برای امنیت جوملا فقط index.php باید در دسترس عموم باشد
اقداماتی که هکر ها برای نفوذ به سایت جوملایی شما انجام می دهند معمولا بدین شکل است: آنها به دنبال یک اکسپولایت در سایت شما می گردند. با استفاده از آن اکسپولایت یک فایل php به سرور شما آپلود می کنند. به آدرس فایل خود دسترسی پیدا می کنند و توسط آن سایت شما را ...
اقداماتی که هکر ها برای نفوذ به سایت جوملایی شما انجام می دهند معمولا بدین شکل است:
آنها به دنبال یک اکسپولایت در سایت شما می گردند.
با استفاده از آن اکسپولایت یک فایل php به سرور شما آپلود می کنند.
به آدرس فایل خود دسترسی پیدا می کنند و توسط آن سایت شما را هک می کنند یا اقدام به ارسال اسپم می کنند و …
یعنی اگر نفوذ کننده فایلی بنام cms.php به هاست شما ارسال کند کافیست با استفاده از لینک آن به آن دسترسی پیدا کند و اتفاقی که نباید بیافتد رخ دهد! سایت شما توسط گوگل به عنوان هک شده و آسیب رسان مارک می خورد یا هاستینگ شما پیغام می دهد که سایت شما اقدام به ارسال ایمیل اسپم می کند و عذر سایت شما را بخواهد!
هکر با استفاده از فایلی که آپلود کرده می تواند چندین کپی از آن در فولدرهای مختلف سایت شما ایجاد کند به نحوی که دیگر شما نمی توانید همه آنها را پیدا و حذف کنید! اما یک راه حل مناسب دارید:
در joomla شما می توانید دسترسی افراد به کلیه فایل ها با پسوند php را مسدود کنید و فقط فایل index.php را باز بگذارید! بازدید کنندگان و حتی ادمین های سایت جوملایی فقط به دسترسی به index.php نیاز دارند و نیاز به دسترسی مستقیم به هیچ فایل php روی سرور شما ندارند!
برای اعمال این محدودیت کافیست کد زیر را در فایل htaccess اصلی سایت خود اضافه نمایید:<Files *.php>
Deny from all
</Files>
<Files index.php>
Allow from all
</Files>
با اینکار حتی اگر هکر موفق به آپلود فایل مخرب شده باشد دیگر به آن دسترسی برای اجرا نخواهد داشت! توسط کد فوق فقط دسترسی به فایل هایی که نام آنها index.php است باز می باشد و قرار دادن آن در همان htaccess اصلی سایت کافیست و نیازی نیست آن را در پوشه های داخلی مثل administrator کپی کنید!
البته این راه حل کاملا ضد گلوله نیست و اگر هکر فایل مخرب را بنام index.php آپلود کرده باشد هنوز سایت شما در خطر است! اما باز هم شما می توانید داخل کلیه پوشه های اصلی جوملا فایل htaccess حاوی کد زیر ایجاد کنید البته به جز پوشه administrator که پیشنهاد می کنیم برای این پوشه رمز ورود ایجاد کنید:
<Files *.php>
Deny from all
</Files>
با این کار تا حدود بسیار زیادی در مقابل اینگونه حملات امنیت سایت شما تامین شده است. البته گاهی هکرهای با تجربه اقدام به ایجاد تغییر در فایل index.php اصلی سایت شما می کنند که به راحتی قابل پیدا کردن و رفع است!
گاهی برخی افزونه های جوملا ممکن است نیاز به دسترسی مستقبم به یک فایل php با نامی متفاوت داشته باشند که البته تعداد این افزونه ها بسیار کم است اما در هر صورت می توانید با یک کد ساده در htaccess دسترسی به آن فایل را آزاد کنید.
توجه کنید اگر ساب دامنه یا فولدری دارید که مستقل از جوملا می باشد باید دسترسی های لازم را برای آن فراهم کنید که برای اینکار نیاز به آشنایی با کدهای مربوط به htaccess دارید.
اگر قبلا در بیان ثبت نام کرده اید لطفا ابتدا وارد شوید، در غیر این صورت می توانید ثبت نام کنید.