فهرست نکات امنیتی جوملا 1.5

[مصطفی قلیزاده 11]

فهرست نکات امنیتی جوملا - چگونه شروع کنیم - قسمت اول

توضیحات ابتدایی:

امنیت همواره یک نگرانی است

دو رهنمود بسیار مهم

دو رهنمود بسیار ساده است که با رعایت آن گام بلندی را در امنیت هر وب*سایتی برخواهید داشت. در زیر آن دو رهنمودی که سایت شما را تقریبا از هر بلایی مصنون می**دارند، آمده*اند.

1. تهیه نسخه پشتیبان(backup): همواره از آخرین تغییرات سایت*ِ خود یک نسخه پشتیبان تهیه کنید. این*گونه شما خواهید توانست در صورت بروز هرگونه مشکلی، داده*های خود را بازیابی کنید.

2. به*روز رسانی نرم افزار(update): همواره پس از انتشار هر نسخه*ی جوملا! توسط گروه، جوملای سایت خود را به روز کنید و همچنین هر یک از امکانات سایت خود را پس از انتشار نسخه*های جدید، به*روز کنید. این عمل باعث خواهد شد که سایت شما از هر نقص و مشکلی که در نسخه جدید برطرف شده در امان باشد و همچنین از تمامی شیوه*های حملات جدید تا جایی که دفاع آن گسترش*یافته وب*سایت شما را محافظت خواهد کرد.

چند نکته مهم دیگر درباره امنیت جوملا، در این چک لیست وجود دارد، که شایسته است آن*ها را نیز مدنظر قرار دهید.

استفاده از یک میزبان فضای وب (Host) ایمن

امنیت به مسئله*ی بزرگ میزبانی وب است. پس، یک میزبان فضای وب خوب پیـدا کنید! توجه داشته باشید که اگر هیچ تجربه یا دانشی در این ضمینه ندارید، از یک مشاور حرفه*ای یاری بگیرید

اخطارها

گوجه اضافی درکار نیست!

مراقب باشید که گول برنده شدن جایزه*های استفاده ساده و آسان جوملا! را نخورید! برقرار نگهداشتن امنیت یک وب*سایت پویا در محیط باز اینترنت کار آسانی نیست. امنیت کافی نیازمند فن و توانایی، دانش، مراقبت دائم، نسخه*های پشتیبان خوب و تلاش و زحمت ادامه*دار است.

تنها یک راه درست وجود ندارد!

با توجه به گوناگونی و پیچیدگی سیستم*های مدرن وب، موضوعات امنیتی را نمی*توان با یک راه حل ساده و قابل استفاده برای همه حل کرد. شما، یا کسی که شما به او اعتماد دارید، باید به اندازه کافی درباره شالوده*ی سرور شما بیاموزد تا بتوانید تصمیمات امنیتی را اتخاذ کند. امنیت قوی، هدفی است که مدام در حال تغییر است. متخصصان امروز، ممکن است قربانیان فردا باشند. پس به بازی خوش آمدید...

هیچ جانشینی برای تجربه وجود ندارد!

برای برقراری امنیت سایت خود، شما باید تجربه واقعی را کسب کنید (که برخی از آنان تلخ خواهند بود) یا از تجربه*ی دیگران استفاده کنید.

یک میزبان فضای وب شایسته و واجد شرایط را انتخاب کنید - مهم*ترین تصمیم

به طور حتم و یقین در خصوص امنیت سایت، هیچ تصمیمی مهم*تر از انتخاب هاست و سرور نیست. به*هرحال، با توجه به گوناگونی گزینه ها و پیکربندی*های هاستیگ، ممکن نیست که بتوان یک فهرست کامل از تمامی راه*حل*ها را ارائه داد.

خطرات میزبانی اشتراکی (Shared Server)

اگر شما بودجه کافی برای هزینه در سایت خود ندارید، یا سایت شما دارای داده*ها و محتوای بسیار سری و محرمانه نمی*باشد، شما می*توانید از میزبانی اشتراکی یا سرورهای اشتراکی استفاده کنید، اما حتما بدانید که شما در معرض خطرات غیرقابل اجتباب آن قرار دارید. بسیاری از نکته*ها و توضیحاتی که در زیر می*آیند در رابطه و مربوط با امنیت بر روی همین میزبانی*های اشتراکی می*باشند.

