TAHA
01-11-2010, 01:28 PM
همان طور که در مقالات پیشین نظیر آموزش تغییر شناسه کاربری پیش فرض مدیر سایت در جوملا 1.5 (http://pnu-club.com/docs/how-to-change-joomla-15-administrator-user.html) گفته شد، یکی از مسائل مهم و حیاتی برای شما به عنوان مدیر یک وب سایت داشتن یک وب سایت امن می باشد و این امنیت به رعایت اصول امنیتی از جانب شما وابسته است. اولین کاری که برای داشتن یک وب سایت ایمن باید انجام دهید این است که مطمئن شوید از یک گذر واژه ی قوی استفاده می کنید. بهترین کار این است که از ترکیب حروف کوچک و بزرگ و چندین عدد در اندازه ای مناسب برای گذر واژه استفاده کنید که نه فراموش کنید و نه اینکه یک کلمه ی معنادار باشد که به راحتی کشف شود.
هکرهای شرور احمق نیستند و می دانند که مردم می توانند از 3 به جای حرف E در گذر واژه استفاده کنند. بسیار مهم است که از یک گذر واژه در چند سایت استفاده نکنید و برای اینکه هکر ها به شما ضربه بزنند تنها کافیست یکی از آن سایت ها را هک کنند.
متاسفانه مردم تنبل هستند و اغلب ممکن است چندین مرتبه از یک گذر واژه استفاده کنند یا یکی را که قوی تر به نظر می رسد، انتخاب کنند؛ اما در حقیقت در مقابل حملات هکرها بسیار ضعیف و آسیب پذیر عمل می کنند و درست همین جاست که در جوملا مشکلاتی به وجود می آید.
شناسه مدیریت سایت (super administrator) یک وب سایت جوملایی به صورت پیش فرض Admin می باشد. همان طور که در شکل می بینید در طول مراحل نصب هیچ گزینه ای وجود ندارد که طی آن بتوان این شناسه را تغییر داد.
http://pnu-club.com/plugins/content/imagesresizecache/077cb69c49f91d783545c1f29971b5ad.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/installer_admin_pass.png)
خوب معنی این کار چیست؟
برای هکر ها این سناریو رویاییست که بدون انجام هیچ کاری 50٪ کار نفوذ به سایت را شما برایشان انجام دهید و با همه ی فعالیت های زیرکانه تان آن طور که آن ها آرزو دارند عمل کنید.
تنها راه حلی که برای جوملا وجود دارد این است که بعد از به روز در آوری اش، به شما اجازه می دهد که از شناسه ی مدیر کل به طور پیش فرض استفاده کنید همان طور که از گذر واژه Admin به طور پیش فرض استفاده کنید. همین الان به محض اینکه جوملا را نصب کردید و برای اولین بار واردش شدید، به بخش مدیریت کاربر بروید و یک کاربر جدید با گذر واژه ای قوی برای مدیر کل ایجاد کنید.
http://pnu-club.com/plugins/content/imagesresizecache/fd069cfa056b8c998c20445c00fac36f.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/create_user.png)
سپس خارج شوید و دوباره با حساب کاربری جدید وارد شوید و به محیط مدیریت کاربر بروید و admin را به سطح مدیریتی پایین تری تنزل دهید.
http://pnu-club.com/plugins/content/imagesresizecache/144ad6849b39d8583abc49888f502a46.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/change_access.png)
تغییرات را اعمال کنید و بعد کاربر admin را حذف کنید. (توجه داشته باشید که تا زمانی که سطح دسترسی کاربر Admin مدیریت سایت می باشد نمی توان آن را حذف کرد.)
http://pnu-club.com/plugins/content/imagesresizecache/fa8d7fd2a0506b96488f9b472777a6e7.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/delet_admin.png)
اگر متعجبید که چرا به شما پیشنهاد ندادم تا کاربر admin را تغییر دهید به جای اینکه یک کاربر جدید ایجاد کنید به این دلیل است که کاربر Admin همیشه همان شناسه ی کاربری 62 را دارد که بخشی از اطلاعات مفید و پنهان برای هکرها یا script_kiddie ها به شمار می رود. اگر تا به حال در مورد امنیت سایت خود نگران نشده اید یا علاقه دارید که ما برای شما خدمات مشاوره امنیتی فراهم کنیم با ما در تماس باشید.
