سئو برای زندگی

htaccessاین اواخر موردی داشتیم که افزونه مخربی به طور نامحسوس روی وب سایت جوملای یکی از مشتریهایمان نصب شد. خوشبختانه امنیت بالای ما از آسیب واقعی جلوگیری کرد اما مطمئنیم که اگر فردی که این افزونه روی سیستمش نصب شده بود، اگر کمی بیشتر ادامه میداد، کل وب سایتش را بر باد داده بود.

نکته جالب اینجا بود که این فرد تنبل و سست نبود ( معمولا کاربران افزونه های مخرب بسیار بسیار تنبل هستند) اما حقیقت این بود که فردی به شکلی توانسته بود افزونه مخرب را روی وب سایت بسیار ایمن جوملا نصب کند. ما باید میفهمیدیم چطور این کار انجام شده تا بتوانیم از رخ دادن آن در آینده جلوگیری کنیم.
بنابراین لاگها را کامل بررسی کردیم و مدت زیادی طول نکشید که دریافتیم چطور افزونه مخرب نصب شده است: این افزونه از طریق بک اند جوملا نصب شده بود. بنابراین کار بعدی ما این بود که بررسی کنیم چطور این کاربر دسترسی به بک اند پیدا کرده است و باز هم زیاد طولی نکشید که دریافتیم او با نام کاربری و رمز عبور معتبر وارد شده است بنابراین نام کاربری و رمز عبور یک کاربر ممتاز (super user) استفاده شده بود. بدتر از آن این بود که هیچ شواهدی وجود نداشت که کاربر به زور سعی در وارد شدن داشته باشد که به این معنی است که نام کاربری و رمز عبور را داشته است. این احتمال وحشتناک است، چرا؟ چون نمیتوانید برای محافظت از وب سایتتان با مجموعه ای شناسه به خطر افتاده کار زیادی انجام دهید به جز تغییر رمز عبور.

ما تصمیم گرفتیم با لاگین دیگری وب سایت را محافظت کنیم: لاگین .htaccess ! لاگین .htaccess یک لاگین بر پایه اپاچی است که از دایرکتوری خاصی در وب سایت با نام کاربری و رمز عبور، محافظت میکند. در اینجا نحوه کار توضیح داده شده است: فایل .htaccess را با استفاده از ابزار آنلاین ایجاد کنید (کافی است generate .htaccess را در گوگل وارد کنید و معمولا اولین لینکی که مشاهده میکنید، همان چیزی است که به دنبال آن هستید). همچنین اگر دسترسی روت (ریشه) به سرور هاست وب سایت جوملایتان دارید میتوانید این فایل را از خط فرمان ایجاد کنید. توجه داشته باشید ما با استفاده از خط فرمان این فایل را ایجاد کردیم چون استفاده از مجموعه ای از شناسه ها که با استفاده از ابزار آنلاین ایجاد کرده ایم، برایمان جالب نبود. فایل .htaccess را در فولدر /home در سرور کپی کنید و مطمئن شوید که اپاچی (مثل وب سایت جوملا) به این فایل دسترسی دارد.

فایل .htaccess را زیر دایرکتوری مدیر وب سایت جوملا ایجاد کنید و آن را به خطهای زیر اضافه کنید:

AuthName "Authorisation Required"
AuthUserFile /home/.htaccess
AuthType Basic
Require valid-user
ErrorDocument 401 "Authorisation Required

تمام شد! هر کسی که بخواهد در وب سایت لاگین کند، باید شناسه های دیگری داشته باشد.
میدانیم این کار خیلی ساده بود اما چیزی که هیجان انگیزتر بود این بود که هر گونه حمله با زور، به طور خودکار توسط فایروال CSF (ConfigServer Security and Firewall) پس از پنج بار تلاش ناموفق، بلاک میشود. کاربر مخرب چطور نام کاربری و رمز عبور کاربر ممتاز را به دست آورده بود؟ ما دقیقا مطمئن نیستیم اما میتوانیم حدس بزنیم علت آن ویروسی در کامپیوتر یکی از اعضای اصلی سایت بوده است که احتمالا کاربر مخرب از طرف آن به شناسه های جوملا دست یافته است. البته ممکن است همین اتفاق برای شناسه های .htaccess نیز بیفتد اما از زمان این اتفاق، شرکت سیاست نظارت روزانه بر تمامی شبکه های کامپیوتری را اتخاذ کرده است که فورا هر کامپیوتر ویروسی از شبکه خارج میشود. امیدواریم این مطلب برایتان سودمند باشد. اگر در مراحل کار به مشکل برخوردید، لطفا با ما تماس بگیرید.

5 1 1 1 1 1 1 1 1 1 1 Rating 100% (1 Vote)
sd-logos-part1
sd-logos-part2

منتخب از مشتریان با ارزش ما

مشتریان ما سرمایه ما
themeforest-logo
codecanyon--logo
graphicriver-logo
audiojungle-logo
photodune-logo
activeden--logo