از پیکربندی و تنظیمات سرسری خودداری کنید

تنها برای این که چشم*تان را باز کنید این گزارش را بخوانید، این گزارش درباره هزاران سایتی است که به گوگل اجازه ایندکس کردن نتایج phpinfo() را می*دهد. شما چنین اشتباهی را در سایت خود مرتکب نشوید! این گزارش شامل آمار هشداردهنده*ای درباره درصد سایت*هایی است که از تنظیمات نادرست مانند روشن بودن register_globals یا نداشتن open_basedir استفاده کرده*اند. درضمن اگر php.ini و register_globals برای شما کدهای ناآشنایی هستند، بدین معناست که شما آمادگی لازم برای مدیریت امنیت سایت خود را ندارید.

پیکربندی Apache (آپاچی)- استفاده از Apache .htaccess

اقدامات استفاده typical را با فایل*های local Apache .htaccess بلوکه کنید. این گزینه بر روی همه سرورها فعال نیست. با میزبان خود بررسی کنید که آیا شما ممکن است دچار این مشکلات شوید یا خیر. با استفاده از .htaccess شما می*توانید گذارواژه* محافظی بر روی دایرکتوری*های حساس، مانند مدیریت (administrator) قرار دهید، دسترسی دایرکتوری*های حساس را بر اساس IP ببندید، و بسیاری پیکربندی*های دیگر بر روی سرور خود در جهت افزایش امنیت با تغییر PHP4 به PHP5 اعمال کنید.

استفاده از Apache mod_security

Apache mod_security و فیلترهای mod_rewrite برای جلوگیری از حملات PHP با دقت تنظیم کنید. Google search for mod_security و Google search for mod_rewrite را مشاهده کنید. (توجه داشته باشید: این*ها روش*های پیشرفته*ای هستند که نیازمند توافقنامه یا هماهنگی با پشتیبان فضای وب شما می*باشد، چنین گزینه*هایی به صورت جداگانه بر روی سرورهای اشتراکی قابل تنظیم نمی*باشند.)

پیکربندی MySQL - پایگاه داده را ایمن کنید

از تنظیم حساب*های MySQL در حالت دسترسی محدود اطمینان حاصل کنید. نصب اولیه MySQL ایمن نیست و نیازمند پیکربندی دقیق*تری است. (راهنماهای MySQL http://dev.mysql.com/doc/ را بخوانید) توجه داشته باشید که این گزینه تنها برای مدیریت سرورهایی که شما دارنده آن هستید، نظیر سرورهای Dedicated اعمال می*گردد.

پیکربندی PHP - نحوه کار PHP را دریابید

نحوه کار با فایل php.ini و چگونگی تنظیمات کنترل شده PHP را بیاموزید. فهرست رسمی دستورالعمل*های php.ini را در http://www.php.net مطالعه کنید.

استفاده از PHP5

در حال حاضر PHP5 و PHP4هر دو پشتیبانی می*گردند، و هر دو بر روی سرورها دردسترس می*باشند. پیش از آن که PHP4 منسوخ شود، اسکریپ*های دلخواه خود را به PHP5 ارتقا دهید. نگران کدهای هسته جوملا نباشید، تمامی نسخه*های موجود با PHP5 سازگار می*باشند. (مشاهده خبر PHP)

استفاده از فایل*های محلی php.ini

در سرورهای اشتراکی شما نمی*توانید فایل php.ini اصلی را ویرایش کنید، اما شما قادر به افزودن فایل*های محلی php.ini دلخواه هستید. اگر چنین قصدی داشته باشید، شما باید رونوشت فایل*های php.ini را در تمام زیردایرکتوری*هایی که نیازمند تنظیمات سفارشی هست، ایجاد کنید. خوش*بختانه تعدادی از اسکریپت*ها موجودند که می*توانند این کار دشوار را برای شما انجام دهند!

چند نکته مهم هست که باید به*یاد داشته باشید.

1.

فایل*های محلی php.ini تنها در شرایطی که در سرور مورد استفاده آن*ها تنظیم شود، قابل استفاده می*باشند. این شامل یک فایل php.ini در دایرکتوری http_root شما می*باشد. شما می*توانید بررسی کنید که این فایل بر روی سایت شما توسط تنظیمات مستقیم فایل php.ini تاثیرگذار هست یا خیر.

2.

