Advertisement
Bảo mật cho joomla như thế nào?
Moderator: hungkhanggl
Forum rules
-
- Joomla! Apprentice
- Posts: 14
- Joined: Mon Jun 26, 2006 2:47 pm
- Contact:
Bảo mật cho joomla như thế nào?
Cho mình hỏi là sau khi cài đặt xong joomla thì thiết lập permission như thế nào cho các thư mục để bảo đảm an ninh cho joomla, dễ cho việc cập nhật, nâng cấp?
Welcome to http://lichsuvietnam.info
Advertisement
- thegioiphatminh
- Joomla! Guru
- Posts: 668
- Joined: Mon Jan 23, 2006 1:32 am
- Location: VINAORA.COM
- Contact:
Re: Bảo mật cho joomla như thế nào?
Tham khảo thử xem
http://demo.joomla.org/administrator/in ... sk=sysinfo (chọn tab permission)
user: admin
pass: demo
Cái nào cảm thấy không bảo mật kỹ thì change thành Writeable (777)
http://demo.joomla.org/administrator/in ... sk=sysinfo (chọn tab permission)
user: admin
pass: demo
Cái nào cảm thấy không bảo mật kỹ thì change thành Writeable (777)
.: http://vinaora.com :. Vinaora Cu3er 3D Slideshow, Vinaora Visitors Counter, Vinaora World Time Clock
Joomla! Guides, Joomla! Tutorials, Joomla! Support and Services!
Joomla! Guides, Joomla! Tutorials, Joomla! Support and Services!
-
- Joomla! Enthusiast
- Posts: 128
- Joined: Thu May 04, 2006 10:46 am
- Location: Vietnam
- Contact:
Re: Bảo mật cho joomla như thế nào?
Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.
1. register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2. nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3. file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4 luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5 đảo qua forum security của joomla
Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.
1. register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2. nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3. file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4 luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5 đảo qua forum security của joomla
Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.
http://www.golfvn.net All you need to know about golf in Vietnam.
-
- Joomla! Apprentice
- Posts: 14
- Joined: Mon Jun 26, 2006 2:47 pm
- Contact:
-
- Joomla! Explorer
- Posts: 366
- Joined: Sat Mar 25, 2006 1:52 am
- Location: Viet nam
- Contact:
Re: Bảo mật cho joomla như thế nào?
http://www.securityfocus.com/ trang nay cung chuyen phat hien nhung loi nguy hiem cua Joomla,... can ghe tham
-
- Joomla! Fledgling
- Posts: 1
- Joined: Thu Dec 15, 2011 7:12 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
ngoài ra còn phải cập nhật các bản vá thường xuyên nữa
-
- Joomla! Fledgling
- Posts: 4
- Joined: Mon Feb 06, 2012 3:31 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
Để bảo mật joomla cho an toàn, bạn có thể tham khảo một số bước cơ bản sau vì tuy nó cơ bản nhưng giúp joomla của mình an toàn hơn:
1. Sao lưu dữ liệu định kỳ
Đây là công việc cần phải làm thường xuyên, việc sao lưu (Backup) sẽ bao gồm toàn bộ các File của Website và các dữ liệu trong Database. Trong trường hợp Website bị tấn công và ngưng hoạt động thì chỉ cần phục hồi lại (Restore) các File và dữ liệu đã được sao lưu là Website có thể hoạt động lại.
Việc sao lưu dữ liệu trong Database có thể được thực hiện bằng công cụ phpMyAdmin có trong Control Panel của Hosting hoặc bất cứ công cụ Backup nào và toàn bộ các File của Website có thể được tải về máy tính cá nhân thông qua các chương trình FTP.
