matbao network

TIN CÔNG NGHỆ

Cách khắc phục Injection và bảo mật cho Website Joomla

admin | 19/11/2013 10:59:36 SA

Cách khắc phục Injection và bảo mật cho Website Joomla

Được sửa lúc Thứ Sáu, 13 Tháng Mười Hai 2013 10:25 by Administrator — Categorized as: Linux Server, Linux Web Hosting, Security, Software, Tools

Hiện Joomla! ngày càng phát triển mạnh mẽ và ngày càng được ứng dụng rộng rãi ở Việt Nam với số lượng các thành phần mở rộng (extensions) từ các hãng thứ ba cũng tăng không ngừng cả về số lượng và chất lượng.

Tuy nhiên, có một thực tế song hành với mặt ưu điểm trên là số lượng các Website bị tấn công thông qua các lỗi lập trình bất cẩn trong các thành phần mở rộng được cài đặt thêm cũng ngày càng tăng cao.

Do vậy, ngay từ lúc này, bạn nên kiểm tra lại toàn bộ hệ thống của mình để đảm bảo:

- Chỉ cài đặt các thành phần mở rộng thực sự cần thiết, thực sự uy tín và hãy nhờ một người có kinh nghiệm để kiểm tra các đoạn mã, mà một trong số chúng thường bị hacker khai thác - trong đó có lỗi phổ biến về truy vấn SQL (thường gọi là SQL Injection).

- Hi vọng rằng với các thao tác sau đây sẽ giúp cho website của bạn hạn chế tình trạng hacker lợi dụng vào Bug Injection khai thác tấn công website:

  • Bước 1. Thay đổi tiền tố jos_ trên các table của database thành tiền tố khác (tuỳ ý), tiền tố càng khó nhớ càng bảo mật cao.

=> Có thể dùng tool prefix_mysql để thay đổi hàng loạt các tiền tố này trên các table của database.

  • Bước 2. Tạo 1 file /home/user/webconf/config.conf (lưu ngoài thư mục public_html).

=> Copy toàn bộ code của file configuration.php vào file /home/user/webconf/config.conf này.

Lưu ý: Thay thế $dbprefix = 'jos_'; thành $dbprefix = 'tiento_'; (tiền tố mới thay đổi).

  • Bước 3. Trong file configuration.php, chúng ta chỉ để đoạn code include file /home/user/webconf/config.conf mà thôi:

<? require('/home/user/webconf/config.conf'); ?>

  • Bước 4. Có thể vào các link phpencode để mã hoá - nén triệt để file configuration.php như :

phpeasystep ; encrypt ; base64 ; phpencode

  • Bước 5. Phân quyền thư mục /home/user/webconf/ thành 501. File configuaration.php và file /home/user/webconf/config.conf chúng ta phân quyền 444.

  • Bước 6. Không dùng account mặc định của joomla là "admin".

Thực hiện như sau:

- Vào backend > Tạo một account quản trị khác (Super Administrator) mới thay vì dùng account mặc định có tên "admin".

- Vào phpmyadmin > Đổi tên và vô hiệu hóa account mặc định "admin" mà Joomla đã tạo ra khi cài đặt bằng cách: Mở bảng _users, tìm bản ghi có 'id=62, đổi username khác "admin" và thay block bằng "1").

  • Bước 7. Tiếp tục trên backend tạo đường dẫn thân thiện cho website.

  • Bước 8. Tạo Password Protect cho thư mục Administrator của joomla để bảo mật cho thư mục quản trị này.
admin
Theo: https://www.matbao.com
ĐỐI TÁC