امنیت سایت جوملا

[Komail 12]

سلام دوستان عزیز

در داخل شرکت بصورت لوکال هاست با جوملا 2.5 فارسی سایت داخلی راه اندازی کردم

خواستم ببینم برای امنیت سایتم باید چیکار کنم ؟

ssl

http

firewall

...

لطفا راهنمایی کنید

چون امنیت سایت خیلی برامون مهمه

[Mohammad Yousefi 14]

منظورتون چیه؟ میخواین تو کامپیوترتون امنیت سایت لوکالی رو حفظ کنین!!!!!!!!!!!!!!!؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟:33::33::33::33::37::37::37::37:

[miladsaeedi 14]

سلام

منظورتون خیلی واضح نیست. اگر می خواهید یک سایت بر روی local داشته باشید و امنیت آن را حفظ کنید، ابتدا باید تعریف شما را از امنیت بدانیم. آیا دسترسی به فایل source برای شما امنیت تلقی می شود و یا سطوح دسترسی به اطلاعات سایت؟ راستش یه مقداری سوالتون گنگ هست اگر لطف کنید و بیشتر توضیح بدید شاید بهتر بتونیم راهنماییتون کنیم. آیا انتخاب Local برای امنیت بیشتر هست ؟

موفق باشید

[Komail 12]

میخوام ضریب امنیت سایتو افزایش بدم تا به راحتی هک نشم

همین

[sarj 31]

میخوام ضریب امنیت سایتو افزایش بدم تا به راحتی هک نشم

همین

با اجازه اساتید عزیزم استاد افضلی و گلشنی اولین پست پاسخ امنیت رو مطرح میکنم.

ّ

ببین دوست عزیز اگر بخواید بروی لوکال امنیت رو برقرار کنید دو تا مبحث داره

یکی امینب سیستم شما

یکی هم امنیت وب سایت

برای امنیت سیستم که باید از اینترنت سکیورتی ها و آنتی کی لاگرها و... استفاده کنید

برای امنیت سایت هم که توی انجمن مفصل بحث شده

اگر سوالی بود واضح بپرسید تا پاسختون رو بدم (البته اگر سوادم برسه)

موفق باشید.

ویرایش شده در تیر 91 توسط sarj

[Komail 12]

در آخر بنده به اون جوابی که میخواستم نرسیدم

درسته که تو شرکت و در لوکال هاست ( شبکه داخلی ) امنتر از اینترنت هست اما ممکنه همکاران من بخوان سایتو هک کنن یا اینکه تست کنن

میخوام جلوی راه نفوذ اونارو بگیرم

راهنماییم کنید لطفا

[Pooyan Afzali 41]

در آخر بنده به اون جوابی که میخواستم نرسیدم

درسته که تو شرکت و در لوکال هاست ( شبکه داخلی ) امنتر از اینترنت هست اما ممکنه همکاران من بخوان سایتو هک کنن یا اینکه تست کنن

میخوام جلوی راه نفوذ اونارو بگیرم

راهنماییم کنید لطفا

درود

دوست عزیز چندین بار در پیام خصوصی و در تاپیک ج سوال شما داده شده!!

بازم ج همینه:

همون مواردی که برای امنیت سایت آنلاین رعایت باید بشه و من در تاپیک های مختلف توضیح دادم+ بالا بردن ضریب امنیتی سیستمی که ازش وارد مدیریت سایت میشید که برای بالا بردن امنیت

سیستم:

1* استفاده از بسته هیا امنیتی معتبر

2- استفاده از anti key loger

3- استفاده از سیسم عامل لینوکس

4- قبول نکردن فایل مشکوک از طرف همکاران در سیستم

5- قرنطینه کردن تمام پورت های usb

6- قفل کردن و قرنطینه کردن سیستمی که ازش واد مدیریت سایت میشید و فقط خودتون باید با اون سیستم کار کنید!

بازم سوالی بود در خدمتم

بدرود

[Komail 12]

ممنونم

آقا پویان این مواردی رو که در خصوص فایل htaccess آموزش داده اید رو در کجای فایل وارد کنم

چون وقتی میزنم خطا میده و سایت لود نمی شه

اسم فایل باید بشه htaccess. یا .htaccess ؟

همه این کدهایی رو که داده اید برای این فایل وارد کنم یا فقط بعضی هاشو ؟

الان امنیت سایت من تو لوکال هاست با نرم افزار rsfirewall نشون داده میشه 57 یعنی امنیتش خیلی کمه ؟

[Komail 12]

لطفا راهنمایی بفرمایید دوستان

موفق و سالم و پایدار باشید انشاءالله

[Pooyan Afzali 41]

درود

باید اسمش htacess. باشه

بسته به نوع کاربردتون میتونید این کد ها رو داخلش بزارید ولی مشکلی که هست اینه ویندوز این نوع فرمت رو قبول نمیکنه!!! و نمیتونید از امکانات این فایل بخوبی بهره مند بشید

