Chào mừng bạn đến với Diễn Đàn Máy Chủ - Chia sẽ kiến thức máy chủ.
  • Đăng ký
    • Login:
    Server Dell email 247 Tên miền Hosting giá sốc Tang loa Frei Tang loa Frei Tên miền tiếng việt giá bèo cdn rẻ vô địch May Chu Khong Lo - Gia Xi Trum SSL 2 nam giam 15%
    + Trả lời bài viết
    Hiện kết quả từ 1 tới 6 của 6
    1. #1
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      xa lắm
      Bài gửi
      209

      Mặc định Bao-mat-toan-tap-cho-Website-Joomla

      Bài viết này xin cung cấp cho bạn một loạt các thủ thuật để tăng cường bảo mật cho Website Joomla! được trích dẫn từ diễn đàn Joomla! (http://forum.joomla.org). Có thể một vài thủ thuật hơi khó thực hiện hoặc gây khó khăn, thâm chí là lỗi cho hệ thống của bạn, tuy nhiên đừng nản chí , mọi cái đều có giá của nó. Nếu không thiết lập một vòng đai an toàn cho Website sẽ có lúc bạn phải hối tiếc vì điều đó và thiệt hại có khi là không tính đếm được. Hãy tiến hành ngay khi có thể.

      01. Luôn cập nhật phiên bản mới nhất (Joomla 1.0.x, Joomla 1.5)

      02. Chỉ nên download Joomla! từ website chính thức Joomlacode.org và kiểm tra mã xác thực MD5 (nếu có)

      03. Xóa thẳng tay những thư mục hoặc file không còn sử dụng. Sau khi cài đặt thành công Joomla, bạn phải xóa toàn bộ thư mục "installation". Nếu bạn upload lên Host bộ cài Joomla ở định dạng nén (*.zip), bạn cũng cần phải xóa bỏ file nén này. Tốt nhất là không nên để lại file hoặc thư mục gì ngoài gói Joomla.

      04. Tăng cường bảo vệ cho file cấu hình "configuration.php" bằng cách chuyển nó ra khỏi thư mục public (thường có tên là public_html).

      05. Đổi tên tài khoản truy nhập Joomla thay vì tài khoản mặc định "admin". Bước này tưởng chừng rất đơn giản nhưng lại ngăn chặn được khá nhiều cuộc tấn công. [Xem thêm]

      06. Chặn các truy vấn nguy hiểm nhờ file ".htaccess"

      07. Bảo vệ các thư mục nhậy cảm, chẳng hạn thư mục "administrator" thông qua file ".htaccess"

      08. Giới hạn các IP truy cập tới các thư mục nhậy cảm thông qua file ".htaccess"

      09. Chọn Host có hỗ trợ PHP5.

      10. Sử dụng các công cụ nổi tiếng như PHPsuExec, php_suexec và suPHP.

      11. Nếu có thể, hãy yêu cầu Server nạp các module mod_security và mod_rewrite để lọc và chặn các truy vấn nguy hiểm.

      12. Sử dụng tài khoản MySQL đã được thiết lập quyền giới hạn (không sử dụng tài khoản root).

      13. Cố gắng nâng cấp các đoạn mã sang PHP5. Riêng gói Joomla thì bạn không cần lo lắng vì ngay từ ban đầu nó đã được thiết kế tương thích với PHP5.

      14. Cố gắng không sử dụng các thành phần mở rộng yêu cầu "safe_mode" của PHP.

      15. Tắt Joomla! Register Globals Emulation trong file "globals.php".

      define( 'RG_EMULATION', 0 );

      16. Thiết lập quyền truy cập (CHMOD) các thư mục sang 755, các file sang 644. Bạn có thể vào Site --> Global Configuration --> Server để thiết lập các quyền này cho thư mục và file. Bạn cũng có thể sử dụng một công cụ FTP như FileZilla, SmartFTP, WS_FTP, Net2FTP... để CHMOD. Lưu ý: Một số thành phần mở rộng trong quá trình cài đặt có thể yêu cầu quyền truy cập 777.

      17. Xóa bỏ toàn bộ các template không sử dụng khỏi thư mục "templates" và không đặt bất cứ đoạn mã nhạy cảm nào vào các file trong template.

