28/09/2019
Công việc bảo mật cho Website Joomla là rất quan trọng để tránh các Hacker có thể xâm nhập, phá hoại hoặc lấy cắp các thông tin quan trọng, thông thường việc này đòi hỏi người Quản trị phải có kiến thức và khả năng mới có thể thực hiện được.
Joomla đang ngày càng trở thành một trong những hệ quản trị nội dung CMS tốt, Joomla CMS miễn phí và hơn 8.600 extension (cài đặt mở rộng) cho phép làm được hầu hết những gì bạn muốn trên CMS. Hơn nữa, cộng đồng Joomla phát triển mạnh mẽ càng giúp bạn thấy rằng đây là một sản phẩm hấp dẫn và cũng hấp dẫn cả các hacker. Vì thế, bạn cần thực hiện một vài việc khi sử dụng nền tảng này để ngăn chặn các cuộc tấn công và tăng cường bảo mật cho website của mình.
Trong bài viết này, mình xin đưa ra 12 thủ thuật theo ý cá nhân của mình để giúp mọi người nâng cao bảo mật.
Luôn luôn có phương án B cho những tình huống xấu nhất, nếu bạn chưa có biện pháp nào để ngăn chặn hacker dòm ngó trang web của mình thì các bạn nên sao lưu thường xuyên, để phòng khi có sự cố bất trắc, các bạn luôn có thể phục hồi lại.
Nếu bạn đang sử dụng Joomla 1.0 hoặc 1.5 thì nên cập nhật lên phiên bản mới ngay lập tức. Những phiên bản mới này đã được cải thiện rõ rệt về bảo mật cũng như tăng cường code giúp ngăn chặn những sự phá hoại cố tình của các hacker.
Các extension của các hãng phần mềm thứ 3 luôn tiềm ẩn những rủi ro lớn về bảo mật. Đặc biệt là những extension miễn phí. Đồng thời các bạn cũng nên cập nhật những phiên bản extension mới nhất để sử dụng cho website của mình.
Nếu bạn cài đặt nhiều extension, nhưng theo thời gian, có nhiều loại bạn không sử dụng nữa thì nên loại bỏ nó ngay. Thứ nhất là làm giảm dung lượng lưu trữ, thứ 2 là hạn chế tối đa rủi ro hacker lợi dụng những file này để xâm nhập vào website của các bạn.
Hacker luôn luôn tấn công dựa vào những trang web có mật khẩu yếu. Bạn cũng nên thường xuyên thay đổi password và khi đặt pass thì nên sử dụng chữ in hoa, dấu gạch dưới, kí tự đặc biệt, chữ số.. Nhưng nhớ đặt sao cho dễ nhớ, không quên pass lại khổ.
Luôn luôn sử dụng những đường [link] thân thiệt, vừa tốt cho việc [SEO] web, vừa tránh hacker lợi dụng những câu truy vấn mà xâm nhập vào website của các bạn.
Mặc định joomla cung cấp cho chúng ta địa chỉ http://www.yoursite.com/administrator
để đăng nhập vào trang quản trị. Để ngăn ngừa hacker, các bạn có thể đổi lại như http://www.yoursite.com/administrator?wewroi4459
.
Hầu hết các vụ tấn công đều xảy ra ở các phiên bản extension nào đó. Việc xóa bỏ những thông tin này sẽ làm cho hacker khó đoán được bạn đang sử dụng loại nào, và có phiên bản bao nhiêu.
Chúng ta chỉ ấn định quyền 777
hoặc 707
với những đoạn script cần quyền để viết trên file đó, còn không thì cứ ấn định như sau :
644
666
755
.htaccess
file########## Begin - Rewrite rules to block out some common exploits # # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # Block out any script that includes a < script> tag in URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] # Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR] # Block out any script that tries to set CONFIG_EXT (com_extcal2 issue) RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR] # Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR] RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] # ########## End - Rewrite rules to block out some common exploits
Bạn cần phải tắt chức năng này, để làm điều này thì các bạn chỉnh sửa ở file php.ini, nếu bạn không có quyền làm điều này thì hãy liên hệ với nhà cung cấp dịch vụ hosting của các bạn để được hỗ trợ.
Việc tham gia vào các diễn đàn hay blog chuyên về bảo mật sẽ giúp cho bạn nhiều kiến thức bảo mật cũng như những biện pháp phòng vệ hữu hiệu cho website của mình.
Hy vọng rằng với những lời khuyên chân thành bên trên, sẽ giúp các bạn có cái nhìn rõ hơn về vấn đề bảo mật cho website của mình. Hãy phòng vệ cho web trước khi phải chịu những rủi ro từ hacker mang lại.