امنیت همیشه دغدغه همه وبمستران و مدیران سایت ها بوده و خواهد بود چرا که اعتبار یک سایت (هیچ فرقی ندارد موضوع سایت چه چیزی باشد) به حفظ امنیت و اطلاعات مشتریان آن می باشد و اگر آن سایت نتواند در حفظ امنیت سایت خود موفق عمل کند ، مطمئنا هیچ امیدی برای موفقیت نخواهد داشت هر چند که بهترین مقالات و خدمات را ارائه دهد.
ما در این آموزش می خواهیم به وبمستران جوملایی چند نکته حائز اهمیت را گوشزد کنیم تا را رعایت آنها امنیت جوملای خودشان را افزایش دهند.
1. انتخاب یک شرکت هاستینگ معتبر و مطمئن
همیشه به یاد داشته باشید که سایت شما هر چقدر هم که در مسئله امنیت قوی باشد ، اما اگر از یک شرکت هاستینگ خوب استفاده نشود قطعا امنیت سایت شما زیر سوال خواهد رفت.
مطمئنا هزینه خرید هاست از شرکت های معتبر و معروف ، بالا خواهد بود اما پرداخت هزینه بالاتر برای شما امنیت بیشتری هم فراهم خواهد کرد؛ یک شرکت هاستینگ قوی می تواند سایت شما را تا حد بسیار زیادی از حملات ایمن نماید.
از جمله وظایف یک هاستینگ خوب می توان به موارد زیر اشاره کرد :
- بروز نگه داشتن ماژول های سرور
- بروز نگه داشتن نسخه PHP سرور
- کانفیگ مناسب سرور
- تهیه بک آپ های مداول و هفتگی
- مانیتور (بررسی) مداوم سرور از لحاظ حملات امنیتی
- بررسی و اسکن هاست شما برای پاک سازی هر گونه ویروس و شل
- ارائه راهکار های فنی مناسب به شما در مواقع ضروری
- و ...
موارد بالا از جمله مواردی هستند که یک شرکت هاستینگ خوب باید آنها را به درستی انجام دهد و انجام این موارد تا حد زیادی سایت شما را ایمن خواهد کرد.
2. انتخاب کلمه عبور مناسب
کلمه عبور مدیر یا مدیران باید یک کلمه عبور کاملا سخت و ترکیبی از حروف لاتین کوچک و بزرگ ، اعداد و کارکترهای خاص باشد تا از هر گونه حدس زدن در امان باشند.
یکی از بهترین سایت های انتخاب کلمه عبور به سلیقه شما سایت زیر می باشد که می توانید برای انتخاب یک کلمه عبور سخت از آن کمک بگیرید :
https://passwordsgenerator.net/در قسمت Remember your password می توانید متن راهنمای یاداوری کلمه عبور خود را مشاهده و در جایی ذخیره کنید.
3. استفاده از کامپوننت امنیتی RSFirewall
افرادی که با جوملا آشنایی دارند قطعا نام این کامپوننت فوق العاده را تا به حال شنیده اند؛ به جرعت می توان گفت هر سایت جوملایی به این کامپوننت احتیاج دارد تا امنیت سایت جوملای خود را تا حد بسیار زیادی افزایش دهد.
از جمله امکاناتی که این کامپوننت به شما می دهد می توان به موارد زیر اشاره کرد :
- بررسی فایل های مخرب هاست شما
- بررسی و اخطار به مدیر در صورت تغییر محتویات یک فایل
- بررسی سطح دسترسی فایل ها و پوشه های هاست شما
- بررسی نوع حملات و ذخیره مشخصات فرد خرابکار در سیستم
- قابلیت مسدود سازی (بلاک) افراد در هنگام لاگین به بخش مدیریت (در صورت موفق نبودن در هنگام ورود به تعداد مشخصی که مدیر انتخاب خواهد کرد)
- قابلیت نمایش کد کپچا در فرم لاگین به مدیریت
- قابلیت جلوگیری از ایجاد مدیر جدید
- قابلیت جلوگیری از تغییر مشخصات مدیران
- ایجاد یک لایه امنیتی اضافه به بخش مدیریت
- هشدار از طریق ایمیل به مدیر هنگام حملات خطرناک
- ضبط و ذخیره سازی کلمه های عبور نا موفق و ارسال آنها به مدیر
- قابلیت مسدود سازی بر اساس آی پی کشورهای مختلف
- بررسی فایل های آپلودی برای جلوگیری از تزریق ویروس و شل به هاست
- و ...
