بی شک جوملا یکی از بهترین نرم افزارهای مدیریت محتوا در بازار CMS ها می باشد. در حال حاظر جوملا بیش از ۱۰۰ میلیون بار دانلود شده است. همین مطلب نشان دهنده این است که جوملا جزو محبوب ترین CMS های مورد استفاده است. بر اساس تحقیقیاتی که توسط Sucuri صورت پذیرفته، جوملا از لحاظ هدف حملات نیز جزو CMS هایی است که مرتبا مورد حملات امنیتی قرار می گیرد. با این وجود، مهم ترین علتی که باعث می شود جوملا دچار مشکلات امنیتی شود، پیکربندی نادرست،میزبانی وب ناکارآمد، و یا وجود نقطه ضعف های امنیتی در افرونه های جوملا است.
هرچه وب سایت های بیشتری با جوملا طراحی می شود، نحوه ی پیکربندی سایت از نظر امنیتی مهم تر می شود. ۱۰ نکته ی زیر به افزایش امنیت سایت جوملای شما کمک می کند.
۱-یک هاستینگ (میزبان وب) مناسب انتخاب کنید :
سروری که برای میزبانی یا همان هاستینگ وب سایت استفاده می شود، از نظر سازش با نرم افزار یا زبانی که وب سایت با آن پیاده سازی می شود باید در بالاترین سطح قرار گیرد. به همین منظور، وب سایتی که با نصب نرم افزار مدریت محتوای جوملا پیاده سازی شده است، حتما باید میزبانی داشته باشد که از زبان برنامه نویسی PHP به همراه SU-PHP پشتیبانی کند. چنین سروری نیاز به تنظیم مجوز هایی ماننده ۷۷۷ نخواهد داشت.
تنظیمات زیر را انجام دهید :
register_globals را در حالت OFF قرار دهید.
allow_url_fopen را غیر فعال نمایید .
راهنمای magic_quotes_gpc را برای سایت خود تنظیم کنید.جوملا نسخه ی ۱.۵ از این تنظیمات صرف نظر می کند.
ترجیحا از PHP safe_mode استفاده نکنید .
۲-پیشوند پیش فرض دیتابیس را تغییر دهید:
در زمان نصب نرم افزار جوملا، برخی تنظیمات پیش فرض و خودکار بر روی اطلاعات آن ست می شود. برای مثال دیتابیس ربا پیشوند Jos تنظیم می گردد و هکر حرفه ای جوملا از این موضوع باخبر است. چنانچه شما این بخش را تغییر ندهید، هکر به راحتی می تواند در مدت زمان کوتاهی وب سایت شما را هک نماید. تغییر در پیشوند دیتابیس باعث پیشگیری از حملات SQL injection توسط هکرها از جدول jos_users می شود.
۳-لایه ی FTP را غیر فعال کنید:
هنگام نصب جوملا گزینه ی FTP Layer را فعال نکنید، چرا که ضریب امنیتی فایل configuration.php را کاهش می دهد. در صورتیکه هاست شما امن بوده و برای جوملا پیکربندی صحیح را دارد، نیازی به فعالسازی FTP نیست. هر زمان که نیاز به نصب افزونه joomla داشتید می توانید موقتا FTP را فعال و پس از اتمام پروسه نصب آن را مجددا غیر فعال کنید.
۴-نام کاربری مدیریت را تغییر دهید :
بعد از نصب جوملا در هاست اقدام به تغییر نام کاربری مدیریت نمایید. نام پیش فرض آن admin است. کلماتی را انتخاب کنید که حدس زدن و کرک آنها مشکل باشد. بهترین نام، ترکیبی از حروف و اعداد است.
۵-کلمات عبور قوی انتخاب کنید :
برای اکانت مدیریت از کلمه ی عبور قوی استفاده کنید. مثلا کلمه عبور E@^M!$<9@ یک پسورد قوی می باشد. از سایتی مانند www.strongpasswordgenerator.com نیز می توانید برای انتخاب پسورد قوی کمک بگیرید. حتی برای فلدر administrator نیز کلمه ی عبور انتخاب کنید که البته باید با کلمه ی عبور Admin متفاوت باشد. بهترین ترکیب، رمزی است که طول آن زیاد باشد.
می توانید از مقاله ساخت نام کاربری و رمز عبور نیز کمک بگیرید.
۶-آدرس های SEF را فعال کنید:
بیشتر هکرها از فرمانهایی برای جستجوی بهتر هدف استفاده می کنند بنابراین اگر از جوملا ۱.۵ استفاده می کنید URL های SEF را از پیکربندی سایت انتخاب کنید.همچنین از Extension هایی مانند SH404SEF استفاده کنید. این کار از حمله ی هکرها در یافتن قربانی جلوگیری می کند.
۷-با آخرین نسخه ی جوملا کار کنید:
به محض ظهور نسخه ای جدید از جوملا اقدام به update کردن نسخه ی جاری نمایید. از آدرس http://feeds.joomla.org/JoomlaSecurityNews جهت مشاهده ی آخرین نسخه ی جوملا استفاده کنید. جوملا را از سایت های رسمی و معتبر دانلود کنید.
[irp posts=”۵۶۴۷″ name=”هر آنچه بایستی در مورد نحوه ی ارتقا و بروزرسانی جوملا بدانید”]
۸- extension ها :
بیش از ۴۰۰۰ هزار extension برای جوملا وجود دارد با این وجود از نصب extensionهای غیر ضروری در سایت خود جلوگیری کنید.توجه داشته باشید که بیشتر تلاش های هکری به خاطر extensionهای ناامن و آسیب پذیر اتفاق می افتد. بنابراین از extension هایی استفاده کنید که معروف هستند و پشتیبانی قوی ارائه می دهند. استفاده از افزونه های رایگان و کرک شده، خطر هک شدن سایت شما را بسیار بالا می برد.
۹-از مجوزهای فایل/فلدر صحیح استفاده کنید :
تنظیم مجوزهای مناسب برای وب سایت جوملا به شکل زیر است:
* PHP files: 644 در لینوکس و مجوز read در ویندوز سرور
Config files: 666 در لینوکس و مجوز read در ویندوز سرور
سایر فلدرها ۷۵۵ در لینوکس و read,write در ویندوز
۱۰-فرآیند بازیابی و پشتیبانی نصب :
همیشه از پروتکلهای بازیابی و پشتیبانی قوی برای سایت خود استفاده کنید. چرا که ممکن است مسائلی مانند خطاهای سخت افزاری ، ارتقا یا نصب extension های مشکل دار و مسائل شرکت هاستینگ به وجود بیاید.همچنین می توانید از JoomlaPack به عنوان کامپوننت اصلی برای هر دو نسخه ی Joomla 1.0 and 1.5 استفاده کنید.
به شما پیشنهاد می کنیم مقاله ی ما را برای کسب اطلاعات در حوزه ابزارهای طراحی قالب مطالعه نمایید.