuration.php در همان پوشه ای که جوملا نصب بود (قبل از انجام گام 1) بسازید و در داخل آن کد زیر را قرار دهید

کد:
<?php
require( dirname( __FILE__ ) . '/../joomla/joomla.conf' );
?>
حال دقت داشته باشید که هیچ خط و یا فاصله ای در این فایل قرار نداشته باشد چه قبل از "<?php" و چه بعد از "?>" زیرا وجود این خطوط و فواصل اضافی سبب نمایش ارور های زیر میشود به عنوان مثال :

کد:
Warning: Cannot modify header information - headers already sent by (output started at /home/xxxxx/public_html/configuration.php:2) in /home/xxxxx/public_html/index.php on line 250

4) حال مطمئن شوید که سطح دسترسی به این فایل جدید joomla.conf غیر قابل نوشتن باشه که حتی با com_config نتوان در آن تغییری ایجاد کرد

5) در صورتی که نیاز به تغییر در مشخصات configuration دارید میتوانید تغییرات خود را در joomla.conf انجام دهید .

نکته : با این روش دیگر کسی نمیتواند به فایل اصلی configuration دسترسی داشته باشد و بتواند محتویات آنرا بخواند.

امیدوارم از این آموزش استفاده کافی را برده باشید

[B@RBOD]

با توجه به گسترش روزافزون هکرهای اینترنتی، افزایش امنیت سیستم مدیریت محتوای سایت شما بسیار مهم و حیاتی می باشد.
بسیاری از طراحان وب بیشترین زمان خود را صرف طراحی گرافیکی و بالا بردن رتبه سایت در گوگل می کنند و زمان نسبتا کمی را برای بالا بردن امنیت سایت صرف می کنند.
در این مقاله سعی شده است تا با ارائه راه کارهای مختلف شما را در بالاتر بردن امنیت سیستم مدیریت محتوا جوملا یاری رساند.



اولین و مهمترین قدم در جلوگیری از عواقب هک شدن سایت ایجاد بک‌آپ از سایت می باشد که این بک‌آپ شامل فایل های اصلی جوملا و نیز دیتابیش جوملا می شود.
گرفتن بک‌آپ بصورت ماهیانه را در برنامه خود بگنجانید زیرا با در اختیار داشتن بک‌آپ شما می توانید درصورت مواجهه با هر مشکلی آن را صرف چند ساعت به حالت اولیه بازگردانید.


با توجه به کدباز بودن سیستم مدیریت محتوا جوملا، احتمال یافت شدن رخنه های امنیتی در آن بالا می باشد و برای درامان ماندن از هک بوسیله این رخنه های امنیتی شما می بایست همیشه از آخرین نسخه های جوملا که توسط وب سایت رسمی جوملا منتشر می شود استفاده نمایید.


ماژول ها و کامپوننت هایی که توسط خود جوملا منتشر نمی شوند به عنوان دسته سوم (3rd Party) شناخته می شوند.
بسیاری از سایت های جوملایی بواسطه رخنه های امنیتی موجود در ماژول ها و کامپوننت های دسته سوم هک می شوند.
در زمان نصب کامپوننت و ماژول دسته سوم نسبت به مسائل امنیتی آن تحقیق کنید و نیز آخرین نسخه های آن را نصب و بصورت مداوم بروز نمایید.
در زمان حذف ماژول و کامپوننت نیز از پاک شدن کامل فایل های مربوط به آن و نیز اطلاعات مربوط در دیتابیس اطمینان حاصل نمایید.


به محض پایان تنظیمات و نیز نصب کامپوننت ها و ماژول های لازم، سطح دسترسی تمامی پوشه های را به 744 تغییر دهید.
برای انجام این کار می توانید از Cpanel ارائه شده استفاده نمایید.


سطح دسترسی تمامی فایل ها را به 644 تغییر دهید.


سطح دسترسی به این فایل را به 644 تغییر دهید.
این مورد بسیار مهم می باشد چون تنظیمات اصلی جوملا در این فایل گنجانده شده است.


تمامی نسخه های منتشر شده جوملا شامل فایل .htaccess می باشند که شما می توانید با استفاده از آخرین نسخه این فایل بسیاری از رخنه های امنیتی شناخته شده در سایت خود را از بین ببرید.
آخرین نسخه این فایل را به سرور انتقال داده و سطح دسترسی آن را به 644 تغییر دهید.


در محیط مدیریتی جوملا از غیرفعال بودن Register Globals اطمینان حاصل کنید.
در صورت روشن بودن آن (Register Globals Is Set To On) با شرکت میزبانی وب خود تماس گرفته و از آنها بخواهید تا این قابلیت را برای شما غیرفعال نمایند.
راه دیگر برای غیرفعال کردن این قابلیت تغییر فایل .htaccess و افزودن کد زیر به آن می باشد.

1.ایجاد بک‌آپ از سایت 2.بروزرسانی نسخه جوملا 3.احتیاط در استفاده از ماژول و کامپوننت ها 4.سطح دسترسی پوشه ها 5.سطح دسترسی فایل ها 6.سطح دسترسی به Configuration.php 7.امنیت .htaccess 8.تنظیم Register Globals php_flag register_globals off