2. Cập nhật phiên bản Joomla mới nhất
Thường xuyên theo dõi và cập nhật kịp thời các bản sửa lỗi hoặc nâng cấp cho Joomla! để khắc phục các lỗi bảo mật nếu có. Xem các thông báo về phiên bản và cập nhật cho Joomla! tại trang Web http://joomla.org
3. Các thành phần mở rộng (module, component, plugin)
Một số Website có thể bị tấn công thông qua các lỗi bảo mật nằm trong các thành phần mở rộng được cài đặt thêm từ hãng thứ ba.
Khuyến cáo: Hãy hạn chế tới mức tối đa việc cài đặt các thành phần mở rộng từ hãng thứ ba. Nếu phát hiện các thành phần mở rộng này có lỗi thì phải tiến hành cập nhật bản sửa lỗi nếu có hoặc xóa bỏ khỏi Joomla!
4. Quyền hạn đối với các thư mục
Sau khi cài đặt các thành phần mở rộng, bạn cần thiết lập quyền hạn đối với các thư mục sang chế độ CHMOD 755.
Lưu ý: Nếu quá trình cài đặt các thành phần mở rộng gặp trục trặc bạn cần chuyển các thư mục sau sang CHMOD 777. Khi cài đặt xong lại thiết lập như trên (755 đối với thư mục và 644 đối với file)
5. Quyền hạn đối với các tệp
Thiết lập quyền hạn đối với tất cả các tệp của bạn sang chế độ CHMOD 644.
6. CHMOD 644 tập tin configuration.php
Đây là một điều rất quan trọng. Bạn phải chắc chắn rằng mình đã thiết lập quyền hạn cho tệp "configuration.php" sang CHMOD 644.
7. Bảo mật với .htaccess Bản phát hành mới nhất của Joomla bao gồm cả phiên bản cập nhật cho tệp ".htaccess" để làm giảm thiểu nguy cơ tấn công từ các hacker. Do vậy bạn cần phải truyền tệp .htaccess này tới server của bạn và đổi quyền hạn sang CHMOD 644.
1. Sao lưu dữ liệu định kỳ
Đây là công việc cần phải làm thường xuyên, việc sao lưu (Backup) sẽ bao gồm toàn bộ các File của Website và các dữ liệu trong Database. Trong trường hợp Website bị tấn công và ngưng hoạt động thì chỉ cần phục hồi lại (Restore) các File và dữ liệu đã được sao lưu là Website có thể hoạt động lại.
Việc sao lưu dữ liệu trong Database có thể được thực hiện bằng công cụ phpMyAdmin có trong Control Panel của Hosting hoặc bất cứ công cụ Backup nào và toàn bộ các File của Website có thể được tải về máy tính cá nhân thông qua các chương trình FTP.
2. Cập nhật phiên bản Joomla mới nhất
Thường xuyên theo dõi và cập nhật kịp thời các bản sửa lỗi hoặc nâng cấp cho Joomla! để khắc phục các lỗi bảo mật nếu có. Xem các thông báo về phiên bản và cập nhật cho Joomla! tại trang Web http://joomla.org
3. Các thành phần mở rộng (module, component, plugin)
Một số Website có thể bị tấn công thông qua các lỗi bảo mật nằm trong các thành phần mở rộng được cài đặt thêm từ hãng thứ ba.
Khuyến cáo: Hãy hạn chế tới mức tối đa việc cài đặt các thành phần mở rộng từ hãng thứ ba. Nếu phát hiện các thành phần mở rộng này có lỗi thì phải tiến hành cập nhật bản sửa lỗi nếu có hoặc xóa bỏ khỏi Joomla!
4. Quyền hạn đối với các thư mục
Sau khi cài đặt các thành phần mở rộng, bạn cần thiết lập quyền hạn đối với các thư mục sang chế độ CHMOD 755.
Lưu ý: Nếu quá trình cài đặt các thành phần mở rộng gặp trục trặc bạn cần chuyển các thư mục sau sang CHMOD 777. Khi cài đặt xong lại thiết lập như trên (755 đối với thư mục và 644 đối với file)
5. Quyền hạn đối với các tệp
Thiết lập quyền hạn đối với tất cả các tệp của bạn sang chế độ CHMOD 644.
