.

Hướng dẫn bảo mật cho website Joomla


1. Thay đổi tiền tố (prefix) jos_ mặc định trong cơ sở dữ liệu
Hầu hết các haker đều tập trung lấy dữ liệu từ bảng jos_users trong cở sở dữ liệu của bạn. Bằng cách này họ có thể lấy được username và password đăng nhập hệ thống, bạn hãy thay đổi tiền tố mặc định mà khi cài đặt joomla bạn đã vô tình không thay đổi, bằng cách thay đổi điều này web của bạn sẽ được tăng mức độ bảo mật lên 1 bậc.
Nếu như bạn đã cài đặt mà muốn thay đổi tiền tố này thì bạn có thể làm như sau:
– Đăng nhập vào hệ quản trị nội dung (Back-end)
– Bạn vào Global Configuration và tìm kiếm mục database
– Thay đổi tiền tố jos_ thành tiền tố khác mà bạn muốn ( ví dụ là fdsqw_) và nhấn Save, nhớ là tiền tố càng khó đoán thì mức bảo mật của bạn càng cao.
– Xong bước trên các bạn vào phpMyAdmin và truy xuất vào cơ sở dữ liệu.
– Chọn export, sau đó nhấn Start, việc này có thể mất một chút thời gian
– Sau khi bạn đã export xong, bạn mở file có đuôi .sql mà bạn mới làm và mở nó bằng trình soạn thảo nào đó ( ví dụ như notepad chẳng hạn)
– Sau đó nhấn nút Search & replace (Ctrl + H), tìm dòng chữ jos_ và thay thế nó bằng tiền tố mà bạn muốn ( ví dụ fdasqw_), sau đó nhấn Replace All
– Bây giờ bạn vào lại cơ sở dữ liệu trong phpMyAdmin , xóa hết dữ liệu trong đó, rồi sau đó import lại cơ sở dữ liệu mà bạn đã sửa tiền tố trước đó.

2 Xóa bỏ thông tin phiên bản của các thành phần mở rộng ( version number Extensions)
Nếu bạn để hiện thị phiên bản của các thành phần mở rộng (như module, plugin, component) thì hacker sẽ biết được bạn đang sử dụng ở phiên bản nào và chúng sẽ dùng những đoạn code nhất định để hack cho phiên bản đó vì thế hiển thị phiên bản cho các thành phần mở rộng là một điều không tốt chút nào. Bạn có thể xóa bỏ những dòng thông tin này bằng cách vào các file .xml trong folder của plugin hay module , component của bạn, và xóa các dòng chữ hiển thị phiên bản của Extension đó.

3 Sử dụng SEF component
Hầu hết các hacker đều sử dụng lệnh Google inurl: để khai thác các lỗ hổng trên các trang web, vì thế mình khuyên các bạn nên sử dụng Artio, SH404SEF, hoặc các SEF component khác để re-write đường dẫn của bạn , điều này sẽ ngăn ngừa hacker tìm được các lỗ hổng qua các đường dẫn.

4 Luôn luôn kiểm tra và cập nhật phiên bản mới nhất cho joomla và các thành phần mở rộng.
Bạn nên nhớ rằng các lỗ hổng luôn luôn được cập nhật cho các phiên bản mới nhất. vì thế bạn nên siêng năng update , để trang web của bạn an toàn hơn.

5 Sử dụng đúng quyền CHMOD cho mỗi file và folder
Mình xin gợi ý các quyền cho các folder và file như sau :
– PHP files: 644
– Config files: 666
– folder khác : 755

6 Xóa hết những file không dùng tới
Khi bạn cài đặt module hay plugin , nhưng bạn lại không muốn dùng nữa thì nên xóa bỏ nó tận gốc bằng cách dùng chức năng install/unistall trong joomla, không nên để nó ở dạng unpulished.

7. Thay đổi file .htaccess
Bạn hãy chèn thêm đoạn code sau vào file .htaccess của bạn, để khóa lại một số lỗ hổng chung:
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
Hướng dẫn bảo mật cho website Joomla Reviewed by Unknown on 05:50 Rating: 5

Không có nhận xét nào:

Phát triển bởi iZdesigner Team

Biểu mẫu liên hệ

Tên

Email *

Thông báo *

Được tạo bởi Blogger.