قطعا اگر شما هم از انجمن ساز مای بی بی (mybb) استفاده می کنید دوست دارید انجمن خود از امنیت بالایی برخوردار باشد مطالب زیر می تواند برای شما بسیار مفید باشد.
درس اول : پسورد قوی
رمز عبور ما باید شامل حروف بزرگ و کوچک ، اعداد و نماد ها باشد . این عمل حدس زدن پسورد شما را برای هکران یا افرادی که قصد سوءاستفاده دارند بسیار بسیار مشکل میسازد . شما در هنگام ایجاد یا انتخاب یک کلمه عبور برای وبسایتتان نباید از کلمات واقعی و معنی دار استفاده کنید . چون با یک حمله توسط یک رباط از طریق امتحان کردن کلمات موجود در دیکشنری ، سایت شما به خطر بزرگی خواهد افتاد . هیچگاه با وجود این که میتوانید از مخلوط سه گانه حروف ، اعداد ، نماد استفاده کنید ، به فکر حذف کردن قسمتی از این مخلوط نباشید . به طور مثال p455w0rd123 خیلی امن نیست ولی G6ga5^&ha@6D3 بسیار عالی و امن میباشد . پسورد های اینچنین را یک انسان در طول 580/000/000 سال و یک ابر رایانه در طور 59 سال حدس یا کرک خواهد کرد . برای مطالعه بیشتر در این مورد به این لینک مراجعه کنید
درس دوم : دسترسی ها (CHMOD) خود را چک کنید !
به عنوان یک قاعده کلی، تمام فایل ها باید سطح دسترسی 644 و تمام پوشه ها باید سطح دسترسی 755 داشته باشند . اگر فایل و یا فولدری نیاز است که سطح دسترسی بالاتری داشته باشد ، این ممکن است یک ریسک امنیتی باشد . با این حال گاهی فایل یا فولدر ها به منظور کارکرد صحیح نیازمند دسترسی های متفاوت هستند
Required – ./inc/settings.php – 666
Required – ./inc/config.php – 666 (install) 444 (after installation)
Required – ./cache/ – 777
Required – ./cache/themes/ – 777
Required – ./uploads/ – 777
Required – ./uploads/avatars/ – 777
Optional – ./admin/backups/ – 777
Optional – ./inc/languages/*language*/*all files*/ – 666
Optional – ./inc/languages/*language*/admin/*all files*/ – 666
درس سوم : از فایل config.php خود محافظت کنید ! هنگامی که انجمن خود را را نصب میکنید، inc/config.php آن نیاز به سطح دسترسی 666 دارد ، به طوری که سیستم هنگام نصب بتواند اطلاعات بانک اطلاعاتی در آن قرار بدهد . دسترسی 666 برای فایل کانفیگ میتواند یک ریسک امنیتی خطرناک محسوب شود ! هیچگاه فراموش نکنید بعد از نصب کامل سیستم دسترسی فایل کانفیگ را بر روی 444 قرار بدهید . توجه داشته باشید در بعضی اوقات مانند به روز رسانی سیستم لازم است شما مجددا سطح دسترسی config.php را بر روی 666 تنظیم کنید ، اگر این کار واقعا لازم باشد ، هنگام به روزرسانی به شما اطلاع داده خواهد شد . به هر حال نباید این خطر را دست کم گرفت ، شما میتوانید داخل فولدر inc یک .htaccess بسازید و با استفاده از کد زیر از دسترسی مستقیم به config.php جلوگیری کنید .
کد:
<files config.php>
Order deny,allow
deny from all
</files>
پشتیبان گیری پایگاه داده ضروری است. فایل ها، پلاگین ها و تم ها را اگر گُم کردید و یا به هر دلیلی از دست دادید می توان جایگزین کرد ولی اگر کوچکترین مشکلی برای پایگاه داده پیش بیاید تمام زحمت های شما بر باد میرود . حتما به صورت مرتب از فایل ها و دیتابیس بکاپ بگیرید و از ذخیره آن بر روی کامپیوتر شخصی و یا حافظه خاص خود اطمینان حاصل کنید . هیچگاه فقط به فضای پشتیبان Mybb واقع در /admin/backups/ اتکا نکنید ، زیرا اگر فولدر Mybb شما به هر دلیلی حذف شود ، فایل های پشتیبان شما نیز همراه آن ها
حذف خواهد شد .