و کلا در بعضی از موارد تنظیمات لوکال با آنلاین فرق داره و برای اجرا هم بعضی از قسمت ها و حتی ماژول ها نیاز به محیط آنلاین داند و در لوکال عکلی نیست

ولی اگه بتونید امنیت سیستم شخصیتونو بالا ببرید خیالتون از بابت سایت راحت باشه چون به نت متصل نیستید و خطر حمله از خارج رو ندارید فقط حواستون باشه افزونه باگ دار نصب نکنید

بلکه حمله از داخل مهمه که باید امنیت سیستم خوب باشه

اینقدرم حساس نباشید امنیت مطلق نیست و ایمن ترین ها هم هک میشن مثل دیشب که یکی از امن ترین سرور هایی که میشناختم و با لایت اسپید هم بود.........:13::13::13:

بدرود

باید یک فایروال قوی مثل کومودو نصب باشه یا ...

[bestboy7 14]

سلام و خسته نباشید به بچه های امنیت

جناب افضلی فرمودید اینجا اعلام کنم واسه بررسی اطاعت کردم اینم سایت www.top90.ir

فقط بنده rsfirewall نصب دارم میخواد موقتا اونو غیرفعال کنم که شما بررسی کنید یا اینکه با وجود اون هم میشه باگ ها رو بررسی کنید.نکنه اون منحرف بپوشونه باگها رو و با نبودش ....

ببخشید اگه در رابطه با امنیت مبتدیانه میگم هیچی نمیدونم دیگه

[Pooyan Afzali 41]

درود

بله فایروالو غیر فعال کنید

بررسی انجام میشه و تا چند روز دیگه نتیجه اعلام میشه

بدرود

[bestboy7 14]

درود

بله فایروالو غیر فعال کنید

بررسی انجام میشه و تا چند روز دیگه نتیجه اعلام میشه

بدرود

جناب افضلی کجای کامپوننت رو باید غیر فعال کنم جایی نداره که بشه با زدنش بصورت کامل غیر فعال کنم فقط توی تنظیمانش میشه قسمت قسمت غیر فعال کرد. بفرمایید چه قسمتی لازمه غیر فعال کنم

[Pooyan Afzali 41]

درود

همون تنظیمات رو غیر فعال کنید

[bestboy7 14]

سلام جناب افضلی

بررسی سایت من تموم نشد؟

www.top90.ir

[user_joomla 10]

چطور میتونم rs firewall رو دانلود کنم؟ سرچ هم کردم نتیجه ای نداشت ... جز یه لینک از mihanscript که خطا داد xml یافت نشد

[user_joomla 10]

دوستان کسی کمک من نمیکنه ؟

[ابوالفضل طالبی 279]

rsfirewall تجاری هست و قرار دادن لینک دانلود در انجمن ممنوعه ..

[KESHAVARZ 11]

به نظر بنده اگه امنیت خیلی براتون مهمه ، راحت ترین راه و بهترین راه خرید کامپوننت RS Firewall سایت خودت رو بیمه کنی ویژگی هاشم براتون مینوسم

[1- قابل نصب بر روی یک دامنه

2- دارای محیط کاملا فارسی و تاریخ شمسی

3- تنها بسته امنیتی جوملا که تمام امکانات امنیتی را در بر دارد!

4- محافظت وب سایت در مقابل حملات تزریق کد به دیتابیس

(SQL injections) 5- قابلیت نگاه داری گزارشات تا زمان مشخص شده

6- امتیاز دهی به وضعیت امنیتی وب سایت

7- بررسی به روز بودن جوملای نصب شده بر روی وب سایت

8- سیستم بررسی و اسکن سراسری تمام موارد امنیتی وب سایت

9- دارای امکانات مورد نیاز جهت جلوگیری از انواع حمله های اینترنتی

10- بررسی محتوای تمام فایلهای هسته جوملا و شناسائی هرگونه تغییر ایجاد شده در آن

11- بررسی تمام پوشه*های وب سایت و شناسائی پوشه*هایی با مجوز بالاتر از ۷۵۵

12- بررسی تمام پوشه*های وب سایت و شناسائی فایلهایی با مجوز بالاتر از ۶۴۴

13- اصلاح و تنظیم تمام سطح دسترسی های اشتباه

14- بررسی صحت فایل تنظیمات اصلی جوملا (configuration.php)

15- بررسی دقیق تنظیمات سراسری جوملا جهت یافتن موارد اشتباه

16- تشخیص میزان ایمنی گذرواژه های سایت و کاربران و اقدام جهت تغییر گذرواژه های ضعیف

17- شناسایی نام های کاربری متداول و اقدام برای تغییر آن

18- بررسی و تخلیه پوشه ها گزارشات و فایل های موقتی

19- انتقال فایل configuration.php و پوشه های logs و tmp به خارج از پوشه public_html برای امنیت بیشتر

20- تشخیص و حذف گذرواژه*های ذخیره شده در تنظیمات جوملا

21- بررسی دقیق تمامی توابع مهم در سرویس php هاست شما برای یافتن تنظیمات اشتباه و خطر ساز

