Bảo mật cho joomla như thế nào?

Các thắc mắc, hướng dẫn về cài đặt và cấu hình Joomla

Moderator: hungkhanggl

chungyoung
Joomla! Apprentice
Joomla! Apprentice
Posts: 14
Joined: Mon Jun 26, 2006 2:47 pm
Contact:

Bảo mật cho joomla như thế nào?

Post by chungyoung » Mon Jul 24, 2006 10:07 am

Cho mình hỏi là sau khi cài đặt xong joomla thì thiết lập permission như thế nào cho các thư mục để bảo đảm an ninh cho joomla, dễ cho việc cập nhật, nâng cấp?

User avatar
thegioiphatminh
Joomla! Guru
Joomla! Guru
Posts: 668
Joined: Mon Jan 23, 2006 1:32 am
Location: VINAORA.COM
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by thegioiphatminh » Mon Jul 24, 2006 10:41 am

Tham khảo thử xem

http://demo.joomla.org/administrator/in ... sk=sysinfo (chọn tab permission)

user: admin
pass: demo

Cái nào cảm thấy không bảo mật kỹ thì change thành Writeable (777)
.: http://vinaora.com :. Vinaora Cu3er 3D Slideshow, Vinaora Visitors Counter, Vinaora World Time Clock

Joomla! Guides, Joomla! Tutorials, Joomla! Support and Services!

GolfVN
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 128
Joined: Thu May 04, 2006 10:46 am
Location: Vietnam
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by GolfVN » Mon Jul 24, 2006 1:15 pm

Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.

1.  register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2.  nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3.  file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4  luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5  đảo qua forum security của joomla

Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.
http://www.golfvn.net  All you need to know about golf in Vietnam.

chungyoung
Joomla! Apprentice
Joomla! Apprentice
Posts: 14
Joined: Mon Jun 26, 2006 2:47 pm
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by chungyoung » Tue Jul 25, 2006 8:47 am

Chân thành cảm ơn hai bạn.

all rise
Joomla! Explorer
Joomla! Explorer
Posts: 366
Joined: Sat Mar 25, 2006 1:52 am
Location: Viet nam
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by all rise » Tue Jul 25, 2006 12:48 pm

http://www.securityfocus.com/ trang nay cung chuyen phat hien nhung loi nguy hiem cua Joomla,... can ghe tham

gaflash
Joomla! Fledgling
Joomla! Fledgling
Posts: 1
Joined: Thu Dec 15, 2011 7:12 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by gaflash » Thu Dec 15, 2011 7:23 am

ngoài ra còn phải cập nhật các bản vá thường xuyên nữa

kittymeow
Joomla! Fledgling
Joomla! Fledgling
Posts: 4
Joined: Mon Feb 06, 2012 3:31 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by kittymeow » Mon Mar 19, 2012 5:09 am

Để bảo mật joomla cho an toàn, bạn có thể tham khảo một số bước cơ bản sau vì tuy nó cơ bản nhưng giúp joomla của mình an toàn hơn:
1. Sao lưu dữ liệu định kỳ
Đây là công việc cần phải làm thường xuyên, việc sao lưu (Backup) sẽ bao gồm toàn bộ các File của Website và các dữ liệu trong Database. Trong trường hợp Website bị tấn công và ngưng hoạt động thì chỉ cần phục hồi lại (Restore) các File và dữ liệu đã được sao lưu là Website có thể hoạt động lại.
Việc sao lưu dữ liệu trong Database có thể được thực hiện bằng công cụ phpMyAdmin có trong Control Panel của Hosting hoặc bất cứ công cụ Backup nào và toàn bộ các File của Website có thể được tải về máy tính cá nhân thông qua các chương trình FTP.