درس پنچم : از نام دیگری به غیر از نام پیشفرض برای اکانت مدیریت خود ایجاد کنید !اگر کسی در حال تلاش برای هک کردن فروم شما باشد ، به طور خودکار حساب مدیر را هدف قرار میدهد. یک هکر می داند که نام کاربری مدیر admin میباشد و نام کاربری آن رنگی است و در صفحه تیم انجمن او نمایش داده میشود . جلوگیری از کار بسیار ساده است . اول ثبت نام یک حساب جدید. سپس، ایجاد یک گروه جدید، و به آن دسترسی کامل بدهید ، نام کاربری همان سبک و به عنوان اعضای عادی ثبت نام شده، قرار داده و کاربر جدید را به آن گروه اضافه کنید . این نام کاربری مدیریت انجمن شما را بر عهده دارد . حال دسترسی ها پیشفرض را از گروه administrator برداشته و آن گروه را به یک کاربر عادی ولی با رنگ و بوی مدیریت تبدیل کنید تا وقت هکر ها تلف شود .
درس ششم : نام دایرکتوری مدیریت را تغییر و لینک ورود را مخفی کنید !MyBB به شما این امکان را میدهد که دایرکتوری یا همان فولدر مدیریت را تغییر
نام دهید . اگر چه این شکل امنیتی شاید ضعیف و مضحک به نظر بیاید ، ولی هنوز میتواند خیلی هارا گیج کند و وقت زیادی را از هکر بگیرد . برای تغییر این دایرکتوری، در خط 26 از inc / config.php / را نگاه کنید:
کد:
$config['admin_dir'] = 'admin';
مقدار این متغیر را از admin به هر نامی که مایل هستید از آن برای ورود به بخش مدیریت استفاده کنید تغییر بدهید . سپس نام فولدر admin را به نامی که انتخاب کردید تغییر بدهید .
همچنین MyBB این امکان را به شما میدهد که لینک ورود به مدیریت را از welcomeblock بردارید برای این کار، در خط 36 از inc / config.php / را نگاه کنید:
کد:
$config['hide_admin_links'] = 0;
سپس، آن را به شکل زیر تغییر دهید :
کد:
$config['hide_admin_links'] = 1;
در حال حاضر، شما لینک به ACP را از welcomeblock خود برداشته اید ، به طوری که شما برای ورود به بخش مدیریت ، باید نام دایرکتوری مدیریت خود را به صورت دستی در آخر آدرس سایت خود وارد کنید .
درس هفتم : اجازه ندهید در پست های انجمن از کد های HTML استفاده شود !اگر توجه کرده باشید برای هر کدام از تالار های فروم ، میتوانید آپشن هایی را تعیین کنید . یکی از این آپشن ها امکان درج کد های HTML داخل پست ها میباشد . پیشنهاد میشود این اجازه را به هیچ عنوان ندهید مگر آنکه واقعا ضروری باشد . اگر چه MyBB همواره اسکریپت های مخرب را تجزیه و برسی میکند و به این راحتی ها نمیتوان از دیوارش عبور کرد ولی نباید هیچ راه نفوذی را که میدانیم و عمداً از آن چشم پوشی میکنیم را به هکر تقدیم کنیم .
اگر میخواهید این امکان را در کلیه تالار های فروم غیر فعال کنید از کوئری زیر در phpmyadmin و در قسمت sql استفاده کنید :
کد:
UPDATE `mybb_forums` SET `allowhtml` = '0';
سپس برای حذف cache به آدرس زیر بروید :
ACP > Tools & Maintenance > Cache Manager > forums > Rebuild Cache
حال ، هیچکس حق ندارد پستی با محتوای کد های HTML ارسال کند !
