جوملا به عنوان یکی از قدرتمندترین پلتفرم های CMS در نظر گرفته شده است و همانند سایر برنامه های تحت وب نیز امنیت آن ضروری است.
در خصوص ایجاد امنیت کامل در جوملا یک مقاله رسمی در سایت جوملا ایجاد شده است، که مطالعه این مقاله در خصوص برقراری امنیت جوملا بسیار کاربردی می باشد. در این مقاله نیز چک لیست امنیتی و چند نکته کاربردی دیگر در این خصوص معرفی و بررسی می شود. در خصوص برقراری امنیت در جوملا بسیاری از نکات امنیتی مشابه وردپرس می باشد.
البته این نکات امنیتی تنها به جوملا و وردپرس محدود نمی شود و در بسیاری از برنامه های کاربردی وب دیگر نیز می توان این نکات را مورد استفاده قرار داد.
نکات امنیتی کاربردی در جوملا
اطمینان حاصل کنید که همیشه از آخرین نسخه جوملا استفاده می کنید.
البته این موضوع برای هر برنامه دیگری که برای وب سایت خود استفاده می کنید نیز صادق است. شما باید همیشه وب سایت خود را به روز نگه دارید. نسخه های جدید معمولا کمتر مورد حمله قرار می گیرند، بنابراین مطمئن شوید که هر بار که یک به روز رسانی برای برنامه های شما ارائه می شود، آن را نصب کنید.
کلمه عبور قوی انتخاب کنید.
یک کلمه عبور قوی باید ترکیبی از حروف کوچک، بزرگ، اعداد و کرکترهای دیگر باشد. انتخاب یک کلمه عبور قوی امنیت جوملا را تا حد زیادی بهبود می بخشد. همیشه از کلمات عبور مختلف برای برنامه های مختلف استفاده کنید و آن ها را حداکثر هر چند ماه یک بار تغییر دهید.
نام کاربری پیش فرض «admin» را به یک نام کاربری متفاوت تغییر دهید.
نام کاربری admin اولین گزینه ای است که هر هکر می تواند حدس بزند، بنابراین با تغییر دادن نام کاربری خود به یک کلمه غیر معمول، امنیت وب سایت خود را تا حد زیادی بهبود ببخشید.
قالب های استفاده نشده و غیر فعال را حذف کنید.
این قاعده برای سایر سیستم های مدیریت محتوا نظیر وردپرس نیز صدق می کند. اگر شما به یک قالب خاص نیاز ندارید، مطمئن شوید که آن را حذف کرده اید، در غیر این صورت یک حفره امنیتی برای حمله احتمالی هکرها ایجاد نموده اید. همچنین، در نظر داشته باشید که هنگامی که قالب وب سایت خود را انتخاب می نمایید، حتما باید از قالب های به روز و اصلی استفاده کنید. تحت هیچ شرایطی از الگوهای nulled (کرک شده) استفاده نکنید، زیرا اغلب با «back doors» آلوده شده اند و هدف از توزیع آنها تنها نفوذ به سایت شما و محتوای آن است.
فقط نصب افزونه های امن نصب کنید.
افزونه ها برنامه های کاربردی می باشند که برای افزایش عملکرد سیستم مدیریت محتوا و اضافه کردن قابلیت های کاربردی، ایجاد شده اند. در سایت رسمی جوملا تعداد زیادی افزونه موجود است و توصیه می شود که افزونه های مورد نیاز خود را از میان آنها انتخاب کند. شما می توانید اطلاعاتی همچون رتبه بندی، آخرین به روز رسانی ها، نظرات و هر ویژگی دیگر که مربوط به یک افزونه هست را بررسی کنید.
نکات ذکر شده فوق نکات ابتدایی بود که اجرای آن برای هر نوع کاربری فوق العاده آسان می باشد. چند نکته بعدی برای کاربران پیشرفته تر است و برای انجام آنها نیاز به اعمال تغییرات دستی خاصی در پیکربندی جوملا وجود دارد که توصیه می کنیم این موارد حتما با احتیاط انجام شود:
اطلاعات نسخه جوملا را از سایت خود حذف کنید.