6. CHMOD 644 tập tin configuration.php
Đây là một điều rất quan trọng. Bạn phải chắc chắn rằng mình đã thiết lập quyền hạn cho tệp "configuration.php" sang CHMOD 644.
7. Bảo mật với .htaccess Bản phát hành mới nhất của Joomla bao gồm cả phiên bản cập nhật cho tệp ".htaccess" để làm giảm thiểu nguy cơ tấn công từ các hacker. Do vậy bạn cần phải truyền tệp .htaccess này tới server của bạn và đổi quyền hạn sang CHMOD 644.
-
- Joomla! Apprentice
- Posts: 48
- Joined: Fri Apr 27, 2012 1:48 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
Cảm ơn bác kittymeow đã chia sẽ kinh nghiệm, mình sẽ làm thử theo bác
Chia sẽ cùng nhau phát triển
http://kenhmuanhadat.com/
http://kenhmuanhadat.com/
-
- Joomla! Enthusiast
- Posts: 241
- Joined: Mon Dec 14, 2009 1:52 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
Điều 2 là cập nhật lên bản mới nhất của cùng phiên bản.
Ví dụ nếu bạn đang sử dụng Joomla 1.5 thì bạn cần cập nhật lên 1.5.26 là bản mới nhất hiện giờ chứ không phải cập nhật web của bạn lên 2.5. Việc này sẽ giúp web bạn an toàn hơn vì các bản cập nhật về sau thường liên quan đến việc vá lỗ hổng bảo mật. Còn việc nâng cấp tính năng hay giao diện sẽ nằm trong phiên bản ra sau vd 2.5
Ví dụ nếu bạn đang sử dụng Joomla 1.5 thì bạn cần cập nhật lên 1.5.26 là bản mới nhất hiện giờ chứ không phải cập nhật web của bạn lên 2.5. Việc này sẽ giúp web bạn an toàn hơn vì các bản cập nhật về sau thường liên quan đến việc vá lỗ hổng bảo mật. Còn việc nâng cấp tính năng hay giao diện sẽ nằm trong phiên bản ra sau vd 2.5
TOHA GROUP [ Hỗ trợ website và các dịch vụ trực tuyến ]
-
- Joomla! Apprentice
- Posts: 26
- Joined: Wed Oct 17, 2012 9:36 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
kittymeow có nói tới " CHMOD 644 tập tin configuration.php" bác chỉ em phần này được k?
-
- Joomla! Apprentice
- Posts: 22
- Joined: Tue Oct 16, 2012 1:12 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
cũng thấy version 2.5 cũng đã cải thiện được 1 phần về vấn đề bảo mật, Joomla và WP có điểm yếu là bảo mật
-
- Joomla! Intern
- Posts: 69
- Joined: Sun May 20, 2012 2:48 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
Bạn nhớ xóa cái user admin mặc định, rồi sau đó thêm nhiều user khác vào, rồi tạo 1 user admin khác
-
- Joomla! Apprentice
- Posts: 9
- Joined: Fri Jul 12, 2013 3:49 am
Re: Bảo mật cho joomla như thế nào?
Joomla cũng như hầu hết các nền tảng CMS mã nguồn mở nhất đang gặp phải là vấn đề bảo mật được yêu cầu từ người dùng. Vì được chia sẽ, nhân bản,... tự code thêm các module, plugin,... tràn lan nên quản lý rất khó khăn. Thêm vào đó hiện tượng ddos vì mục đích hạ bệ thương hiệu cũng là điều đáng ngại. Bảo mật website là vấn đề chung nhưng đến nay vẫn chưa có giải pháp phòng vệ hiệu quả. Ngoại trừ các tổ chức thương mại lớn mới đầu tư nỗi. Với các website cá nhân, doanh nghiệp nhỏ. Một khi bị tấn công thì chỉ có cách đợi cơn bão đi qua mà tôi.