موارد بالا تنها بخشی از امکانات این کامپوننت بی نظیر بوده و استفاده از آن در هر جوملایی شدیدا پیشنهاد می گردد.
برای تهیه کامپوننت امنیتی RSFirewall می توانید از این لینک استفاده کنید.
4. بروز رسانی مداول جوملا
عمده ترین دلایل هک سیستم مدیریت محتوا های موجود را می توان به بروز رسانی نکردن به آخرین نسخه دانست؛ جوملا یکی از بزرگ ترین سیستم های مدیریت محتوا در دنیاست و یک تیم امنیتی کامل همیشه در حال تست و ارتقاء امنیت آن می باشند از این رو می توانید مطمئن باشید که در صورت شناسایی یک باگ امنیتی جدید ، بلافاصله یک نسخه جدید را منتشر خواهند کرد؛ به همین جهت شدیدا پیشنهاد می شود که جوملای خود را همیشه بروز نگه دارید.
از این لینک شما می توانید خود را درباره اخبار مربوط به موارد امنیتی که توسط تیم هسته اصلی منتشر می شود ، بروز نگه دارید.
5. رمز گذاری روی پوشه administrator
یکی از ترفندهای کارآمد برای حفط امنیت جوملا ، رمز گذاری روی پوشه administrator یا همان پوشه مدیریت جوملا می باشد؛ زمانی که هکر یا ربات خرابکار بخواهد به پوشه administrator دسترسی پیدا کند ، ابتدا هاست از وی یک درخواست "Authorization Required" می کند که باید نام کاربری و کلمه عبور مربوطه را وارد کند؛ این اطلاعات درون سرور قرار داشته و برای دسترسی به آنها باید اطلاعات ورود به سرور را داشته باشد فلذا درصد بسیار کمی وجود دارد که هکر بتواند به قسمت رمز گذاری شده دسترسی پیدا کند. در صورتی که نام کاربری یا کلمه عبور را اشتباه وارد کند با خطای زیر مواجه خواهد شد :
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required. برای آموزش رمز گذاری در cpanel ، DirectAdmin ، Plesk و ... می توانید در اینترنت جستجو کنید.
6. سطوح دسترسی فایل ها و پوشه ها در هاست
سطح دسترسی فایل ها و پوشه ها برای خواندن ، نوشتن و اجرا می باشد که یک عدد 3 رقمی خواهد بود؛ جوملا پیشنهاد می کند که فایل های خود را روی سطح دسترسی 644 ، پوشه های خود را 755 و فایل های PHP (مخصوصا configuration.php) را روی 444 قرار دهید.
برای تنظیم کل سطح دسترسی گفته شده می توانید از RSFirewall کمک بگیرید.
7. فعال کردن SEF جوملا (افزونه های کمکی مانند SH404SEF)
شاید براتون سوال باشه که فعال کردن SEF چه کمکی به بالاتر بردن امنیت سایت می کند؟ خب یکی از راه های دریافت اطلاعات درباره سایت شما برای هکرها ، همین آدرس های صفحات شما می باشد؛ به عنوان مثال به لینک های زیر دقت کنید :
// Content Link
https://yoursite.com/index.php?option=com_content&view=article&id=1&catid=2&Itemid=3
// Custom Component Link
https://yoursite.com/index.php?option=com_mycomponent&view=myview&task=show.product&id=1&filter=normalاز روی مشاهده لینک ها می توان فهمید که برای صفحات چه اطلاعاتی نیاز است و این اطلاعات کاملا قابل دسترسی و قابل فهم بوده و اولین سر نخ برای هر هکری می باشد که بتواند از مکانیزم سایت شما (جوملا) سر در بیارد.
