15 نکته طلایی برای ایمن سازی جوملا
جوملا بعد از وردپرس محبوب ترین سیستم مدیریت محتواست که در دنیا مورد استفاده قرار می گیرد. اما محبوبیت همیشه مشکلات خاص خود را دارد اینکه همواره صاحب محبوبیت را در تیر رس عموم قرار میدهد. جوملا نیز همانند وردپرس از این قائده مستثنی نیست. بنابراین کوچکترین آسیب پذیری آن به سرعت شناسایی و مورد سوء استفاده افراد سودجو قرار میگیرد.
بر اساس آمار منتشر شده در سال 2016، تنها 17% از وبسایت های مورد نفوذ جوملا بودند. شاید عدد پایینی به نظر برسد اما نمیتوان از آن چشم پوشی کرد. با یک حساب سر انگشتی می توان گفت که این 17% برابر 1.428.000 وبسایت از مجموع 84 میلیون وبسایت متصل به جوملا است که خود اهمیت بالای ایمن سازی جوملا را نشان می دهد.
همچنین ما در یک تحقیق ساده به آماری قابل توجه دست یافتیم که نشان می دهد روزانه حدود 100 تا 1،000 تلاش برای لاگین غیرمجاز به جامعه1500 وبسایت که از سیستم مدیریت محتوا استفاده می کنند وجود دارد که اکثر آن ها هکرها یا ربات هایی هستند که با استفاده از brute force قصد این کار را دارند.
بنابراین باید هشیار باشیم و تا می توانیم در مدیریت و ایمن سازی جوملا بکوشیم. اما واقعا چطور می توانیم سیستم محبوب جوملا را در بهترین درجه امنیت قرار دهیم؟
ما در این مقاله به 15 نکته کلیدی در ایمن سازی جوملا می پردازیم. با اجرای این 15 نکته می توانید اطمینان داشته باشید وبسایت شما در جایگاه امنیتی بسیار خوبی قرار دارد. پس در ادامه با ما همراه باشید…
بیشتر بخوانید 15 نکته کلیدی برای ایمن سازی وردپرس
1- نام کاربری و رمز عبور قوی انتخاب کنید
اولین مرحله در ایمن سازی جوملا، استفاده از اطلاعات لاگین پیچیده و غیر قابل حدس است. هرگز از کلماتی چون admin یا administrator در نام کاربری استفاده نکنید. ضمن اینکه در رمز عبور حتما از ترکیب حروف بزرگ، کوچک، اعداد و علائم استفاده کنید.
بیشتر بخوانید روز جهانی پسورد
2- جوملا و افزونه های آن را همواره بروز نگه دارید
اولین قدم برای ایمن کردن جوملا این است که مطمئن باشید از جدیدترین نسخهی پایدار جوملا، قالب و افزونه ها، استفاده میکنید. لازمه که بدانید هر زمانی که جوملا آپدیت پایداری را منتشر میکند شما اعلانی را در پنل مدیریتی خود مشاهده میکنید. هر وقت به قسمت مدیریتی جوملا سر میزنید به این اعلانها توجه کنید. هیچوقت آن ها را نادیده نگیرید و در اولین فرصت نسخهی جدید را نصب کنید.
3- سطح دسترسی فایل ها و پوشه ها را تنظیم کنید
سطح دسترسی فایل ها و پوشه ها تعیین می کنند که چه افرادی در چه جایگاهی می توانند به آن ها نفوذ کرده و اقدام به تغییر اطلاعات کنند. بنابراین خیلی مهم است که سطح دسترسی را به گونه ای تنظیم کنید که نه عملکر جوملا دچار مشکل شود و نه از درجه امنیت بکاهید. توصیه می کنیم سطوح دسترسی را به شکل زیر تنظیم کنید:
اطمینان حاصل کنید سطح دسترسی پوشه های جوملا برابر 755 تنظیم شده باشند.
مطمئن شوید که سطح دسترسی فایل ها حداکثر روی 600 یا 644 تنظیم شده باشند.
سطح دسترسی فایل مهم configuration.php را به 444 کاهش دهید.
هرگز از عدد 777 در تنظیمات سطح دسترسی استفاده نکنید. این عدد سطح دسترسی کامل است و اجازه میدهد هر کاری انجام شود.
