Bảo mật cho joomla như thế nào?

[chungyoung]

Cho mình hỏi là sau khi cài đặt xong joomla thì thiết lập permission như thế nào cho các thư mục để bảo đảm an ninh cho joomla, dễ cho việc cập nhật, nâng cấp?

[thegioiphatminh]

Tham khảo thử xem

http://demo.joomla.org/administrator/in ... sk=sysinfo (chọn tab permission)

user: admin
pass: demo

Cái nào cảm thấy không bảo mật kỹ thì change thành Writeable (777)

[GolfVN]

Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.

1.  register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2.  nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3.  file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4  luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5  đảo qua forum security của joomla

Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.

[chungyoung]

Chân thành cảm ơn hai bạn.

[all rise]

http://www.securityfocus.com/ trang nay cung chuyen phat hien nhung loi nguy hiem cua Joomla,... can ghe tham

[gaflash]

ngoài ra còn phải cập nhật các bản vá thường xuyên nữa

[kittymeow]

Để bảo mật joomla cho an toàn, bạn có thể tham khảo một số bước cơ bản sau vì tuy nó cơ bản nhưng giúp joomla của mình an toàn hơn:
1. Sao lưu dữ liệu định kỳ
Đây là công việc cần phải làm thường xuyên, việc sao lưu (Backup) sẽ bao gồm toàn bộ các File của Website và các dữ liệu trong Database. Trong trường hợp Website bị tấn công và ngưng hoạt động thì chỉ cần phục hồi lại (Restore) các File và dữ liệu đã được sao lưu là Website có thể hoạt động lại.
Việc sao lưu dữ liệu trong Database có thể được thực hiện bằng công cụ phpMyAdmin có trong Control Panel của Hosting hoặc bất cứ công cụ Backup nào và toàn bộ các File của Website có thể được tải về máy tính cá nhân thông qua các chương trình FTP.

2. Cập nhật phiên bản Joomla mới nhất
Thường xuyên theo dõi và cập nhật kịp thời các bản sửa lỗi hoặc nâng cấp cho Joomla! để khắc phục các lỗi bảo mật nếu có. Xem các thông báo về phiên bản và cập nhật cho Joomla! tại trang Web http://joomla.org

3. Các thành phần mở rộng (module, component, plugin)
Một số Website có thể bị tấn công thông qua các lỗi bảo mật nằm trong các thành phần mở rộng được cài đặt thêm từ hãng thứ ba.
Khuyến cáo: Hãy hạn chế tới mức tối đa việc cài đặt các thành phần mở rộng từ hãng thứ ba. Nếu phát hiện các thành phần mở rộng này có lỗi thì phải tiến hành cập nhật bản sửa lỗi nếu có hoặc xóa bỏ khỏi Joomla!

4. Quyền hạn đối với các thư mục
Sau khi cài đặt các thành phần mở rộng, bạn cần thiết lập quyền hạn đối với các thư mục sang chế độ CHMOD 755.
Lưu ý: Nếu quá trình cài đặt các thành phần mở rộng gặp trục trặc bạn cần chuyển các thư mục sau sang CHMOD 777. Khi cài đặt xong lại thiết lập như trên (755 đối với thư mục và 644 đối với file)

5. Quyền hạn đối với các tệp
Thiết lập quyền hạn đối với tất cả các tệp của bạn sang chế độ CHMOD 644.


6. CHMOD 644 tập tin configuration.php
Đây là một điều rất quan trọng. Bạn phải chắc chắn rằng mình đã thiết lập quyền hạn cho tệp "configuration.php" sang CHMOD 644.

7. Bảo mật với .htaccess Bản phát hành mới nhất của Joomla bao gồm cả phiên bản cập nhật cho tệp ".htaccess" để làm giảm thiểu nguy cơ tấn công từ các hacker. Do vậy bạn cần phải truyền tệp .htaccess này tới server của bạn và đổi quyền hạn sang CHMOD 644.

[SOLDIER801]

Cảm ơn bác kittymeow đã chia sẽ kinh nghiệm, mình sẽ làm thử theo bác

[tomytran]

Điều 2 là cập nhật lên bản mới nhất của cùng phiên bản.

Ví dụ nếu bạn đang sử dụng Joomla 1.5 thì bạn cần cập nhật lên 1.5.26 là bản mới nhất hiện giờ chứ không phải cập nhật web của bạn lên 2.5. Việc này sẽ giúp web bạn an toàn hơn vì các bản cập nhật về sau thường liên quan đến việc vá lỗ hổng bảo mật. Còn việc nâng cấp tính năng hay giao diện sẽ nằm trong phiên bản ra sau vd 2.5

[zoomdark]

kittymeow có nói tới " CHMOD 644 tập tin configuration.php" bác chỉ em phần này được k?

