it-swarm-vi.com

Làm thế nào để bảo mật cài đặt Joomla mới?

Những hành động mà người ta nên làm sau khi cài đặt Joomla mới để giữ an toàn là gì? Cả trên máy chủ lưu trữ được chia sẻ và những người chuyên dụng.

34
ilias

Giữ một trang web Joomla an toàn

  1. Sử dụng mật khẩu mạnh.
  2. Giảm thiểu số lượng tài khoản quản trị viên.
  3. Vô hiệu hóa hoặc xóa tài khoản người dùng không sử dụng.
  4. Giảm thiểu số lượng tiện ích mở rộng của bên thứ ba và khi cần tiện ích mở rộng của bên thứ ba, hãy sử dụng các tiện ích mở rộng được hỗ trợ tốt từ các nhà phát triển được thành lập mà bạn tin tưởng.
  5. Thường xuyên áp dụng các bản cập nhật mới nhất cho các phần mở rộng của Joomla và bên thứ ba bao gồm hotfix bảo mật cho các phiên bản Joomla EOL nếu có thể áp dụng.
  6. Theo dõi Tin tức bảo mật Joomla nguồn cấp dữ liệu để bạn được thông báo về các cập nhật bảo mật cốt lõi của Joomla
  7. Đăng ký vào Danh sách tiện ích mở rộng dễ bị tổn thương của Joomla (VEL) để các lỗ hổng mới có thể nhanh chóng được tham dự. Cuộn xuống cuối trang cho liên kết đăng ký - bạn cũng có thể theo dõi VEL trên Twitter .
  8. Sử dụng lưu trữ web an toàn chất lượng tốt bao gồm trình xử lý tệp PHP như suPHP hoặc FastCGI và các phần mở rộng bảo mật như mod_security. Sử dụng phiên bản hỗ trợ của PHP .
  9. Thay vì chỉ dựa vào các bản sao lưu của công ty lưu trữ web, hãy thường xuyên thực hiện sao lưu trang web của riêng bạn, sao chép các tệp sao lưu ngoài trang web và thường xuyên chạy thử khôi phục đến một vị trí kiểm tra để kiểm tra chất lượng của các bản sao lưu của bạn.
  10. Kích hoạt https.
  11. Triển khai tường lửa ứng dụng web như được cung cấp với phiên bản chuyên nghiệp của Công cụ quản trị Akeeba.
  12. Đừng sử dụng tiền tố bảng tiêu chuẩn.
  13. Thay đổi tên và ID người dùng Super Administrator mặc định thành tên khác. Phiên bản chuyên nghiệp của Công cụ quản trị Akeeba có một công cụ để thay đổi Super Administrator ID.
  14. Hạn chế quyền truy cập vào Quản trị viên Joomla bằng IP. Chỉ cho phép IP đáng tin cậy.
  15. Cho phép xác thực 2 yếu tố cho tài khoản quản trị viên (áp dụng cho Joomla 3.2 trở lên).
  16. Lặp lại các bước trên cho các trang web khác có chung tài khoản lưu trữ hoặc lý tưởng nhất là tách các trang web thành tài khoản lưu trữ web của riêng chúng để tránh lây nhiễm chéo.
  17. Đảm bảo máy tính cá nhân của quản trị viên trang web được bảo mật tương tự. Ví dụ, triển khai một trình quét virus và phần mềm độc hại chất lượng tốt. Điều này giúp bảo vệ bất kỳ thông tin đăng nhập trang web được lưu trữ trên máy tính cá nhân. Tốt nhất là sử dụng một công cụ hoặc ứng dụng mã hóa để lưu trữ trang web và các thông tin khác.
  18. Đọc Top 10 thủ thuật quản trị ngu ngốc nhất để biết thông tin về những gì không để làm.

Để biết hướng dẫn chi tiết hơn, hãy xem chính thức Danh sách kiểm tra bảo mật .

36
Neil Robertson

Điều rất quan trọng để lưu trữ các bản sao lưu trên một máy chủ riêng biệt. Tôi thấy rất nhiều người đang trung thành chạy Akeeba Backups ... và họ đang được lưu trữ trên cùng một máy chủ trong cùng thư mục gốc. Không hữu ích nếu bạn bị hack một cách nghiêm trọng, và chắc chắn không hữu ích để phục hồi từ một lỗi lưu trữ.

