با سلام

سیستم مدیریت محتوای E107 در حالت عادی و به صورت پیش فرض از امنیت بالایی برخوردار است و جزو بهترین سیستم های متن باز از لحاظ امنیت به حساب می آید که در سال 2005 تا کنون از سوی مجلات معتبری مانند Pc Magazine تحسین شده است.

باید دقت داشت که امنیت سیستم و سایت شما مبحثی 2 طرفه و به شما و مدیریت شما نیز مرتبط است.
اگر شما امن ترین سیستم موجود را در اختیار داشته باشید ولی به نکات ایمنی که باید هر مدیر وب سایت مورد نظر داشته باشد توجه نکنید به راحتی توسط کوچکترین هکر ها قابل نفوذ خواهید بود.



در این مقاله در چند سطح به یادآوری و آموزش نکاتی برای افزایش امنیت سیستم می پردازیم.

سطح اول - نکات امنیتی عمومی
این نکات نه تنها در E107 بلکه در هر نوع سیستم دیگر باید مورد توجه قرار گیرد و اجرا شود.

1-iز کلمات عبور ساده استفاده نکنید به عنوان مثال تاریخ تولد یا موارد شبیه که قابل حدس باشد و به هیچ عنوان از کلمات عبور یکسان در وب سایت ها یا ایمیل های مختلف استفاده نکنید.

2-کلمات عبور را حداقل 6 کاراکتری انتخاب کنید و هر چه تعداد کاراکتر ها بیشتر باشد امکان حدس و شکستن آن کمتر است

3-کلمات عبور را به صورت ترکیبی از اعداد , حروف و علامت ها به صورت کوچک و بزرگ انتخاب کنید به عنوان مثال wD&GRWs~DM%G کلمه عبور مناسبی می باشد.

4-کلمات عبور را در فایل های غیر قابل دسترس و محود شده نگهداری کنید و به هیچ عنوان در دسترس عموم نباشد.

5-همیشه برای ورود به سایت های خود از کامپیوتر شخصی خود استفاده کنبد و به هیچ عنوان توسط کامپیوتر های عمومی مانند کافی نت , هتل , .... یا کامپیوتر های افراد دیگر به وب سایت خود وارد نشوید و کلمه عبور خود را استفاده نکنید چون به راحتی امکان شنود و جاسوسی کلمه عبور شما با نرم افزار های KeLogger هست همچنین در موارد ضروری به هیچ عنوان گزینه به یاد سپردن یا ذخیره کلمه عبور را علامت نزنید و پس از اتمام کار History و Cookie های مرورگر را حذف نمایید (باز هم امکان شنود و جاسوسی اطلاعات شما هست ولی انجام این کار تا حدودی جلوگیری می کند )

6-به طور مرتب هر ماه کلمه عبور خود را تغییر دهید و با کلمه عبور قدرتمند دیگری جایگزین کنید.

7-به هیچ کس اعتماد نکنید ! اولین افرادی که مایل به هک کردن و نفوذ به سایت شما هستند دوستان , همکلاسی ها , فامیل و برادر و خواهر شما هستند این نکته را همیشه به یاد داشته باشید و به هیچ کس اعتماد نکنید !

8-در صورتی که کلمه عبور خود را برای رفع مشکلاتی به مدیر فنی سایت یا مدیریت هاست یا غیره اعلام کردید پس از اتمام کار حتماً کلمه عبور را تغییر دهید.

9-همیشه سعی کنید برای مدیریت وب سایت های خود از سیستم عامل جداگانه با اعمال موارد امنیتی کامل استفاده کنید به عنوان مثال :

الف : همیشه سیستم عامل را به روز نگه دارید
ب : از آنتی ویروس ها و ضد نرم افزار های جاسوسی یا Anti Spyware ها با آخرین به روز رسانی ها استفاده کنید (آنتی ویروس پیشنهای NOD32 يا Kaspersky به آخرین به رو رسانی ها و بانک اطلاعاتی ویروس ها )
پ : حتماً از دیوار های آتش یا فایروال های قدرتمند و به روز شده استفاده کنید نرم افزار پیشنهادی : ZoneAlarm
ت : برای ورود به سیستم عامل کلمه عبور قرار دهید
ث : به هیچ عنوان نرم افزار های ناشناس و رایگان شناخته نشده همچنین کرک ها و Keygen های نرم افزار ها را بر روی سیستم عامل نصب نکنید.