فایل*های محلی php.ini تنها بر فایل*های .php تاثیر می*گذارند که در همان دایرکتوری قرار دارند. این به آن معناست که به صورت طبیعی تنها دو دایرکتوری جوملا هستند که شما می*توانید فایل* php.ini را در آن قرار دهید.

3.

اگر شما در هر دایرکتوری یک فایل php.ini دارید، برخی از اسکریپت*ها احتمالا این کار را برای شما انجام داده*اند. اگر شما قصد آن را نداشته*اید، شما باید آن*ها را از شاخه اصلی خارج کنید، اما به طور منطقی شما باید نگران فایل*های php.ini در دایرکتورهای http_root و administrator باشید.

استفاده از PHP disable_functions

از disable_functions برای غیر فعال*کردن توابع خطرناک PHP که در سایت شما موردنیاز نیستند، استفاده کنید. در زیر یک نمونه تنظیم برای یک سایت جوملا! است:

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

استفاده از PHP open_basedir

open_basedir باید فعال و به درستی تنظیم شده باشد. این تنظیمات فایل*هایی را که می*توانند توسط PHP در یک دایرکتوری درختی خاص باز شوند را محدود می*کند. این تنظیمات از روشن یا خاموش بودن حالت امن هیچ تاثیری نمی*پذیرد.

open_basedir = /home/users/you/public_html

دربرخی از پیکربندی*های سیستم، حداقل با PHP 4.4.8 استفاده از slash برای محدود کردن دسترسی تنها به دایرکتوری مشخص شده ممکن است سبب اخطار JFolder::create: Infinite loop detected جوملا هنگام ذخیره پیکربندی کلی بخش مدیریت شود. این اخطار به سبب عدم موفقیت*های PHP file_exists() function ، به عنوان مثال هنگام بررسی وجود /home/user/public_html/joomla_demo و تنظیم open_basedir در /home/user/public_html/joomla_demo/ شود.

به علاوه اگر open_basedir تنظیم شده باشد، ممکن است نیاز به تنظیم پیکربندی PHP upload_tmp_dir در مسیری در حوزه open_basedir باشد یا به طور جایگزینی مسیر upload_tmp_dir path را بیفزاید به open_basedir با استفاده از مسیر مربوطه جداکننده برای سیستم میزبان.

open_basedir = /home/users/you/public_html:/tmp

PHP از دایرکتوری موقت سیستم هنگامی که upload_tmp_dir تنظیم نشده باشد استفاده می*کند یا هنگامی که تنظیم شده باشد اما دایرکتوری موجود نباشد. بنابراین الزامی است که آن را به open_basedir برای جلوگیری از بارگذاری خطا در جوملا بیفزایید.

تنظیم magic_quotes_gpc

magic_quotes_gpc را آن*گونه که مورد نیاز سایت*تان است، تنظیم کنید. این تنظیم برای جوملا! 1.0 پیشنهاد می*شود که در وضعیت روشن تنظیم شود تا از ضعف امکانات اضافی محافظت شود. اما امن*ترین روش این است که magic_quotes_gpc خاموش باشد تا در مقابل تمامی امکانات اضافی ضعیف و بی*خاصیت محافظت شوید.

جوملا! 1.5 به طور کل از این تنظیم صرف نظر می*کند و به طریق دیگری عمل می*کند.

magic_quotes_gpc = 1

از PHP safe_mode استفاده نکنید

از استفاده*ی PHP safe_mode اجتناب کنید. این کار در سیستم معتبر است، اما یک راه*حل ناقص برای مشکلات بسیار پیچیده است که باعث بروز برخی مشکلات امنیتی می*شود. برای اطلاعات بیشتر درباره این موضوع سایت رسمی PHP را بخوانید.

safe_mode = 0

از PHP register_globals استفاده نکنید

register_globals خودکار متغیرها به طور حتم یکی از اشتباه*ترین تصمیمات برنامه*نویسان و گسترش*دهندگانِ PHP بود. این سند تعیین می*کند که آیا EGPCS (Environment, GET, POST, Cookie, Server) به عنوان متغییرهای کلی ثبت شوند یا خیر و این*که کجا باید سریعا برای تمام اسکریپت*های PHP در دسترس باشند و همچنین کجا باید به سادگی بر روی متغییر شما مجددا نوشته شوند، هنگامی که شما بی*دقت هستید. خوش*بختانه گسترش*دهندگان PHP مدتی است متوجه این اشتباه خود شده*اند و این ویژگی را کم*تر به کار می*گیرند.