Akeeba Backup Pro cho phép bạn lưu trữ và quản lý các tệp sao lưu trong bộ nhớ ngoài như đám mây Amazon.

14
Deb Cinkus

Thay thế cho tệp .htaccess hoặc khóa nó bằng IP, bạn cũng có thể sử dụng jSecure để bảo mật đăng nhập quản trị viên của mình.

Một điều chưa được đề cập là sử dụng một nhà cung cấp dịch vụ lưu trữ có uy tín. Bạn muốn một cái không chỉ theo kịp bảo mật mà còn hoạt động với bạn nếu bạn bị hack hoặc có vấn đề (ví dụ cơ sở dữ liệu bị hỏng). Ý tưởng là để hạn chế thiệt hại trang web của bạn gây ra trong khi cho phép bạn dọn dẹp nó.

Ý tưởng cơ bản, bạn muốn ai đó ..

  • sẽ ở xung quanh
  • không phải là một hoạt động bay qua đêm
  • sẽ làm việc với bạn
  • và cung cấp một môi trường vững chắc.

Nếu bạn muốn có một danh sách các câu hỏi để hỏi Chủ nhà để có cảm giác tốt hơn, hãy cho tôi biết.

Hi vọng điêu nay co ich.

7
Donald Champion

Hãy thử điều này quá

  • Luôn cập nhật Joomla của bạn cùng với các tiện ích mở rộng của nó.
  • Thường xuyên sao lưu trang web của bạn trong đám mây .
  • Đừng mở robots.txt cho các thư mục được bảo mật.
  • Đối với các phiên bản Joomla mới nhất, việc sử dụng xác thực hai yếu tố sẽ an toàn hơn.
  • Đảm bảo các thư mục và tệp có quyền cho phép.
  • Sử dụng Cloudfare cho Joomla .

Hy vọng nó sẽ giúp ..

6
Jobin Jose

Về cơ bản theo kinh nghiệm của tôi, với quy mô của Joomla, không có cách nào để thực sự bảo mật hoàn toàn. Vì vậy, thay vào đó là một chính sách bảo mật hoàn hảo ngăn chặn tất cả, tốt nhất là hạ thấp kỳ vọng của bạn để cố gắng và giảm thiệt hại tổng thể.

Điều này có thể được thực hiện với một chính sách sao lưu cực kỳ thường xuyên để tại bất kỳ sự xâm nhập nào, trang web có thể được khôi phục, cũng như quét phần mềm độc hại. Cho đến nay không có một hack nào chúng tôi có là do bảng quản trị của chúng tôi bị ép buộc.

Hầu hết các bản hack mà chúng ta thấy là từ các thành phần của bên thứ ba hoặc lõi Joomla, chúng ta thậm chí đã thấy các bản hack được quản lý để có được các phiên bản mới nhất của Joomla. Điều này là do hack thường có thể trông giống như một yêu cầu bình thường, sử dụng bộ lọc xấu để Đẩy tệp lên máy chủ. Khi một tệp trên máy chủ, mọi thứ đều là trò chơi công bằng, nó có thể được bật BẤT KỲ TRANG WEB trong toàn bộ máy chủ được chia sẻ và vẫn ảnh hưởng đến bạn, vì vậy nếu một người trên một máy chủ được chia sẻ không cập nhật, nó có thể ảnh hưởng đến bạn.

Điều này có thể hơi cực đoan, nhưng dựa trên kinh nghiệm cá nhân, tốt nhất nên chuẩn bị cho điều tồi tệ nhất, sau đó tự tin quá mức rằng chính sách của bạn sẽ ngăn chặn tất cả.

Vì vậy, cách tốt nhất để bảo mật cài đặt Joomla mới là sao lưu thường xuyên và cho phép quét phần mềm độc hại, nếu trình quét phần mềm độc hại có thể gửi email cho bạn ngay khi tìm thấy thứ gì đó, thì bạn có thể quay lại bản sao lưu mới nhất trong một khung thời gian rất ngắn.