[haiduong]

cũng thấy version 2.5 cũng đã cải thiện được 1 phần về vấn đề bảo mật, Joomla và WP có điểm yếu là bảo mật

[thanhmabo]

Bạn nhớ xóa cái user admin mặc định, rồi sau đó thêm nhiều user khác vào, rồi tạo 1 user admin khác

[minhtam]

Joomla cũng như hầu hết các nền tảng CMS mã nguồn mở nhất đang gặp phải là vấn đề bảo mật được yêu cầu từ người dùng. Vì được chia sẽ, nhân bản,... tự code thêm các module, plugin,... tràn lan nên quản lý rất khó khăn. Thêm vào đó hiện tượng ddos vì mục đích hạ bệ thương hiệu cũng là điều đáng ngại. Bảo mật website là vấn đề chung nhưng đến nay vẫn chưa có giải pháp phòng vệ hiệu quả. Ngoại trừ các tổ chức thương mại lớn mới đầu tư nỗi. Với các website cá nhân, doanh nghiệp nhỏ. Một khi bị tấn công thì chỉ có cách đợi cơn bão đi qua mà tôi.

[myphame]

Cho mình hỏi thêm là một số module như ajax search luôn yêu cầu phải thiết lập thư mục cache là 777 mới chịu chạy.
Như vậy thì đúng là quá nguy hiểm, còn nếu thiết lập 755 thì nó cứ trơ ra, có cách nào giải quyết không các bạn?

[tomytran]

thư mục cache không chứa các file xử lý công việc của joomla nên bạn cứ yên tâm mà đổi thành 777 nhé.

[EmilyTran69]

câu hỏi này rất nhiều người vướng phải......thanks a/e đã chia sẻ.

[suamaygiatbk]

Chưa thử nhưng nếu bạn xóa đi Joomla ko chạy được luôn.
Biết là bạn đùa nhưng hacker đâu cần chui vào administrator của bạn khi họ hack được site.

Để cho an toàn thì setup website xong thì xóa thư mục administrator luôn. Sau này nếu cần chỉnh sửa gì thì up lên lại

[tomytran]

Vậy bạn MiVaTran có thể hack vào http://www.tomytran.com và chụp lại màn hình backend của tớ vào đây để demo khả năng bảo mật chưa cao của Joomla được không? Tớ cũng đang tò mò vụ này đây.

[suamaygiatbk]

@MiVaTran: thế bảo mật của cái gì là cao vậy bạn?

[saosangmo]

@tomytran: bác có thể share cái module tỷ giá không vậy?
thanks

[tomytran]

Vào lục trên site mình sẽ có bài viết và link download free.

[saosangmo]

Xin phép Tomy được customize module này để chạy trên môi trường 1.5 nhé.

[tomytran]

Không cần đâu, mình đã cập nhật thêm lên website rồi, bạn vào lại mà tải mod cho j1.5 nhé.

Mình có code sẵn cho 1.5 trước nhưng sau code 2.5 nên quên luôn 1.5 không up lên vì mình giờ hay dùng 2.5 tương thích với mobile device. Còn nều bạn cần customize nữa thì cứ tự nhiên

Chúc may mắn.

[saosangmo]

ok, thank tommy. Vậy tốt quá, chả là có mấy site cũ customize sâu quá, giờ không muốn chuyển nền tảng.

[thudvph00891]

Em thấy có trang họ chỉ làm thế này ạ:

Thủ thuật 1: Cách này ClickMedia khuyên các bạn, khi làm các website thông tin thuần túy nên sử dụng.

Như chúng ta đã biết, có rất nhiều website làm ra, và thông tin cung cấp không có tính chất 2 chiều. Như 1 trang thông tin điện tử chẳng hạn. Vì thế chức năng đăng kí và quản lý thành viện ở Front end gần như là không dùng đến. Vì vậy, tôi khuyên nếu như website của bạn không cần tương tác quá nhiều với người dùng qua các tiện ích của việc đăng kí tài khoản . Thì bạn nên tắt chức năng này đi. Việc không cho người ngoài đăng kí, cũng hạn chế được rất nhiều rủi ro bị chiếm quyền điều hành Joomla Admin Panel.
Cách làm như sau: Bạn vào Admin, vào mục Extensions -> Install/Uninstall, và chọn Disable User Component. Vào phần quản lý module, disable Module Login.

Thủ thuật 2: Ngăn chặn các hành vi xâm phạm và thay đổi nội dung các file của bạn.