اگر سایت شما بر روی یک سرور اشتراکی با پشتیبان فضای وبی است که register_globals بر روی آن فعال است، شما واقعا باید نگران باشید. البته اگرچه شما می*توانید register_globals را غیر فعال کنید، اما همچنان این امر شما را در معرض آسیب*پذیری در برابر حملات به سایت شما از طریق سرور قرار می*دهد.

register_globals = 0

از PHP allow_url_fopen استفاده نکنید

از PHP allow_url_fopen استفاده نکنید. این گزینه URL-aware fopen wrapperها را فعال می*کند. Wrapperهای پیش*فرض برای کنترل فایل*ها با استفاده از ftp و یا پروتوکل http ایجاد شده اند، همچنین برخی از امکانات مانند zlib می*توانند wrapperهای اضافی*ای را ثبت کنند.

allow_url_fopen = 0

[مصطفی قلیزاده 11]

قسمت دوم :

شناسه (user name) پیش فرض مدیریت سایت را تغییر دهید

شناسه پیش فرض کاربر مدیر سایت (admin) را تغییر دهید. این تغییر ساده، تاثیر بسیار فراوانی در بالابردن امنیت سایت شما تا 50٪ دارد، زیرا با تغییر آن نفوذگران و خرابکاران باید برای دسترسی به آن، پیش*تر از نام آن مطلع باشند. گذرواژه گزینه بعدی می*باشد که اهمیت دارد، آن را همواره و به تناوب تغییر دهید.

فایل*ها و دایرکتوری*ها را محافظت کنید

با تغییر مکان فایل configuration.php (پیکربندی کلی) خارج از دایرکتوری public_html امنیت این فایل مهم و حیاتی را افزایش دهید. برای اطلاعات بیشتر به (FAQ) مراجعه کنید.

به یاد داشته باشید که تمامی مسیرهای تنظیم*شده در حالت قابل ویرایش و قابل*بارگذاری (مانند: حافظه نهانگاهی، گالری*های تصاویر، محل ذخیره اسناد و...) خارج از دایرکتوری public_html قرار دارند. همچنین امکانات اضافی و غیرهسته مانند DOCMan و Gallery2 را برای مسیرهای قابل*ویرایش و قابل*نوشتن بررسی کنید.

در پیکربندی کلی بخش مدیریت، مسیر ثبت وقایع را تغییر دهید. برخی از امکانات از ساختار JLog class استفاده می*کنند.

به صورت پیش*فرض، ثبت وقایع در پوشه http://yoursite/logs نوشته می*شود. آن*را جایی قرار دهید که مرورگر نتواند آن*را بیابد. زیرا ما با یک نرم افزار متن*باز سروکار داریم و نفوذگران می*توانند کدهای امکانات غیرهسته را بخوانند و ممکن است نام فایل**های ثبت وقایع را حدس بزنند.

در پیکربندی کلی بخش مدیریت، مسیر پوشه صفحات موقت (temp) را تغییر دهید.

اگر مسیر پوشه*های صفحات موقت و ثبت وقایع تغییر داده شده باشند و PHP open_basedir به درستی تنظیم شده باشد، مطمئن شوید که مسیرهای جدید در حوزه open_basedir قرار می*گیرند.

در حال حاضر هیچ راه آسانی برای انتقال دایرکتوری*های /image و /media جوملا! وجود ندارد. این به آن دلیل است که هزاران امکانِ غیرهسته باید این دایرکتوری*های مهم را در جایگاه فعلی*شان بیابند. بهترین نقشه برای کسب اطمینان از open_basedir تنظیم صحیح آن برای تمامی حساب*های کاربری بر روی سرور اختصاصی است. آن را با پشتیبان فضای وب خود بررسی کنید، اگر مطمئن نیستید.

تنظیم (سطح دسترسی) مجوزهای فایل و دایرکتوری (Permissions)

هنگامی که پیکربندی سایت شما کامل و پایدار شد، پوشه*های مهم را از نوشتن محافظت کنید (write-protect). برای این کار مجوزهای پوشه را به 755 تغییر دهید و مجوزهای فایل را به 644. ویژگی و امکانی در پیکربندی کلی سایت هست که سرور تمامی مجوزهای فایل و پوشه را یک جا تنظیم می*کند. پس از آن امکانات غیرهسته را امتحان کنید و کدهای آن*ها را بادقت بررسی نمایید تا مشکلی با تنظیمات آن نداشته باشید.