5
Jordan Ramstad
  1. Thay đổi tên người dùng và giữ mật khẩu quản trị viên mạnh mẽ, sử dụng xác thực hai yếu tố (sẵn sàng cho 3.3+, cho người khác http: // www. Yetbytes.net/labs/two-factor-authentication.html )

  2. Cài đặt kSecure ( http://extensions.j Joomla.org/extensions/access-a-security/site-security/login-protection/12271 )

  3. Bảo vệ trang web của bạn khỏi các cuộc tấn công khác nhau bằng cách sử dụng htaccess này http: //docs.j Joomla.org/Htaccess_examples_ (security)

4
Shyam

Tuyến phòng thủ đầu tiên của bạn là dịch vụ lưu trữ

  • Thuê một máy chủ chuyên dụng từ một dịch vụ lưu trữ đáng tin cậy
  • Đảm bảo rằng bạn kích hoạt 2FA trên máy chủ của mình và sử dụng mật khẩu 'RẤT MẠNH M' '
  • Cài đặt tường lửa đáng tin cậy trên máy chủ của bạn - Tôi sử dụng ConfigServer
  • Cài đặt/Cấu hình chương trình chống vi-rút, tôi sử dụng ClamAV
  • Đảm bảo rằng mỗi tên người dùng trang web KHÔNG sử dụng 8 ký tự đầu tiên của tên miền và sử dụng mật khẩu 'RẤT MẠNH M' '
  • Đảm bảo mỗi trang web có chứng chỉ SSL được cài đặt
  • Đảm bảo mỗi trang web là 'Trong tù' có nghĩa là họ không có quyền truy cập root trừ khi bạn cần quyền truy cập vào root máy chủ. Trong trường hợp đó, đảm bảo bạn đã cài đặt và cấu hình Secure Shell (SSH). Tôi sử dụng trang web tên miền máy chủ của mình nhưng có tất cả các trang web khác 'Trong tù'.
  • Đảm bảo rằng tất cả các bản cập nhật máy chủ được cài đặt kịp thời !!!!

Tuyến phòng thủ tiếp theo của bạn là cPanel của bạn

  • Sử dụng mật khẩu "RẤT MẠNH"
  • Cấu hình sức mạnh mật khẩu người dùng cho người dùng
  • Thiết lập công việc định kỳ để thực hiện sao lưu toàn bộ cPanel và lưu vào nguồn bên ngoài
  • Đảm bảo rằng cPanel đã được thiết lập để sử dụng SSL để truy cập
  • Chạy 'Kiểm tra bảo mật trang web' để xem những điều chỉnh khác có thể cần thiết
  • Đảm bảo rằng tất cả các bản cập nhật cPanel được cài đặt kịp thời !!!!

Tuyến phòng thủ tiếp theo của bạn là bảng quản trị viên

  • Chỉnh sửa các yêu cầu định dạng mật khẩu để đảm bảo mật khẩu mạnh (ký tự chữ hoa/chữ thường, số và ít nhất 1 dấu chấm câu với độ dài tối thiểu là 18 ký tự.
  • Kích hoạt 2FA cho người dùng - Sử dụng cho tài khoản Siêu người dùng và Quản trị viên
  • Giới hạn số tài khoản Siêu người dùng (tốt nhất chỉ có một tài khoản)
  • Giới hạn số tài khoản Quản trị viên (càng ít càng tốt)
  • Giới hạn các khu vực mà Quản trị viên có thể truy cập
  • Giới hạn các khu vực mà Nhà xuất bản, Biên tập viên và Tác giả có thể truy cập
  • Cài đặt và cấu hình AdminTools
  • Thiết lập mật khẩu URL quản trị viên thông qua AdminTools
  • Đảm bảo rằng các tệp quan trọng (HTACCESS, ROBOTS.TXT, [ONFIG, INDEX.PHP (cả root và mẫu) được đặt thành 444. Bạn vẫn có thể chỉnh sửa các tệp qua trình quản lý tệp bảng điều khiển cPanel pr Plesk
  • Cài đặt và cấu hình AkeebaBackup
  • Định cấu hình AkeebaBackup để lưu các bản sao lưu bên ngoài, ngoại vi
  • Chỉ cài đặt tiện ích bổ sung thông qua các trang Tiện ích mở rộng Joomla, không bao giờ cài đặt tiện ích bổ sung từ bên thứ 3 không được liệt kê trên trang Tiện ích mở rộng Joomla.
  • Vô hiệu hóa và/hoặc gỡ cài đặt các tiện ích bổ sung không được sử dụng và không cần thiết cho chức năng Joomla
  • Cài đặt Joomla và cập nhật tiện ích kịp thời !!!

