davood_71

سوال در مورد افزونه های امنیتی جوملا

23 پست در این موضوع

سلام خسته نباشید

سایت من بر پایه جوملا هست ، و میخوام بیشترین امنیت را داشته باشه و بشه گفت هک کردن سایت غیر ممکن باشه ، (میدونم چه پروسه هایی داره و هم باید سرور امینیشت تامین شه هم سایت)

سوال من اینه :

افزونه RSFirewall و J secure Athuntcation نصب کردم (نسخه لایسنس دار ، یک ساله)

حالا میخوام افزونه های دیگه رو هم نصب کنم

اولین سوال : آیا وقاعا نیزا هست افزونه های دیگه نصب شه ؟ خود RS کافی نیست؟

اگر نیاز هست ، این افزونه هایی که در زیر گفتم ، تداخلی با RS یا J secure ندارن؟ میتونن در کنار هم نصب شن؟ اخه نمیشه روی ویندوز دو تا آنتی ویروس نصب کرد دیگه نمیدونم سایت هم همچینه یا نه

1- JHackGuard

2-JomDefender

3-Admintools Proftional

4-Macro SQL Injection

5-Incapsula

6-Security Check Pro

نسخه های پولی رو من از سایت خود سازنده میخرم ، و به هیچ وجه ، نسخه کرکی یا نال استفاده نمیکنم

اونایی که اولیت بیشتری دارن ، ممنون میشم بگید کدومارو نصب کنم بهتره که تداخل نداشته باشه، اگر هم افزونه دیگه ای میشناسید ممنون میشم بگید

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket

درود

دوست عزیز تصور شما از امنیت سایت بسیار خام و اشتباه هست

نمیدونم اون دو مقاله isi که گزاشتم رو مطالعه کردید یا نه؟

کلیه افزونه های جوملا تا حد بسیار کمی روی امنیت تاثیر دارن

بخش اصلی رو هسته cms انجام میده و امنیت سرور و افزونه فقط میاد یکم بهتر میکنه که صد جور راه دور زدن داره مثلا همین rs با یک کند از راه دور توسط هکر غیرفعال میشه.

ضمنا نصب همه افزونه های امنیتی جوملا در کنار هم باعث بوجود امدن مشکلات متعدد میشه و همچنین سرعت سایت رو به طور محسوسی کند میکنه

حالا شما بری کل افزونه های امنیتی رو هم حتی اورجینال بخری خیلی هنر کنی و تازه اصولی همشون رو کانفیگ کنی(بسیاری از افراد فقط نصب میکنند و پیکر بندی نمیشه) بیشتر از ۲۰٪ امنیت نخواهی داشت

بیخودی پولت رو دور نریز و بحاش برو درک صحیحی از مفاهیم web application security پیدا کن که اون خ بیشتر برات منفعت داره و چون رشته تحصیلیت هم امنیت هست خودت اصلا میتونی

سیاست امنیتی مطابق میل خودت رو پیاده سازی کنی نه اینکه بری از چند افزونه بسیار ساده جوملا استفاده کنی

اصلا بزار یه موضوع جالب بهت بگم کلا افزونه های امنیتی رو فراموش کن ...

اگر کسی بتونه خارج از سایت اصلی سیاست های امنیتی رو پیاده سازی کنه خیلی کار اصولی تری انجام داده یعنی web site security core extension base نباشه یا امنیت سایت

منحصر به افزونه محورهسته نباشه چرا که اگه هسته باگ بده هکر میتونه افزونه رو غیر فعال کنه یا اگه هکر بتونه شل اپلود کنه عملا افزونه کارایی نداره و یا

هکر میتونه توسط phpmyadmin افزونه رو غیر فعال کنه اونوقت هکر کارش خیلی سخته

اما برای پیاده سازی همچین چیزی باید علم بسیار خوبی توی امنیت داشته باشی و یک ذهن خلاق داشته باشی

اینا رو گفتم چون رشته تحصیلیت امنیت هست و یک امنیت کار اکادمیک باید بسیار ذهن وسیعی داشته باشه نه اینکه بیاد از ذهن از پیش آماده یکی دیگه که امده چند افزونه نوشته عینا کپی برداری کنه

پیروز باشی

Share this post


Link to post
Share on other sites
سلام خسته نباشید

سایت من بر پایه جوملا هست ، و میخوام بیشترین امنیت را داشته باشه و بشه گفت هک کردن سایت غیر ممکن باشه ، (میدونم چه پروسه هایی داره و هم باید سرور امینیشت تامین شه هم سایت)

سوال من اینه :

افزونه RSFirewall و J secure Athuntcation نصب کردم (نسخه لایسنس دار ، یک ساله)