هکرهای شرور احمق نیستند و می دانند که مردم می توانند از 3 به جای حرف E در گذر واژه استفاده کنند. بسیار مهم است که از یک گذر واژه در چند سایت استفاده نکنید و برای اینکه هکر ها به شما ضربه بزنند تنها کافیست یکی از آن سایت ها را هک کنند.
متاسفانه مردم تنبل هستند و اغلب ممکن است چندین مرتبه از یک گذر واژه استفاده کنند یا یکی را که قوی تر به نظر می رسد، انتخاب کنند؛ اما در حقیقت در مقابل حملات هکرها بسیار ضعیف و آسیب پذیر عمل می کنند و درست همین جاست که در جوملا مشکلاتی به وجود می آید.
شناسه مدیریت سایت (super administrator) یک وب سایت جوملایی به صورت پیش فرض Admin می باشد. همان طور که در شکل می بینید در طول مراحل نصب هیچ گزینه ای وجود ندارد که طی آن بتوان این شناسه را تغییر داد.
http://pnu-club.com/plugins/content/imagesresizecache/077cb69c49f91d783545c1f29971b5ad.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/installer_admin_pass.png)
خوب معنی این کار چیست؟
برای هکر ها این سناریو رویاییست که بدون انجام هیچ کاری 50٪ کار نفوذ به سایت را شما برایشان انجام دهید و با همه ی فعالیت های زیرکانه تان آن طور که آن ها آرزو دارند عمل کنید.
تنها راه حلی که برای جوملا وجود دارد این است که بعد از به روز در آوری اش، به شما اجازه می دهد که از شناسه ی مدیر کل به طور پیش فرض استفاده کنید همان طور که از گذر واژه Admin به طور پیش فرض استفاده کنید. همین الان به محض اینکه جوملا را نصب کردید و برای اولین بار واردش شدید، به بخش مدیریت کاربر بروید و یک کاربر جدید با گذر واژه ای قوی برای مدیر کل ایجاد کنید.
http://pnu-club.com/plugins/content/imagesresizecache/fd069cfa056b8c998c20445c00fac36f.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/create_user.png)
سپس خارج شوید و دوباره با حساب کاربری جدید وارد شوید و به محیط مدیریت کاربر بروید و admin را به سطح مدیریتی پایین تری تنزل دهید.
http://pnu-club.com/plugins/content/imagesresizecache/144ad6849b39d8583abc49888f502a46.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/change_access.png)
تغییرات را اعمال کنید و بعد کاربر admin را حذف کنید. (توجه داشته باشید که تا زمانی که سطح دسترسی کاربر Admin مدیریت سایت می باشد نمی توان آن را حذف کرد.)
http://pnu-club.com/plugins/content/imagesresizecache/fa8d7fd2a0506b96488f9b472777a6e7.jpeg (http://pnu-club.com/images/stories/blog/rostami/security/delet_admin.png)
اگر متعجبید که چرا به شما پیشنهاد ندادم تا کاربر admin را تغییر دهید به جای اینکه یک کاربر جدید ایجاد کنید به این دلیل است که کاربر Admin همیشه همان شناسه ی کاربری 62 را دارد که بخشی از اطلاعات مفید و پنهان برای هکرها یا script_kiddie ها به شمار می رود. اگر تا به حال در مورد امنیت سایت خود نگران نشده اید یا علاقه دارید که ما برای شما خدمات مشاوره امنیتی فراهم کنیم با ما در تماس باشید.