4- مسیر مدیریت جوملا را غیر قابل تشخیص کنید
به طور معمول هنگام مراجعه به بخش مدیریت جوملا به آدرس http://yourdomain.com/administrator مراجعه می کنیم. اما این مسیری است که در دسترس همه است. در حالیکه اصولا در فرایند ایمن سازی تا می توانیم باید سعی در مخفی سازی بخش های مهم وبسایت کنیم. بنابراین با استفاده از راهنمای نحوه تغییر مسیر و تغییر نام پوشه مدیریت جوملا، کاری کنید که کسی به آدرس لاگین یا مدیریت جوملا شما دسترسی نداشته باشد. اجرای این مرحله بسیار مهم و تاثیر گذار است.
5- محافظت از صفحه مدیریت جوملا
در مرحله قبل به تغییر مسیر مدیریت جوملا پرداختیم. حال میخواهیم یک لایه امنیتی دیگر به این مسیر اضافه کنیم. این لایه امنیتی به ما کمک می کند تا یک نام کاربری و رمز عبور مجزا علاوه بر نام کاربری و رمز عبور جوملا برای این مسیر تعریف کنیم. به عبارت دیگر دسترسی به مدیریت جوملا دو مرحله ای می شود.
برای این کار به راهنمای نحوه رمز گذاری و ایجاد Password دایرکتوری در cPanel مراجعه کنید. شما می توانید با انتخاب نام پوشه مدیریت جوملا که در مرحله قبل تعیین کردید لایه جدید امنیتی را فعال کنید.
6- امکان دسترسی به مدیریت جوملا را فقط به افراد مورد اعتماد بدهید
خیلی خوبه که در این مرحله اصطلاح محکم کاری را به کار ببریم. اگر از IP ثابت در شبکه اینترنت خود استفاده می کنید. می توانید به گونه ای عمل کنید تا فقط دسترسی هایی که از طریق IP شما صورت میپذیرد مجاز شمرده شود. در این صورت دیگر دسترسی ها غیر مجاز بوده و از همان ابتدا توسط سرور بازگشت داده می شوند. کافیست یک فایل با نام htaccess. در پوشه مدیریت جوملا ایجاد و کد زیر را با جایگزین کردن IP خود به آن اضافه کنید:
Deny from ALL Allow from x.x.x.x
اگر IP شما متغیر است، امنیت از این طریق چندان مناسب نیست چرا که هر دفعه با تغییر IP باید فایل htaccess. را ویرایش کنید و IP را تغییر دهید.
هاست جوملا برای خرید هاست جوملا کلیک کنید…
7- فایل configuration.php را دور از دسترس قرار دهید
این فایل حاوی اطلاعات مهمی چون دیتابیس و تنظیمات دیگر جوملا است. دست یافتن به محتویات این فایل به معنای دست یافتن به تمامی اطلاعات موجود در جوملاست. بنابراین باید به دقت از آن محافظت کرد. برای اینکار ایتدا در مرحله 3 اقدام به کاهش سطح دسترسی آن کردیم. اما حالا باید مکان آن را نیز تغییر دهیم به گونه ای که غیر قابل آدرس دهی باشد!
برای این کار به مقاله نحوه تغییر مسیر فایل configuration.php در جوملا مراجعه کنید.
8- از اجرای فایل های غیر مجاز جلوگیری کنید
جوملا خود یک روال داخلی برای اجرای فایل ها دارد، بنابراین نباید اجازه دهیم فایل های غیر مرتبط امکان اجرا داشته باشند. برای جلوگیری از اجرای اسکریپت های خارج از کنترل جوملا، کد زیر را به در فایل htaccess. موجود در مسیر اصلی نصب جوملا دقیقا بعد از عبارت “RewriteEngine On” وارد کنید.
RewriteCond %{REQUEST_URI} ^/images/ [NC,OR] RewriteCond %{REQUEST_URI} ^/media/ [NC,OR] RewriteCond %{REQUEST_URI} ^/logs/ [NC,OR] RewriteCond %{REQUEST_URI} ^/tmp/ RewriteRule .*\.(phps?|sh|pl|cgi|py)$ - [F]
9- از فایل htaccess. محافظت کنید
از آنجاییکه اغلب کدها در فایل htaccess. ذخیره میشوند بنابراین لازم است خود فایل htaccess. را از امکان ویرایش محافظت کنیم. به این منظور کد زیر را به انتهای این فایل در مسیر اصلی نصب جوملا اضافه کنید:
# Securing .htaccess file <files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
10- از افزونه های امنیتی جوملا استفاده کنید
استفاده از افزونه های امنیتی، یکی دیگر از راه های آسان برای بهبود امنیت وبسایت جوملاست. jHackGuard یکی از افزونه های مهم و قدرتمند جوملاست که می توانید امنیتی جوملا را تامین کند. البته خیلی مهم است که همواره از نسخه های اصلی و بروز این افزونه ها استفاده کنید و تنظیمات درون آن ها را بدرستی انجام بدید.