2. Cập nhật phiên bản Joomla mới nhất
Thường xuyên theo dõi và cập nhật kịp thời các bản sửa lỗi hoặc nâng cấp cho Joomla! để khắc phục các lỗi bảo mật nếu có. Xem các thông báo về phiên bản và cập nhật cho Joomla! tại trang Web http://joomla.org

3. Các thành phần mở rộng (module, component, plugin)
Một số Website có thể bị tấn công thông qua các lỗi bảo mật nằm trong các thành phần mở rộng được cài đặt thêm từ hãng thứ ba.
Khuyến cáo: Hãy hạn chế tới mức tối đa việc cài đặt các thành phần mở rộng từ hãng thứ ba. Nếu phát hiện các thành phần mở rộng này có lỗi thì phải tiến hành cập nhật bản sửa lỗi nếu có hoặc xóa bỏ khỏi Joomla!

4. Quyền hạn đối với các thư mục
Sau khi cài đặt các thành phần mở rộng, bạn cần thiết lập quyền hạn đối với các thư mục sang chế độ CHMOD 755.
Lưu ý: Nếu quá trình cài đặt các thành phần mở rộng gặp trục trặc bạn cần chuyển các thư mục sau sang CHMOD 777. Khi cài đặt xong lại thiết lập như trên (755 đối với thư mục và 644 đối với file)

5. Quyền hạn đối với các tệp
Thiết lập quyền hạn đối với tất cả các tệp của bạn sang chế độ CHMOD 644.


6. CHMOD 644 tập tin configuration.php
Đây là một điều rất quan trọng. Bạn phải chắc chắn rằng mình đã thiết lập quyền hạn cho tệp "configuration.php" sang CHMOD 644.

7. Bảo mật với .htaccess Bản phát hành mới nhất của Joomla bao gồm cả phiên bản cập nhật cho tệp ".htaccess" để làm giảm thiểu nguy cơ tấn công từ các hacker. Do vậy bạn cần phải truyền tệp .htaccess này tới server của bạn và đổi quyền hạn sang CHMOD 644.

SOLDIER801
Joomla! Apprentice
Joomla! Apprentice
Posts: 48
Joined: Fri Apr 27, 2012 1:48 pm
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by SOLDIER801 » Sat May 05, 2012 2:49 am

Cảm ơn bác kittymeow đã chia sẽ kinh nghiệm, mình sẽ làm thử theo bác :)
Chia sẽ cùng nhau phát triển :D
http://kenhmuanhadat.com/

tomytran
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 238
Joined: Mon Dec 14, 2009 1:52 pm
Location: www.tomytran.com
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by tomytran » Tue May 22, 2012 9:30 pm

Điều 2 là cập nhật lên bản mới nhất của cùng phiên bản.

Ví dụ nếu bạn đang sử dụng Joomla 1.5 thì bạn cần cập nhật lên 1.5.26 là bản mới nhất hiện giờ chứ không phải cập nhật web của bạn lên 2.5. Việc này sẽ giúp web bạn an toàn hơn vì các bản cập nhật về sau thường liên quan đến việc vá lỗ hổng bảo mật. Còn việc nâng cấp tính năng hay giao diện sẽ nằm trong phiên bản ra sau vd 2.5

zoomdark
Joomla! Apprentice
Joomla! Apprentice
Posts: 26
Joined: Wed Oct 17, 2012 9:36 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by zoomdark » Wed Dec 19, 2012 3:45 pm

kittymeow có nói tới " CHMOD 644 tập tin configuration.php" bác chỉ em phần này được k?

haiduong
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Tue Oct 16, 2012 1:12 pm
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by haiduong » Tue Jan 22, 2013 9:59 am

cũng thấy version 2.5 cũng đã cải thiện được 1 phần về vấn đề bảo mật, Joomla và WP có điểm yếu là bảo mật

thanhmabo
Joomla! Intern
Joomla! Intern
Posts: 69
Joined: Sun May 20, 2012 2:48 pm
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by thanhmabo » Mon Apr 01, 2013 4:39 am

Bạn nhớ xóa cái user admin mặc định, rồi sau đó thêm nhiều user khác vào, rồi tạo 1 user admin khác

minhtam
Joomla! Apprentice
Joomla! Apprentice
Posts: 9
Joined: Fri Jul 12, 2013 3:49 am

Re: Bảo mật cho joomla như thế nào?

