راه های هک سایت جوملایی

[دفاعی 872]

سلام به همه دوستان

اول از همه باید بگم که می خواستم این تاپیک رو تو بخش آموزش --> امنیت --> حرفه ای بزنم

ولی گفتم عده ای به این بخش دسترسی ندارن واسه همین اینجا این تاپیک رو ایجاد کردم اگه مدیران صلاح دونستن انتقال بدن

راستش برای اینکه امنیت سایت های جوملاییم رو افزایش بدم در انجمن های امنیت مثل آشیانه عضو هستم

در یک تاپیک در مورد روش های ه-ک یک سایت جوملایی بحث شده بود که من می خوام برای شما هم بگم تا بدونید

چون برای اینکه بتونید جلوی ه-ک سایت جوملایی تون رو بگیرید باید بدونید چطوری یک سایت جوملایی ه-ک میشه

البته در این تاپیک قصد ندارم که به شما روش ه-ک کردن رو یاد بدم فقط آشنایی با روش ه-ک جوملاست

البته قبل از شروع به این عکس ها دقت کنید تا بدونید جوملا یه سیستم مدیریت محتوای با امنیت بالاست

اینا صحبت های مدیر انجمن آشیانه هستش

ببینید همونطور که بارها تو همین انجمن هم گفته شده حملات به جوملا از طریق حمله به هاست و نفوذ از طریق افزون ها می باشد

به همین خاطر گفته میشه برای افزایش امنیت سایت جوملایی هاست امن + افزونه های به روز و مطمئن (نه افزون های وارز)

هکرها برای ه-ک جوملا به سایتهای مشابه http://www.exploit-db.com میرن

در این سایت کل باگ هایی که تا به امروز از جوملا public شده رو می تونید ببینید

برای افزایش امنیت سعی کنید به این سایت برید و باگ های افزونه های جوملا رو مشاهده کنید و سعی کنید از اونها استفاده نکنید

یا سریعتر به نسخه بالاتر اپگرید کنید

امیدوارم این تاپیک بتونه موثر واقع بشه

نمی دونم معرفی اون سایت ایجاد مشکل میکنه یا نه اگه مشکل داره مدیران مطلب رو ویرایش کنند

موفق باشید

التماس دعا

[reza1078 7]

فکر کنم خود همین سایت هم دچار حمله شده یکی دو روز در دسترس نبود و حالا هم که اینطوری

در ضمن امثال این سایت زیاد است

[دفاعی 872]

سلام

اقا رضا من نگفتم که فقط همین یه سایته

سایتهای مشابه http://www.exploit-db.com

البته این سایت مشکلی نداره و باز میشه

در دسترس نبودن سایت معنیش این نیست که به سایت حمله شده

ممکن در حال تغییرات در سایت با سرور بودن

به هر حال برای روشن شدن سایر دوستان اعلام می کنم

هدفم از زدن این تاپیک این بود که دوستان بیشتر به مسئله امنیت سایت و سرور شون اهمیت بدن و پیگیر باشند

چون متاسفانه دوستان به فکر افزایش رنک گوگل و رتبه الکسا هستن اما فکری واسه امنیت نمی کنن

در پناه حق باشید

[reza1078 7]

من هم نگفتم شما چنین حرفی زدید

در ضمن امنیت واقعا سرسام آور سنگینه کسی که می خواد در زمینه امنیت کارکنه باید شب و روزش و برای امنیت بزاره

البته ایده شما خیلی قشنگه من جای دیگه هم شبیه این ایده رو دیده بودم

من نخواستم تلاش شما رو کم ارزش جلوه بدم

متاسفانه از اونجایی که کدهای جوملا ،کد آماده است و در دسترس عموم ،هکر ها خیلی راحتتر می تونند هکش کنند شاید خیلی راحتتر از سایتهای دیگه

امنیت جوملا بالاست ولی نه برای هکر های حرفه ای

من تا بحال 2 بار ه-ک شدم

اولین بار 3-4 سال پیش بود که یک فرم ساده نظر سنجی با php نوشتم فقط یک فرم بود که اطلاعات رو وارد سایت می کرد و خودم اطلاعات و دریافت می کردم

خیلی جدی نگرفتمش چون قرار بود چند تا محصل داده ها رو وارد کنند 2 هفته گذشت و یک نفر در این فرم برای من یک iframe فرستاد فرم ه-ک شد