-
- Joomla! Apprentice
- Posts: 11
- Joined: Mon Jul 15, 2013 4:36 pm
Re: Bảo mật cho joomla như thế nào?
Cho mình hỏi thêm là một số module như ajax search luôn yêu cầu phải thiết lập thư mục cache là 777 mới chịu chạy.
Như vậy thì đúng là quá nguy hiểm, còn nếu thiết lập 755 thì nó cứ trơ ra, có cách nào giải quyết không các bạn?
Như vậy thì đúng là quá nguy hiểm, còn nếu thiết lập 755 thì nó cứ trơ ra, có cách nào giải quyết không các bạn?
-
- Joomla! Enthusiast
- Posts: 241
- Joined: Mon Dec 14, 2009 1:52 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
thư mục cache không chứa các file xử lý công việc của joomla nên bạn cứ yên tâm mà đổi thành 777 nhé.
TOHA GROUP [ Hỗ trợ website và các dịch vụ trực tuyến ]
-
- I've been banned!
- Posts: 12
- Joined: Mon May 13, 2013 11:07 am
Re: Bảo mật cho joomla như thế nào?
câu hỏi này rất nhiều người vướng phải......thanks a/e đã chia sẻ.
http://sunshine-city-sai-gon.com/ <-- sunshine city sài gòn
http://sunshine-diamond-river.com/ <-- sunshine diamond river
http://sunshine-diamond-river.com/ <-- sunshine diamond river
-
- Joomla! Apprentice
- Posts: 22
- Joined: Sat Jul 27, 2013 2:52 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
Chưa thử nhưng nếu bạn xóa đi Joomla ko chạy được luôn.
Biết là bạn đùa nhưng hacker đâu cần chui vào administrator của bạn khi họ hack được site.
Biết là bạn đùa nhưng hacker đâu cần chui vào administrator của bạn khi họ hack được site.
mycameraphoto wrote:Để cho an toàn thì setup website xong thì xóa thư mục administrator luôn. Sau này nếu cần chỉnh sửa gì thì up lên lại
do muc may in > http://maytinhviethung.com/do-muc-may-in-tai-nha.html
sửa tivi > http://suachuativiled.com
sửa tivi > http://suachuativiled.com
-
- Joomla! Enthusiast
- Posts: 241
- Joined: Mon Dec 14, 2009 1:52 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
Vậy bạn MiVaTran có thể hack vào http://www.tomytran.com và chụp lại màn hình backend của tớ vào đây để demo khả năng bảo mật chưa cao của Joomla được không? Tớ cũng đang tò mò vụ này đây.
TOHA GROUP [ Hỗ trợ website và các dịch vụ trực tuyến ]
-
- Joomla! Apprentice
- Posts: 22
- Joined: Sat Jul 27, 2013 2:52 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
@MiVaTran: thế bảo mật của cái gì là cao vậy bạn?
do muc may in > http://maytinhviethung.com/do-muc-may-in-tai-nha.html
sửa tivi > http://suachuativiled.com
sửa tivi > http://suachuativiled.com
-
- Joomla! Enthusiast
- Posts: 107
- Joined: Sun Mar 05, 2006 8:20 pm
- Location: Hà Nội
- Contact:
Re: Bảo mật cho joomla như thế nào?
@tomytran: bác có thể share cái module tỷ giá không vậy?
thanks
thanks
Nhận migrate Joomla phiên bản cũ lên Joomla mới nhất => https://osd.vn https://thanhnhua.vn .
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html
-
- Joomla! Enthusiast
- Posts: 241
- Joined: Mon Dec 14, 2009 1:52 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
Vào lục trên site mình sẽ có bài viết và link download free.
TOHA GROUP [ Hỗ trợ website và các dịch vụ trực tuyến ]
-
- Joomla! Enthusiast
- Posts: 107
- Joined: Sun Mar 05, 2006 8:20 pm
- Location: Hà Nội
- Contact:
Re: Bảo mật cho joomla như thế nào?