حالا میخوام افزونه های دیگه رو هم نصب کنم

اولین سوال : آیا وقاعا نیزا هست افزونه های دیگه نصب شه ؟ خود RS کافی نیست؟

اگر نیاز هست ، این افزونه هایی که در زیر گفتم ، تداخلی با RS یا J secure ندارن؟ میتونن در کنار هم نصب شن؟ اخه نمیشه روی ویندوز دو تا آنتی ویروس نصب کرد دیگه نمیدونم سایت هم همچینه یا نه

1- JHackGuard

2-JomDefender

3-Admintools Proftional

4-Macro SQL Injection

5-Incapsula

6-Security Check Pro

نسخه های پولی رو من از سایت خود سازنده میخرم ، و به هیچ وجه ، نسخه کرکی یا نال استفاده نمیکنم

اونایی که اولیت بیشتری دارن ، ممنون میشم بگید کدومارو نصب کنم بهتره که تداخل نداشته باشه، اگر هم افزونه دیگه ای میشناسید ممنون میشم بگید

مهندس افضلی توضیحات کاملی ارائه داده اند ، اما برای افرادی که هیچ پیش زمینه ای ندارند بهترین انتخاب همین افزونه های امنیتی است و پیشنهاد من به شما admin tools pro میباشد

و موضوع دوم که اشاره فرمودید خیر امکان نصب چند افزونه امنیتی بروی یک سایت را ندارید و با هم تداخل خواهند داشت و نیازی هم برای اینکار وجود ندارد

Share this post


Link to post
Share on other sites

ممنون از توضیحاتتون که خیلی خوب بود

حرفاتون کاملا درسته

به هر حال نصبشون نیاز هست ، اما میدونم نباید بهشون متکی باشم ، ولی بودنشون هم ضرری نداره

من دوره ای امنیت برقرار میکنم ، به این شکل :

1-2 هفته امنیت سایت ، 1-2 هفته امنیت سرور ، دوباره 1-2 هفته امنیت سایت - 1-2 هفته امنیت سررور ، و همینجوری تا اخر

------

امنیت سرور انجام شده ، حتی فایروال وب اپلی***ن که جولی حملات رو میگره نصب شده و خوب هم گرفته چند تا اتک خفن داشتم روی سور ، قشنگ دومشون رو گرفته بهشون خطای 403 رو نشون داده، همون هکر اومده دور بزنه 403 رو باز خطای 403 داده اسمش (comodo waf)

کار های لازم توی وب سرور آپاچی هم انجام شده (میدونم کامل نیست و بعد از اینکه امنیت سایت رفته بالا دوباره میرم سر سرور)

--------

الان هم توی سایت مثلا فایل هایی که توسط هکر ها عوض میشه رو دسترسی 400 دادم مثل (ایندکس اصلی جوملا ، ایندکس خطای 404، ایندکس اصلی قالب، فایل های پسورد ، فایل کانفیگ جوملا)

پوشه های اصلی رو هم دسترسی 555 دادم که چیزی توش آپلود نشه مثل (پوشه ادمین ، پوشه قالب،پوشه ای که توش پسور ها هست ، پوشه فایل کانفیگ جوملا)

بعضی از جوجه هکر ها سایت رو نمیتونن هک کنن درست و حسابی ، میان فقط صفحه اصلی ور تغییر میدن ، ولی دیگه الان نمیتونن تا حدی.، اگر هم هک کنه ، باز نمیتونه تغییر بده (اونم تا حدی، شایدم بتونه)، به هر حال کار از محکم کاری عیب نمیکنه

آدرس phpmyadmin هم عوض شده که دیدم خیلی ها خواستن کشفش کنن نتونستن

با جوم اسکن ، کالی لینوکس اسکن کردم ، کامپوننت های اصلی جوملا که مشکوک به باگ بودن رو کلا پاک کردم (اونایی که اصلا نیاز نداشتم مثل وب لینک)

-------

حالا میخوام غیر از اون افزونه RS و ـ J Secure افزونه های دیگه ای نصب کنم، ممنون میشم بگید کدوم هارو نصب کنم که تداخل نداشته باشه (بالخره شما سایت جوملایی داشتین ، تست کردین ، خودتون کدوم هارو نصب کردین)

نظر من روی این مورد ها هست:

1- JHackGuard

2-JomDefender (اینجور که میگه جولی اسکنر هارو تا یه مقداری میگره، و باگ های قالب رو جلوش رو میگره)

4-Macro SQL Injection

5-Incapsula (این CDN هم ارائه میده ، احتمالا از کلود مهاجرت کنم روی Incapsula )

Share this post


Link to post
Share on other sites

دوست عزیز شما چرا خودتو خسته می کنی بنده با امیرخان موافقم افزونه AdminTools نسخه تجاری بهنرین هست چون بعضی از امکاناتی که داره حتی افزونه Rsfirewall هم نئاره

Share this post


Link to post
Share on other sites
دوست عزیز شما چرا خودتو خسته می کنی بنده با امیرخان موافقم افزونه AdminTools نسخه تجاری بهنرین هست چون بعضی از امکاناتی که داره حتی افزونه Rsfirewall هم نئاره

عذر میخوام شما در زمینه web application security چقدر مطالعه داشتید که برای سطح حرفه ای امنیت admin tools pro پیشنهاد میدید

برای سطح بسیار مبتدی بله ممکنه کارساز باشه اما برای سطح حرفه ای امنیت......؟؟!!!