فایل*های غیرضروری را پاک کنید

تمامی قالب*های طراحی شده در سایت را که از آن*ها استفاده نمی*کنید و به آن*ها نیاز ندارید را پاک کنید.

XML-RPC سرور را اگر به آن نیاز ندارید، حذف کنید.

پس از نصب، پاک کنید! پردازش نصب نیامند حذف دایرکتوری نصب و تمامی محتویات آن خواهد بود. حتما آن را حذف کنید و به سادگی تنها آن را تغییرنام ندهید. اگر فایل*ها را به صورت فشرده بارگذاری کردید، پس از نصب فایل فشرده را حذف کنید. پوشه /temp/ را بررسی کنید، شاید فایل*های موقت نصب در آن باقی* مانده باشند. به صورت کلی، هیچ فایل غیرضروری (فشرده یا غیره) را در یک سرور عمومی رها نکنید. هر فایل استفاده نشده*ای پتانسیل تبدیل به یک حفره امنیتی را دارد.

Register Globals Emulation را خاموش کنید

Register Globals Emulation جوملا را خاموش کنید. اگر چه این تنظیم پاری اوقات ایمن*تر از PHP register_globals است، اما بسیار بهتر است که همه*ی این تنظیمات را خاموش کنید. در نسخه*های پیش از 1.0.13 جوملا، این تنظیم در فایل globals.php قرار دارد. اگر شما از نسخه 1.0.13 استفاده می*کنید، می*توانید آن را در پیکربندی کلی بخش مدیریت خاموش کنید.

جوملا 1.5 از register globals استفاده نمی*کند و در حقیقت کدهایی هوشمند برای مقابله با این تنظیم در صورتی که در سطح PHP روشن باشد دارد. توجه داشته باشید باوجود این*که این تنظیم جوملا را ایمن*تر می*کند، اما هر سروری که register globals آن روشن باشد، پتانسیل آسیب**پذیری را دارد. هر سرور اشتراکی که register globals آن روشن باشد مانند کشتی به* گِل نشسته است.

نصب امکانات جوملا!

پیش از نصب نسخه پشتیبان (backup) تهیه کنید

پیش از نصب امکانات، همیشه از فایل*ها و پایگاه* داده خود نسخه پشتیبان تهیه کنید. یک اصل پایه*ای موجود است:

تو باید در هر زمانی که خواستی، بتوانی به سایت پایدار قبلیت که کار می*کرد از طریق یک نسخه پشتیبان قوی و پردازش بازیافت، بازگردی.

بنابراین، هوشیارانه خواهد بود نوشتن یک اسکریپت کوچک برای تهیه آسان و سریع نسخه پشتیبان به صورت خودکار. اگر شما این پروسه آسان را انجام ندهید و بدون تهیه نسخه پشتیبان اقدام به به*روز رسانی و ارتقای سایت خود کنید، ممکن است با عواقب سنگینی روبه*رو شوید.

آسیب*پذیری امکانات را بررسی کنید

اکثر آسیب*پذیری*های امنیتی به سبب امکانات غیرهسته می*باشد. پیش از نصب امکانات، حتما فهرست رسمی امکانات غیرهسته*ای را مطالعه کنید.

تنها از سایت*های قابل اطمینان دانلود کنید

تعریف، معنای و منظور کامل و صحیح از واژه قابل اطمینان، سایت*هایی هستند که شما به آن*ها اطمینان دارید!

آزمایش، آزمایش، آزمایش...

تمام امکانات غیرهسته را پیش از نصب بر روی سایت اصلی خوب بر روی یک سایت محلی (localhost) آزمایش کنید. فراموش نکنید که گزارش*های خطای زمان اجرا و هشدارها را بررسی کنید.

فایل*های بی*مصرف را حذف کنید

تمامی امکاناتی که از آن*ها استفاده نمی کنید و پوشه و فایل*های مربوط به آن*ها را حذف کنید. توجه داشته باشید که در هنگام حذف (uninstall) امکانات غیرهسته برخی از فایل*های مرتبط با آن*ها بر روی سایت شما و جداول پایگاه داده شما باقی می*مانند. هر فایلی که بر جا بماند، بر روی سرور شما باقی می*مانند و از طریق نشانی اینترنتی مستقیم وب مانند: http://yousite.com/modules/bad_module. قابل دسترسی می*باشند.