22- ایجاد خودکار فایل php.ini جهت تنظیم خودکار سرویس php

23- ارائه توضیحات کامل در تمام موارد برای مطالعه بیشتر مدیران

24- محافظت از وب سایت در برابر انواع حملات تزریقی ( Php & Mysql Injection)

25- محافظت وب سایت در برابر حملات Dos

26- قابلیت جلوگیری از بارگذاری فایلهایی با پسوند های تعریف شده و یا چندگانه

27- بررسی دائمی فایل*های بارگذاری شده برای یافتن موارد آلوده

28- امکان قفل ایمنی (system lockdown) جهت جلوگیری از ایجاد هرگونه تغییر و یا نصب و حذف افزونه ها در مواقع ضروری

29- امکان بررسی فایل ها و پوشه های تعریف شده توسط کاربر برای جلوگیری از ایجاد تغییر در آن

30- امکان ایجاد یک گذرواژهٔ اضافی برای ورود به پنل مدیریت جوملا

31- قابلیت تنظیم گذرواژهٔ سراسری برای ورود به محیط افزونه

32- توانایی ایجاد محدودیت برای دسترسی مدیران به کامپوننت های دلخواه جوملا

33- دسته بندی وقایع بر اساس میزان اهمیت به سه نوع، کم ، معمولی و زیاد

34- توانایی ارسال ایمیل اطلاع رسانی به مدیران و آدرس های تعریف شده

35- مدیریت ایمیل های ارسالی بر اساس اهمیت رویداد

36- درج کد تصویری ضد هرزنامه (captcha) برای فرم ورود به مدیریت جوملا

37- امکان تنظیم زمان نمایش کد امنیتی بر اساس تعداد دفعات تلاش برای ورود

38- امکان اسکن و برسی بانک اطلاعاتی برای یافتن خطا و اشتباه

39- اصلاح ، تعمیر و بهینه سازی بانک اطلاعاتی از نظر حجم و امنیت، تنها با یک کلیک

40- قابلیت نگاه داری گزارشات تا زمان مشخص شده 41- اضافه شدن بخش فهرست سیاه بصورت مستقل 42- اضافه شدن فهرست کشورها برای مسدود کردن ای پی ها ورودی از ان کشور و.....

[bestboy7 14]

بچه های امنیت و جناب افضلی چی شد این بررسی سایت من (www.top90.ir) ؟ تقریبا 7 , 8 روز گذشته هر روز میام منتظر جوابم.

اگه مشغله دارید بفرمایید من بیخیال شم و فایروال رو هم فعال کنم

ممنون از کمکها و راهنماییاتون

[ابوالفضل طالبی 279]

مهندس افضلی در مسافرت هستند به محض برگشتن از مسافرت پاسخ خواهند داد

[Pooyan Afzali 41]

سلام جناب افضلی

بررسی سایت من تموم نشد؟

www.top90.ir

درود

دوست عزیز یک سفر کاری پیش اومد و دسترسیم به نت محدود شد

سایت شما رو بلحاظ وجود باگ های sql xss و lfi و rfi بررسی شد و همچنین وجود افزونه باگ دار و مورد خطرناکی مشاهده نشد

فقط روی پوشه مدیریت رمز عبور قرار بدید و جوملاتونو به 2.5 ارتقا بدید چون تا چند وقت دیگه 1.5 منقضی میشه و هر باگی بیرون بیاد که حتما میاد دیگه پچ نمیشه

بازم از تاخیر پیش اومده پوزش میخوام عزیزم

بدرود

[bestboy7 14]

درود

دوست عزیز یک سفر کاری پیش اومد و دسترسیم به نت محدود شد

سایت شما رو بلحاظ وجود باگ های sql xss و lfi و rfi بررسی شد و همچنین وجود افزونه باگ دار و مورد خطرناکی مشاهده نشد

فقط روی پوشه مدیریت رمز عبور قرار بدید و جوملاتونو به 2.5 ارتقا بدید چون تا چند وقت دیگه 1.5 منقضی میشه و هر باگی بیرون بیاد که حتما میاد دیگه پچ نمیشه

بازم از تاخیر پیش اومده پوزش میخوام عزیزم

بدرود

اختیار دارید ممنون اط شما که به همه کمک میکنید و من عذر میخوام که زحمت دادم.

عرضم بخدمتتون من به دلیل چندتا افزونه که دارم (خودم نوشتم واسه 1.5) مجبور بودم با 1.5 کار کنم. این افزونه ها خیلی وقت گیر بودن و به 2.5 ارتقا دادنشون نمیدونم زمان زیادی میبره یا نه. فقط بفرمایید اوضاع خیلی خرابه؟ یعنی الزامی هست که کوچ کنم؟

[Pooyan Afzali 41]

درود

الزامی نیست

اما وقتی پشتیبانی 1.5 تموم بشه دیگه باگ هاش پچ نمیشه