فراموش کردن رمز جوملا
چگونه در جوملا هک نشویم؟
همانطور که می دانید جوملا یک مدیریت محتوای محبوب برای طراحی وب است به خاطر همین بیشتر تحت خطر حمله هکرها قرار میگیرد. باید سعی کنید حداکثر کارهای لازم را انجام دهید تا این حمله ها را مهار کنید . ما در این مقاله 16 راهکار برای بالا بردن امنیت جوملای شما آموزش داده ایم که امیدواریم مفید واقع شود.
-
اهمیت و آموزش آپدیت کردن جوملا
مهمترین بخش تامین امنیت وب سایت جوملایی به روز کردن آن به آخرین نسخه موجود که در تمام نسخه ها این گزینه وجود دارد. اگر در حال حاضر نسخه ای که دارید جوملا (2.x یا 3.x) است خیلی راحت از طریق پنل مدریریتی جوملا میتوانید آن را آپدیت کنید.
اما اگر جوملایی که استفاده میکنید خیلی قدیمی است مثلا جوملا (1.x) باشد میتوانید از راههایی زیر این کار را انجام دهید.
مهاجرت از 1.6 به 2.5.x
مهاجرت از جوملا 1.7 به 2.5.x
مهاجرت جوملا 1.7 یا 2.5.x به 3.x.x
آپدیت نگه داشتن افزونه های جوملا نیز یک مساله مهم برای امنیت وب سایت شماست زیرا بیشتر حملات هکر ها از هسته جوملا استفاده میکنند.
همچنین شما میتوانید از سیستم مدیریت محتوای Akeeba استفاده کنید این سیستم هم اطلاع میدهد زمان بروز رسانی را هم میتوانید به صورت خودکار آن را تنظیم کنید تا جوملای شما را آپدیت کند.
-
مدیریت افزونه های جوملا
افزونه های Third party محبوب کاربران جوملایی هستن و نقطه حمله هکرها است برای جلوگیری از این حملا باید تمام این افزونه ها را آپدیت کنید و سعی کنید از سایتهای معتبر این افزونه ها را دانلود کنید که از نظر امنیت بالا باشند.
برای همین است هنگان نصب یا دانلود یک افزونه حتما باید تاریخ بوجود آمدن و یا تاریخ بروزرسانی این افزونه را حتما چک کنید .
- پاک کردن افزونه هایی که استفاده نمیشوند
اغلب کابران انواع ماژولها و کامپوننت و افزونه ها را برای تست کردن نصب میکنند و فراموش میکنند که آنها را پاک کنند. رها کردن این افزونه های نصب شده حتی اگر به حالت غیرفعال باشد میتواند نقطه ورود هکر به وب سایت شما باشدبنابراین بعد از تست یک افزونه بلافاصله آن را حذف کنید.
روش ساخت رمز ورود ایمن در جوملا
-
راه اندازی لوگین دومرحله ای جوملا
معمولا برای هر وب سایتی که شما طراحی میکنید چندین یوزر تعریف میکنید مثلا یکی برای مدیریت و یکی برای ویرایش سعی کنید بعد از ساختن هر اکانت پسوردهایی که انتخاب میکنید سخت باشند و کاربران دیگر نتوانند آنها را حدس بزنند ترکیبی از حرف و عدد انتخاب کنید.
یک پسورد سفت و سخت :
1- بیشتر از 8 کاراکتر است
2- هرگز از نام خودتان یا فامیلتان و یا شرکتتان استفاده نکنید
3- از یک کلمه کامل تشکیل نشود
4- از رمزهایی که قبلا استفاده کردید استفاده نکنید
5- در گذاشتن رمز عبور از ترکیب حروف کوچک و بزرگ و همچنین اعداد استفاده کنید
شما میتوانید از ابزار رایگان Norton Identity Safe Password Generator برای ساخت رمز عبور حرفه ای استفاده کنید و امنیت جوملای خود را بالا ببرید
-
روش فعال کردن فایل .htaccess
در جوملا تعدادی از دستورات هستن که سایت شما را محافظت میکنند از حملات هکرها که به صورت پیش فرض فایل htaccess فعال نیست و شما میتوانید این فایل را در پوشه public_html بیابید و پسوند آن را به .htaccess.txt تغییر دهید.
-
روش استفاده از مجوز فایل Permission و Ownership
مجوز های دسترسی فایل یک روش کنترل آنچه که شما و افراد دیگر می تواند با یک فایل یا پوشه را انجام دهید. شما میتوانید این پرمیشن ها را طوری تنظیم کنید که کاربران دیگر نتوانند ببینند فایلهای مهم شمارو فقط خودتان دسترسی داشته باشید به این فایلها.
- باید تمام فایلها با مجوز CHMOD 644 باشد.
- تمام فولدر ها باید با ارزش CHMOD 755 باشد.
- فایل configuration.php باید با CHMOD 640 باشد.
- عوض کردن نام ادمین از Super User
در جوملا نام کاربری ادمین در پنل مدیریتی به صورت پیش فرض super user است. هکر های جوملا برای حمله معمولا به brute force تکیه میکنند اما به سادگی با تغییر نام مدیریت میتوانید بسیاری از این حملات را مهار کنید .
برای ایجاد یک حساب کاربر super user جدید فقط:
- ورود به بخش مدیریت به عنوان Super User فعلی
- کلیک کردن روی Users >> User Manager >> Add New User
- اختصاص یک کاربر جدید در نقش super user
- لاگ اوت از کاربری که با آن لوگین شده اید
- لوگین شدن با یوزر جدیدی که با نقش super user ساخته اید
- وارد محیط مدیریت یوزر شویدو یوزر قدیمی را غیر فعال و سپس پاک کنید.