Share this post


Link to post
Share on other sites
ممنون از توضیحاتتون که خیلی خوب بود

حرفاتون کاملا درسته

به هر حال نصبشون نیاز هست ، اما میدونم نباید بهشون متکی باشم ، ولی بودنشون هم ضرری نداره

برخی از مواقع همین افزونه های امنیتی بدلیل کشف باگ در کدهاسون عامل هک خود سایت هستن مثل rs که نسخه قبل باگ داشت و موجب دسترسی گرفتن از سایت میشد یعنی عملکرد معکوس

من دوره ای امنیت برقرار میکنم ، به این شکل :
1-2 هفته امنیت سایت ، 1-2 هفته امنیت سرور ، دوباره 1-2 هفته امنیت سایت - 1-2 هفته امنیت سررور ، و همینجوری تا اخر

این حرفتون بیشتر شبیه یه شوخیه تا یک راهبرد عملی. این راهبرد رو توی رفرنس مطالعه کردید یا کدوم متخصص امنیت در دنیا اینو توصیه کرده؟؟ که امنیت دوره ای برقرار بشه؟ یه یک هفته امنیت رو

یک بار برای سایت و یک بار برای سرور انجام بدید امنیت سایت سرور باید ۲۴ ساعته و توامان با هم باشه

------

امنیت سرور انجام شده ، حتی فایروال وب اپلی***ن که جولی حملات رو میگره نصب شده و خوب هم گرفته چند تا اتک خفن داشتم روی سور ، قشنگ دومشون رو گرفته بهشون خطای 403 رو نشون داده، همون هکر اومده دور بزنه 403 رو باز خطای 403 داده اسمش (comodo waf)
کار های لازم توی وب سرور آپاچی هم انجام شده (میدونم کامل نیست و بعد از اینکه امنیت سایت رفته بالا دوباره میرم سر سرور)

اگر منظورتون فایروال کلود فلر هست که اخیرا توسنتن دورش بزنن و شما دقیقا مشخص نکردید با چه متدی بهش حمله کردید؟ و از چه متدی بهش حمله شده اگر مایلید شرح بدید

--------

الان هم توی سایت مثلا فایل هایی که توسط هکر ها عوض میشه رو دسترسی 400 دادم مثل (ایندکس اصلی جوملا ، ایندکس خطای 404، ایندکس اصلی قالب، فایل های پسورد ، فایل کانفیگ جوملا)

این اقدام شما برای هکر های مبتدی که از متد live http headers استفاده می کنند کارساز هست وگرنه هکر اصلا نیازی به عوض کردن این فایل ها نداره چون کاربردی واسش ندارن

این فایل ها مگه اینکه بخواد دیفیس کنه که اونم اگر حرفه ای باشه میاد از دیتابیس تزریق میکنه نه فایل های سایت ضمنا ایندکس قالب مهم هست نه ایندکس اصلی سایت. در مورد فایل کانفیگ جوملا هم هکر

نیاز به تغییر نداره بلکه فقط میخونه و فایل عای حاوی پسورد هم دامپ میشه

پوشه های اصلی رو هم دسترسی 555 دادم که چیزی توش آپلود نشه مثل (پوشه ادمین ، پوشه قالب،پوشه ای که توش پسور ها هست ، پوشه فایل کانفیگ جوملا)

این مورد هم با یک فایل htaccess براحتی بایپس میشه در صورتی که هکر بتونه از طریق اپلود وارد یکی از پوشه ها بشه

بعضی از جوجه هکر ها سایت رو نمیتونن هک کنن درست و حسابی ، میان فقط صفحه اصلی ور تغییر میدن ، ولی دیگه الان نمیتونن تا حدی.، اگر هم هک کنه ، باز نمیتونه تغییر بده (اونم تا حدی، شایدم بتونه)، به هر حال کار از محکم کاری عیب نمیکنه

آدرس phpmyadmin هم عوض شده که دیدم خیلی ها خواستن کشفش کنن نتونستن

اگه بتونه ایندکس صفحه اصلی رو دسترسی بگیره میتونه داخلش کد فیشینگ بزاره و کل اطلاعات هاست و سایتت رو از طریق ایمیل دریافت کنه و یا میتونه سایتت رو ریدایرکت کنه به سرور خودش

این اقدام مناسب هست

با جوم اسکن ، کالی لینوکس اسکن کردم ، کامپوننت های اصلی جوملا که مشکوک به باگ بودن رو کلا پاک کردم (اونایی که اصلا نیاز نداشتم مثل وب لینک)