Xin phép Tomy được customize module này để chạy trên môi trường 1.5 nhé.
Nhận migrate Joomla phiên bản cũ lên Joomla mới nhất => https://osd.vn https://thanhnhua.vn .
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html
-
- Joomla! Enthusiast
- Posts: 241
- Joined: Mon Dec 14, 2009 1:52 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
Không cần đâu, mình đã cập nhật thêm lên website rồi, bạn vào lại mà tải mod cho j1.5 nhé.
Mình có code sẵn cho 1.5 trước nhưng sau code 2.5 nên quên luôn 1.5 không up lên vì mình giờ hay dùng 2.5 tương thích với mobile device. Còn nều bạn cần customize nữa thì cứ tự nhiên
Chúc may mắn.
Mình có code sẵn cho 1.5 trước nhưng sau code 2.5 nên quên luôn 1.5 không up lên vì mình giờ hay dùng 2.5 tương thích với mobile device. Còn nều bạn cần customize nữa thì cứ tự nhiên
Chúc may mắn.
TOHA GROUP [ Hỗ trợ website và các dịch vụ trực tuyến ]
-
- Joomla! Enthusiast
- Posts: 107
- Joined: Sun Mar 05, 2006 8:20 pm
- Location: Hà Nội
- Contact:
Re: Bảo mật cho joomla như thế nào?
ok, thank tommy. Vậy tốt quá, chả là có mấy site cũ customize sâu quá, giờ không muốn chuyển nền tảng.
Nhận migrate Joomla phiên bản cũ lên Joomla mới nhất => https://osd.vn https://thanhnhua.vn .
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html
-
- Joomla! Fledgling
- Posts: 2
- Joined: Wed Feb 26, 2014 11:47 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
Em thấy có trang họ chỉ làm thế này ạ:
Thủ thuật 1: Cách này ClickMedia khuyên các bạn, khi làm các website thông tin thuần túy nên sử dụng.
Như chúng ta đã biết, có rất nhiều website làm ra, và thông tin cung cấp không có tính chất 2 chiều. Như 1 trang thông tin điện tử chẳng hạn. Vì thế chức năng đăng kí và quản lý thành viện ở Front end gần như là không dùng đến. Vì vậy, tôi khuyên nếu như website của bạn không cần tương tác quá nhiều với người dùng qua các tiện ích của việc đăng kí tài khoản . Thì bạn nên tắt chức năng này đi. Việc không cho người ngoài đăng kí, cũng hạn chế được rất nhiều rủi ro bị chiếm quyền điều hành Joomla Admin Panel.
Cách làm như sau: Bạn vào Admin, vào mục Extensions -> Install/Uninstall, và chọn Disable User Component. Vào phần quản lý module, disable Module Login.
Thủ thuật 2: Ngăn chặn các hành vi xâm phạm và thay đổi nội dung các file của bạn.
Website của bạn có rất nhiều file với chức năng khác nhau. Vì thế hacker có thể tìm đến những file có độ bảo mật thấp, chiếm quyền điều hành file đó, và chèn các đoạn mã độc vào.
Các bạn có thể tăng tường rào bằng cách chống sự truy nhập trực tiếp vào file đó. Đoạn mã thông thường được sử dụng trong Joomla là
1 // no direct access
2 defined('_JEXEC') or die('Restricted access');
Như vậy nếu bạn cài đặt thêm các phần mở rộng cho website, nhớ kiểm tra code xem các file php có đoạn mã này chưa.
Ngoài ra các bạn còn có thể đặt thêm tường rào bằng việc sử dụng .htacces với đoạn mã
" Deny From All "
Với file này các bạn có thể bảo vệ chống truy nhập trực tiếp cho các file có cùng cấp với nó (cùng đặt trong 1 thư mục với .htacces)
Như vậy bạn có thể đặt File trên vào các thư mục như cache, component, modules, tmp, plug in… và các thư mục con của nó để tăng thêm độ bảo mật.