Post by minhtam » Mon Jul 15, 2013 1:51 am

Joomla cũng như hầu hết các nền tảng CMS mã nguồn mở nhất đang gặp phải là vấn đề bảo mật được yêu cầu từ người dùng. Vì được chia sẽ, nhân bản,... tự code thêm các module, plugin,... tràn lan nên quản lý rất khó khăn. Thêm vào đó hiện tượng ddos vì mục đích hạ bệ thương hiệu cũng là điều đáng ngại. Bảo mật website là vấn đề chung nhưng đến nay vẫn chưa có giải pháp phòng vệ hiệu quả. Ngoại trừ các tổ chức thương mại lớn mới đầu tư nỗi. Với các website cá nhân, doanh nghiệp nhỏ. Một khi bị tấn công thì chỉ có cách đợi cơn bão đi qua mà tôi.

myphame
Joomla! Apprentice
Joomla! Apprentice
Posts: 11
Joined: Mon Jul 15, 2013 4:36 pm

Re: Bảo mật cho joomla như thế nào?

Post by myphame » Tue Jul 16, 2013 11:51 am

Cho mình hỏi thêm là một số module như ajax search luôn yêu cầu phải thiết lập thư mục cache là 777 mới chịu chạy.
Như vậy thì đúng là quá nguy hiểm, còn nếu thiết lập 755 thì nó cứ trơ ra, có cách nào giải quyết không các bạn?

tomytran
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 238
Joined: Mon Dec 14, 2009 1:52 pm
Location: www.tomytran.com
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by tomytran » Wed Jul 24, 2013 10:56 am

thư mục cache không chứa các file xử lý công việc của joomla nên bạn cứ yên tâm mà đổi thành 777 nhé.

EmilyTran69
I've been banned!
Posts: 12
Joined: Mon May 13, 2013 11:07 am

Re: Bảo mật cho joomla như thế nào?

Post by EmilyTran69 » Wed Jul 24, 2013 11:07 am

câu hỏi này rất nhiều người vướng phải......thanks a/e đã chia sẻ.
http://sunshine-city-sai-gon.com/ <-- sunshine city sài gòn
http://sunshine-diamond-river.com/ <-- sunshine diamond river

suamaygiatbk
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Sat Jul 27, 2013 2:52 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by suamaygiatbk » Tue Aug 06, 2013 5:23 pm

Chưa thử nhưng nếu bạn xóa đi Joomla ko chạy được luôn.
Biết là bạn đùa nhưng hacker đâu cần chui vào administrator của bạn khi họ hack được site.
mycameraphoto wrote:Để cho an toàn thì setup website xong thì xóa thư mục administrator luôn. Sau này nếu cần chỉnh sửa gì thì up lên lại :D

tomytran
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 238
Joined: Mon Dec 14, 2009 1:52 pm
Location: www.tomytran.com
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by tomytran » Wed Aug 21, 2013 4:02 am

Vậy bạn MiVaTran có thể hack vào http://www.tomytran.com và chụp lại màn hình backend của tớ vào đây để demo khả năng bảo mật chưa cao của Joomla được không? Tớ cũng đang tò mò vụ này đây.

suamaygiatbk
Joomla! Apprentice
Joomla! Apprentice
Posts: 22
Joined: Sat Jul 27, 2013 2:52 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by suamaygiatbk » Wed Aug 21, 2013 5:43 pm

@MiVaTran: thế bảo mật của cái gì là cao vậy bạn?

saosangmo
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 103
Joined: Sun Mar 05, 2006 8:20 pm
Location: Hà Nội
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by saosangmo » Sat Aug 24, 2013 3:08 pm

@tomytran: bác có thể share cái module tỷ giá không vậy?
thanks
Nhận migrate Joomla phiên bản cũ lên Joomla mới nhất => https://osd.vn.
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html

tomytran
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 238
Joined: Mon Dec 14, 2009 1:52 pm
Location: www.tomytran.com
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by tomytran » Mon Aug 26, 2013 8:47 am

Vào lục trên site mình sẽ có bài viết và link download free.