از کدهای رمز شده جلوگیری کنید

جوملا! یک پروژه GNU GPL است. این به* آن معناست که تمام امکانات جوملا! هم باید آزاد و باز (به معنای خواندن کدها) باشند. کدهای رمزشده ممکن است ایمن باشند، اما شما نمی*توانید تصمیم بگیرید که باید به برنامه*نویس و گسترش*دهنده آن اعتماد کنید یا خیر.

شما اغلب اجازه ویرایش، بهبود و یا به اشتراک گذاشتن کدهای رمزشده را ندارید. این محدودیت کدهای رمز شده را در نزد اجتماع کاربران کم ارزش*تر کرده است و گرایش کاربران را به پروژه جوملا که مبنی بر اشتراک آزاد و باز منابع (open source) برای تمامی استفاده کنندگان است را افزایش داده است.

نکته*ها و ترفندهای دیگر جوملا!

از سرورهای اشتراکی (Share Hosting) تا جایی که ممکن است اجتباب کنید

برای بیشترین حد امنیت، از سرورهای اشتراکی اجتناب کنید، مخصوصا آن*هایی که شما از همسایگان و دیگر کاربرانی که از آن استفاده می*کنند، اطلاع ندارید.

از یک سرور دارای SSL استفاده کنید

سرورهای SSL درحال حاضر تنها راهِ پردازش تراکنش*های محرمانه و ایمن بین کاربران است. SSL با رمزگذاری تمامی ارتباطات HTTP بین وب سرورها و کاربران بیشترین میزان امنیت را تامین می*کند.

متاسفانه جوملا! 1.0 به شما اجازه اختصاص یک سرور SSL را به یک زیردایرکتوری خاص و شخصی نمی*دهد. اما جوملا 1.5 به نحو شگفت*انگیزی دررابطه با SSL و امکانات و گزینه*های آن پیشرفت کرده است.

از Apache's .htacces استفاده کنید

به عنوان یک لایه اضافی در امنیت و حفاظت گذرواژه، شما می*توانید از .htaccess برای محافظت گذرواژه دایرکتوری*های مهم استفاده کنید. این کار معمولا برای جلوگیری از اسکریپت*های مخرب معمولی کافی است اما آگاه باشید که .htaccess به تنها برای تامین امنیت کافی نیست. این باید با یک سرور SSL ترکیب شود. سرور SSL نیاز امنیت سایت شما در برابر حملات قدرتمند و خطرناک است.

[مصطفی قلیزاده 11]

قسمت سوم :

از گذرواژه*های مطمئن استفاده کنید

گذرواژه (password) خود را به تناوت تغییر دهید و آن*ها را یکتا و تنها برای یک شناسه (username) نگاه دارید. در گذرواژه*های ترکیبی از حروف، اعداد و سمبول*ها استفاده کنید و از واژه*ها و نام*هایی که به سادگی قابل حدس زدن می*باشند به شدت اجتناب کنید. هرگز از نام خود یا شرکت و شماره تلفن*تان در گذرواژه*ها استفاده نکنید.

همواره یک نسخه پشتیبان قوی و به روز از سایت خود تهیه کنید

هیچ وقت به نسخه های پشتیبان (backup) دیگران اعتماد نکنید. شخصا مسئولیت تهیه نسخه*های پشتیبان را به صورت منظم در دست بگیرید. بسیاری از سرویس*دهندگان (هاستینگ) و ISPها در قراردادها اظهار می*کنند که از سایت شما نسخه پشتیبان تهیه خواهند کرد. اما به حرف* آن*ها اعتماد نکنید!

تلاش*هایی که برای نفوذ به سایت*تان می*شود را کنترل کنید

کاربران VPS (سرور اختصاصی مجازی) و سرور*های اختصاصی (dedicated server) می*توانند TripWire و SAMHAIN را اجرا کنند. این برنامه*ها فایل*های جامعی را برای بررسی، گزارش*دهی فراهم می*آورد و می*توانند به صورت پنهانی برای محافظ خودشان در عملیات*های نفوذی جدی نصب گردند. (توجه: کاربران سرورهای اشتراکی نمی توانند از این تکنیک استفاده کنند.)

از یک سیستم شناسایی نفوذ خودکار استفاده کنید

از سیستم*های شناسایی/جلوگیری از نفوذ برای مسدود کردن/هشدار دادن نفوذ*ها بر روی درخواست*های خطرناک برروی HTTP استفاده کنید.

