Joomla đang ngày càng trở thành một trong những hệ quản trị nội dung (CMS) tốt nhất, với hàng trăm triệu website được xây dựng dựa trên CMS này. Nhưng cũng vì điều đó mà việc bảo mật cho joomla cũng cần phải được cải thiện.
Trong bài viết này, mình xin đưa ra 12 thủ thuật theo ý cá nhân của mình để giúp mọi người nâng cao bảo mật.
1 Sao lưu dữ liệu
Luôn luôn có phương án B cho những tình huống xấu nhất, nếu bạn chưa có biện pháp nào để ngăn chặn hacker dòm ngó trang web của mình thì các bạn nên sao lưu thường xuyên, để phòng khi có sự cố bất trắc, các bạn luôn có thể phục hồi lại.
2 Cập nhật Joomla
Nếu bạn đang sử dụng Joomla 1.0 hoặc 1.5 thì theo ý cá nhân mình, thì nên cập nhật lên phiên bản mới ngay lập tức. Những phiên bản mới này đã được cải thiện rõ rệt về bảo mật cũng như tăng cường code giúp ngăn chặn những sự phá hoại cố tình của các hacker.
3 Quản lý cẩn thận các thành phần mở rộng được cài đặt
Các extension của các hãng phần mềm thứ 3 luôn tiềm ẩn những rủi ro lớn về bảo mật. Đặc biệt là những extension miễn phí .Đồng thời các bạn cũng nên cập nhật những phiên bản extension mới nhất để sử dụng cho website của mình.
4 Xóa bỏ những file không cần thiết
Nếu bạn cài đặt nhiều extension, nhưng theo thời gian, có nhiều loại bạn không sử dụng nữa thì nên loại bỏ nó ngay. Thứ nhất là làm giảm dung lượng lưu trữ, thứ 2 là hạn chế tối đa rủi ro hacker lợi dụng những file này để xâm nhập vào website của các bạn.
5 Thay đổi Password
Hacker luôn luôn tấn công dựa vào những trang web có mật khẩu yếu. Bạn cũng nên thường xuyên thay đổi password và khi đặt pass thì nên sử dụng chữ in hoa, dấu gạch dưới, kí tự đặc biệt, chữ số.. Nhưng nhớ đặt sao cho dễ nhớ, không quên pass lại khổ.
6 Sử dụng URL thân thiện
Luôn luôn sử dụng những đường link thân thiệt, vừa tốt cho việc SEO web, vừa tránh hacker lợi dụng những câu truy vấn mà xâm nhập vào website của các bạn.
7 Thay đổi đường dẫn đến trang Admin
Mặc định joomla cung cấp cho chúng ta địa chỉ http://www.yoursite.com/administrator để đăng nhập vào trang quản trị. Để ngăn ngừa hacker, các bạn có thể đổi lại như http://www.yoursite.com/administrator?wewroi4459.
8 Xóa bỏ thông tin phiên bản joomla, tên các extension
Hầu hết các vụ tấn công đều xảy ra ở các phiên bản extension nào đó. Việc xóa bỏ những thông tin này sẽ làm cho hacker khó đoán được bạn đang sử dụng loại nào, và có phiên bản bao nhiêu.
9 CHMOD folder đúng quyền
Chúng ta chỉ ấn định quyền 777 hoặc 707 với những đoạn script cần quền để viết trên file đó, còn không thì cứ ấn định như sau :
• PHP files: 644
• Config files: 666
•Những folders khác : 755
10 Thay đổi .htaccess file
########## Begin - Rewrite rules to block out some common exploits
#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits
11 Tắt Register_globals
Bạn cần phải tắt chức năng này, để làm điều này thì các bạn chỉnh sửa ở file php.ini, nếu bạn không có quyền làm điều này thì hãy liên hệ với nhà cung cấp dịch vụ hosting của các bạn để được hỗ trợ.
12 Tham gia vào các diễn đàn , blog bảo mật
Việc tham gia vào các diễn đàn hay blog chuyên về bảo mật sẽ giúp cho bạn nhiều kiến thức bảo mật cũng như những biện pháp phòng vệ hữu hiệu cho website của mình.
Mình mong rằng với những lời khuyên chân thành bên trên, sẽ giúp các bạn có cái nhìn rõ hơn về vấn đề bảo mật cho website của mình. Hãy phòng vệ cho web trước khi phải chịu những rủi ro từ hacker mang lại.