Tôi chắc chắn có những bước khác nhưng đây là những bước chính mà tôi sử dụng trên máy chủ của mình lưu trữ hơn 70 trang web trên toàn quốc. Gần đây tôi đã có một cuộc tấn công lớn tương tự như một cuộc tấn công DDoS và không có một trang web nào được truy cập. Tôi cảm thấy cao 10 feet và chống đạn nhưng tôi biết tôi không thể tự mãn vì ngày mai là một ngày khác! LOL

3
Luke Douglas

Mượn danh sách này từ một whitepaper "Pen-tests a Joomla site" được tìm thấy trên blog. Tôi nghĩ rằng danh sách này là một hướng dẫn kỹ lưỡng cho những điều cơ bản về bảo mật Joomla.

  1. Luôn cập nhật cho bạn Joomla. Cài đặt bản nâng cấp mới nhất ngay khi bản nâng cấp được phát hành.
  2. Bất kỳ tiện ích mở rộng nào đang được sử dụng, chúng phải được vá đúng cách với các bản phát hành nâng cấp mới nhất. Bất kỳ tiện ích mở rộng cũ nào cũng có thể cung cấp cho kẻ tấn công một cách để thỏa hiệp trang web.
  3. Không sử dụng các tiện ích mở rộng chưa được sử dụng hoặc chưa được kiểm tra đúng cách.
  4. Tất cả các đầu vào của người dùng phải được xác nhận hợp lệ. Các đầu vào này có thể là đầu vào dưới dạng, URI, tải lên hình ảnh, v.v ... Giả sử nếu nút BROWSE cho phép người dùng tải lên hình ảnh, nó chỉ phải cho phép anh ta tải lên hình ảnh chứ không phải là PHP Shell mà sau này có thể hoạt động như một cửa hậu trên máy chủ.
  5. Sử dụng mật khẩu mạnh cho tất cả các thông tin đăng nhập. Ít nhất 8 ký tự, một ký tự đặc biệt, một số và một chữ cái phân biệt chữ hoa chữ thường. Nó sẽ bảo vệ cài đặt của bạn khỏi một lực lượng vũ phu.

  6. Luôn theo dõi các lượt truy cập mới nhất của tập tin trên máy chủ Web để bắt các cuộc tấn công tiềm năng. Không bao giờ coi các tệp nhật ký của bạn chỉ là một phần thông tin. Nó rất hữu ích trong việc theo dõi và giám sát người dùng.

  7. Đặt một số căng thẳng để thực hiện bảo mật hơn cho toàn bộ máy chủ mà trang web dựa trên Joomla của bạn được lưu trữ; được lưu trữ trên máy chủ được chia sẻ hoặc một máy chủ chuyên dụng.

  8. Lập danh sách tất cả các tiện ích mở rộng bạn sử dụng và tiếp tục theo dõi chúng.

  9. Giữ cho mình cập nhật với các lỗ hổng và tiết lộ mới nhất tại các tư vấn bảo mật khác nhau. Khai thác-db, osvdb, CVE, vv là một số tài nguyên tốt.

  10. Thay đổi quyền trên tệp .htaccess của bạn theo mặc định bằng cách sử dụng quyền ghi (vì Joomla phải cập nhật tệp). Cách thực hành tốt nhất là sử dụng 444 (r-xr-xr-x).

  11. Quyền truy cập tệp thích hợp trên các thư mục công cộng phải được cung cấp sao cho mọi tệp độc hại không được tải lên hoặc thực thi. Thực tiễn tốt nhất trong bối cảnh này là 766 (rwxrw-rw-), tức là chỉ Chủ sở hữu mới có thể đọc, viết và thực thi. Những người khác chỉ có thể đọc và viết.

  12. Không ai phải có quyền ghi vào các tệp PHP trên máy chủ. Tất cả chúng phải được đặt bằng 444 (r r r r r r r)), mọi người chỉ có thể đọc.

  13. Phân công vai trò. Nó làm cho tài khoản Administrator của bạn an toàn. Trong trường hợp ai đó xâm nhập vào máy của bạn, nó phải chỉ có quyền truy cập vào người dùng tương ứng chứ không phải tài khoản quản trị viên.

  14. Người dùng cơ sở dữ liệu chỉ phải có quyền đưa ra các lệnh như các hàng INSERT, UPDATE và DELETE. Họ không được phép DROP bảng.

  15. Thay đổi tên của các thư mục phụ trợ, ví dụ: bạn có thể thay đổi/quản trị viên thành/admin12345. 16. Cuối cùng nhưng không kém phần quan trọng, hãy cập nhật các lỗ hổng mới nhất.

3
FFrewin