مسابقه هفته انجمن جوملای ایران - مسابقه هفته یکم

[ابوالفضل طالبی 279]

خب همانطور که خبر داده شد مسابقات هفته انجمن جوملای ایران از این پس هر هفته برگذار و به بهترین پاسخ جایزه ای داده میشه.

قوانین مسابقه هفته انجمن جوملای ایران :

1- در صورتی که چند پاسخ مشابه وجود داشته باشد به اولین پاسخ جایزه اعطا میگردد.

2- در صورتی که پاسخی مشابه یک پاسخ دیگر ولی با کمی تغییرات باشد ، تغییرات مورد نظر بررسی و در صورتی که مورد تائید بود به عنوان پاسخ کاملتر لحاظ میگردد.

3- قبل از اعطای جایزه ، نام برنده اعلام میشود و اگر از کاربران کسی ناراضی بود میتواند دلیل را اعلام تا به رای گیری گذاشته شود و نتیجه نهایی اعلام گردد.

4- ارسال اسپم ممنوع است و صرفا به سوال مسابقه پاسخ داده شود و از ارسل مطالبی نظیر " پاسخ خوبی بود" " خیلی عالی بود" " اشتباه است " "این که کاری نداره!" و .. خود داری شود.

5- تاپیک هر مسابقه به مدت یک هفته باز است و در پایان هفته نتایج اعلام و یک روز فرصت شکایت نیز لحاظ میگردد و پس از آن تاپیک قفل میشود.

6-هر مسابقه فقط یک برنده خواهد داشت.

7-جایزه مسابقه در هر مسابقه اعلام میشود.

8-جایزه مسابقه به کاملترین پاسخ که از لحاظ شیوایی در بیان ، ارائه تصاویر و مستندات ، توضیحات شفاف و بدون غلط املایی و دستوری باشد اعطا میگردد.

9- کپی برداری مطلب از هر سایتی به دقت بررسی خواهد شد لذا در ارسال پاسخ ها دقت کنید!

10- کاربرانی که در انجمن فعالیت بیشتری دارند در مسابقات انجمن امتیاز بالاتری خواهند داشت نسبت به سایر کاربرانی که صرفا در مسابقه شرکت میکنند.

11-در صورتی که پاسخ خود را به صورت فایل pdf تهیه نموده اید باید فوتر و هدر با عنوان و لوگوی انجمن جوملای ایران طراحی شود.

12-پاسخ به سوالات باید همراه با آموزش موارد باشد.

13- قوانین در هر زمان قابل تغییر میباشد.

14- برنده مسابقه پس از دریافت جایزه باید تصویری از خود و توضیحاتی در خصوص عملکرد و رضایت خود در تاپیک مربوطه درج نماید.

15- در صورتی که مسابقه ای پاسخ مناسب نداشته باشد بدون برنده مسابقه بسته خواهد شد.

16- در صورتی که چندین پاسخ به صورت مجزا ارزشمند باشند جایزه به تناسب ارزش هر پاسخ بین شرکت کنندگان تقسیم خواهد شد.(تبصره قانون شماره 6)

سوال مسابقه هفته یکم انجمن جوملا ایران:

• در جوملا 1.5 برای افزایش امنیت چه راه حل هایی پیشنهاد میکنید؟
  

زمان پاسخ گویی از تاریخ 1390/8/4 لغایت 1390/8/11 (ساعت 24)

زمان اعتراض 1390/8/12(ساعت 1) لغایت 1390/8/12(ساعت 24)

جایزه:

مبلغ 100 هزار تومان وجه نقد!

[treemp3 10]

1- استفاده از پسوورد های مناسب که ادغامی از حروف کوچم و بزرگ و اعداد می باشد.

2- عوض کردن پسوندهای دیتابیس

3- تعویض پسوورد ادمین

4- تعویض آدرس ورودی به قسمت ادمین

5- تعویض نام کاربری admin به چیز دیگر

6- استفاده از الحاقاتی که از سایت های معتبر مثل joomla.org تهیه شده اند.