درس هشتم : نسخه MyBB خود را مخفی کنید !همیشه شخصا به سیستم هایی که نسخه وب افزار را در معرض دید قرار میدهند نقد هایی داشتم . این واقعا یک ریسک امنیتی برای کاربران آن سیستم خواهد بود . چرا که اگر حفره ای برای نسخه ی فرضا 2.0.1 یافت شود ، تمام کاربرانی که به روزرسانی نکرده اند و یا قبلا از ارائه پچ امنیتی ، کاربرانی که از سیستم استفاده میکنند در معرض خطر هستند . چون هکر با یک دورک ساده تمام وبسایت هایی که از این نسخه استفاده میکنند را لیست میکند و به کلکسیون مفت خوری اش در Zone-H می افزاید . برای غیر فعال کردن نمایش نسخه به آدرس زیر بروید :
ACP > Configuration > General Configuration > Show Version Numbers > Off
درس نهم : انجمن خود را Up-To-Date نگه دارید !هیچ گاه زمانی که نسخه جدیدی از انجمن ساز محبوبتان عرضه میشود ، نگویید فعلا کار دارم و بعدا به روز رسانی میکنم . این کار میتواند برای شما گران تمام شود . امکاناتی که در نسخه جدید اضافه شده است در مقابل مشکلات رفع شده در آن اصلا مهم نیست . نگویید همین امکانات فعلی خوب است و بیشتر از این نیاز ندارم . هکر ها و مخصوصا جوجه هکر ها ( جوجه هکر ها : افرادی هستند که خود را به هر در و دیواری میزنند تا حتی شده در قسمت فوتر یک اسکریپت بنویسند توسط فلانی هک شد و به کلکسیونشان اضافه کنند ) دنبال افرادی هستند که سیستم هایشان را به روزرسانی نکرده اند . این افراد به راحتی مورد نفوذ قرار میگیرند ، چرا که هنگام انتشار نسخه جدید ، باگ های فیکس شده هم اعلام میگردد . اگر سیستم شما نیاز به به روز رسانی داشته باشد در قسمت مدیریت به شما اطلاع داده خواهد شد . اگر از آم دسته مدیر هایی هستید که سالی یکبار به قسمت مخصوص خود سر نمیزنید ، حتما در لیست اطلاع رسانی های کاربران MyBB عضو شوید .
درس دهم : میزبان مناسب پیدا کنید !چشمتان تبلیغ های گسترده را نگیرد ! وقتی توانایی فنی وجود نداشته باشد ، این شما هستید که به خطر خواهید افتاد. برای انتخاب میزبانتان فقط هزینه را شاخص قرار ندهید . 20-30 تومان گرانتر بهتر از از دست رفتن زحمات شماست ، اینطور نیست ؟
سراغ اسم های آلبالو هاستینگ و جون مادرت بخر هاستینگ و بیا تو هاست و .... نرید ! نه تنها امنیت شما را به خطر میندازند ، بلکه شعور شما را نیز زیر سوال میبرند !
درس یازدهم : اگر هک شدم چه کار کنم ؟ اصلا حول نشوید . اتفاق خاصی نیفتاده است ! هک شده اید ولی هنوز تَنِتان سالم است . به فکر این نباشید که وای چه مصیبتی به سرمان آمده است .
هکر مزاحم فقط شما را به زحمت آپلود مجدد فایل ها انداخته است و لاغیر . همه امکان دارد هک شوند ، همین گوگل خودمان که سواد خیلی از ملت هاست چند با مورد حمله هکر ها قرار گرفته است ؟
اصلا نگران نباشید و به توصیه های زیر توجه کنید :
بهترین راه این است که آخرین بکاپ خود را اعمال کنید . اگر این امکان برای شما وجود ندارد اشکالی ندارد .
به روزرسانی انجمن خود به آخرین نسخه :این مشکل شما را رفع نخواهد کرد ولی مطمئن خواهید شد که MyBB شما امن است !
همه پسورد ها را عوض کنید !هر پسوردی که مربوط به شما و Mybb شما است را اعم از پسورد هاست ، پنل ادمین ، پنل ناظم ، یوزر هایی با دسترسی بالا و ....عوض کنید مخصوصا پسورد دیتابیس !