10-حتی الامکان ااز فایل های ناشناس موجود در CD ها و بسته های نرم افزاری استفاده نکنید چون ممکن است به بدافزار های جاسوسی آلوده باشند.

11-از سیستم های ارتباط آنلاین در صورت امکان استفاده نکنید , در صورت استفاده نیز به هیچ عنوان از افراد ناشناس یا حتی دوستان و غیره فایلی توسط این نرم افزار ها دریافت نکنید حتی تصاویر چون ممکن است آلوده به بدافزار های جاسوسی باشد.

12-در وب سایت ها و وبلاگ ها به هیچ عنوان رو تبلیغات مشکوک کلیک نکنید تبلیغاتی شبیه : "سیستم شما دچار آلودگی شده است برای رفع آلودگی اینجا کلیک کنید" یا "شما برنده 200 دلار جایزه به عنوان 99999999 کاربر بازدید کننده شدید " و از این قبیل آگهی ها ....

13-از باز کردن ایمیل های ناشناس خود داری فرمایید به خصوص اگر حاوی فایل پیوست یا تصویر باشد به هیچ عنوان فایل پیوست شده و تصاویر را دانلود و اجرا نکنید.

14-همیشه آدرس پست الکترونیک خود در وب سایت هایتان را جدا از آدر س های پست الکترونیک عمومی خود یا ID هایی که برای چت یا غیره استفاده می کنید وارد کنید.

15- در اکثر سیستم های وب سایت گزینه ای با عنوان فراموشی کلمه عبور وجود دارد که کلمه عبور شما را به ایمیل شخصی شما ارسال می کند در صورت استفاده از این گزینه حتماً بعد از ورود به سایت کلمه عبور خود را تغییر دهید و نامه الکترونیک حاوی کلمه عبور را حذف کنید.

16- به هیچ عنوان از آدرس ایمیلی که در وب سایت هایتان به عنوان آدرس ایمیل مدیریت استفاده کرده اید برای ثبت نام در وب سایت های دیگر استفاده نکنید.

17-به هیچ عنوان از پروکسی ها یا ف ی ا ت ر شکن های عمومی برای ورود به سایت خود استفاده نکنید.

18-حدالامکان از افزودن مدیران بیشتر به وب سایت خودداری کنید و در صورت لزوم حتماً افراد قابل اطمینان را انتخاب کنید و این نکات امنیتی را به تمام مدیران گوشزد کنید.

19-به هیچ عنوان به مدیران وب سایت سطح دسترسی کامل که مجاز به ویرایش اطلاعات شما باشد ندهید و همیشه سطح دسترسی لازم و حداقل سطح دسترسی های مورد نیاز را به مدیران سایت بدهید.

20-از شرکت های معتبر و حرفه ای هاست و دامنه تهیه کنید شما باید بدانید که مدیریت هاستینگ شما به تمام فایل ها و بانک اطلاعاتی سایت شما دسترسی دارد و اگر از هاستینگ های معتبر و حرفه ای هاست تهیه نکنید امکان سوء استفاده از وب سایت شما و هک کردن آن به راحتی وجود دارد.

21-به هیچ چیز و هیچ کس اعتماد نکنید ( برای تاکید )

خوب این موارد اولیه برای جلوگیری از نفوذ افراد به سیستم و سایت شما هست که همیشه باید برای هر وبسایتی ایجاد شده با E107 چه سیستم دیگربه آن ها توجه کنید.

در سطح دوم به مواردی برای افزایش امنیت سیستم مدیریت محتوای E107 خواهیم پرداهت.

سطح دوم - نکاتی برای افزایش امنیت E107
این نکات به شما کمک می کنید امنیت E107 را روی هاست خود افزایش دهید.


1-اولین و مهمترین نکته : سیستم E107 وب سایت خود را همیشه به روز نگه دارید همچنین از آخرین نسخه پلاگین ها استفاده کنید.


توجه : انجام دادن موارد زیر اجباری نیست و در صورتی که موارد زیر را نیز اعمال نکنید سیستم مدیریت محتوای E107 در حالت پیش فرض از امنیت بالایی برخوردار است و جزو بهترین سیستم های مدیریت وب سایت از نظر امنیت می باشد موارد زیر برای افزایش هرچه بیشتر امنیت و جلوگیری از نفوذ هایی هست که بر اثر اشتباهات مدیریت یا ضعف امنیت هاست شما ممکن است ایجاد شود.