در جوملا هم مانند سایر سیستم های مدیریت محتوا، باید از نمایش نسخه فعلی سایت جلوگیری کنید. در نظر داشته باشید که هنگام نصب جوملا در کدهای سایت یک متا تگ اضافه خواهد شد که نسخه را آشکار می کند. اطمینان حاصل کنید که آن را حذف کرده اید. نمایش نسخه مورد استفاده مانند یک بنر برای افرادی است که به سایت ها حمله می کنند، به این دلیل که این نکته به آنها اجازه می دهد تا برای حمله به یک وب سایت، نقاط ضعف آن نسخه را مدنظر قرار دهند. شما می توانید نسخه وب سایت را با قرار دادن کد زیر در بالای تگ فایل index.php خود بر روی مقدار دیگری قرار دهید:
<؟ php $ this-> setGenerator (‘live blank or type something’)؛ ؟>
و یا با مراجعه به مسیر /libraries/joomla/document/html/renderer/head.php نمایش نسخه جوملا در وب سایت خود را حذف کنید. اگر شما نمی خواهید آن را کاملا حذف کنید، می توانید به راحتی این خط را comment (غیرفعال) کنید:
$strHtml .= $tab.'<meta name=”generator” content=”‘.$document->getGenerator().’” />’.$lnEnd;
پوشه مدیریت را تغییر دهید.
با تغییر آدرس administrative در وب سایت خود، دسترسی به داده های شما برای هکرها بسیار مشکل می شود. یک راه آسان برای انجام این کار این است که فایل htaccess خود را به .htaccess تغییر نام دهید که اساسا یک کوکی ایجاد می کند که به شما اجازه دسترسی به سایت را می دهد. در صورتی که کوکی های خود را حذف کنید، خطای ۴۰۴ نمایش داده می شود. کد و تغییراتی که برای این موضوع باید انجام شود، در این لینک توضیح داده شده است.
از به کار بردن پیشوند jos_ برای پایگاه های داده اجتناب کنید.
این پیشوند، گزینه پیش فرض است و هر فردی که تلاش می کند امنیت شما را نقض کند، فرض می کند که شما این پیشوند را برای دیتابیس های خود انتخاب نموده اید. هنگامی که شما به طور دستی جوملا را نصب می کنید، در طول فرایند نصب، گزینه مدنظر را برای پیشوند جداول پایگاه داده خود انتخاب می کنید.
کاربر root در دیتابیس mySQL را به عنوان کاربر پایگاه داده وب سایت خود انتخاب نکنید.
هنگامی که یک پایگاه داده جدید برای استفاده در وب سایت خود ایجاد می کنید، باید یک کاربر جداگانه برای آن ایجاد کنید و به این کاربر تنها دسترسی به این پایگاه داده را ارائه دهید. همچنین محدود کردن مجوزهای این کاربر را در نظر بگیرید، به طوری که به عنوان مثال اگر این کاربر نیازی به ایجاد پایگاه های داده جدید ندارد، این مجوز را به آن کاربر اعطا نکنید. در مورد یک برنامه مشترک که در آن شما دسترسی به کاربر ریشه ندارید، مطمئن شوید که برای هر پایگاه داده ای که ایجاد می کنید، یک کاربر جدید تعریف و به آن اختصاص دهید.
مجوزهای فایل ها را به درستی تنظیم کنید.
به هیچ عنوان و برای هیچ فایل یا پوشه ای از دسترسی CHMOD 777 استفاده نکنید. این مورد نه تنها برای جوملا، بلکه برای هر نوع وب سایت دیگری نیز توصیه می شود. دسترسی ۶۴۴ را برای فایل ها و ۷۵۵ را برای دایرکتوری ها تنظیم نمایید. در عدد سه رقمی مربوط به مجوز، شماره اول مجوز مالک است، دوم برای گروه و سوم برای دیگر کاربران. اعداد مربوط به مجوزهای فایل ها را بر اساس آنچه که مورد نیاز است، تنظیم کنید. دسترسی خواندن ارزش ۴، نوشتن ۲ و اجرا ۱ را دارد. مجموع آنها در یک وضعیت خاص نشان می دهد که کدام وضعیت مجاز است. برای مثال ۶ برای خواندن و نوشتن، ۵ برای خواندن و اجرا و… است. بنابراین ۶۴۴ به این معناست که مالک، مجوز خواندن و نوشتن دارد و گروه فقط دسترسی خواندن. شما می توانید این تنظیمات را از کنترل پنل میزبانی خود انجام دهید.
یک نسخه پشتیبان تهیه کنید. هر زمان که با داده های حساس سروکار دارید، یک نسخه پشتیبان تهیه کنید. Extension های مخصوص بک آپ در جوملا در اینجا لیست شده است.
موضوع بسیار مهمی که در استفاده از هر سیستم مدیریت محتوا باید در نظر داشته باشید این است که پیش از اعطای دسترسی اطلاعات خود به دیگران، نه تنها باید اطلاعات خود را ایمن نگه دارید، بلکه باید در خصوص سطح دسترسی که به کاربران ارائه می دهید نیز، بسیار مراقب باشید. پیروی از دستورالعمل های فوق، وب سایت جوملا شما را بسیار ایمن تر ساخته و به شما اجازه می دهد سایت خود را بدون نگرانی از هک شدن مدیریت کنید.