اسکنر ها false positive زیاد دارن باید تمییز قابل بشی

کار موثر تر اینه اجازه ندی اسکنرها بتونن روی ای پی سرور پکت بفرستند

-------

حالا میخوام غیر از اون افزونه rs و ـ j secure افزونه های دیگه ای نصب کنم، ممنون میشم بگید کدوم هارو نصب کنم که تداخل نداشته باشه (بالخره شما سایت جوملایی داشتین ، تست کردین ، خودتون کدوم هارو نصب کردین)
نظر من روی این مورد ها هست:
1- jhackguard
2-jomdefender (اینجور که میگه جولی اسکنر هارو تا یه مقداری میگره، و باگ های قالب رو جلوش رو میگره)
4-macro sql injection
5-incapsula (این cdn هم ارائه میده ، احتمالا از کلود مهاجرت کنم روی incapsula )[/quote]

بازم که برگشتید سر خانه اول!!! توضیح اول من رو مجددا بخونید

Share this post


Link to post
Share on other sites

خیلی ممنون

اینکه Admin tools استفاده شده خیلی خوبه خودم شخصا 2 سال پیش استفاده کردم نسخه رایگان، یه باگ خیلی خفن داشت

رمزی که روی پوشه ادمین میزاشت دقیقا این بود : 1292599693davood

ولی یه روز دیدم پسورد رو ناقص زدم ، و وارد بخش لاگین مدیریت جوملا شد (تو عمرم همچین چیزی ندیده بودم)

پسورد رو 1292599693 فقط همینو زدم و وارد شد :|

هنوز هم اون سایت فعاله و ادمین تولز رو آپدیت نکردم میتونید باگ رو مشاهده کنید

--------

من دیگه تمامی روش هارو چک میکنم و همه روش هارو انجام میدم ، تا هر جایی که بتونم واسه همین میگم دوره ای ، چون الان من یه سری روش میدونم ، ولی دوباره 2 تفه دیگه روش های جدیدی پیدا میکنم

اطلاعات من که کامل نیست

------

افزونه Rsfirewall خوب بوده تا جایی که من بدونم ، jomdefender هم اونجوری که اونا گفتن خوبه

--------

در مورد فایروال comodo waf :

این فایروال روی سرور خودم نصب هست ، من از کلود فلر سرویس ریاگانش رو استفاده کردم

این فایروال محافظت میکنه از خیلی از اسکریپت ها مخصولا جوملا افزونه های معتبر که باگ امنیتی دارن

مثلا جوملا ورژن 3.6 باگ داشت ، فوری واسه کومدو آپدیت دادن بیرون (قبل از اینکه RS بده) و اون ورژن جوملا توش ذکر شده که باگ داره و هرکسی از اون باگ استفاده کنه جلوش رو میگره

ظاهرا عملکرد خوبی داشته ، چند وقت پیش حمله از نوع متد : shell comond injection داشتم ، که خطای 403 به کاربر نشون داده ، همون آی پی با روش دیگه حمله کرد باز خطای 403 نشون داد

اساس کارش mod security هست و کاملا رایگان هم هست

سایتش : Free ModSecurity Rules from Comodo

و یه پشتبانی خیلی عالی دارن ، امروز تیکت بزنین ، فردا جواب میدن : Free Modsecurity rules - Comodo Web Application Firewall

جلوی حملات مربوط sql i , xss, lfi, ... ؤو میگره ، جلوی Dos هم تیک گذاشته که میگره

خوبی دیگه که داره جلوی حملات بروت فروس اسپریکت هارو هم میگره

مثلا صفحه ادمین جوملا : admisnitrator/index.php هست

لینک صفحه رو بهش میدی ، و هرکسی چند بار بیشتر بزنه ، اخظار کومدو روی سایت ظاهر میشه واسه کاربر (اینو من تست نکردم ولی خود سایتش گفته)

میخواین تا عکس از محیطش براتون بگیرم اینجا ارسال کنم

---------------

خب شما میگید من چیکار کنم؟ هسته جوملا رو که نمیشه تغییر داد ، خودشون باگ رو برطرف میکنن

تنهای کاری که میتونم بکنم نصب افزونه ها هست (کاچی بهتر از هیچی) ، چون نسخه معتبر هم هست و لایسنس دار ، خیلی سریع آپدیت میدن فکر کنم (بالاخره اگر چیزی بود سایت های جوملای که افزونه نصب کردن و من با جوم اسکن ، اسکن کردم دیدم چقدر فایروال نصب بوده ، باید هک میشدن که نشدن)

حالا اینکه شما کدئموشن رو نصب کردین و دیدن خوب بوده ممنون میشم بگید

-----

فایل .htaccess رو توی همین انمجن خودنم که چخ جوری جلوی آپلود شل رو بگیره ، و وقتی ریختم واسه امتحان توی روت هاست ، سایت خطای 500 داد