[S4DEGH 10]

1-رمزگذاری برروی پوشه administrator برای امنیت بیشتر. (در پنل هاست در قسمت مدیریت فایل روی پوشه کلیک رایت کنید Password Perotect را انتخاب کنید یک پسورد که از ادقام حروف بزرگ و کوچک و اعداد باشد انتخاب کنید)

2-تنظیم کردن پرمیشن فایلها و پوشه ها بصورت : فایل-644 و پوشه-755

3-انتخاب رمز عبور ترکیب حروف بزرگ وکوچک و اعداد(مثال:3uu)*EV3fKgQ)

4-به هیچ وجه پوشه install را در فضای وبسایت خود نگهداری نکنید و پس از نصب جوملا آنرا حذف کنید. توجه : (تغییر نام این پوشه نیز بی فایده است)

5-تغییر شناسه مدیر از admin. از یوزرنیم admin با درجه کاربری مدیریت استفاده نکنید . همیشه یوزرنیم admin را یک یوزر عادی قرار دهید و برای مدیریت از نام کاربری دیگه ای استفاده کنید.(ساخت یک مدیر با نام کاربری متفاوت و تنزیل درجه نام کاربری ادمین که تغییر داده اید)

6-نصب کامپوننت های افزایش امنیت(یک نمونه از کامپوننت که در سایت پی سی جوملا به صورت رایگان قرار گرفته است لینک )

7-تغییر نام جداول دیتابیس در هنگام نصب جوملا(در زمان نصب جوملا از شما سوال می شود که پیشوند جداول دیتا بس چی باشد همیشه پیشوند پیش فرض را تغییر بدهید)

8-گرفتن بک اپ از محتوای سایت

9-تغییر رمز ادمین به صورت دوره ای

ویرایش شده در آبان 90 توسط S4DEGH

[ابوالفضل طالبی 279]

پاسخ به سوالات نباید به صورت تیتر وار باشد طبق قانون شماره 8 و شماره 11

[Sajad dp 10]

هنوز توضیحات رو نخوندم ولی پیشنهاد میدم که در این تاپیک هم مثل تاپیک های بخش اطلاعیه وقتی کاربری پست زد نمایش داده نشه و فقط مدیرا بتونن ببینن اینجوری هرکس با توجه به اطلاعات خودش جواب میده...

[Sajad dp 10]

اما بعد جایزش آدم رو وسوسه میکنه

برای بالا بردن امنیت به نظرم چندتا نکته مهمتره

اول اینکه نام کاربری admin پیشفرض که شناسه 62 داره رو سطح دسترسیش رو بذاریم رو ثبت شده (همون کاربر عادی) و بعد مسدودش کنیم (بهتر از این هست که کلا حذفش کنیم چون اینجور یکار هکر سخت تر میشه)

بعد بیایم روی پوشه administrator رمزگذاری کنیم

نکته ی دیگه که مهمه بیام از افزونه هایی که کارهایی نظیر کپچا و تهییه فایل log از ورودهای ناموفق و موفق و ... انجام میدن نصب کنیم (که بهتره یک افزونه باشه تا تداخل نداشته باشند)

کنارش از افزونه های نال شده استفاده نکنیم همین طور هرچیزی رو هم که رسیدیم نصب نکنیم.

رمز عبور مدیریت تا حد امکان بالای 8 کاراکتر (بیشتر=بهتر)و ترکیبی از حروف بزرگ و کوچیک و عدد باشه یا اینکه برای به دردسر انداختن هکر (علی الخصوص اگه ایرانی نباشه) بیایم کیبرد رو فارسی بذاریم و بعد رمز رو تایپ کنیم (که رمزنگاریش شونصدبرابر میشه :دی)

فعلا همینا تا بعد اگه چیزی یام بیاد..

ویرایش:

راستی یادم رفت بگم یادتون باشه که مرتب مراقب بروزرسانی ها باشید جوملا حساب و کتاب نداره شاید همن امشب یهو نسخه 1.5.24 بیاد

و تا می تونید افزونه هایی که فایل اپلود می کنن و... نصب نکنین چون معمولا باگ بیشتر دارن

چندتا دیگه هم مثل سطح دسترسی ها و... بود که دوستمون نوشته من نمیگم

ویرایش شده در آبان 90 توسط Sajad dp

[ابوالفضل طالبی 279]

اینکه همه بتونن پست های تاپیک رو ببین بدلیل این هست که تصور نشه جایزه به شخص دیگه داده میشه و مسابقه با عدالت برگذار بشه . به هرجهت پاسخ ها نشون دهنده میزان توانایی کاربران خواهد بود و مشکلی از این جهت وجود خواهد داشت .قطعا روی پاسخها بررسی کامل خواهد شد.