البته من همیشه آنلاینم بعدش درستش کردم ولی خوب جدی نگرفتن همانا و ه-ک شدن همانا(البته باید خیلی چیزها رو تجربه کرد)

بعد کم کم با جوملا آشنا شدم و با جوملا کار کردم

از کامپوننت remository به عنوان دانلود منیجر استفاده می کردم که بعد از مدتی یک هکر عرب سایت من رو ه-ک کرد این شخص در گوگل عبارت زیر را جستجو می کرد nurl:ir/index.php?option=com_remository خوب معلومه در سایتهای ایرانی به دنبال این کامپوننت میگشته (از وبگذار فهمیدم) بلافاصله کامپوننت و حذف کردم اتفاقا یک پیغام هم برای ایشون در سایت گذاشتم بعدش چند بار سر زد ولی دید خبری نیست رفت

من چند روز بعدش با سایتی که معرفی کرده بودید آشنا شدم اونجا کامپوننت رو زدم و فهمیدم از چه راهی وارد شده

اما 3-4 روز پیش یک بسته آسان نصب درست کردم و دموشم گذاشتم ولی امنیتشم خیلی سفت و سخت انجام دادم

فرداش یک نفر یک کاربری با سطح دسترسی مدیر کل درست کرده بود البته نتونسته بود فعالش کنه (البته این کارها رو هم می کرد به نتیجه نمی رسید من rsfirewall نصب کرده بودم و خیلی چیزهای دیگه برام جالب بود از طریق چه افزونه ای وارد شده هنوزم برام سواله) در ضمن کد ای دی این کاربر جدید 62 بود من ای دی خودم و عوض کرده بودم.

ولی تا الان کلی فیلم ه-ک دیدم در بعضی از این فیلم ها به چیزهایی اشاره می کنه که آدم تو کفش میمونه مثلا فیلم اخیری که دیدم در مورد csrf بود که در یک آن کوکی مدیر سایت و از آن خودش می کنه و وارد کنترل پنل طرف میشه

در حالت کلی باید خیلی تلاش کرد و خیلی چیزها باید یاد گرفت

ولی افزونه های seo خیلی مهمه

بعد از دیدن فیلم آموزش csrf به فکر راه مقابله افتادم با جستجو به کامپوننت sh404SEF رسیدم که خیلی برای طرف هکر مشکل ایجاد می کند در واقع جلوی دسترسی هکر را به بسیاری از فایلهای سایت میگیره

خیلی نوشتم ببخشید

[Napo 3]

این کامپوننت رو برای دانلود لینکشو میتونید بزارید البته یک توضیحی هم میدادید با چه عملی جلوی چه جور نفوذی رو میتونه بگیره

[reza1078 7]

این کامپوننت تجاریه در سایتهای وارز بگردید آخرین نسخه اش هست

در ضمن گفتم جلوی نقوذ حمله هایی شبیه اکسپلویت csrf

خیلی کامپوننت پیچیده ای هست تحقیق کنید

[رضاگنجی 155]

اين افزونه را در نت ميتوانيد جستجو كنيد و فكر ميكنم تجاري باشه !

ولي با استفاده از اچ تي اكسز هم ميتونيد دسترسي به پوشه ها را محدود كنيد !

[مـرادی 155]

سلام

همون کاری که sh404sef انجام میده رو

افزونه Acesef به راحتی انجام میده

و نسخه رایگان هم داره که در سایت جومینا به صورت فارسی موجود هست

مهمترین کار این افزونه ها تغییر لینک صفحات سایت هست که به غیر از سئو روی امنیت هم خیلی تاثیر داره

در پناه حق...

[reza1078 7]

سلام

همون کاری که sh404sef انجام میده رو

افزونه Acesef به راحتی انجام میده

و نسخه رایگان هم داره که در سایت جومینا به صورت فارسی موجود هست

مهمترین کار این افزونه ها تغییر لینک صفحات سایت هست که به غیر از سئو روی امنیت هم خیلی تاثیر داره

در پناه حق...