مثلا اینکه اجازه ندارم بریزم ، میشه داخل خود کانفیگ سرور انجام داد؟ htaccess مشترک داره که واسه همه هاست ها مشترک باشه؟

Share this post


Link to post
Share on other sites

مهنس افضلی الان شما میگید من چیکار کنم

سایت خیلی مهمه

دیگه باید به ترتیپ همه مراحل امنیتی رو رفت (ابلته قدیم رفته شده) ولی خب ازم میخوام برم

و الان فقط دو تا افزونه نصبه اونم : Rsfirewall و j secure

مسیر ادمین رو با jseure تغییر دادم ، میشه یه جور دیگه هم از طریق خود هسته تغییر بدم؟ جواب میده روی 3.4؟ میخوام پوشه Admnistrator رو کلا پاک کنم

یه روش هم خورد به ذهنم همین الان ، اگر میشه از طریق هسته تغییر داد ، میشه مثلا همون پوشه ادمین باشه ، ولی در اصل پوشه ادمین اون سایت نباشه ، پوشه ادمین یه سایت دیگه باشه ، اینجوری طرف هی زور میزنه وارد اون پوشه شه ، ولی وقتی شد ، در واقعا وارد ادمین اون سایت نشده ، وارد ادمین یه سایت دیگه شده ، خلاصه حسابی گیج میشه (این روش الان خورد به ذهنم دیگه نمیدونم جواب بده یا نه)

----

در کل چیکار کنم؟

یه سوال ، شل وقتی آپلود شه توی جوملا معمولا میره پوشه images؟ یه کد هست توی htaccess که جلوی شل رو میگره و اگر هم آپلود شه کار نمیکنه ، ممنون میشم اونو بگید ، و اینکه یه بار من اینو اپلود کردم تیو روت خطای 500 داد چیکارش کنم؟ خودم مدیر سرور هستم (البته دادم یه جا دیگه کانفیگ کردن) ولی دسترسی کامل دارم به سرور

Share this post


Link to post
Share on other sites
مهنس افضلی الان شما میگید من چیکار کنم

سایت خیلی مهمه

دیگه باید به ترتیپ همه مراحل امنیتی رو رفت (ابلته قدیم رفته شده) ولی خب ازم میخوام برم

و الان فقط دو تا افزونه نصبه اونم : Rsfirewall و j secure

مسیر ادمین رو با jseure تغییر دادم ، میشه یه جور دیگه هم از طریق خود هسته تغییر بدم؟ جواب میده روی 3.4؟ میخوام پوشه Admnistrator رو کلا پاک کنم

یه روش هم خورد به ذهنم همین الان ، اگر میشه از طریق هسته تغییر داد ، میشه مثلا همون پوشه ادمین باشه ، ولی در اصل پوشه ادمین اون سایت نباشه ، پوشه ادمین یه سایت دیگه باشه ، اینجوری طرف هی زور میزنه وارد اون پوشه شه ، ولی وقتی شد ، در واقعا وارد ادمین اون سایت نشده ، وارد ادمین یه سایت دیگه شده ، خلاصه حسابی گیج میشه (این روش الان خورد به ذهنم دیگه نمیدونم جواب بده یا نه)

----

در کل چیکار کنم؟

یه سوال ، شل وقتی آپلود شه توی جوملا معمولا میره پوشه images؟ یه کد هست توی htaccess که جلوی شل رو میگره و اگر هم آپلود شه کار نمیکنه ، ممنون میشم اونو بگید ، و اینکه یه بار من اینو اپلود کردم تیو روت خطای 500 داد چیکارش کنم؟ خودم مدیر سرور هستم (البته دادم یه جا دیگه کانفیگ کردن) ولی دسترسی کامل دارم به سرور

درود

در مورد اینکه مسیر پوشه ادمین تغییر بدید اگر بلدید میتونید از هسته تغییر بدید مسیر رو اما جیزی رو عوض نمیکنه اصولا تغییر مسیر مدیریت چون هکر وقتی فهمید سایت جوملا هست دیگه تفاوتی نمیکنه

مسیر ادمین رو تغییر بدید یا نه ضمنا هکر اصلا کاری با مدیریت سایت نداره مگه بخواد بروت فورس بزنه با سرور که اونم اصلا نیازی به ادمین پیج نداره

در مورد اپلود شل

عموما توی جوملا میره image که میشه با htaccess تا حدودی ایمنش کرد مثل

<Files ^(*.php|*.phps)>
   order deny,allow
   deny from all
</Files>

یا

<FilesMatch "\.(php|pl|py|jsp|asp|htm|shtml|sh|cgi.+)$">
   ForceType text/plain
</FilesMatch>