[Sajad dp 10]

پس حداقل پست تا اتمام زمان ناپیدا باشه بعد که مسابقه تموم شد نمایان بشن..

[ابوالفضل طالبی 279]

بله فکر خوبی هست البته باید بررسی بشه اگر امکانش بود انجام میدیم اینکار رو

[نیما حبیب خدا 19]

برای بالا بردن امنیت :

اولین کار رمز گذاری بر روی پوشه administrator است .. برای این کار ابتدا به کنترل پنل ( cpanel ) میریم . بر روی پوشه مذکور راست کلیک میکنیم و add password رو میزنیم .

کار بعدی که باید انجام بدید موقع نصب است . باید از کارکترها آگاهی داشته باشید . اصولا استفاده از رقم و علایم و در آخر حروف . مثلا : 2587/><nima البته اینجا چون فارسیه برعکس خورد . سعی کنید پسوورد رو به خاطر بسپارید و بیشتر از 8 کارکتر باشه .

راه سوم بستن دسترسی بعضی پوشه مانند configuration.php . تغییر این فایل ها به permission 644 امنیت رو تا حد خیلی بالایی بیشتر میکنه .

راه بعدی استفاده از قالب مناسب. به این شکل بگم ... قالب یک پوشش هست . مثل لباس... اگر در سرما لباش مناسب نپوشیم احتمال مریض شدن هست . برای سایت هم به همین شکل. اگر دیده باشید یک نوع هک کردن تغییر صفحه ایندکس قالب است ... اگر قالبی که طراحی میکنید دارای امنیت بالا باشد و فایل های جانبی را بسته باشند و یا کدها را باز نگذاشته باشند ، امکان هک شدن را بسیار پایین آوردید

آخرین راه استفاده از یک سرور قابل اعتماد است . سروری که بک آپ روزانه داشته باشه + آپ تایم بالا + امنیت بالا ( که در صورت استفاده از سرور متوجه میشید) البته میتونید با هو ایز کردن هم سرور را شناسایی و از امن بودن آن اطمینان حاصل کنید .

[سید منصور فیروزه 10]

به نام خدا

TOP 10 : These Are My Joomla 1.5 Security Improvements

1- پیش از همه چیز Permission (سطح دسترسی) فایل configuration.php را پس از اعمال تغییرات بر روی 444 قرار داده.

[ATTACH=CONFIG]49[/ATTACH]

2- تغییر نام کاربری پیشفرض Admin برای مدیریت Backend جوملا از طریق User Manager یا از PHPMyadmin و سپس جدول مربوط به کاربران که به jos_users تلقی میشه و تغییر Username . ( از آموزه های شخصی مهندس طالبی بزرگوار به بنده).

3- از استاندارد Complex Password جهت رمز گذاری Admin ، Cpanel و PHPMyAdmin و همچنین Database Password استفاده کنیم.

این استاندارد که در Document های UNIX و همچنین Windows 2003Server بیشتر دیدم ، رمز گزاری پیچیده و مخلوطی از حروف (کوچک و بزرگ) ، کاراکترها و اعداد می باشند.

اینم سندش

4- تغییر مسیر پوشه مدیریت جوملا مثلا administrator به reza توسط یک پلاگین-کامپوننت به نام Jsecure [ATTACH=CONFIG]51[/ATTACH] یا کامپوننت Change Administrator [ATTACH=CONFIG]50[/ATTACH] که قابلیت هایی نظیر بلاک کردن IP ها جهت اتصال به Backend ...

لینک های این الحاقات

- JSecure قابل توجه دوستان ، من اینو پی یک تحقیق از یک بحث توی انجمن پارس... پیدا کردم و مدل

مشابه اش اونجا معرفی شده بود. البته الان که اومدم لینک بدم متوجه شدم که افزونه علاوه بر اینکه تجاری شده ، برای جوملا 1.6 و 1.7 نیز ارائه شده.

لینک توسعه دهنده در جوملا جهانی

-Change Administrator کامپوننت را میتونین از ضمیمه دانلود کنین.