2-تغییر نام پوشه مدیریت
نام پوشه مدیریت سیستم محتوای E107 فارسی در حالت پیش فرض admin می باشد که شما بهتر است نام این پوشه را تغییر دهید , این کار به راحتی قابل انجام است.

توسط نرم افزار FTP یا File Manager سیستم مدیریت هاست وارد پوشه ای که سیستم E107 فارسی نصب شده است شوید تا لیست فایل های سیستم را مشاهده کنید.

اکنون نامه پوشه admin را تغییر دهید به عنوان مثال نام پوشه را Admin_My_Website قرار دهید.

سپس فایل e107_config.php را باز کنید و عبارت زیر را جستجو کنید :


  1. کد:
    $ADMIN_DIRECTORY     = 'admin/';




و عبارت admin را با نام جدیدی که برای پوشه مدیریت قرار دادید جایگزین کنید( در این مثال Admin_My_Website ) که عبارت به این صورت خواهد شد :


  1. کد:
    $ADMIN_DIRECTORY     = 'Admin_My_Website/';




فایل e107_config.php را ذخیره و آپلود کنید.


2-قرار دادن کلمه عبور برای پوشه مدیریت سیستم E107
قرار دادن کلمه عبور برای پوشه مدیریت و محیط مدیریت سیستم E107 می توانید به راحتی از نفوذ بسیاری از حملات و ورود های غیر مجاز حتی در صورت افشا شدن کلمع عبور مدیریت شما چلوگیری کند توصیه می شود این مورد را حتماً انجام دهید.

آموزش قرار دادن کلمه عبور برای پوشه مدیریت در cPanel :

1-با نام کاربری و کلمه عبور مدیریت هاست وارد cPanel شوید
2-در بخش Securtity روی گزینه Password Protect Directories کلیک کنید.
3-در صفحه جدید لیست فایل های موجود در هاست شما در پوشه public_html نمایش داده می شود شما باید مسیری که سیستم E107 را در آن نصب کرده اید را جستجو کنید به عنوان مثال اگر در پوشه public_html نصب شده است در همین صفحه اول پوشه مدیریت یا admin ( یا هر نام دیگری که شما برای پوشه مدیریت سیستم E107 توسط آموزش قبل قرار داده اید) نمایش داده می شود
و اگر در زیر پوشه system نصب کرده اید باید روی علامت پوشه کنار آن کلیک کنید تا محتویات پوشه که شامل فایل ها و پوشه های E107 هست نمایش داده شود

هنگامی که پوشه admin ( یا هر نام دیگری که شما برای پوشه مدیریت سیستم E107 توسط آموزش قبل قرار داده اید) در لیست مشاهده شد بر روی نام آن کلیک کنید ( نه بر روی علامت پوشه کنار نام )

در صفحه جدید شما باید یک نام برای پوشه انتخاب کنید و پوشه را به صورت محافظت شده علامت بزنید نام پوشه دلخواه است و شما می توانید هر نامی انتخاب کنید در این مثال نام پوشه Admin انتخاب شده است
همچنین شما باید جعبه علامت روبه روی عبارت Password protect this directory را علامت بزنید و سپس بر روی دکمه SAVE کلیک کنید مانند تصویر زیر :



بر روی دکمه Back کلیک کنید تا دوباره به صفحه قبل بازگردید.

در این مرحله شما باید برای ورود به این پوشه حداقل یک نام کاربری و کلمه عبور انتخاب کنید مانند تصویر زیر و بر روی دکمه Add/Modify authorized user کلیک کنید مانند تصویر زیر :




از این به بعد شما هنگام ورود به محیط مدیریت E107 علاوه بر وارد کردن کلمه عبورن مدیریت E107 باید نام کاربری و کلمه عبور ورود به پوشه مدیریت را نیز وارد کنید.

3-تغییر نام فایل e107_config.php
بهتر است نام این فایل که حاوی مشخصات بانک اطلاعاتی شما هست را تغییر دهید.

برای اینکار مراحل زیر را انجام دهید :


توسط نرم افزار FTP یا File Manager سیستم مدیریت هاست وارد پوشه ای که سیستم E107 فارسی نصب شده است شوید تا لیست فایل های سیستم را مشاهده کنید.