Share this post


Link to post
Share on other sites

خیلی ممنون

میشه بگید فرق این دوتا کد چیه؟

کد رو گذاشتم از کجا بدونم که درست کار میکنه؟ چون وقتی این کد رو توی روت هاست گذاشتم خطای 500 داد (انگاری کار نکرد)

2 روز پیش توی سرور تابع open_basedir رو فعال کردم و مسیر های درست رو بهش دادم این تاثیر داره توی امنیت؟

با آر اس فایروال امتیاز سایت رو رسوندم به 100 کامل ، بدون افت سرعت یا اختلالی (دیگه نمیدونم تاثیر داره یا نه)

ببخشید یه سوال دیگه سایت آر اس جوملا وارد ادمین که میشی خطای 403 سطح دسترسی میده ، شما فکر میکنید ادمین رو کامل میبنده و وقتی نیاز باشه بازش میکنه یا مسیر رو عوض کرده؟

Share this post


Link to post
Share on other sites

ببخشید یه سوال دیگه

واسه آپلود شل اگر اون دستروات رو تیو سرور بزارم میشه؟ مقوع نصب افزونه یا آپلود اون فایل ها از طریق دایرکت ادمین یا Ftp به مشکل بر نمیخوره؟

Share this post


Link to post
Share on other sites

خیلی ممنون

میشه بگید فرق این دوتا کد چیه؟

اولی از اپلود پسوندهای مورد نظر جلوگیری میکنه داخل پوشه

دوم پسوند های مورد نظر رو به صورت متن نمایش میده بجای اینکه اجراشون کنه یعنی اگه هکر تونست فایل اپلود کنه نتونه فایل رو اجرا کنه

کد رو گذاشتم از کجا بدونم که درست کار میکنه؟ چون وقتی این کد رو توی روت هاست گذاشتم خطای 500 داد (انگاری کار نکرد)

کدهای htaccess کاملا وایسته به تنظیمات php سرور هستند و بدلیل کانفیگ و مقادیر خاص سرور ممکنه عمل نکنند و خطای ۵۰۰ بدن

2 روز پیش توی سرور تابع open_basedir رو فعال کردم و مسیر های درست رو بهش دادم این تاثیر داره توی امنیت؟

اگه واقعا درست ادرس دهی کرده باشید تاثیر داره

با آر اس فایروال امتیاز سایت رو رسوندم به 100 کامل ، بدون افت سرعت یا اختلالی (دیگه نمیدونم تاثیر داره یا نه)

ما میگم داره شما هم بگو داره:did2:

ببخشید یه سوال دیگه سایت آر اس جوملا وارد ادمین که میشی خطای 403 سطح دسترسی میده ، شما فکر میکنید ادمین رو کامل میبنده و وقتی نیاز باشه بازش میکنه یا مسیر رو عوض کرده؟

احتمالا مسیر رو میبنده

Share this post


Link to post
Share on other sites
ببخشید یه سوال دیگه

واسه آپلود شل اگر اون دستروات رو تیو سرور بزارم میشه؟ مقوع نصب افزونه یا آپلود اون فایل ها از طریق دایرکت ادمین یا Ftp به مشکل بر نمیخوره؟

خیر مشکلی قاعدتا نباید پیش بیاد مگه بدلیل تنظیمات سرور

Share this post


Link to post
Share on other sites

خیلی ممنون

خیلی لطف میکنید

حالا من باید یه کاری کنم نشه شل آپلود کرد

یه سوال ، شل آپلود میشه با اینکه خودم از طریق ftp فایل مثلا php آپلود کنم فرق داره؟ (نوع عملکرد شل رو منظورم نیست) منظورم نوع اپلود هست

فرضا من تونستم فایل htaccess بزارم توی image خب حالا طرف نمیتونه شل آپلود کنه

خودم بخوام از طریق ftp یا دایرکت ادمین میتونم فایل php داخل همون پوشه image آپلود کنم؟ جلوی اونو هم میگره یا نمیگیره؟ اگر نگیره خیلی خوبه توی سرور کلا بهش میگم که نشه اون فایل هارو آپلود کنه (کل مسیر ها)، چون اگر جلوی آپلود عادی رو نگیره واسه نصب افزونه یا اینکه خودم فایلی رو آپلود کنم دیگه جلوش رو نمیگیره

---------------

حالا من چیکار کنم به نظرتون که فایل htacces کار کنه و خطای 500 نده، مهم اینجاست خطا میده ونمیشه گذاشتش

Share this post


Link to post
Share on other sites

خیلی ممنون

خیلی لطف میکنید

حالا من باید یه کاری کنم نشه شل آپلود کرد

یه سوال ، شل آپلود میشه با اینکه خودم از طریق ftp فایل مثلا php آپلود کنم فرق داره؟ (نوع عملکرد شل رو منظورم نیست) منظورم نوع اپلود هست

