آی تی پورت

امروزه اهمیت داشتن وب سایت و  از طرفی تاثیر مستقیم آن بر اهداف سازمانی و غیر سازمانی از قبیل فروش بیشتر ، اطلاع رسانی ، ارائه خدمات و … بسیار مورد توجه واقع شده است. از طرفی خبرهای متعددی داشتیم از هک شدن وب سایت های مختلف، حتی وب سایت های شرکت های امنیتی. ما در بخش اول آموزش تامین امنیت در دنیای مجازی به نکات عمومی که هر فرد باید به آنها توجه داشته باشد پرداختیم و با توجه به اهمیت تامین امنیت وب سایت ها در این قسمت به این موضوع می­پردازیم.

طبق آمار شرکت DOSarrest،  یکی از شرکت های فعال در زمینه امنیت در دنیای مجازی اینترنت، ۹۰ درصد از ۵۰ وب سایت هایی که بررسی شده اند حداقل یک نقطه ضعف داشته اند؛ از این بین، مشکل ۹۵ درصد آنها، استفاده از نرم افزارها و ماژول های قدیمی و منسوخ بوده است. (نردبان) به طور کلی اگر از سیستم خاصی برای راه اندازی سایت خود استفاده می کنید حتما وبسایت پشتیبان سیستم مدیریت محتوای خود را چک کرده و بروزرسانی ها را دریافت کنید چرا که اگر در سیستمی ضعف امنیتی یا حتی مشکلات ساده دیده شود توسط پشتیبانی برطرف می شود. این مورد در رابطه با پلاگین های استفاده شده در سیستم نیز صدق می کند و حتما باید مورد توجه قرار گیرد.

در ذیل به چند مورد از نکات امنیتی که سیستم مدیریت محتوای شما را از معمول ترین روش های نفوذ و هک مصون می دارد اشاره شده است:

برای کلمه عبور مدیریت همانطور که در بخش قبلی به آن اشاره شد؛ از ترکیب حروف، اعداد و سیمبول ها مانند !@#$%^& استفاده کنید تا شکستن آنها را غیر ممکن کنید.

صفحه ورود به مدیریت خود را حتما تغییر دهید و از آدرس های پیش فرض استفاده نکنید.

از پلاگین و افزونه های زیاد بر روی سایت خود استفاده نکنید. استفاده زیاد از پلاگین ها علاوه بر کاهش سرعت بارگذاری وبسایت احتمال اینکه باعث شود تا بروزرسانی همه آنها را فراموش کنید وجود دارد. در بیشتر موارد یک افزونه بروز نشده برای هکرها کافی است تا وب سایت شما را هک کنند.

wordpress

امنیت سیستم مدیریت محتوای وردپرس قبلا در آی تی پورت توسط آقای جاهدی مورد عنایت قرار گرفته است که ایشان در این آموزش به معرفی پلاگین های امنیتی و نحوی استفاده از آنها و آموزش تغییر آدرس صفحه ورود به بخش مدیرت در وردپرس پرداخته­اند. برای مشاهد مطلب تامین امنیت در وردپرس اینجا کلیک کنید.

 همیشه از نسخه های معتبر سیستم مدیریت محتوا استفاده کنید. متاسفانه در اینترنت بعضی از وب سایت ها نسخه هایی از سیستم های مدیریت محتوا را ارائه می دهند، که درون فایل های سیستم شل قرار می دهند. برای جوملا بهتر است همیشه از سایت اصلی جوملا joomla.org و یا joomlafarsi.com که به تایید سایت اصلی جوملا رسیده است استفاده کنید.

joomla

یک نکته مهم که باید به آن توجه داشته باشید این است که بیشتر مواقع ماژول های استفاده شده در جوملا دارای باگ امنیتی دیتابیس یا Sql Injection هستند هکر با استفاده از این باگ می تواند به دیتابیس وارد شده و نام کاربری مدیریت سایت و همچنین کلمه عبور آن را بدست بیاورد یا اینکه صفحه ورود به مدیریت جوملا که به آدرس site.com/administrator می باشد را با استفاده از نرم افزارهای بروت فورس مورد حمله قرار دهد که با این نوع حمله می تواند مشخصات ورود را حدس بزند و به مدیریت وارد شود. برای جلوگیری از این دو نوع حمله ذکر شده کافیست آدرس صفحه ورود به مدیریت جوملا را طبق آموزش زیر تغییر دهید :

برای این کار کافیست پلاگین change administrator را از سایت ribafs.org دریافت و نصب کنید. در صورت بروزرسانی جوملا طبق گفته سازنده پلاگین باید administrator را به حالت قبل برگردانید و بک آپ بگیرید، بعد از بروز رسانی می توانید دوباره به حالت قبل بازگردید.

پلاگین های ذکر شد در ادامه برای بالا بردن امینت وب سایت های جوملا توصیه می شود.

jFirewall IDS   Incapsula    jomDefender   RSFirewall!    jSecure

 حال اگر نمی خواهید از افزونه خاصی یا پلاگین خاصی استفاده کنید می توانید با کلمه عبور صفحه مدیریت سایت خود را محافظت کنید:

به این ترتیب که وارد پنل مدیریت هاست (دایرکت ادمین) خود شده و به قسمت فایل منیجر بروید جلوی پوشه Administrator بر روی Protect کلیک کرده و کلمه عبور اختصاص دهید.

در سی پنل هم از قسمت Folder & files Protect می توانید همین کار را انجام دهید.

هر چند این نکات شاید ساده به نظر آیند ولی حجم وسیعی از نفوذها از این طریق می باشد. امیدوارم این مطلب برای شما مفید واقع شود. اگر در اجرای هر کدام از موارد فوق به مشکل خاصی برخورد کردید از طریق بخش نظرات همین مطلب با ما در تماس باشید.