5- استفاده از Password Protect موجود در CPanel > File Manager که قادر به ایجاد یک سطح امنیتی بر روی پوشه ها و در اینجا بر روی Administrator یک مزیت به حساب میاد. با راست کلیک کردن روی فولدر مورد نظر

میتوانید از این امکان بهره ببرید.

[ATTACH=CONFIG]48[/ATTACH]

6- تغییر نام فایل های CSS قالب مربوطه . برای مثال Template.css را به default.css تغییر نام دهیم. طبق یکی از صحبت های خود مهندس طالبی گرامی یکی از آسیب پذیر ترین موارد هک شده در جوملا 1.5 همین قالب ها می باشند...

7- هکر های جوملا اصولا جوجه هکر اند و با مبلغ ناچیزی به افراد چینی و ... درخواست هک کردن سایت مورد نظر را میدن. فرقی نداره همون عرب های نادون یه سری روال روتین را طی میکنند.

از اونجایی که اتصال به هاست لینوکسی که در و پیکر بازی داره از طریق ترمینال لینوکس خیلی کارا میشه کرد. حالا شما کافیه یکی از مشترک ترین موارد پایگاه داده جوملا را تغییر داده. و اون چیزی نیست جز Database Prefix

هنگام نصب جوملا در قسمت معرفی پایگاه داده . که پیشفرض این پارامتر به نام jos_ می باشد.

8- فایل های Backup گرفته شده از سایت را روی هاست رها نکنیم و در اسرع وقت به محل مناسبی دانلود کرده و از روی هاست پاک کنید.

9- دیگه باید بگم که ماژول ها ، کامپوننت ها و پلاگین های خود را از منابع معتبری تهیه کنیم.

10- دسترسی پوشه ها را 775 یا 644 قرار دهیم.

تا اینجا شرحی از تجربیات آموخته شده از دوستان و ... بود . ولی مطمئنم که متخصصین و دوستان دیگر نظرات حرفه ای تری در این خصوص دارند.

به امید موفق همه ...

پست ویرایش شد...

-----------

حجت مردانه زاده

ویرایش شده در آبان 90 توسط سید منصور فیروزه

[ابوالفضل طالبی 279]

لطفا افزونه های معرفی شده را هم در صورتی که رایگان هستند پیوست کنید و در صورتی که تجاری هستند لینک توسعه دهنده را بگذارید

[wahid2003vj 10]

آقا ابوالفضل کار خیلی جالبی کردین...

[حجت مردانه زاده 596]

با سلام

جناب سید منصور فیروزه عزیز بسیار سپاسگذاریم از آموزش بسیار خوب شما .

لازم دیدم که نکته رو عرض کنم.

سعی کنید که کمی با احترام بیشتر در صحبتهاتون ، مباحث مورد نظرتون رو بیان کنید.

تاپیک شما ویرایش شد .

باید توجه داشته باشین که بسیار از هموطنان عزیز ما عرب هستند. درسته شما هیچ گونه منظوری به این عزیزان و.. نداشتید و ندارید اما ، فردی که بعنوان اولین بار به انجمن برخورد میکنه باعث میشه که دید بسیار بدی از انجمن داشته باشه.

موفق باشید و سربلند و پایدار

حق یارتون

[سید منصور فیروزه 10]

با سلام

جناب سید منصور فیروزه عزیز بسیار سپاسگذاریم از آموزش بسیار خوب شما .

لازم دیدم که نکته رو عرض کنم.

سعی کنید که کمی با احترام بیشتر در صحبتهاتون ، مباحث مورد نظرتون رو بیان کنید.

تاپیک شما ویرایش شد .

باید توجه داشته باشین که بسیار از هموطنان عزیز ما عرب هستند. درسته شما هیچ گونه منظوری به این عزیزان و.. نداشتید و ندارید اما ، فردی که بعنوان اولین بار به انجمن برخورد میکنه باعث میشه که دید بسیار بدی از انجمن داشته باشه.

موفق باشید و سربلند و پایدار

حق یارتون

سلام جناب مردانه زاده

راستشو بخواین شاید اشتباه کردم ، جواب بی ادبی را نباید با بی ادبی داد.