      18. Thuê một chuyên gia bảo mật Joomla! để kiểm tra toàn bộ Website của bạn.
      Tham khảo thêm:

      * Joomla! Administrator's Security Checklist

      Nguồn: vinaora.com
      Lần sửa cuối bởi canvu; 16-06-2011 lúc 05:12 PM

    2. #2
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      xa lắm
      Bài gửi
      209

      Mặc định 9-buoc-bao-mat-website-joomla

      Bảo mật cho Website Joomla là một nhân tố quan trọng góp phần bảo vệ Website trước các âm mưu tấn công có chủ đích cũng như vô tình, giúp cho Website luôn hoạt động ổn định và bền vững. Nhiều quản trị Website chỉ đặt trọng tâm vào việc thiết kế, cập nhật nội dung và giành thứ hạng cao trong các kết quả tìm kiếm mà quên đi việc đảm bảo an toàn cho Website, tới khi sự việc xảy ra thì đã quá muộn. Bài viết dưới đây sẽ giới thiệu tới các bạn 9 bước để bảo mật cho Website Joomla và giảm thiểu các nguy cơ tấn công từ Internet.
      1. Sao lưu toàn bộ Website theo định kỳ

      Điều đầu tiên và cũng là quan trọng nhất là bạn phải thường xuyên sao lưu toàn bộ Website bao gồm cả thư mục chứa Joomla và cơ sở dữ liệu MySQL. Hãy lập lịch ít nhất một lần trong tuần (khuyến cáo là mỗi ngày một lần) để thực hiện sao lưu. Bạn sẽ tiết kiệm được rất nhiều công sức và tiền của khi Website bị tấn công và chỉ mất vài phút hoặc vài chục phút để khôi phục lại gần như toàn bộ.
      2. Nâng cấp khi Joomla có phiên bản phát hành ổn định mới nhất.

      Nhóm phát triển nòng cốt của Joomla luôn phát hành đều đặn vài tháng một lần phiên bản Joomla mới bao gồm cả các bản vá lỗi bảo mật và và các bản vá tăng cường hiệu suất làm việc, do vậy bạn cần kiểm tra thường xuyên trên website của Joomla (http://www.joomla.org) để kịp thời cập nhật phiên bản mới nhất.
      3. Kiểm tra các thành phần mở rộng (module, component, mambot/plugin) của các hãng thứ ba

      Một số Website có thể bị tấn công thông qua các lỗi bảo mật nằm trong các thành phần mở rộng được cài đặt thêm từ hãng thứ ba. Do vậy bạn cũng luôn phải chắc chắn rằng nếu mình có cài đặt các thành phần mở rộng từ hãng thứ ba thì đó phải là các phiên bản mới nhất.

      Khuyến cáo: Hãy hạn chế tới mức tối đa việc cài đặt các thành phần mở rộng từ hãng thứ ba. Ngoài ra khi bạn quyết định gỡ một thành phần mở rộng nào đó khỏi hệ thống thì bạn cũng xóa cả các bảng cơ sở dữ liệu liên quan.
      4. Quyền hạn đối với các thư mục

      Sau khi cài đặt các thành phần mở rộng, bạn cần thiết lập quyền hạn đối với các thư mục sang chế độ CHMOD 755.

      Bảo mật Joomla!

      Lưu ý: Nếu quá trình cài đặt các thành phần mở rộng (component/module/language...) gặp trục trặc bạn cần chuyển các thư mục sau sang CHMOD 777. Khi cài đặt xong lại thiết lập như trên (755 đối với thư mục và 644 đối với file)
      Mã:
      components
      language
      modules
      mambots
      templates
      administrator
      administrator/backups
      administrator/components
      administrator/modules
      5. Quyền hạn đối với các tệp

      Thiết lập quyền hạn đối với tất cả các tệp của bạn sang chế độ CHMOD 644.


      Bảo mật Joomla!


      6. Quyền hạn đối với tệp configuration.php

      Đây là một điều rất quan trọng. Bạn phải chắc chắn rằng mình đã thiết lập quyền hạn cho tệp "configuration.php" sang CHMOD 644.
      7. Bảo mật với .htaccess

      Bản phát hành mới nhất của Joomla bao gồm cả phiên bản cập nhật cho tệp ".htaccess" để làm giảm thiểu nguy cơ tấn công từ các hacker. Do vậy bạn cần phải truyền tệp .htaccess này tới server của bạn và đổi quyền hạn sang CHMOD 644.
      8. Joomla! Register Globals Emulation.

      Bạn cần phải chắc chắn rằng biến "register global emulation" được thiết lập thành OFF. Hãy mở tệp "global.php", tìm dòng define('RG_EMULATION', 1) và đổi nó thành

      define('RG_EMULATION', 0)

      9. Register Globals

      Đảm bảo rằng Register Globals được thiết lập thành OFF. Nếu không hãy liên hệ với Server của bạn để đổi nó thành OFF hoặc mở tệp .htaccess và thêm vào đoạn mã sau

      php_flag register_globals off.