Thủ thuật 3: Dùng Chmod để bảo vệ các file quan trọng.
Sau khi bạn xây dựng xong website, có những file rất quan trọng, và hầu như không thay đổi trong quá trình sử dụng. Điển hình là file configuration.php. Bạn hãy sử dụng Chmod 444 để bảo vệ những file này.
Thủ thuật 4: Bảo vệ admin panel
Bạn có thể dùng thêm 1 lớp khóa nữa, bằng htacces để bảo vệ thư mục adminstration của bạn. Chức năng này thường có trong Cpanel của hosting. Hoặc bạn cũng có thể tự thiết lập 1 file dạng:
1 AuthType Basic
2 AuthName "Restricted Area"
3 AuthUserFile "thu_muc_chua_file_.htpasswds"
4 require valid-user
Thủ thuật 5: Cài thêm các source code bảo vệ
Trên thị trường cũng có bán 1 số component có chức năng bảo vệ cho Joomla, như Jsecure, Jdefender hay JFirewall. Dùng các phần mở rộng này có thể giúp bạn tránh được những lỗi về SQL như flood, injunction, cũng có thể chống được dos. Các com này sẽ ban IP nếu như số lượng query vượt ngưỡng cho phép.
Thủ thuật 6: Thường xuyên kiểm tra hệ thống của mình
Các bạn có thể đặt lịch kiểm tra, back up định kỳ hàng tuần hoặc hàng tháng. Xem phần modify date của các file để kiễm tra file đó có bị thay đổi hay không. Các com, mod bạn nên cài thử trên localhost của mình trước, rồi hãy đưa lên website. Các com, mod không dùng đến, bạn hãy xóa bớt, hoặc disable. Xóa luôn cả các table của Com đó.
Lưu ý thêm: hãy luôn cập nhật thông tin, và update phiên bản mới, không nên dùng quá nhiều Com, mod lạ, và các đồ chùa.
Thủ thuật 1: Cách này ClickMedia khuyên các bạn, khi làm các website thông tin thuần túy nên sử dụng.
Như chúng ta đã biết, có rất nhiều website làm ra, và thông tin cung cấp không có tính chất 2 chiều. Như 1 trang thông tin điện tử chẳng hạn. Vì thế chức năng đăng kí và quản lý thành viện ở Front end gần như là không dùng đến. Vì vậy, tôi khuyên nếu như website của bạn không cần tương tác quá nhiều với người dùng qua các tiện ích của việc đăng kí tài khoản . Thì bạn nên tắt chức năng này đi. Việc không cho người ngoài đăng kí, cũng hạn chế được rất nhiều rủi ro bị chiếm quyền điều hành Joomla Admin Panel.
Cách làm như sau: Bạn vào Admin, vào mục Extensions -> Install/Uninstall, và chọn Disable User Component. Vào phần quản lý module, disable Module Login.
Thủ thuật 2: Ngăn chặn các hành vi xâm phạm và thay đổi nội dung các file của bạn.
Website của bạn có rất nhiều file với chức năng khác nhau. Vì thế hacker có thể tìm đến những file có độ bảo mật thấp, chiếm quyền điều hành file đó, và chèn các đoạn mã độc vào.
Các bạn có thể tăng tường rào bằng cách chống sự truy nhập trực tiếp vào file đó. Đoạn mã thông thường được sử dụng trong Joomla là
1 // no direct access
2 defined('_JEXEC') or die('Restricted access');
Như vậy nếu bạn cài đặt thêm các phần mở rộng cho website, nhớ kiểm tra code xem các file php có đoạn mã này chưa.
Ngoài ra các bạn còn có thể đặt thêm tường rào bằng việc sử dụng .htacces với đoạn mã
" Deny From All "
Với file này các bạn có thể bảo vệ chống truy nhập trực tiếp cho các file có cùng cấp với nó (cùng đặt trong 1 thư mục với .htacces)
Như vậy bạn có thể đặt File trên vào các thư mục như cache, component, modules, tmp, plug in… và các thư mục con của nó để tăng thêm độ bảo mật.