ولی چه میشه کرد. خود آقای طالبی شاهد پیغام هایی که برای یکی از سایت های پربازدید و حیاتی تولید شده برای یک سازمان از جانب بنده ، پس از هک شدن گذاشته بودن در مورد ایرانیا بودن.

همچنین پس از باختن تیم فوتبالشون توسط سپاهان اصفهان شاهد هک شدن سایت و نوشتن شدید الحن ترین فحش های زننده به ایرانیا بودیم .

آدم بعضی موقع ها باید جواب بعضیا را داد مهندس.

[حجت مردانه زاده 596]

سلام جناب مردانه زاده

راستشو بخواین شاید اشتباه کردم ، جواب بی ادبی را نباید با بی ادبی داد.

ولی چه میشه کرد. خود آقای طالبی شاهد پیغام هایی که برای یکی از سایت های پربازدید و حیاتی تولید شده برای یک سازمان از جانب بنده ، پس از هک شدن گذاشته بودن در مورد ایرانیا بودن.

همچنین پس از باختن تیم فوتبالشون توسط سپاهان اصفهان شاهد هک شدن سایت و نوشتن شدید الحن ترین فحش های زننده به ایرانیا بودیم .

آدم بعضی موقع ها باید جواب بعضیا را داد مهندس.

برادر عزیز ، متوجه منظور بنده نشدید! بنده عرض کردم .وقتی که میگید ع...ها یعنی همه ی اونها بدون هیچ فیلتر و ...ای ، خب مطمئنا باشید این جمع بستن و این نوع خطاب قراردادن ، موجبات ناراحتی هموطنانمون باعث میشه... (شک نکنید!)

بگذریم ...

موفق باشید و سربلند

یا حق

[ابوالفضل طالبی 279]

قطعا منظور جناب فیروزه نه هموطنان بلکه اعرابی بود که سر ناسازگاری با ایران و ایرانی دارند..

پرچم بالاست :auizz3ffy9vla57584x

[maniaf69 11]

سلام به دوستان

اولاً بگم که برای امنیت بالا از آخرین ورژن از جوملا استفاده کنید یعنی نسخه 1.5.23 بهترین نسخه و آخرین نسخه است که از نظر امنیتی بیشتر باگ های آن گرفته شده است در ادامه باید به نکاتی رو بگم که در امنیت جوملا خیلی تاثیر گزار است اولا از همه آدرس صفحات اگر آدرس صفحات سئو شده باشد تاثیر زیادی دارد شاید با خودتون بگید چه تاثیری الان بهتون توضیح می دهم شما فرض کنید از یک کامپوننت استفاده می کنید که کار شما رو راه می اندازه ولی از نظر امنیتی اصلا مورد قبول نیست و باگ های زیادی داره و شما هیچگونه کامپوننت دیگری ندارید که مثل این باشه اگر شما آدرس های خود را سئو کنید لینک شما دیگر نمایانگر این نیست که از چه کامپوننتی استفاده می کندی و این کار هکر هارو سخت می کنه راه حل بعدی اینه که از پلاگین های امنیتی استقاده کنید و آن هارو روی جوملای خود نصب کنید راه حل بعدی این است که آدرس مدیریت ود رو عوض کنید چون سیستم جوملا بزرگترین مشکلی که داره اولا کاربر اصلی به صورت پیشفرض نام کاربریش ADMIN هست (و این یکم کار هکر هارو راحت تر میکنه) دوماً کد امنیتی برای ورود به بخش مدیریت نداره و با یک ربات خیلی ساده به راحتی میشه برنامه ای نوشت که پسور کاربر رو حدس بزنه روش بعد استفاده از یک کلمه عبور بسیار قوی است لزومی نداره رمز عبور قوی حتماً زیاد باشه بهتره که از سیمبل ها استفاده بشه مثلا @!#$*%^&)(. _-+=| تا هر جوجه هکری نتونه پسورد شمارو حدس بزنه راستی یک چیز رو یادم رفت که باید اول میگفتم قبل از خرید سرور از سرور خود مطمئن شوید که آیا این سرور مشکل امنیتی داره یا نه -یک سرور خوب توی امنیت سایت خیلی مهم است- بعد از این کارها شما فایل کانفیگ جوملا رو سطح دسترسی به 444 قرار بدید ، روی پوشه administrator رمز عبور قرار بدید به صورت دوره ای رمز های خود را عوض کنید