برخی افراد ممکن است یک روش جایگزین با استفاده از ابزار Akeeba با تغییر ID پیشفرض انجام میدهند.
امکان ثبت نام کاربران، فقط در صورت نیاز
- اجازه ثبت نام به کاربران ندهید
اگر وب سایت شما نیازی با اجتماع افراد ندارد پس ثبت نام کاربران را غیر فعال کنید برای این کار:
- وارد پنل مدیریتی خود شوید
- در جوملا 2 به بالا وارد منوی Users >> User Manager و گزینه Options را پیدا کنید
- در این قسمت دنبال گزینه ای با نام setting Allow User Registration بگردید
- Disallow user registration را روی no قرار دهید
- محافظت از صفحه مدیریتی خود
با محدود کردن دسترسی به پنل مدیریتی جوملا به طور قابل توجهی میتوانید امنیت وب سایت جوملایی خودتان را افزایش دهید.
برای این کار ابتدا باید روی پوشه administrator خود پسورد بگذارید برای انجام این کار باید از سی پنل خودتان اقدام کنید. در مرحله بعد شما میتوانید حتی برای پوشه مدیریتی خود تعریف کنید که با کدام آی پی قابل دسترسی باشد. برای این کار باید فایل .htaccess را در پوشه administrator ایجاد کنید و این کد را به آن اضافه کنید
Deny from ALL
Allow from x.x.x.x
در قسمت x شما باید آی پی سیستمی را وارد کنید که میخواهید سایت با آن مدیریت کنید برای پیدا کردن این آی پی میتوانید این متن را در گوگل تایپ کنید What Is My IP website. این کار به شما کمک میکند که ای پی خود را پیدا کنید.
-
اجرای دو فاکتور تأیید هویت جوملا
در این تعیین هویت که از دو فاکتور استفاده میشود به این شکل است یک بار نام کاربری و رمز عبور و فاکتور بعدی از یک کد OTP تصادفی استفاده میکند.
کد OTP یک کد عددی 6 رقمی است که توسط توابع رمز نگاری برای یک بازه زمانی کوتاه تولید میشود که حتی اگر هکر بتواند نام کاربری و رمز عبور را حدس بزند نمی تواند بدون دانستن این کد وارد محیط مدیریت شود .
این نوع رمز نگاری برای جوملای 3.2 به بالا فعال شده است برای استفاده از این روش Authentication میتوانید مراحل زیر را انجام دهید.
1- ابتدا وارد محیط مدیریت شود
2- روی گزینه Components >> Post-installation Messages کلیک کنید.
3- گزینه two-factor authentication را فعال کنید.
4- Google Authenticator compatible client را روی سیستم خود نصب کنید.
-
فعال کردن (Search Engine Friendly (SEF
SEF آدرسهای دوستانه برای موتورهای جستجو می سازد. یا به نوعی لینک صفحات شما را خلاصه میکند کامپاننت SEF باعث سخت تر شدن URL های وب سایت شما میشود و احتمال خطر از سمت هکر ها کاهش میابد.
برای رسیدن به این پنجره وارد تنظیمات کلی و یا Global Configuration میشوید و سپس وارد تب Site و تنظیمات بالا را انجام دهید.
-
استفاده از گواهی SSL در جوملا
برای اینکه از حالت SSL استفاده کنید باید جوملای شما در این حالت لوگین شود. بدانید که حالت SSL را باید روی دامنه سایت داشته باشید درغیر اینصورت نمیتوانید از این حالت استفاده کنید.
-
محافظت از کوکی جوملا
کوکی می تواند اطلاعات را در مرورگر کاربر تا وقتی که حذف بشوند نگه دارد. اگر فردی یک نام کاربری برای لوگین و کلمه عبور داشته باشد ، میتواند از کوکی استفادهکندتا اطلاعاتش در مرورگر ذخیره شود و دیگر نیازی به این نباشد که کاربر هر دفعه لوگین کند.
-
غیر فعال کردن لایه FTP جوملا
در اکثر سایتهای جوملایی لایه FTP نیاز نیست پس بنابراین توصیه میکنیم آن را غیر فعال کنید. این تنظیم در Global Configuration وجود دارد .
-
استفاده از ماژولهای امنیتی جوملا
ماژولهای امنیتی در جوملا باعث امنیت بیشتر مانیتور کردن و review وب سایت شما میشود. یکی از محبوبترین ماژولهای امنیتی به صورت رایگان در مدیریت Akeeba وجود دارد که به روزترین ماژولهای امنیتی را به شما یادآوری میکند کار این ماژولها محافظت از ID و پایگاه داده شما و نگهداری ایمن از اطلاعات شماست.
-
راه اندازی یک فرایند اتوماتیک تهیه پشتیبان و بازیابی جوملا
همیشه برای داشتن یک وب سایت خوب و ایمن باید یک بک آپ گیری سفت و سخت هم داشته باشید و سعی کنید این پشتیبان گیری را طی تاریخ های مشخص انجام دهید تا در صورت بروز مشکل در اولین فرصت ابتدا سایتتان را بتوانید بازگردانید. تمام این پروسه انجام شده را شما میتوانید به صورت ویدیوهای کیفیت بالا به زبان فارسی و به صورت مرحله به مرحله در پکیچ آموزشی مدرسه بیت دنبال کنید. امیدوارم این آموزش هم مورد توجه شما عزیزان قرار گرفته باشد.