      Tham khảo thêm

      * Bảo mật cho Website Joomla! (tại diễn đàn chính thức của Joomla)

      Nguồn: vinaora.com

    3. #3
      Thành Viên Mới
      Tham gia ngày
      Sep 2012
      Đến từ
      NemGiaSoc.com
      Bài gửi
      1

      Mặc định

      Em đang tính nhờ thiết kế 1 site mới bằng Joomla, nhưng nghe nói mã nguồn này dễ bị hack hơn các loại khác có đúng không ạ?

    4. #4
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      Nha Trang
      Bài gửi
      1.287

      Mặc định

      vì là open source nên có nhiều plugin thực chất nếu ít cài thêm plugin thì với defautl ít có lỗi
      Chấp Nhận Thua 1 Trận Chiến Nhưng Sẽ Thắng Cả Cuộc Chiến .

    5. #5
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      xa lắm
      Bài gửi
      209

      Mặc định

      Hướng dẫn Chmod an toàn, bảo mật cho website chạy shared hosting
      1.CHMOD thư mục Public_html thành 710 thay vì 750 mặc định việc này sẽ giúp bạn bảo vệ được cấu trúc Website của mình.

      2.CHMOD thư mục là 701 và cố gắng đừng bao giờ CHMOD 777, có một số folder ko quan trọng, bạn có thể CHMOD 755 để có thể hiện thị đúng và đầy đủ một số nội dung trong Folder đó .

      3.CHMOD tập tin config và các file index.php của site thành 400 thay vì 644 thường dùng, điều này chống hacker local và view source của tập tin này

      4.Các file index.htm, index.html, hay các tập tin .html hãy cố gắng chmod thành 404 (nếu lỗi thì set 444) thay vì mặc định là 644

      -Thay đổi cấu trúc, tên file mặc định có chứa các thông tin quan trọng . Nếu có thể hãy thay đổi cả cấu trúc CSDL nếu bạn làm được .
      -Thiết lập các tường lửa truy cập Admin mà ko sử dụng đến CSDL, mã hóa User/Pass thì càng tốt, ngoài ra có hệ thống kiểm tra tác vụ của MOD, Admin ... nếu quyền hạn xác nhận mới được thực hiện

      5. Mã hóa các file config kết nối database, FTP… bằng phương pháp Zend.

    6. #6
      Advisors
      Tham gia ngày
      Aug 2009
      Bài gửi
      3

      Mặc định

      Ngoài ra các bạn có thể download thêm công cụ quét lỗ hổng joomscan dùng cho joomla để quét xem website của mình có dính lổ hổng bảo mật nào không. Tool này cũng khá dễ để sử dụng, có thể update thông qua command-line (terminal) bằng lệnh :

      perl joomscan.pl update

      Cú pháp sử dụng khá đơn giản:

      Để scan website ta sử dụng : perl joomscan.pl -u tenwebsite

      các bạn download joomscan tại http://sourceforge.net/projects/joomscan/
      P/s: Để chạy file .pl chạy trên Windows, đơn giản các bạn có thể download Active Perl về cài đặt, link download http://www.activestate.com/activeperl/downloads

     

     
    + Trả lời bài viết

    Thread Information

    Users Browsing this Thread

    There are currently 1 users browsing this thread. (0 members and 1 guests)

    Chủ đề tương tự

    1. Joomla Tổng Hợp !
      By admin in forum Joomla
      Trả lời: 19
      Bài cuối: 05-03-2011, 06:29 PM
    2. Làm sao cấu hình Plesk để chạy joomla?
      By scantho in forum Plesk CP For Window
      Trả lời: 6
      Bài cuối: 04-11-2010, 09:27 AM
    3. Fix PHPMAILER_FROM_FAILED Joomla 1.5.7
      By canvu in forum Joomla
      Trả lời: 0
      Bài cuối: 03-09-2010, 12:33 PM
    4. “Vá” lổ hổng Joomla bằng cách thủ công
      By 2lua in forum Tin Tức Bảo Mật
      Trả lời: 0
      Bài cuối: 22-09-2009, 01:23 AM

    Quyền viết bài

    • Bạn không thể gửi chủ đề mới
    • Bạn không thể gửi trả lời
    • Bạn không thể gửi file đính kèm
    • Bạn không thể sửa bài viết của mình