[sabermohamadi 11]

همه رو که گفتین

البته این کارارو هم میشه کرد

توسط پلاگین امنیتی ByeByeGeneratorمی تونید نوع سیستم مدیریت محتوا که جوملا باشه رو از ه-ک رهای احتمالی مخفی نگه دارید تا از طریق keyword جنریتور متوجه سیستم مدیریت محتوای جوملای شما نشند و اینطوری اگر حفره امنیتی در سایت شما باشه شما زودتر از سوء استفاده ه-ک ر احتمالی متوجهش شده و در مورد رفعش اقدام می کنید

و توسط پلاگین plg_redact_ میتوینم جلوي بعضي از كدهايي كه باعث نفوذ به باگهاي تعدادي از كامپوننتهاي معروف ميشود را بگیریم

مانند

aceSEF - div span a,/joomace\.net/
Artio JoomSEF - div a,/artio\.net/
AlphaContent - div span a,/alphaplug\.com/
Eventlist - p a,/schlu\.net/
Agora Forum - p span a,/jvitals\.com/
Phoca gallery - div a,/phoca\.cz/
Remository - div a,/remository\.com/
VirtueMart - div a,/virtuemart\.net/i

[aligoli 12]

maniaf69 : دوست عزیز 1 هفته ای هست که نسخه 1.5.24 هم اومده ، اگر آپدیت نیستی ، بروز کن حتما ...

صابرمحمدی : این پلاگین ها توسط چه شرکتی نوشته شده ؟ لطفا منبع دهید .

[sabermohamadi 11]

دوست گرامی این خدمت شما

http://extensions.joomla.org/extensions/site-management/seo-a-metadata/12556

http://extensions.joomla.org/extensions/edition/replace/7642

[maniaf69 11]

maniaf69 : دوست عزیز 1 هفته ای هست که نسخه 1.5.24 هم اومده ، اگر آپدیت نیستی ، بروز کن حتما ...

چون من از ورژن 1.7 استفاده می کنم در جریان نبودم که این ورژن هم اومده بخاطر همین فکر می کردم آخرین ورژن است

[ابوالفضل طالبی 279]

با تشکر از همه عزیزانی که تا کنون شرکت کرده اند

کاربران توجه نمایند که تنها 2 روز به پایان مسابقه این هفته باقیست

[tnt6667 14]

درود بر همه

تمام عرض ها رو دوستان گفتن

منم نمی خواستم جوابی داشته باشم ولی نمی دونم چی شده داره می نویسم

خلاصه

تغییر نام پوشه ادمین

پسورد و سطح دسترسی مطمین برای پوشه ادمین

تغییر یوزر پس فرض جوملا

استفاده از پسورد های منلاف یا همون درهم *پسورد پوشه ادمین+ورد مدیریت+دیتابیس*

سطح دسترسی مطمین به configuration.php

تغییر پیشوند دیتابیس

استفاده نکردن از پلاگین یا ماژول غیر استاندار برای امینت جوملا *چون امکان باگ در خود دارند*

استفاده نکردن از هر افزونه ای

هاست مطمئن

ووو قالب مطمئن*چون اکثر هک ساده داریم که اندیکس قالب رو به دست میگیرند*جهت تست قالب هم راه ایی هست که در آینده منتشر می کنیم در انجمن

این خواهش می کنم همیشه انجام بدید قالب پیش فرض مدیریت جوملا را تغییر بدید...*این در آینده بیشتر توضیح میدم *

*تمام نفوذ های من و تیم های دیگه از این طریق هاست البته تخصصی تر هم بریم جلو باز هم راه هست *

هک برای سو استفاده نیست برای ایمن کردن بیشتر سیستم هاست

ویرایش شده در آبان 90 توسط tnt6667

[novinfard 13]

با تشکر از همه دوستانی که در این بحث شرکت کردند.

من یه چند روزی هست می نویسم، می خوام تکمیل باشه و بعد عنوان کنم.

فقط یه سوال واسم پیش اومده در مورد مهلت ارسال ها:

آخرین مهلت میشه: ساعت 24 روز چهارشنبه 11 آبان ؟