بله

فرضا من تونستم فایل htaccess بزارم توی image خب حالا طرف نمیتونه شل آپلود کنه

خودم بخوام از طریق ftp یا دایرکت ادمین میتونم فایل php داخل همون پوشه image آپلود کنم؟ جلوی اونو هم میگره یا نمیگیره؟ اگر نگیره خیلی خوبه توی سرور کلا بهش میگم که نشه اون فایل هارو آپلود کنه (کل مسیر ها)، چون اگر جلوی آپلود عادی رو نگیره واسه نصب افزونه یا اینکه خودم فایلی رو آپلود کنم

دیگه جلوش رو نمیگیره

ارتباطی بهم ندارن

---------------

حالا من چیکار کنم به نظرتون که فایل htacces کار کنه و خطای 500 نده، مهم اینجاست خطا میده ونمیشه گذاشتش

با کسی ک سرور رو کانفیگ کرده صحبت کنید

Share this post


Link to post
Share on other sites

مرسی واقعا ممنونم

باید بدمش کسی که کانفیگ کرده ببینه مشکل چیه درستش کنه

یه سوال

با افزونه jomdefender کار کردین؟ اونجوری که گفته هسته رو مخفی میکنه ، واقعا میکنه؟ البته من توی اینش موندم هسته قایم شه ولی وقتی سورس رو از مرورگر باز میکنی مسیر قالب و ماژول های سایت رو زده و کسی که با جمولا کار کرده باشه (حتی یه مقدار خیلی کوچیک) میفهمه سایت جوملا هست، دیگه نمیدونم چی رو مخفی میکنه

ببخشید این سوال رو میپرسم ولی خب بالاخره کاچی بهتر از هیچی

خودتون چه افزونه هایی استفاده کردین واسه امنیت و چی پیشنهاد میدین؟

من با نرم افزار jomscan سایت های بزرگ جوملایی چه ایرانی چه خارجی رو سرچ میزنم ، میگه کلی فایورال نصب هست ، همشون هم دقیقا مثل هم (جریان چیه؟) هرچی توی نت هم سرچ میکنم غیر از j secure و rsfirewall اون افزونه هایی که میگه نصب هست رو پیدا نمیکنم

همه سایت ها دقیقا مثل هم نصب هستن نه بیشتر نه کمتر روش خاصی هست؟ این افزونه ها نصب هست :

rsfirewall

j firewall

securelive

fwscript

security scaner

jsecure athuntication

guardXT security

jomsuit defender

----------

خیلی جالبه همشون اینارو دارن (smartaddons,joomla.org.rsjoomla,joomlafarsi.com,*****na)

Share this post


Link to post
Share on other sites
]مرسی واقعا ممنونم

درود خواهش میکنم.هر سوالی دارید بپرسید و اگر در حد سوادم بود پاسخ میدم

یه سوال

با افزونه jomdefender کار کردین؟ اونجوری که گفته هسته رو مخفی میکنه ، واقعا میکنه؟ البته من توی اینش موندم هسته قایم شه ولی وقتی سورس رو از مرورگر باز میکنی مسیر قالب و ماژول های سایت رو زده و کسی که با جمولا کار کرده باشه (حتی یه مقدار خیلی کوچیک) میفهمه سایت جوملا هست، دیگه نمیدونم چی رو مخفی میکنه

ببخشید این سوال رو میپرسم ولی خب بالاخره کاچی بهتر از هیچی

بشنو و بارو نکن. کسی که کارش باشه اصلا توجهی به این چیزای سطحی نمیکنه و راه کار جدا داره. برای چندمین بار میگم بزرگوار: اصلا مخفی کردن سورس یا هسته یا متادیتای سایت جوملایی برای اینکه مثلا

طرف نفهمه سایت با جوملاست یک ایده خنده داره.... اما اکی کاچی بهتر از هیچی من برای برخی مشتری ها طبق درخواستشون انجام میدم

خودتون چه افزونه هایی استفاده کردین واسه امنیت و چی پیشنهاد میدین؟

همه چی و هیچی.

من با نرم افزار jomscan سایت های بزرگ جوملایی چه ایرانی چه خارجی رو سرچ میزنم ، میگه کلی فایورال نصب هست ، همشون هم دقیقا مثل هم (جریان چیه؟) هرچی توی نت هم سرچ میکنم غیر از j secure و rsfirewall اون افزونه هایی که میگه نصب هست رو پیدا نمیکنم

همه سایت ها دقیقا مثل هم نصب هستن نه بیشتر نه کمتر روش خاصی هست؟ این افزونه ها نصب هست :

rsfirewall

j firewall

securelive

fwscript

security scaner

jsecure athuntication

guardXT security

jomsuit defender

اسکریپت joomscan یک متد بسیار ساده داره میاد directory crwaling میکنه داخل پوشه کامپوننت ماژول و پلاگین سایت و یک دیتابیس داره از لیست افزونه های امنیتی جوملا و بعد میاد متادیتاهای اونا رو

با دیتابیسش چک میکنه و همین. خیلیا فکر میکنن واقعا میاد باگ بررسی میکنه حتی بعنوان راهکار تجاری استفاده می کنند که شرم اوره!