Thủ thuật 3: Dùng Chmod để bảo vệ các file quan trọng.
Sau khi bạn xây dựng xong website, có những file rất quan trọng, và hầu như không thay đổi trong quá trình sử dụng. Điển hình là file configuration.php. Bạn hãy sử dụng Chmod 444 để bảo vệ những file này.
Thủ thuật 4: Bảo vệ admin panel
Bạn có thể dùng thêm 1 lớp khóa nữa, bằng htacces để bảo vệ thư mục adminstration của bạn. Chức năng này thường có trong Cpanel của hosting. Hoặc bạn cũng có thể tự thiết lập 1 file dạng:
1 AuthType Basic
2 AuthName "Restricted Area"
3 AuthUserFile "thu_muc_chua_file_.htpasswds"
4 require valid-user
Thủ thuật 5: Cài thêm các source code bảo vệ
Trên thị trường cũng có bán 1 số component có chức năng bảo vệ cho Joomla, như Jsecure, Jdefender hay JFirewall. Dùng các phần mở rộng này có thể giúp bạn tránh được những lỗi về SQL như flood, injunction, cũng có thể chống được dos. Các com này sẽ ban IP nếu như số lượng query vượt ngưỡng cho phép.
Thủ thuật 6: Thường xuyên kiểm tra hệ thống của mình
Các bạn có thể đặt lịch kiểm tra, back up định kỳ hàng tuần hoặc hàng tháng. Xem phần modify date của các file để kiễm tra file đó có bị thay đổi hay không. Các com, mod bạn nên cài thử trên localhost của mình trước, rồi hãy đưa lên website. Các com, mod không dùng đến, bạn hãy xóa bớt, hoặc disable. Xóa luôn cả các table của Com đó.
Lưu ý thêm: hãy luôn cập nhật thông tin, và update phiên bản mới, không nên dùng quá nhiều Com, mod lạ, và các đồ chùa.
-
- Joomla! Fledgling
- Posts: 4
- Joined: Sun Mar 30, 2014 3:49 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
Thanks bác ! Cách này có vẻ ổn nèGolfVN wrote:Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.
1. register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2. nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3. file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4 luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5 đảo qua forum security của joomla
Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.
-
- I've been banned!
- Posts: 118
- Joined: Sat Apr 22, 2006 3:09 pm
- Contact:
Re: Bảo mật cho joomla như thế nào?
Bài viết dài và công phu, mình mới cài thử Joomla trên trang Stablehost Coupon thấy cũng còn lơ mơ, chỉ biết đặt password bảo mật thư mục Administrator thôi, cám ơn chủ thớt nhé.
Wordpress thì có nhiều plugin bảo mật hoàn chỉnh hơn Joomla ?
Wordpress thì có nhiều plugin bảo mật hoàn chỉnh hơn Joomla ?
-
- Joomla! Apprentice
- Posts: 32
- Joined: Mon Mar 17, 2014 7:59 am
- Location: Hanoi, Vietnam
Re: Bảo mật cho joomla như thế nào?
Bài viết của bác rất hữu ích và .. dí dỏm. Cám ơn bácGolfVN wrote:Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.
1. register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2. nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3. file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4 luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5 đảo qua forum security của joomla
Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.
-
- Joomla! Apprentice
- Posts: 21
- Joined: Wed Sep 30, 2015 7:16 am
- Contact:
Re: Bảo mật cho joomla như thế nào?
Không nên sử dụng phiên bản cũ, cập nhật phiên bản mới có các tính năng thông minh hơn, chuyên nghiệp hơn. Đó cũng là cách bảo mật ok nhất
-
- Joomla! Apprentice
- Posts: 6
- Joined: Fri Oct 26, 2007 5:12 am
- Contact:
Advertisement