Saturday, August 7, 2010

Một số phương pháp bảo mật website joomla

Nguồn: http://www.thegioimanguon.com/2010/03/07/m%E1%BB%99t-s%E1%BB%91-ph%C6%B0%C6%A1ng-phap-b%E1%BA%A3o-m%E1%BA%ADt-website-joomla/

Xây dựng website đã là khó. Để duy trì và phát triển nó lại càng khó hơn. Và bảo mật cho nó thì vô cùng khó. Sau đây tôi xin giới thiệu vài biện pháp đơn giản để phần nào có thể bảo vệ được website của bạn khỏi những sự nghịch ngợm, chọc phá.

Tôi ví làm website cũng như bạn xây 1 công trình đặt ở đường phố vậy.Ví dụ như làm tượng đài, làm kiốt, v..v. Và bạn làm cách nào để bảo vệ cho công trình của bạn. Công trình ấy, có người cho là hữu ích, tiện dùng, cũng có kẻ muốn phá hoại nó vì nhiều mục đích khác nhau, cũng có thể dođi qua ngứa tay mà lấy viênđá chọi vào.Website cũng như thế. Nó publish, có kẻ muốn thâm nhậpđể lấy dữ liệu thông tin của bạn, cũng có khi họ thấy thích thì họ có thú vui đi phá hoại thôi.

Như vậy, để một website tồn tại trong môi trường khắc nghiệt như thế, cái chính vẫn là tính hữu ích hay nói đúng hơn là sức sống của website đó. Nếu bạn truyền vào website 1 tinh thần khao khát mãnh liệt, thì tôi tin, đấy mới là 1 sức mạnh bất diệt, mà không một thế lực nào có thể tiêu diệt được.

Ở đây, tôi cũng ko dám nói đến bảo mật, mà đơn giản chỉ hướng dẫn các bạn xây một vài lớp tường rào, để những người có ý thức, tự trọng thì họ không bao giờ vượt qua ranh rới này mà thôi.

Thủ thuật 1: Cách này tôi khuyên các bạn, khi làm các website thông tin thuần túy nên sử dụng.

Như chúng ta đã biết, có rất nhiều website làm ra, và thông tin cung cấp không có tính chất 2 chiều. Như 1 trang thông tin điện tử chẳng hạn. Vì thế chức năng đăng kí và quản lý thành viện ở Front end gần như là không dùng đến. Vì vậy, tôi khuyên nếu như website của bạn không cần tương tác quá nhiều với người dùng qua các tiện ích của việc đăng kí tài khoản . Thì bạn nên tắt chức năng này đi. Việc không cho người ngoài đăng kí, cũng hạn chế được rất nhiều rủi ro bị chiếm quyền điều hành Joomla Admin Panel.

Cách làm như sau: Bạn vào Admin, vào mục Extensions -> Install/Uninstall, và chọn Disable User Component. Vào phần quản lý module, disable Module Login.

Thủ thuật 2: Ngăn chặn các hành vi xâm phạm và thay đổi nội dung các file của bạn.Website của bạn có rất nhiều file với chức năng khác nhau. Vì thế hacker có thể tìm đến những file có độ bảo mật thấp, chiếm quyền điều hành file đó, và chèn các đoạn mã độc vào.

Các bạn có thể tăng tường rào bằng cách chống sự truy nhập trực tiếp vào file đó. Đoạn mã thông thường được sử dụng trong Joomla là

1// no direct access
2defined('_JEXEC') or die('Restricted access');

Như vậy nếu bạn cài đặt thêm các phần mở rộng cho website, nhớ kiểm tra code xem các file php có đoạn mã này chưa.

Ngoài ra các bạn còn có thể đặt thêm tường rào bằng việc sử dụng .htaccess với đoạn mã

Deny From All

Với file này các bạn có thể bảo vệ chống truy nhập trực tiếp cho các file có cùng cấp với nó (cùng đặt trong 1 thư mục với .htaccess)

Như vậy bạn có thể đặt File trên vào các thư mục như cache, component, modules, tmp, plug in… và các thư mục con của nó để tăng thêm độ bảo mật.

Thủ thuật 3: Dùng Chmod để bảo vệ các file quan trọng.

Sau khi bạn xây dựng xong website, có những file rất quan trọng, và hầu như không thay đổi trong quá trình sử dụng. Điển hình là file configuration.php. Bạn hãy sử dụng Chmod 444 để bảo vệ những file này.

Thủ thuật 4: Bảo vệ admin panel

Bạn có thể dùng thêm 1 lớp khóa nữa, bằng htaccess để bảo vệ thư mục adminstration của bạn. Chức năng này thường có trong Cpanel của hosting. Hoặc bạn cũng có thể tự thiết lập 1 file dạng

1AuthType Basic
2AuthName "Restricted Area"
3AuthUserFile "thu_muc_chua_file_.htpasswds"
4require valid-user

Thủ thuật 5: Cài thêm các source code bảo vệ

Trên thị trường cũng có bán 1 số component có chức năng bảo vệ cho Joomla, như Jsecure, Jdefender hay JFirewall. Dùng các phần mở rộng này có thể giúp bạn tránh được những lỗi về SQL như flood, injunction, cũng có thể chống được dos. Các com này sẽ ban IP nếu như số lượng query vượt ngưỡng cho phép.

Thủ thuật 6: Thường xuyên kiểm tra hệ thống của mình

Các bạn có thể đặt lịch kiểm tra, back up định kỳ hàng tuần hoặc hàng tháng. Xem phần modify date của các file để kiễm tra file đó có bị thay đổi hay không. Các com, mod bạn nên cài thử trên localhost của mình trước, rồi hãy đưa lên website. Các com, mod không dùng đến, bạn hãy xóa bớt, hoặc disable. Xóa luôn cả các table của Com đó.

Lưu ý thêm: hãy luôn cập nhật thông tin, và update phiên bản mới, không nên dùng quá nhiều Com, mod lạ, và các đồ chùa.

No comments:

Router Packet Networking

Đây là video ngắn khá hay, mô tả đường đi của một gói tin trên Mạng Internet.