سپس نام فایل e107_config.php را به نامی دلخواه تغییر دهید به عنوان مثال myconfig.php یا غیره (بهتر است قابل حدس نباشد)

سپس در فایل های زیر تغییرات لازم را انجام دهید :

فایل class2.php را باز کنید و عبارت زیر را جستجو کنید :


  1. کد:
    @include_once(realpath(dirname(__FILE__).'/e107_config.php'));




در این خط نام فایل e107_config.php را با نام جدیدی که برای فایل کانفیگ قرار دادید جایگزین کنید ( در این مثال myconfig.php ) عبارت را به صورت زیر جایگزین کنید


  1. کد:
    @include_once(realpath(dirname(__FILE__).'/myconfig.php'));




همچنین در این فایل عبارت :


  1. کد:
    message_handler("CRITICAL_ERROR", 8, ": generic,  ", "e107_config.php");




را جستجو و در این عبارت نام e107_config.php را با نام دلخواه جدیدی که برای فایل کانفیگ قرار داده ایدجایگزین کنید ( در این مثال myconfig.php ) عبارت را به صورت زیر جایگزین و فایل را ذخیره و آپلود کنید :


  1. کد:
    message_handler("CRITICAL_ERROR", 8, ": generic,  ", "myconfig.php");





اکنون فایل handlers/secure_img_handler.php را باز کنید و عبارت زیر را جستجو کنید :


  1. کد:
    if (!isset($HANDLERS_DIRECTORY)) require_once($imgp.'../e107_config.php');




در این عبارت نام e107_config.php را با نام دلخواه جدیدی که برای فایل کانفیگ قرار داده ایدجایگزین کنید ( در این مثال myconfig.php ) عبارت را به صورت زیر جایگزین و فایل را ذخیره و آپلود کنید :


  1. کد:
    if (!isset($HANDLERS_DIRECTORY)) require_once($imgp.'../myconfig.php');




سپس فایل handlers/secure_img_render.php را باز کنید و عبارت زیر را جستجو کنید :


  1. کد:
    @include_once($ifile."e107_config.php");




دقت کنید که این عبارت در 2 جای مختلف این فایل در خطوط 62 و 68 وجود دارد و باید تغییرات را در هر 2 خط اعمال کنید.

در این عبارت نام e107_config.php را با نام دلخواه جدیدی که برای فایل کانفیگ قرار داده ایدجایگزین کنید ( در این مثال myconfig.php ) عبارت را به صورت زیر جایگزین و فایل را ذخیره و آپلود کنید :


  1. کد:
    @include_once($ifile."myconfig.php");




در پایان فایل plugins/rss_menu/admin_prefs.php را بازکنید و عبارت زیر را جستجو کنید :


  1. کد:
    $arrays = file_get_contents(e_BASE."e107_config.php");




در این عبارت نام e107_config.php را با نام دلخواه جدیدی که برای فایل کانفیگ قرار داده ایدجایگزین کنید ( در این مثال myconfig.php ) عبارت را به صورت زیر جایگزین و فایل را ذخیره و آپلود کنید :


  1. کد:
    $arrays = file_get_contents(e_BASE."myconfig.php");




4-کد کردن محتوای فایل کانفیگ e107_config.php
(یا هر نام دیگری که شما بر اساس اموزش قبل برای فایل کانفیگ قرار داداه اید)

برای کد کردن محتویات این فایل به صورتی که قابل خواندن به صورت عادی نباشد از نرم افزار های کد کننده باید استفاده کنید به ترتیب موثر بودن و غیر قابل تبدیل به کد اولیه :

1- IonCube نرم افزاری تجاری برای کد کردن فایل های PHP
2-Zend Guard 6 نرم افزاری تجاری برای کد کردن فایل های PHP
3-CodeLock اسکریپتی تجاری برای کد کردن فایل های PHP

موارد 1-2 در صورت وجود و امکان استفاده توصیه می شود مورد 3 هم برای افرادی که به موارد 1 و2 دسترسی ندارند در این سایت آپلود شده است تا بتوانند استفاده کنند.

برای استفاده به آدرس - لینک (کلیک کنید) - مراجعه کنید .

فایل کانفیگ سیستم یا e107_config.php یا هر نام دلخواهی که برای این فایل بر اساس آموزش قبل قرار داده اید را باز کنید و تمام محتویات فایل را انتخاب و کپی کنید و در محیط متنی صفحه کد کردن متن در آدرس بالا وارد کنید در تنظیمات بالای جعبه متن Strength را حتماٌ روی Strong قرار دهید و compression را روی عدد 9
شبیه تصویر زیر :



سپس بر روی دکمه Encrypt کلیک کنید.