البته این نکته را هم متذکر شویم که این کار به این معنی نیست که اگر انجام نشود سایت شما در خطر خواهد بود؛ یکی از ساده ترین مثال ها ، سایت گوگل می باشد که آدرس های SEF شده ندارد و یکی از امنیتی ترین سیستم های حال حاضر دنیاست؛ یا به عنوان مثال ، این ترفند برای هکری که پلتفرم جوملا را کاملا می شناسد قطعا کارایی نخواهد داشت.
یکی از سیستم های بی نظیر طراحی شده در جوملا ، کامپوننت مدیریت لینک SH404SEF می باشد که با استفاده از آن یک تیر با 2 نشان خواهید زد؛
- با این کامپوونت یک مدیریت کامل و بی نقص روی آدرس صفحات خود خواهید داشت
- یک لایه امنیتی برای آدرس های سایت خود ایجاد خواهید کرد و از دسترسی های غیر مجاز کاربران از طریق آدرس ها جلوگیری خواهید کرد
ما به شما استفاده از این کامپوننت را شدیدا توصیه می کنیم؛ شما می توانید از اینجا ، سیستم مدیریت لینک SH404SEF را تهیه کنید.
8. ثبت سایت تان در کلود فلر (CloudFlare)
کلود فلر چیست ؟ کلود فلر (به انگلیسی CloudFlare) یکی از بهترین ارائه دهندگان سرویس CDN در جهان می باشد که با خدماتی که ارائه می کند سایت شما را در زمینه لود سرعت بارگزاری و امنیت افزایش چشم گیری می بخشد.
CDN چیست ؟ شبکه تحویل محتوا (Content Delivery Network یا همان CDN) به مجموعه ای سرورها ها گفته می شود که در سراسر نقاط جهان به صورت جغرافیایی تقسیم شده اند؛ کلود فلر اطلاعات سایت شما را ذخیره و کش می کند و بر اساس موقعیت جغرافیایی بازدید کننده ، نزدیک ترین سرور به کاربر آماده ارائه اطلاعات خواهد شد؛ اینگونه سرعت ارائه اطلاعات بسیار بالا و تاثیر گذار خواهد بود.
از لحاظ امنیتی هم کلود فلر شما را از حملات :
- DDOS Protection
- SQL Injection
- Backdoor protection
- XSS attack
- Cross-Site
- Brute-force attack protection
- Spambot protection
- و ...
و غیره کاملا در امان نگه می دارد؛ حتی زمانی که سایت شما برای مدت کوتاهی در دسترس نباشد بازدید کننده سایت را از سرورهای کلود فلر مشاهده می کند تا مجدد سایت به حالت عادی برگردد.
9. عدم نصب هر گونه افزونه غیر مطمئن
همیشه به یاد داشته باشید تا زمانی که شما اشتباهی نکنید یا اصطلاحا سوتی ندهید ، امنیت سایت شما در خطر نخواهد افتاد؛ زمانی یک هکر مشتاق به هک کردن سایت شما خواهد افتاد که یا پول یا شهرت خوبی از این کار به دست آورد یا یک ضعف از سایت شما بگیرد و بداند که زمان زیادی برای هک سایت شما صرف نخواهد کرد. پس از نصب هر گونه افزونه غیر ناشناس و غیر مطمئن که ممکن است آلود بوده و امنیت سایت شما را به خطر بیندازد خوداری کنید.
10. تغییر مسیر مدیریت جوملا به آدرس سفارشی خودتان
یکی دیگر از راه های بالا بردن امنیت سایت تان می تواند تغییر مسیر ورود به مدیریت باشد؛ برای این کار می توانید از پلاگین تغیر مسیر مدیریت JSecure استفاده کنید که یکی از بهترین افزونه ها در این زمینه ست.
امنیت یک گزینه نسبی می باشد و هیچ کسی نمی تواند تضمین دهد که امنیت بصورت کامل وجود دارد؛ موارد گفته صرفا جهت بالا بردن و تقویت امنیت بوده و دلیل بر تضمین امنیت شما نخواهد بود.