نه دوست من اشتباه نکن sh404sef بسیای از ورودی ها رو قیلطر می کنه مثلا در قسمت مدیریت هم می تونید یک پیغام قرار بدید

در ضمن جمله شهریار جون و در سافت آرشیو می نویسم

acsef این افزونه نسخه رایگان در جومینا هست فارسی شده که در بین کاربران ایرانی خیلی پرطرفداره و لینک هایه فارسی در جوملا رو به وجود می یاره که این یکی از بزرگ ترین اشتباهات در زمینه seo هست که لینک یک سایت فارسی باشه(ازش پرسیدم چرا میگه برای اینکه گوگل لینکهای انگلیسی رو بهتر ایندکس می کنه)

sh404sef این افزونه به نظر من مادر همه این افزونه هاست تمامی امکانات این افزونه هارو در خودش داره فقظ بسیار سخت هست ولی حتی چند مورد از امکانات rsseo رو که داره هیچ پیشرفتشم کرده من شدیدا این افزونه رو پیشنهاد می دم ولی باید بماپ بگیرید و کاملا یاد بگیرید کار با این افزونه

حالا باید بیاد rsseo رو نصب کنید و کارتون برای seo سایت کامل کنید به همین راحتی یک سایت با تماما امکانات داشته باشید که seo رلیز شده تقریبا تکمیل کننده افزونه هایه بالاست

[مـرادی 155]

دوست عزیز من نگفتم که sh404sef بده ، یا مشکلی داره

من گفتم برای استفاده رایگان میتونید از acesef استفاده کنید

من sh404sef رو تست نکردم ببینم کاراییش چطوره

لوی acesef واقعا جواب میده

با تمام احترامی که به شهریار جان قائل هستم

ولی با این نظر ایشون که لینک فارسی اشتباهه مخالفم

حداقل من تو سایت خودم از لینک فارسی جواب گرفتم.

مسلما لینک انگلیسی برای گوگل راحتره و بهتر تشخیص میده

ولی لینک فارسی برای فارسی زبان ها مناسبتر

شما وقتی داخل گوگل سرچ میکنید میبینید که سایت های لینک فارسی، وقتی کلمه در لینک باشه

اون کلمه رو نشون میده

پس لینک رو تشخیص داده که کلمه موجود در لینک صفحه رو بولد میکنه

این که میگید sh404sef مادر هست

نمیشه اینرو گفت

چون هر کدوم از شرکت های سازنده افزونه های سئوی جوملا ادعا میکنه که از بقیه بهتره و فلان خاصیت رو نسبت به یکی دیگه داره

بهتر بودن رو باید خود کاربر تشخیص بده که کدوم بهتره

من با بقیه زیاد کار نکردم ولی از acesef راضی هستم

در پناه حق...

[دفاعی 872]

سلام

من هم با امیرحسین موافقم

چون گوگل لینک های فارسی رو هم مثل انگلیسی ایندکس می کنه

و در نتایج جستجو هم خیلی موثره

من از acesef استفاده نکردم با پلاگین لینک هامو فارسی کردم کلی نتیجه گرفتم

اما در مورد sh404sef هم با آقا رضا موافقم

در چندین جای مختلف و اززبان آدم های معتبر در زمنیه امنیت شنیدم که این افزونه علاوه بر سئوی سایت جلوی ورود هکر ها رو هم میگیره

البته کامل جلوشونو نمیگیره ولی کارشون سخت می کنه و دیگه یه جوجه هکر نمی تونه به سایت شما نفوذ کنه

به هر حال شما هر چقدر هم تلاش بکنید یه هکر اگه تصمیم بگیره سایت شما رو ه-ک کنه بالاخره اینکار رو می کنه

حتما شنیدید که یه ایرانی گواهینامه SSL رو هم رمز نگاری کرده و در واقع دیگه https هم نمیتونه امن باشه

همه اینکارا واسه اینه که سایت ما به سادگی ه-ک نشه و دیگه یه عرب ... خور که دو تا فیلم ه-ک دیده نتونه سایت مارو ه-ک کنه

از همه دوستان ممنون

[reza1078 7]

من هم موافقم با بیشتر حرفهای آقای دفاعی

البته مسلما آدرس های کوتاهتر بهتر ایندکس میشن ولی متاسفانه acesef (من خیلی وقته استفاده می کنم تقریبا رو تمام سایتهایی که ساختم نصبه)

لینکها رو خیلی طولانی میده و این خوب نیست