Website của bạn có rất nhiều file với chức năng khác nhau. Vì thế hacker có thể tìm đến những file có độ bảo mật thấp, chiếm quyền điều hành file đó, và chèn các đoạn mã độc vào.
Các bạn có thể tăng tường rào bằng cách chống sự truy nhập trực tiếp vào file đó. Đoạn mã thông thường được sử dụng trong Joomla là
1 // no direct access
2 defined('_JEXEC') or die('Restricted access');
Như vậy nếu bạn cài đặt thêm các phần mở rộng cho website, nhớ kiểm tra code xem các file php có đoạn mã này chưa.
Ngoài ra các bạn còn có thể đặt thêm tường rào bằng việc sử dụng .htacces với đoạn mã
" Deny From All "
Với file này các bạn có thể bảo vệ chống truy nhập trực tiếp cho các file có cùng cấp với nó (cùng đặt trong 1 thư mục với .htacces)
Như vậy bạn có thể đặt File trên vào các thư mục như cache, component, modules, tmp, plug in… và các thư mục con của nó để tăng thêm độ bảo mật.

Thủ thuật 3: Dùng Chmod để bảo vệ các file quan trọng.

Sau khi bạn xây dựng xong website, có những file rất quan trọng, và hầu như không thay đổi trong quá trình sử dụng. Điển hình là file configuration.php. Bạn hãy sử dụng Chmod 444 để bảo vệ những file này.

Thủ thuật 4: Bảo vệ admin panel

Bạn có thể dùng thêm 1 lớp khóa nữa, bằng htacces để bảo vệ thư mục adminstration của bạn. Chức năng này thường có trong Cpanel của hosting. Hoặc bạn cũng có thể tự thiết lập 1 file dạng:
1 AuthType Basic
2 AuthName "Restricted Area"
3 AuthUserFile "thu_muc_chua_file_.htpasswds"
4 require valid-user

Thủ thuật 5: Cài thêm các source code bảo vệ

Trên thị trường cũng có bán 1 số component có chức năng bảo vệ cho Joomla, như Jsecure, Jdefender hay JFirewall. Dùng các phần mở rộng này có thể giúp bạn tránh được những lỗi về SQL như flood, injunction, cũng có thể chống được dos. Các com này sẽ ban IP nếu như số lượng query vượt ngưỡng cho phép.

Thủ thuật 6: Thường xuyên kiểm tra hệ thống của mình

Các bạn có thể đặt lịch kiểm tra, back up định kỳ hàng tuần hoặc hàng tháng. Xem phần modify date của các file để kiễm tra file đó có bị thay đổi hay không. Các com, mod bạn nên cài thử trên localhost của mình trước, rồi hãy đưa lên website. Các com, mod không dùng đến, bạn hãy xóa bớt, hoặc disable. Xóa luôn cả các table của Com đó.

Lưu ý thêm: hãy luôn cập nhật thông tin, và update phiên bản mới, không nên dùng quá nhiều Com, mod lạ, và các đồ chùa.

[ducthinh_1989]

Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.

1.  register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2.  nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3.  file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4  luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5  đảo qua forum security của joomla

Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.

Thanks bác ! Cách này có vẻ ổn nè

[niitpro]

Bài viết dài và công phu, mình mới cài thử Joomla trên trang Stablehost Coupon thấy cũng còn lơ mơ, chỉ biết đặt password bảo mật thư mục Administrator thôi, cám ơn chủ thớt nhé.

Wordpress thì có nhiều plugin bảo mật hoàn chỉnh hơn Joomla ?

[jlviet]

Change thành 777? World writable rồi bị hack còn kêu ai.
Bảo mật thì phải từ server kernel lên, chứ trong môi trường shared hosting thì chẳng làm gì được nhiều, nhưng có còn hơn không.

1.  register_globals off (bằng php.ini hoặc htaccess nếu server cho phép)
2.  nếu php được compile thành module thì tốt (phpsuexec) còn không thì file ít nhất chmod là 644, folder 755
3.  file configuration.php chmod thành 444 thôi, khi nào cần sửa gì về cấu hình thì lại chmod nó 777 xong rồi lại thành 444.
4  luôn sử dụng joomla version mới nhất, sử dụng càng ít 3rd party coms và module càng tốt và luôn phải cập nhật các com, module này
5  đảo qua forum security của joomla

Tớ chỉ làm đến đây thôi, coi như là cũng hết khả năng của mình.

Bài viết của bác rất hữu ích và .. dí dỏm. Cám ơn bác

[okshophanhphuc1]

Không nên sử dụng phiên bản cũ, cập nhật phiên bản mới có các tính năng thông minh hơn, chuyên nghiệp hơn. Đó cũng là cách bảo mật ok nhất

[vlinhd11]

Nhiều cách lắm bạn, cứ từ từ tìm hiểu