امنیت جوملا: تقویت امنیت جوملا (بخش دوم)

امتیاز 0.00 ( رای)

۱- فعال کردن فایل htaccess.


جوملا تعدادی از دستورالعمل هایی را در فایلی ایجاد کرده که میتواند وبسایت شما را در مقابل سوء‌استفاده های رایج کمک کند. بطور پیش‌فرض فایل htaccess. که به همراه جوملا حاوی این دستور العمل هاست فعال نمیباشد.
شما میتوانید این فایل را در دایرکتوری public html خود در مدیریت فایل cPanel پیدا کنید. اطمینان حاصل کنید که آن را از htaccess.txt به htaccess. (توجه نقطه در ابتدای اسم فایل باشد) تغییر نام دهید.
شما می توانید عملکرد امنیتی و سرعت وب سایت خود را از طریق htaccess افزایش دهید، اما این تنها کاری نیست که لازم دارید انجام دهید.

این کد را فقط بعد از 'RewriteEngine On' بگذارید.  

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a tag in URL RewriteCond %{QUERY_STRING} (|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL RewriteCond
%{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
########## Start- Rewrite rules to block all attempts to run scripts outside the Joomla control.
RewriteCond %{REQUEST_URI} ^/images/ [NC,OR]
RewriteCond %{REQUEST_URI} ^/media/ [NC,OR]
RewriteCond %{REQUEST_URI} ^/logs/ [NC,OR]
RewriteCond %{REQUEST_URI} ^/tmp/
RewriteRule .*.(phps?|sh|pl|cgi|py)$ - [F]
########## End - Rewrite rules to block all attempts to run scripts outside the Joomla control.

 ۲- مسدود کردن رباتها بد

همیشه رباتها، اسکرپرها و خزنده ها به سایتهای جوملا حمله می کنند و پهنای باند شما را سرقت می کنند. شما می توانید فهرست جامعی از رباتها را در botreports.com ببینید. بسیاری از افزونه های امنیتی ذکر شده در مطلب قبل میتوانند برای جلوگیری از رباتهای نامناسب کارآمد باشد، اما گاهی ممکن است لازم باشد این کار را در سطح سرور انجام دهید. اگر شما می خواهید چندین User-Agent را یک بار مسدود کنید، می‌توانید خطوط زیر را در فایل htaccess. اضافه کنید.

    


RewriteEngine On
RewriteCond %{https_USER_AGENT} ^.*(agent1|Wget|Catall Spider).*$ [NC]
RewriteRule .* - [F,L]

یا میتوانید از دستورالعمل BrowserMatchNoCase نیز بصورت زیر استفاده کنید.

BrowserMatchNoCase "agent1" bots
BrowserMatchNoCase "Wget" bots
BrowserMatchNoCase "Catall Spider" bots

Order Allow,Deny
Allow from ALL
Deny from env=bots

 ۳- فعال کردن آدرس های بهینه برای موتورهای جستجو

همیشه توصیه می‌شود که آدرس‌های بهینه برای موتور جستجو را فعال کرده تا نام فایل‌هایی مانند index.php را از ساختار URL وبسایت خود پنهان کنید. این گزینه کمک میکند اطلاعات پوشانده شده و در جلوگیری از دسترسی هکرها به آسیب‌پذیری ها کمک کند.
برای فعال کردن این گزینه به منوی سیستم > تنظیمات کلی > تب تنظیمات SEO بروید، و گزینه های آدرس های بهینه برای موتورهای جستجو و استفاده از mod_rewrite را فعال کنید.

  •     توجه کنید که کاربران سرور Apache ،قبل از فعالسازی گزینه های بالا فایل htaccess.txt را به htaccess. تغییر نام دهند.
  •     و کاربران IIS7 نیز ، فایل web.config.txt را به web.config تغییر نام داده و ماژول IIS URL Rewrite را از قبل فعال کنند.

 
۴- غیرفعال کردن گزارش خطا


مطمئن شوید که گزارش خطا را برای وبسایت خود بر روی هیچ قرار دهید. این کار ساده برای جلوگیری از افشای اطلاعات است.
هکرها ممکن است تلاش کنند تا عمل‌کرد سایت شما را مختل کنند تا اطلاعاتی مانند، مسیرهای فایل مورد استفاد را بدست آورند. با غیرفعال کردن گزارش خطا میتوانیم اطمینان داشته باشیم که ما هیچ اطلاعاتی درمورد بیشتر خطاهایی که میتوانیم تولید کنیم را برای آن‌ها ارائه نکنیم.


 ۵- نادیده گرفتن ثبت نام کاربران


اگر وبسایت شما یک جامعه مجازی نیست، یا دلیلی برای عضو گیری ندارید، پس بهتر است ثبت نام کاربران را غیرفعال کرده و یا اینکه حتماً از افزونه های مثل reCaptcha جهت محافظت از ثبت نام بی مورد روبات ها بر روی فرم ثبت نام نصب و فعال کنید.

 
۶- فعال سازی دو عامل احراز هویت


دو عامل احراز هویت یک روش ورود به سیستم است که به موجب آن فرد باید نام کاربری، پسورد و یک (رمز یک بار مصرف) تصادفی تولید شده را برای ورود ارائه کند.
این رمز یک بار مصرف یا OTP یک عدد شش رقمی است که از طریق توابع رمزنگاری در یک فاصله کوتاه مدت ساخته میشود. حتی اگر یک هکر نام کاربری و پسورد مدیریت شما را بدرستی حدس بزند، هنوز برای ورود نیازمند پسورد یکبار مصرف است.
برای فعال کردن این گزینه نیاز است که جوملای شما نسخه ۳.۲.۰ یه بالاتر باشد.

به منوی کامپوننت ها > پیام‌های بسته نصب بروید ، بر روی آبی رنگ فعال کردن دو عامل احراز هویت کلیک کنید.
و بر روی موبایل خود کلاینت Google Authenticator را نصب کنید.

نوشته های مرتبط