از یک سیستم شناسایی نفوذ دستی استفاده کنید

همیشه سایت خود را بررسی کنید و تمامیت فعالیت*های مشکوک را در گزارش سایت (logs) مدنظر داشته باشید. هیچ*گاه به گراف*ها و گزارش*های دیگر اعتماد نکنید.

همیشه با بسته*های امنیتی و بسته*های ارتقای سیستم به روز باشید.

سایت خود را با تمامی نسخه*های امنیتی در کوتاه*ترین زمان ممکن به روز کنید (به عنوان مثال اگر نسخه جوملای نصب و پیکربندی شده بر روی سایت شما 1.5.9 می باشد و نسخه 1.5.10 منتشر شده است سریعا نسبت به به روز رسانی اقدام نمائید.)

مراقب Sql Injection باشید!

از ابزارهایی مانند Paros Proxy برای جلوگیری از آسیب*پذیری Sql Injection (تزریق کدهای SQL) و تست آن در برابر نرم افزارهایی PHP استفاده کنید.

[navidahwaz 1]

سلام

یکی از مواردی که اشاره کردید

JFolder::create:

بود

من هر کامپوننتی که میخوام نصب کنم این پیغام خطا رو میده باید چکار کنم؟

[فرحزادیان 947]

با سلام

دوست عزیز در مورد مشکلات پیرامون نصب الحاقات بارها در انجمن بحث و مقاله ای هم در سایت منتشر شده که با رعایت اونها مشکلتون حل خواهد شد... (لطفا ابتدا جستجو کنید و چنانچه به نتیجه نرسیدید مشکلتون رو در یک تاپیک جدید و بخش مربوطه مطرح کنید...)

سلامت باشید

[mamad1 0]

با سلام

سرور به من اطلاع داد که برای register_globals و safe_mode امکان تنظیم آن وجود دارد . چگونه و از چه مسیری می توانم این تنظیمات را انجام دهم ؟

[فرحزادیان 947]

با سلام

به انجمن جومینا خوش آمدید

اگر ادمین سرور این دسترسی رو به شما داده از طریق فایل php.ini می تونید

موفق باشید

[mamad1 0]

php.ini رو توی دایرکتوری هاست پیدا نکردم . سرور می گه با اضافه کردن php_flag register_globals on به فایل htaccess. این کارو کنید. چون من در این زمینه مبتدی هستم یه سوال دارم: اضافه کردن این کد چه نتیجه ای داره ؟ و این که هرجای htaccess. میشه گذاشتش؟ منظورم اولش یا وسطش یا آخرشه ؟

سرور گفت برای safe_mode نام دامنه یا ساب دامنه ای که می خواهید در آن غیر فعال شود را ذکر کنید از جانب سرور انجام می شود . انجام این کار واسه دامنه اصلی درسته ؟

[فرحزادیان 947]

پس دسترسی کامل بهتون ندادند!

شما برای فعال کردن register_globals به فایل htaccess. مراجعه کنید و دقیقا عبارت زیر رو در اون اضافه کنید:

php_flag register_globals on

(در یک خط مجزا قرار دهید بالا و پایین بودنش بین کدها فرقی نداره)

سرور گفت برای safe_mode نام دامنه یا ساب دامنه ای که می خواهید در آن غیر فعال شود را ذکر کنید از جانب سرور انجام می شود . انجام این کار واسه دامنه اصلی درسته ؟

این هم مشخصه چون دسترسی به شما ندادند خودشون باید انجام بدند... شما اگر سیستم مدیریت محتواتون در روت هاست هست و می خواهید safe_mode در اون غیر فعال بشه نام دامنه اصلی رو بدید و اگر سیستم مدیریت محتواتون رو با ساب دامنه بالا آوردید و می خواهید safe_mode در اون غیر فعال بشه نام ساب دامنه رو بهشون اعلام کنید

موفق باشید

[mamad1 0]

سپاس

با این کار register_global فعال میشه اما برای امنیت بیشتر باید غیر فعالش کنم درسته ؟ یعنی :

php_flag register_globals off

همینطوره ؟؟؟

:thankyou:

[فرحزادیان 947]

بله ، درسته... فقط اگر برای سیستمی خیلی براتون ضروری بود on کنید

موفق باشید