saosangmo
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 103
Joined: Sun Mar 05, 2006 8:20 pm
Location: Hà Nội
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by saosangmo » Mon Aug 26, 2013 8:51 am

Xin phép Tomy được customize module này để chạy trên môi trường 1.5 nhé.
Nhận migrate Joomla phiên bản cũ lên Joomla mới nhất => https://osd.vn.
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html

tomytran
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 238
Joined: Mon Dec 14, 2009 1:52 pm
Location: www.tomytran.com
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by tomytran » Tue Aug 27, 2013 7:55 am

Không cần đâu, mình đã cập nhật thêm lên website rồi, bạn vào lại mà tải mod cho j1.5 nhé.

Mình có code sẵn cho 1.5 trước nhưng sau code 2.5 nên quên luôn 1.5 không up lên vì mình giờ hay dùng 2.5 tương thích với mobile device. Còn nều bạn cần customize nữa thì cứ tự nhiên ;)

Chúc may mắn.

saosangmo
Joomla! Enthusiast
Joomla! Enthusiast
Posts: 103
Joined: Sun Mar 05, 2006 8:20 pm
Location: Hà Nội
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by saosangmo » Tue Aug 27, 2013 8:00 am

ok, thank tommy. Vậy tốt quá, chả là có mấy site cũ customize sâu quá, giờ không muốn chuyển nền tảng.
Nhận migrate Joomla phiên bản cũ lên Joomla mới nhất => https://osd.vn.
Dịch vụ quản trị web Joomla: http://maytinhviethung.com/dich-vu-quan ... oomla.html

thudvph00891
Joomla! Fledgling
Joomla! Fledgling
Posts: 2
Joined: Wed Feb 26, 2014 11:47 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by thudvph00891 » Wed Feb 26, 2014 12:04 pm

Em thấy có trang họ chỉ làm thế này ạ:

Thủ thuật 1: Cách này ClickMedia khuyên các bạn, khi làm các website thông tin thuần túy nên sử dụng.

Như chúng ta đã biết, có rất nhiều website làm ra, và thông tin cung cấp không có tính chất 2 chiều. Như 1 trang thông tin điện tử chẳng hạn. Vì thế chức năng đăng kí và quản lý thành viện ở Front end gần như là không dùng đến. Vì vậy, tôi khuyên nếu như website của bạn không cần tương tác quá nhiều với người dùng qua các tiện ích của việc đăng kí tài khoản . Thì bạn nên tắt chức năng này đi. Việc không cho người ngoài đăng kí, cũng hạn chế được rất nhiều rủi ro bị chiếm quyền điều hành Joomla Admin Panel.
Cách làm như sau: Bạn vào Admin, vào mục Extensions -> Install/Uninstall, và chọn Disable User Component. Vào phần quản lý module, disable Module Login.

Thủ thuật 2: Ngăn chặn các hành vi xâm phạm và thay đổi nội dung các file của bạn.

Website của bạn có rất nhiều file với chức năng khác nhau. Vì thế hacker có thể tìm đến những file có độ bảo mật thấp, chiếm quyền điều hành file đó, và chèn các đoạn mã độc vào.
Các bạn có thể tăng tường rào bằng cách chống sự truy nhập trực tiếp vào file đó. Đoạn mã thông thường được sử dụng trong Joomla là
1 // no direct access
2 defined('_JEXEC') or die('Restricted access');
Như vậy nếu bạn cài đặt thêm các phần mở rộng cho website, nhớ kiểm tra code xem các file php có đoạn mã này chưa.
Ngoài ra các bạn còn có thể đặt thêm tường rào bằng việc sử dụng .htacces với đoạn mã
" Deny From All "
Với file này các bạn có thể bảo vệ chống truy nhập trực tiếp cho các file có cùng cấp với nó (cùng đặt trong 1 thư mục với .htacces)
Như vậy bạn có thể đặt File trên vào các thư mục như cache, component, modules, tmp, plug in… và các thư mục con của nó để tăng thêm độ bảo mật.

Thủ thuật 3: Dùng Chmod để bảo vệ các file quan trọng.