کدی شبیه کد زیر در جعبه متن مشاهده خواهید کرد :
کد:
  1. <?PHP
  2. eval(gzinflate(base64_decode(
  3. 'DdM3EqtIAgDQq2w2/xcB3tVGgPCmQXiSLbxrhHDCnH7nAi979S+Hf9qn/zQw3+s/Rb
  4. 7VDPW/qi7nqv7zz6tyFHl5csF7eWscEOS9qYwcLtBTHfD4TgBN6mBdhgZPp6iNjzKfO
  5. usfNpNQ5GvDeLTfKHebBXdYrkteBGUbvTk9Cri1qHjka/M+6zH5A+ZU1C6LBcvGcc9a
  6. cn/WCttuavVjrdq/n1Du8SOArUS3SCWvztnp02+Ho/GzMw4eMHQissLFHKOTJ80qOlk
  7. ayS+UEoXET3QmIRdI4hpRpFsqc1NI2vYng+eCHk+/bTfEdgRDlArkMK6SH2pStsMwQp
  8. C9GtHzHptaIkBaY8eSi8/R0jDa1AHsYf5qZynWILYnZP8sTJjosWbzmPUBWP35ajqS+
  9. ogZUp5rcBrXrPqdlOxP0U64tSYCUksV8pyczKS5/VMLbcMg+6mfzi2Ui9JTU+EniJ75
  10. EVmarjUTu8l1PG/Ea3vAR9p8GVp1Vq8qEuorGa3hwsnTi8ZPa6x7NU53q/boxa6uFqr
  11. C7bxlH1LGNZhz5YI9wr32EY05ZAkMIjxlh/eXIEZuQSh4VDI0Jb9v3pJJBWbFOHcyoQ
  12. tpr0x6FGEGf8Hmn4QFgru9ipEY8nZBGfrZk9D3Oy1LiuFWbsovgb6KqJqzZLmUjD/4K
  13. sjWd/KR1hJKDhfQ2b8IXQefTYM5wKeU8bnXDnTdDNUn51nx/uYPjwHYYT1ODee30fHf
  14. l1W7t9gblbsu2GE5BLPmecpwASOFIhsd/RH3vNvBQCaFx19UXJfAl+lpxmxAxBqDIa/
  15. 8QS5T2CWWX5xTarVcBriIHHfjwYUuw91qNhTHnQGxdQVt6LfdFlKLFdbwVM7i9xxxvN
  16. DIZTEhoumCIAq6xiXbmaeZONaUKw21qucQgPDOuHSqzWsKz4AJeiM2t5q36vIVmOjLS
  17. RV39eJoINy+di+L6V6q5PrNVZxCGXa3OzVeu1/f1OTxbhGWnsx4lv7gErXWXN6vn291
  18. IGGtba/Bb+79Yi7ltZmpt82mIkQnM1ATRHcHj2GqJ5BdXOF9ILx9+UZKsljMA5oONbS
  19. L9dJrq/nY9K526Da5gBNRSNr9O42dX3PmlIYzeAs63k6VX8jXqeJmt+C5bbzgwM2j1j
  20. U4yqGJGJpTGhHja7X8oYm6Dz+JzH5IlI3KjRGrvzEq921HvbEIjcBF/c4KkPgqYblbZ
  21. YKPqkgbksS9UiyDTi02Jdqck3zHBlHJMt8Lnx/N/DxKoU9lfwoGY6NuoHCfZ8jOqUUa
  22. keh0dARtFU+sZkKPmo/pVb8pfb9vYY27D/zw7yAUxQTu/sDwvi9b1rfWupZ3uWdO34S
  23. fsY/VhM3lbka2OPX2ZsAKDZC/9K23wMEeGKV9l+nyLhSz3hyuwv5aL/F3NdNJNgsHHh
  24. vDUwfcHSdBsaCcQRCbYbtRzcAJo4x4rljSolbbPiqC+vfOfbX1XP1yAKKYBEs8Zi0G5
  25. cJOkDVEvFsRtLLSWVZv5XUisXE+ghy6M4qiD4+gTYOic/PP379///uf/wM=')));
  26. ?>
اکنون این کد را با محتوای فایل کانفیگ خود یا e107_config.php یا هر نام دیگری که برای فایل کانفیگ قرار داده اید جایگزین کنید و فایل کانفیگ را آپلود کنید.
فایل کانفیگ شما اکنون قابل خواندن در حالت عادی نیست و هکر های غیر حرفه ای تا حدودی از نفوذ به سایت شما دور خواهند شد.

موفق باشید.