الجمعة، 28 ديسمبر 2012

كيف تؤمن جوملا بموقعك وتتجنب الاختراق


من أهم مقومات جوملا وتفوفها الكبير على برامج ادارة المحتوى والمجلات الالكترونية هو عنصر الأمان ووجود فريق أمني على أعلى مستوى .. ولكن مع هذا الأمان يجب على كل مستخدم إتخاذ إجراءات أمن إضافية لتجنب محترفي الإختراق .. وفي هذا الدرس نعرض عناصر الأمان وشرحها وكيفية تأمين موقعك لأقصى درجة بإذن الله .
  1. اول عنصر وهو متابعة التحديثات في جوملا والتحديث الفوري لكل إصدار فور صدوره .. حيث انه يصدر ومعه شرح الثغرة ..ان كان التحديث أمنيا ..  ومما يزيدنا حزنا ان العرب مقتنعون ان جوملا بها ثغرااات وغير مؤمنة ومعقدة ويوهم العبض انفسهم ذلك حتى لا يخوض في بحر جمالها .. فلا يعلموا ان لكل بحر أمواج .. فجوملا كما قلنا ان لها فريق أمنى محترف جدا .
  2. عندما تفتح موقعك يجب عليك الـتأكد من اعطاء التصاريح .. 644 للملفات و 766 للمجلدات و 777 لمجلد ال tmp .. أما ملف ال configuration.php فيعطى تصريح 666 او يظل 644 عندما تكون مفعل لخاصية ال Ftp كما في هذا الدرس الذي عرضنا فيه حل مشاكل التنصيب ....ولكن ايضا عندما تقوم بتنصيب بعض التطبيقات او الموديلات تحتاج بعض المجلدات لـاخذ تصاريح قابلة للكتابة مثل 777 .
  3. قم بمسح مجلد تنصيب جوملا نهائيا عندما تنتهي من التنصيب ولا تقوم باعادة تسميته لاسم اخر ..لأنه يتم اكتشافه بسهولة .
  4. أعد تسمية اسمك من admin الى اى اسم غير مميز مثله.. أى يمكنك تسمته باسمك أو اي اسم تفضله .. كما يجب عليك إستخدام كلمة مرور مميزة مختلفة العناصر صعبة التذكر, ولا تستخدمها في أي موقع آخر .
  5. قم باستخدام ملف .htaccess حيث انه من اهم عناصر حماية المجلدات لديك . لمزيد من المعلومات حوله اضغط هنا .
  6. من احدى سلبيات السيرفرات وهو وجود خاصية PHP register_globals مفعلة .. فعندما تدخل الى موقعك تجد هذه الرسالة """ PHP register_globals setting is 'ON' instead of 'OFF' """ وبهذه الخاصية انت تمكن المخترقين من حقن قواعد البيانات بمايشاءون لهذا نقوم بعمل ملف جديد باسم php.ini بداخل مجلد جوملا الأساسي لديك>> ونضع به الاسطر التالية حسب نوع السيرفر المستخدم (PHP 5 or PHP 4 بالترتيب):

    php_value register_globals off

    أو

    register_globals = 0

    There's more you can do to further harden the php.ini file. To make SQL inject attacks bounce, put the following two lines in your php.ini file:
    allow_url_fopen = OFF
    disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open    فالسطر الأول يمنع تصفح الملفات الداخلية لموقعك وفرائتها والسطر الثاني يمنع وظائف حطيرة جدا لل php
     وهي :

    * shows_source -- وهو الاسم المستعار للhighlight_file () التي تنص على تسليط الضوء على إظهار الملفات ;
    * system -- يسمح بتنفيذ البرامج الخارجية التي تقرصن موقعك;
    * shell_exec -- يسمح بتنفيذ اوامر ال shell;
    * exec -- يسمح بتنفيذ الأوامر;
    والباقي من الأوامر التي تضر موقعك بالسماح الحقن او استخدام البرامج الخارجية.
  7. حماية مجلد الادمن JOOMLA/administrator .. من خلال جدار ناري من خلال السي بنل لموقعك ويجب ان تكون مختلفة عن كلمة مرور موقعك .
  8. تغيير بادئة جداول قاعدة بيانات جوملا من jos_ الى اى بادئة من اختيارك ثم ادخل ادارة موقعك وغير البادئة من الاعدادات العامة والتي شرحناها هنا في شرح الاعدادات العامة وملف configuration لجومــلا
وختاما ..فمفتاح الأمان هو ان تبقى نفسك على علم ودراية باحدث التجديدات والتحديثات بجوملا .. ونحمد الله اننا نقدم هذه الخدمة وفور اصدار اى تحديث نقوم باعلام مستخدمينا مستخدي جوملا العرب الداعم العربي لجوملا 

ليست هناك تعليقات:

إرسال تعليق