Sau khi bạn xây dựng xong website, có những file rất quan trọng, và hầu như không thay đổi trong quá trình sử dụng. Điển hình là file configuration.php. Bạn hãy sử dụng Chmod 444 để bảo vệ những file này.

Thủ thuật 4: Bảo vệ admin panel

Bạn có thể dùng thêm 1 lớp khóa nữa, bằng htacces để bảo vệ thư mục adminstration của bạn. Chức năng này thường có trong Cpanel của hosting. Hoặc bạn cũng có thể tự thiết lập 1 file dạng:
1 AuthType Basic
2 AuthName "Restricted Area"
3 AuthUserFile "thu_muc_chua_file_.htpasswds"
4 require valid-user

Thủ thuật 5: Cài thêm các source code bảo vệ

Trên thị trường cũng có bán 1 số component có chức năng bảo vệ cho Joomla, như Jsecure, Jdefender hay JFirewall. Dùng các phần mở rộng này có thể giúp bạn tránh được những lỗi về SQL như flood, injunction, cũng có thể chống được dos. Các com này sẽ ban IP nếu như số lượng query vượt ngưỡng cho phép.

Thủ thuật 6: Thường xuyên kiểm tra hệ thống của mình

Các bạn có thể đặt lịch kiểm tra, back up định kỳ hàng tuần hoặc hàng tháng. Xem phần modify date của các file để kiễm tra file đó có bị thay đổi hay không. Các com, mod bạn nên cài thử trên localhost của mình trước, rồi hãy đưa lên website. Các com, mod không dùng đến, bạn hãy xóa bớt, hoặc disable. Xóa luôn cả các table của Com đó.

Lưu ý thêm: hãy luôn cập nhật thông tin, và update phiên bản mới, không nên dùng quá nhiều Com, mod lạ, và các đồ chùa.

ducthinh_1989
Joomla! Fledgling
Joomla! Fledgling
Posts: 4
Joined: Sun Mar 30, 2014 3:49 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by ducthinh_1989 » Wed Apr 02, 2014 3:39 am

GolfVN wrote:Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.

1.  register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2.  nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3.  file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4  luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5  đảo qua forum security của joomla

Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.
Thanks bác ! Cách này có vẻ ổn nè

niitpro
I've been banned!
Posts: 118
Joined: Sat Apr 22, 2006 3:09 pm
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by niitpro » Tue Jul 22, 2014 2:43 pm

Bài viết dài và công phu, mình mới cài thử Joomla trên trang Stablehost Coupon thấy cũng còn lơ mơ, chỉ biết đặt password bảo mật thư mục Administrator thôi, cám ơn chủ thớt nhé.

Wordpress thì có nhiều plugin bảo mật hoàn chỉnh hơn Joomla ?

jlviet
Joomla! Apprentice
Joomla! Apprentice
Posts: 32
Joined: Mon Mar 17, 2014 7:59 am
Location: Hanoi, Vietnam

Re: Bảo mật cho joomla như thế nào?

Post by jlviet » Wed Nov 05, 2014 9:26 am

GolfVN wrote:Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.

1.  register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2.  nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3.  file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4  luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5  đảo qua forum security của joomla

Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.
Bài viết của bác rất hữu ích và .. dí dỏm. Cám ơn bác :D

okshophanhphuc1
Joomla! Apprentice
Joomla! Apprentice
Posts: 21
Joined: Wed Sep 30, 2015 7:16 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by okshophanhphuc1 » Wed Nov 04, 2015 1:21 am

Không nên sử dụng phiên bản cũ, cập nhật phiên bản mới có các tính năng thông minh hơn, chuyên nghiệp hơn. Đó cũng là cách bảo mật ok nhất

vlinhd11
Joomla! Apprentice
Joomla! Apprentice
Posts: 6
Joined: Fri Oct 26, 2007 5:12 am
Contact:

Re: Bảo mật cho joomla như thế nào?

Post by vlinhd11 » Fri Nov 06, 2015 8:14 am

Nhiều cách lắm bạn, cứ từ từ tìm hiểu


Post Reply

Return to “Cài đặt - Cấu hình”