از جمله مهمترین افزونه های امنیتی جوملا می توان به موارد زیر اشاره کرد:
jHackGuard
Akeeba Admin Tools
jomDefender
jSecure
11- کاربران خود را مجبور به انتخاب رمز عبور پیچیده کنید
هرگز فکر نکنید که کاربران حاضر به انتخاب رمز عبور قوی برای ورود و خروج به وبسایت هستند. آن ها هرگز اینکار را نکرده و نخواهند کرد. بنابراین به مسیر see Users > Manage > Options > Password Options در جوملا مراجعه کنید و رمز عبور ایجاد شده را کنترل کنید.
12- افرزونه ها و قالب های جوملا را فقط از سایت رسمی آن دانلود کنید
حتی اگر وسوسه شدید که نسخههای رایگان افزونه یا قالب جوملا را از وبسایتهای متفرقه دانلود کنید، به هیچ وجه این کار را انجام ندهید. شاید با این کار،کمی از پول شما ذخیره شود ولی با دست خودتان وبسایتتان را در معرض خطر کدهای مخرب قرار دادید.
13- اسم افزونه ها را پنهان کنید
به صورت پبشفرض در قسمت URL یا آدرس وبسایت، جوملا به بازدید کنندگان وبسایت نشان می دهد که شما از افزونه هایی در ساختن وبسایت استفاده کرده اید. بنابراین اگر آن افزونه حفره امنیتی داشته باشد و فردی بخواهد از آن سو استفاده کند، براحتی می تواند به وبسایت شما آسیب بزند. بنابراین به بخش زیر در مدیریت جوملا مراجعه و اقدام به فعال سازی SEF URLs کنید:
System > Global Configuration > Site > SEO Settings > Search Engine Friendly URLs > Yes
14- همواره از وبسایت خود بکاپ تهیه کنید
همیشه باید به فکر روزهای بحرانی هم بود. در اینجور موقعیتها هیچ چیز جز یک فایل بکاپ مناسب، به شما کمک نخواهد کرد. یکی از مهمترین امکاناتی که سرویس دهنده هاست باید در اختیار شما قرار دهد، بکاپ خودکار است. بکاپ میتواند جوملا و پایگاه دادهی شما را از این بحران نجات دهد و آن ها را به وضعیت قبل باز گرداند.
تمامی سرورهای HiSupport از تمامی اکانت ها به صورت روزانه، هفتگی و ماهانه بکاپ تهیه می کنند. بنابراین در هر زمان می توانید روی کمک ما حساب کنید.
البته فراموش نکنید شما نیز باید به صورت مداوم، از وبسایت خود بکاپ تهیه کنید و در محلی امن نگهداری نمایید. بوِیژه زمانهایی که قصد دارید یک تغییر بنیادین در وبسایت خود یا جوملا ایجاد کنید. اینطوری همیشه آماده رویارویی با هر موقعیتی هستید.
15- اطلاعات اضافی و غیر قابل مصرف را دور بیاندازید
گاها ممکن است قالب ها یا افزونه هایی را نصب کنید که ممکن است به کار گیرید یا فقط تست کنید. در هر صورت فایل زیپ شده یا نصبی آن ها را بلافاصله حذف کنید. ضمن اینکه در صورت عدم نیاز به استفاده از آنها، حتما ابتدا غیر فعال و سپس به طور کامل حذفشان کنید.
این فرایند که برای فایل های اضافی آپلود شده نیز کاربرد دارد، نه تنها هاست شما را از اشغال بی رویه فضا نجات می دهد بلکه همواره تا حد زیادی از وجود حفره های امنیتی و تداخل در عملکرد جوملا در امان خواهید بود.
تبریک میگیم! شما توانستید با اعمال این چند مرحله، جوملا را ایمن کنید.