کلا جوم اسکن رو بیخیال بشید و اعتباری بهش نیست

----------

خیلی جالبه همشون اینارو دارن (smartaddons,joomla.org.rsjoomla,joomlafarsi.com,*****na)[

احتمالا به این دلیله همشون این افزونه ها رو همزمان نصب کردن که اگه اره واقعا تاسف باره یا اینکه خطای برنامه هست

Share this post


Link to post
Share on other sites

ّبخشید من دوباره این سوالم رو تکرار میکنم (حرف شما درسته که باید به افزونه ها وابسته نباشیم ، اما هرچی که هست جلوی جوجه هکر هارو که میگره ، کار ها دیگه هم انجام شده میخوام اینم تموم شه)

الان من rsfirewall و Jsecure Athun نصب هست (نسخه لایسنس دار)

میخوام این دو تارو هم نصب کنم :

1- JhackGaurd

2-Macro Sql

چون RS نصب هست اینا هم کنارش نصب باشه مشکلی پیش نمیاد؟ مثلا طرف حمله کنه ، ییهو فایروال ها هنگ نمیکنن؟

قابلیت هایی که توی admin tools pro دیدم خیلی بود ، به نظرتون اون بهتره یا RS (بالارخشه شما بر ها اینارو تست کردین میدونید)، اگر در کنرا هم نصب شه که خوبه اگر نه ، کدومش بهتره همونو نصب کنم؟

ببخشید فقط تروخدا نگین اینا به درد نمیخوره نصب نمیشه ، هر جور شده من باید نصبش کنم ، اگر کمکم کنید ممنون میشم

Share this post


Link to post
Share on other sites
ّبخشید من دوباره این سوالم رو تکرار میکنم (حرف شما درسته که باید به افزونه ها وابسته نباشیم ، اما هرچی که هست جلوی جوجه هکر هارو که میگره ، کار ها دیگه هم انجام شده میخوام اینم تموم شه)

الان من rsfirewall و Jsecure Athun نصب هست (نسخه لایسنس دار)

میخوام این دو تارو هم نصب کنم :

1- JhackGaurd

2-Macro Sql

چون RS نصب هست اینا هم کنارش نصب باشه مشکلی پیش نمیاد؟ مثلا طرف حمله کنه ، ییهو فایروال ها هنگ نمیکنن؟

قابلیت هایی که توی admin tools pro دیدم خیلی بود ، به نظرتون اون بهتره یا RS (بالارخشه شما بر ها اینارو تست کردین میدونید)، اگر در کنرا هم نصب شه که خوبه اگر نه ، کدومش بهتره همونو نصب کنم؟

ببخشید فقط تروخدا نگین اینا به درد نمیخوره نصب نمیشه ، هر جور شده من باید نصبش کنم ، اگر کمکم کنید ممنون میشم

درود گرامی سوالتون تکراری هست و من چندین بار به تفصیل توضیح دادم این موارد رو به پاسخ های قبلی رجوع کنید

Share this post


Link to post
Share on other sites

نظرتون درمورده این سایت چیه : Jeff Channell | 2010 Joomla! Security Extension Comparison | jeffchannell.com

حرفاش درست هست؟

اومده تمام افزونه هارو تست کرده ببینه کدومشون جلوی حملات خوب عمل میکنن، اگر حرفاش ردست باشه که خیلی چیزا گیرم اومده

ولی ادمین تولز چقدر داغونه :D ، این همه ویژگی داره ولی اصلا انگار نه انگار ، جالبیش اینجاست توی ساتی جوملا امتیاز 100 گرفته همه ازش تعریف میکنن

Share this post


Link to post
Share on other sites

واقعا مهبوت میشم شما چطور دانشجوی ارشد امنیت هستید؟؟؟؟؟؟؟؟ تاریخ مطلب رو خوندید؟؟؟؟؟؟؟؟ برای ۲۰۱۰ هست مقایسه الان ۲۰۱۶!!!!!! توی امنیت هر روز مباحث تغییر میکنه شما رفتی مقایسه

۶ سال پیش رو خوندی؟؟؟؟؟؟؟؟؟ مقایسه شش ماه پیش با الان قابل قیاس نیست اونوقت....................

لطفا لطفا لطفا لطفا یکم عمق علمتون رو بیشتر کنید و بجای سوالات تکراری پرسیدن که چندین بار پاسخون داده شده بیشتر دقت کنید

Share this post


Link to post
Share on other sites

خب منم میدونم 2010 هست، فقط در کل گفتم ، خب اون موقع هم ، موقع خودش خیلی خطرناک بوده

ببه هر حال بد نیست ادم از یه تاریخچه رو هم بخونه ، ببینه قدیما چه خبر بوده

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری