امنیت جوملا: تقویت امنیت جوملا (بخش اول)

جوملا یک سیستم مدیریت محتوای رایگان است، پس از وردپرس یکی از محبوب‌ترین سیستم‌هایی است که بر بستر اینترنت از آن استفاده میشود.میلیون ها وبسایت های تجاری و وبلاگ برای راه اندازی سایت خود جوملا را انتخاب کرده اند. همانند هر پلتفرم عمده دیگر، نگرانی‌های امنیتی نیز وجود دارند. در ادامه مطلب روش‌هایی را نوشته‌ایم که میتوانید وبسایت جوملایی خود را امن تر کرده تا راهنمایی باشد برای جلوگیری از هک شدن سایت توسط هکرها.


آسیب‌پذیری جوملا

هنگامی که از جوملا برای ساخت وبسایت خود استفاده میکنید چقد در معرض خطر هستید؟ با توجه به جزئیات وبسایت CVE ، که یک منبع اطلاعاتی درمورد آسیب‌پذیری آنلاین است، از سال ۲۰۰۵ تا به امروز تعداد ۳۴۹ آسیب‌پذیری در جوملا گزارش شده است.



آسیب‌پذیری های جوملا از چه نوع است؟ با توجه به جزئیات وبسایت CVE ، مقدار ۳۸ درصد از این آسیب‌پذیری های جوملا اجرای کد از راه دور است. ۲۸ درصد هم تزریق به SQL ، جزئیات بیشتر را میتوانید در چارت زیر ببینید.



امنیت جوملا

با وجود اینکه جوملا یک سیستم مدیریت محتوای بسیار امنی است، و گستردگی استفاده از آن بسیار زیاد است، این بدان معنی است که همیشه خطر حمله یا هک شدن وجود دارد. شما همیشه نمی‌توانید از نقض امنیتی جلوگیری کنید، بهترین کاری که میتوان انجام داد، اجرای بهترین روش‌های امنیتی برای محافظت خودتان است. توصیه‌های زیر را دنبال کرده تا امنیت جوملای شما بیشتر شود.


۱- بروزرسانی جوملا

احتمالاً مهمترین بخش امنیت سایت جوملایی شما این است که همیشه آن را به آخرین نسخه ارتقا دهید. تقریباً در همه نسخه های بروز شده، اصلاح های امنیتی وجود دارد. اگر شما وبسایت خود را بروزرسانی نکنید، خود را در معرض آسیب‌پذیری های بیشتری قرار میدهید، هکرها معمولاً نسخه های قدیمی تر را مورد حمله قرار میدهند، مانند آسیب‌پذیری تزریق SQL که در اکتبر ۲۰۱۵ کشف شد که میلیون‌ها وبسایت جوملایی در معرض خطر قرار گرفتند، نسخه ۳.۴.۸ جوملا در دسامبر ۲۰۱۵ منتشر شد و این مشکل برطرف شد، بنابراین نتیجه میگریم هروقت جوملا وصله جدیدی را منتشر کرد، شما حتماً باید وبسایت خود را بروز کنید.


۲- بروز رسانی افزونه ها

بروزرسانی افزونه های جوملا به همان اندازه برای امنیت وبسایت شما مهم است. درواقع، حملات بیشتری وجود دارد که از مسائل امنیتی در افزونه ها استفاده میکند تا اینکه به هسته اصلی جوملا حمله شود.
همچنان توصیه می‌شود فقط از افزونه ها و قالب های مورد اعتماد جوملا استفاده کنید. افزونه ها را مستقیماً از دایرکتوری جوملا و قالب‌ها را هم از کمپانی های شناخته شده تهیه کنید. این امر سبب می‌شود در آینده مشکلات کمتری داشته باشید.


۳- حذف افزونه های ناخواسته

افراد غالباً کامپوننت ها، ماژول ها و پلاگین های مختلفی را جهت آزمایش نصب میکنند و در پایان آزمایش فراموش میکنند آن‌ها را حذف کنند. نصب نگه داشتن این افزونه های ناخواسته، هرچند اگر غیرفعال باشند، میتواند یک خطر امنیتی بوجود بیاورد، پس بهتر است پس از آزمایش افزونه ها آن‌ها را حذف کنید. ما پیشنهاد میکنیم چنین افزونه هایی را روی لوکال هاست آزمایش کنید.


۴- نام کاربری و پسورد

هنگام انتخاب نام کاربری و پسورد برای جوملای خود هوشمندانه عمل کنید. هرگز از واژه admin یا administrator برای نام کاربری خود استفاده نکنید و پسورد را پیچیده انتخاب کنید. احتمالاً این گزینه یکی از بهترین راه‌های تقویت امنیت جوملای شماست و یکی از ساده‌ترین راه حل‌ها هم میباشد. بسیاری از افراد برای اینکه به راحتی بتوانند پسورد خود را به یاد بیاورند از پسوردهای ساده‌ای مثل «۱۲۳۴۵۶۷۸۹» استفاده میکنند! و زمانی که هک شدند، پشیمان میشوند. تعداد زیادی از مهاجان از brute-force استفاده میکنند تا به پسورد شما دست پیدا کنند. این بدان معنی است که آن‌ها از لیستی از پسوردهایی معمول استفاده کرده تا پسورد شما را حدس بزنند. راهنمایی های متعددی وجود دارد تا به شما در برابر چنین حملاتی کمک کند :


۱. از واژه‌های معمول مثل admin, admin۱۲۳, pass, password و غیره برای پسورد خود استفاده نکنید.
۲. از اطلاعات شخصی در پسورد مانند نام، نام خانوادگی، شماره موبایل، تلفن، آدرس ایمیل و غیره استفاده نکنید.
۳. از پسورد سازهای خودکار استفاده نکنید. پسورد سازها، رمز عبور را از روی یک الگوریتم خاصی جهت تولید رمز عبور استفاده میکنند که میتواند توسط مهاجمین به خطر بیافتد.
۴. از کاراکترهای خاص ( *!@#)$ ) ، اعداد، حروف بزرگ و کوچک در پسورد خود استفاده کنید.


۵- استفاده مناسب از مجوزها

بخش مهم دیگر در امنیت جوملای شما استفاده صحیح و مناسب از مجوزهای فایل و دایرکتوریهای جوملاست. هر دایرکتوری و فایل مجوزهای متفاوتی دارند که به افراد امکان خواندن، نوشتن و ویرایش آن‌ها را میدهد. اگر از مجوزهای نادرست استفاده کنید، میتواند راهی باشد برای ورود مهاجمین، و اگر این مجوزها بیش از حد محدود باشد، میتواند شما را در نصب افزونه ها به دردسر بیندازد چون نصب افزونه ها نیاز به نوشتن در دایرکتوری های خاص دارد.


این پیشنهادها را برای مجوزهای خود دنبال کنید.


  • مجوزهای دایرکتوری جوملا را به ۷۵۵ تنظیم کنید.
  • مجوزهای مربوط به فایلهای جوملا را به ۶۴۴ تنظیم کنید
  • مجوزهای فایل configuration.php را به ۴۴۴ تنظیم کنید
  • هرگز از مجوز ۷۷۷ (دسترسی کامل) استفاده نکنید!


۶- استفاده از افزونه های امنیتی

افزونه های امنیتی بسیاری برای جوملا وجود دارد که سایت شما قفل کرده و در مقابل حملات از آن محافظت میکند. این افزونه ها به شما کمک میکنند تا محدودیت مجاز و یا تهدیدهای امنیتی را کنترل کنید، شبکه‌های مخرب را مسدود کنید، آسیب‌پذیری ها را اسکن کنید، از پسوردهای قویتری استفاده کنید، تغییرات فایل‌ها را مانیتور کنید، فایروال را جهت جلوگیری از تهدیدات امنیتی معمولی نصب کنید و غیره.


در اینجا چند افزونه امنیتی جوملا را معرفی میکنیم.

۱. jHackGuard
۲. jomDefender
۳. jSecure
۴. AdminExile
۵. RSFirewall


موارد دیگری هم هست که نیاز است بیشتر در موردشان توضیح دهیم. مورد اول Akeeba Admin Tools است.


امکاناتی که در نسخه رایگان این افزونه وجود دارد.


  •  اطلاع رسانی به شما درباره نسخه های جدید جوملای منتشر شده
  • تصحیح مجوزهای فایل و دایرکتوری ها
  • محافظت از پوشه مدیریت توسط پسورد
  • تغییر پیشوند پایگاه داده
  • یک شناسه امن برای مدیرکل تنظیم میکند
  • هدایت لینک ها

نسخه تجاری ویژگی های اضافی دارد شامل:

  • محدود کردن مدیریت با یک پارامتر آدرس وب محرمانه
  • فایروال برای جلوگیری از سوءاستفاده های معمول ( تزریق SQL و عامل کاربر مخرب، CSRF/ محافظ در مقابل روبات – هرزنامه ، اسکنر آپلود ، XSS, DFI و RFI )
  • لیست سفید IP برای بخش مدیریت
  • لیست سیاه IP
  • مسدود کردن جغرافیایی ( انکار دسترسی به کشورها / قاره های خاص )
  • مسدود کردن خودکار IP از متجاوزین تکراری


افزونه امنیتی دیگری که توصیه می‌شود ECC+ – EasyCalcCheck Plus نام دارد.


این افزونه از فرم‌های هسته جوملا و افزونه های شخص ثالث محافظت میکند، عمل‌کرد این سیستم از طریق ادغام سرویس ضد هرزنامه و افزودن مسأله ریاضی، یک سوال، یک فیلد پنهان و قفل زمانی است. این افزونه توسط Viktor Vogel متخصص در جوملا ساخته شده است.


ویژگی های این افزونه به قرار زیر است :

  • سرویس های ضد هرزنامه خارجی شامل : Google ReCaptcha, Akismet, Honeypot Project, StopForumSpam, Mollom, Bot-Trap, Botscout
  • محافظت محیط مدیریت توسط یک توکن
  • محافظت در مقابل تزریق SQL و جاسازی در فایل محلی


اولین شخصی باشید که نظر می دهد

نوشته های مرتبط