اکثر حملات جوملا به خاطر آسیب پذیری پلاگین / قطعات ، پسوردهای ضعیف و استفاده از نرم افزار منسوخ شده است شاید بزرگترین نقطه ضعف مدیریت محتواهای open source ( منبع باز ) این است که هر شخصی توانایی دانلود کل منابع را به صورت کامل دارد .
این مورد به حمله کننده ( هکر ) بسیار آسان نشان می دهد که سایت شما با جوملا کار می کند و اغلب هکرها از نقطه ضعف هر ورژنی اطلاع دارند و حتی بعضی اوقات بهتر از خود شما از این مورد آگاهی دارند.

اجازه بدهید بیشتر توضیح بدهم
ما هر روز در سایت هایی که ما میزبان آن هستیم حدود ۱۰۰-۱۰۰۰ تلاش غیر مجاز برای ورود به سایت مشاهده می کنیم
اکثریت این هکرها برای دریافت وب سایت از تکنیک حملات بی رحمانه brute force ( جستجوی فراگیر ) استفاده می کنند ( هکر سعی می کند با استفاده از تست آزمون و خطا نام کاربری و رمز عبور را حدس بزند ) به همین دلیل شما باید برای اقدامات لازم برای به حداقل رساندن و جلوگیری از حملات احتمالی به سایت آماده باشید .

  • یک مثال کلاسیک از امنیت ضعیف ، استفاده از کلمه ادمین ( admin ) به عنوان یوزر نیم می باشد . این یوزر نیم به عنوان پیش فرض ، یوزر مدیریت در هنگام نصب اولیه جوملا همراه با یک پسورد میباشد که هکرها در حملات brute force به احتمال زیاد موفق به حدس زدن آن می شوند پس وقت را دیگر هدر ندهید و تغییر یوزر ادمین به یوزرهای دیگر را انجام دهید و مطمئن شوید پسورد شما یک رمز عبور قوی است
  • اطمینان حاصل نمایید که شما می توانید آخرین نسخه از هر دو هسته جوملا خود و هر افزونه ای را نصب نمایید
  • شما می تونید از ابزار بروز رسانی AKEEBA CMS استفاده نمایید که به شما اجازه می دهد که یک حساب کاربری خاص تعریف نمایید تا زمانی که آپدیتی در دسترس بود به شما اطلاع دهد و همچنین بروز رسانی اتوماتیک و گرفتن بک آپ از سایت شما به صورت اتوماتیک قبل از آپدیت جوملا را هم به شما اطلاع و انجام دهد
  • نسخه های قدیمی تر از جوملا امکان دارد شامل یک آسیب پذیری امنیتی بسیار جدی باشد که اجازه آپلود فایل ها در وب سایت را به هکر بدهد . استفاده از این آسیب پذیری یک علت شایع از هک شدن ها در میان وب سایت های هک شده جوملا می باشد . حتی اگر جوملا شما نمایش نسخه بروز شده را به صورت اتوماتیک نشان ندهد ، اگر نسخه جدید موجود باشد به طور منظم آن را در صفحه برنامه نویس ( توسعه دهنده ) نمایش می دهد
  • فعال کردن بررسی urls فرندلی در موتورهای جستجو : این مورد آدرس های اینترنتی معمول جوملا را مخفی می کند
  • غیر فعال کردن ثبت یوزر جدید در بخش مدیریت اگر شما به اضافه کردن رابطه کاربری جدید نیاز ندارید
  • تغییر نامhtaccess.txt به htaccess. به دلیل اینکه این مورد شامل برخی از قوانین بازنویسی می شود که از برخی از سوء استفاده های رایج جلوگیری می کند.

[RewriteCond %{REQUEST_URI} ^/images/ [NC,OR
[RewriteCond %{REQUEST_URI} ^/media/ [NC,OR
[RewriteCond %{REQUEST_URI} ^/logs/ [NC,OR
/RewriteCond %{REQUEST_URI} ^/tmp
[RewriteRule .*\.(phps?|sh|pl|cgi|py)$ – [F

این کدها از همه تلاش ها برای اجرای اسکریپت های خارج از کنترل جوملا جلوگیری می کند .

  • هرگز سطح دسترسی یک فایل یا دایرکتوری را بر روی ۷۷۷ قرار ندهید . این سطح دسترسی به همه اجازه ارسال داده ها را می دهد ( شامل سوء استفاده ها هم می شود ) علاوه بر آن یک CHMOD اشتباه هم ممکن است اجازه دسترسی به هکرها را بدهد.
  • استفاده از اکستنشن فایروال مانند (jHackGuard (www.siteground.com), Marco’s SQL Iniection – LFI protection (www.mmleoni.net
    یا راه حل های تجاری : Akeeba Admin Tools Pro (akeebabackup.com) or RSFirewall! برای جلوگیری در برابر حملات هک متداول sql اینجکشن و اتصال از راه دور در محتویات URL / FILE و اجرای کد از راه دور( حملات پایه ای XSS )
  • تنها افزونه هایی را که از اعتبار خوبی برخوردار هستند نصب نمایید , بررسی تاریخچه افزونه ها در  (JED ( extention.joomla.org  امکان پذیر می باشد. بسیاری از افزونه ها ( از منبع های مختلف ) حاوی کد های آسیب پذیر هستند ، که زمانی که نصب می شوند هک کردن آن توسط هکرها بسیار آسان است .
  • همیشه یک نسخه بک آپ آماده برای بازگردانی جوملا خود داشته باشید این بک آپ باید نسخه از فایل پشتیبان باشد که در آن سایت به صورت کامل و سالم نمایش داده می شود ( درباره جوملا ۳٫x باید نسخه پشتیبان کامل باشد )
  • پسورد پروتکت کردن پوشه administrator مدیریت شما می تواند یک لایه امنیتی به سرور شما اضافه نماید ، پسورد پروتکت می تواند از اجرا هر اسکریپتی که با استفاده از ajax کار می کند جلوگیری نماید . برای اینکار شما نیاز به ایجاد یک فایل htapasswd. دارید زمانیکه آن را در یک دایرکتوری قرار می دهید باعث می شود با زدن آدرس در مرورگر صفحه اطلاعات لاگین باز شود که برای ورود نیازبه یوزر و پسورد دارد.
  • از قالب ها ، کامپوننت ها و پلاگین های قدیمی به هیچ عنوان استفاده نکنید و آنها را حذف نمایید ، مخصوصا اگر آنها بروز رسانی نشده اند
    این راهنمایی ها امکان دارد شما را با تمامی احتمالات آشنا نکند اما می تواند به شما کمک کند تا از مشکلات گاه به گاه قطع شدن cms و تمام راه هایی که باعث ایجاد مشکلات بزرگتر می شوند جلوگیری نماید ، اعمال این نکات اساسی و ضروری می باشد و این اقدامات امنیتی برای جوملا بسیار ضروری است . تمامی اقدامات امنیتی مربوط به کامپوننت ها و پلاگین ها برای حفاظت ۱۰۰% از هر گونه حمله قابل تصوری ارائه و طراحی نشده است حتی گر آنها امنیت سایت شما را بالا ببرد به هیچ عنوان نباید آن را جایگزین امنیت و تنظیمات دقیق و مخصوص سایت خود نمایید.

 

طبقه بندی شده در:

امنیت وب,

آخرین به روز رسانی: 5 شهریور 1403