توجه داشته باشید بعد از تغییر کلمه عبور دیتابیس باید فایل /inc/config.php را مجددا ویرایش کنید
کاربران جدید را کنترل کنید !تمام یوزر های تازه ثبت نام شده را برسی کنید ! چرا که ممکن است هکر بعد از انجام عمل شوم خود ، راه بازگشتی را نیز برای خود ایجاد کرده باشد .
به احتمال زیاد ، هکر سطح دسترسی کاربری را افزایش داده تا بعدا بتواند از آن برای نفوذ مجدد استفاده کند .
فایل هارا مجددا آپلود کنید !جدید ترین بسته MyBB را از سایت رسمی یا پشتیبانی رسمی آن دریافت کنید و به جز /inc/settings.php تمام فایل هارا جایگذین کنید . با این کار شما مطمئن خواهید شد که فایل های شما تمیز و امن هستند . اگر چه تغییراتی که قبلا روی فایل ها اعمال کرده بودید را باید دوباره اعمال کنید ولی چاره ی دیگری وجود ندارد .
سطح دسترسی هارا مجددا تنظیم کنید !حال که فایل هارا مجددا آپلود کردید ، میبایست طبق توضیحات بالا ( قسمت سطوح دسترسی ) مجددا سطح دسترسی را ویرایش کنید .
settings.php را حذف کنید ! حال به داخل فولدر inc بروید و settings.php خود را دانلود و نگهداری کنید . سپس آن را حذف کنید . نگران نباشید ، به صورت اتوماتیک این فایل با اطلاعات صحیح ساخته خواهد شد . اگر این اتفاق رخ نداد ، از بسته Mybb فایل settings.php را مشاهده کنید و به صورت نظیر به نظیر ، محتویات settings.php خود را که دانلود کرده بودید را در settings.php جدید که از بسته Mybb برداشته بودید وارد کنید و مجدد آن را آپلود کنید .
Config.php خود را بازسازی کنید ! یک فایل تمیز config.php را از بسته Mybb برداشته و اطلاعات دیتابیس و سایر موارد را وارد و جایگزین کنید .
قالب خود را جهت حذف کد های مخرب چک کنید !قبل از هر توضیحی ، اگر قالبتان که مربوط به قبل از هک شدن هست را در رایانه خود دارید ، آن را آپلود کنید و تمام ! حال میتوانید با آرامش قهوه ای بنوشید . اگر آن قالب را ندارید ، قهوه تان را زمین بگذارید تا کمی سرد شود و در این حین تمام کد های قالبتان را برسی کنید و کد هایی که داخل تگ اسکریپت هست را مورد برسی قرار دهید ، اگر آن ها را نمیشناسید و قبلا آن را در پوسته قرار نداده بودید ، بی برو برگرد حذفش کنید . بعد از اینکار دیگر به کار خاصی نمانده است . قهوه تان را نوش جان کنید و یک اطلاعیه در سایتتان منتشر کنید .
به هکر هم بابت کلکسیونش تبریک بگویید .
در آخر از تمام دوستانی که محبت نمودند و مطالب این حقیر را مطالعه فرمودند و پر چونگی های بنده را تحمل کردند ، تشکر میکنم .
نگارش این مطالب و صحت سنجی آن بیشتر از 10 ساعت کار مفید زمان برده است ، این سختی ها فقط با حمایت های شما از بدن
جدا میشود .
منتی هم نیست ، آپولو هوا نکردیم ، چند نکته پیش پا افتاده که خیلی ها آن را میدانند را دوباره تکرار کردیم .
تنها خواسته ای که دارم این هست که مواظب سایتتان باشید . اعصاب خود را برای این مسائل پیش پا افتاده خراب نکنید . دنیا 2 روز هست و باید به فکر کار های مهم تری باشیم . عمر انقدر سریع خواهد گذشت که امروز خاطره فردا خواهد شد .
نویسندگان :
مولای متقیان
امیر عماد محمودپور
تابستان 91
سلام ممنون