13 mẹo bảo mật tốt hơn cho Joomla CMS

Quản Trị Mạng - Với sự phổ biến mạnh của Joomla hiện nay thì không có gì bất ngờ nếu nhiều hacker lấy nó làm mục tiêu chính. Tuy nhiên, bạn không cần lo lắng. Có một số việc bạn có thể làm để tăng cường bảo mật cho website của mình, bài viết này sẽ đưa ra các giải pháp đó. Joomla phát triển phổ biến như là một CMS mã nguồn mở, nó ngày càng được nhiều cá nhân và doanh nghiệp sử dụng làm nền tảng cho các sản phẩm và dịch vụ trực tuyến của họ....
Nội dung trích xuất từ tài liệu:
13 mẹo bảo mật tốt hơn cho Joomla CMS 13 mẹo bảo mật tốt hơn cho Joomla CMSQuản Trị Mạng - Với sự phổ biến mạnh của Joomla hiện nay thì không có gì bất ngờnếu nhiều hacker lấy nó làm mục tiêu chính. Tuy nhiên, bạn không cần lo lắng. Cómột số việc bạn có thể làm để tăng cường bảo mật cho website của mình, bài viết nàysẽ đưa ra các giải pháp đó.Joomla phát triển phổ biến như là một CMS mã nguồn mở, nó ngày càng được nhiều cánhân và doanh nghiệp sử dụng làm nền tảng cho các sản phẩm và dịch vụ trực tuyến củahọ. Trên thực tế, hơn 2.5% các trang web chạy Joomla CMS - đây là mục tiêu tốt đểhacker tấn công.Joomla miễn phí và có tận hơn 8.600 cài đặt mở rộng (extension) cho phép làm được hầuhết những gì bạn muốn trên CMS. Thêm vào đó là một cộng đồng phát triển mạnh mẽcàng giúp bạn thấy rằng đây là một sản phẩm hấp dẫn và cũng hấp dẫn cả các hacker. Vìlý do đó, bạn cần thực hiện một vài việc khi sử dụng nền tảng này để ngăn chặn các cuộctấn công và tăng cường bảo mật cho CMS của mình.Cơ sở hạ tầng cài đặt nền tảng này chỉ là một trong các điểm yếu của hệ thống, phần lớnvấn đề bảo mật của nó liên quan tới mã code của Joomla. Hầu hết các vấn đề đều phátsinh từ phiên bản cũ, không được cập nhật bản vá thường xuyên hoặc đôi khi là do các càiđặt mở rộng (extension) của bên thứ ba.1. Máy chủ và HostKhông có quyết định nào quan trọng bằng việc lựa chọn máy chủ hay host phù hợp. Nhiềuvấn đề có thể phát sinh do máy chủ/host chưa được cập nhật bản vá, một số cổng còn mởhoặc bảo mật lưu trữ chia sẻ kém. Ngay kể cả khi máy chủ đã được thiết lập đúng cáchnhưng hệ thống vẫn có thể bị tấn công do một website khác lưu trữ cùng trên máy chủ đócó độ an toàn kém. Nếu bạn đang sử dụng một host kém hãy suy nghĩ tới vấn đề đổi nhàcung cấp hoặc tốt nhất là thay hẳn bằng một máy chủ riêng biệt để không gặp các vấn đềvề bảo mật chia sẻ.Hiện nay có một số nhà cung cấp Hosting nổi tiếng và khá an toàn như Brinkster hayGodaddy.Lưu trữ trang web của bạn trên một máy chủ chạy PHP 5.2 hoặc tốt hơn trong chế độ CGIvới Su_PHP. Su_PHP về cơ bản là cho phép việc thực thi kịch bản dưới một tài khoảnngười dùng cụ thể, trái ngược với tài khoản mặc định của Apache. Điều này giúp bạn dễdàng xác định và theo dõi các phạm vi bảo mật.Đảm bảo rằng bạn đang sử dụng phiên bản Apache mới nhất và cấu hình Apache khôngcho phép duyệt web/lập chỉ mục (browsing/indexing). Các quản lý CNTT cũng cần phảiđảm bảo có các thiết lập thích hợp cho vị trí lưu trữ file .htaccess, serverconfig và php.ini.2. Kích hoạt và sử dụng file htaccessTheo mặc định, các tập tin htaccess không được sử dụng. Hãy chắc chắn rằng bạn đổi tênnó từ .htaccess.txt sang .htaccess, sau đó nó cần phải được đặt trong thư mục gốc củawebsite. Bạn cũng có thể thêm một số quy tắc rewrite cho nó để ngăn chặn khả năng bịkhai thác. Bạn có thể tìm thấy hướng dẫn chỉnh sửa các tập tin htaccess tại đây. Điều nàysẽ thêm được một lớp bảo vệ bổ xung cho hệ thống.3. Sử dụng các tài khoản và PermissionJoomla hoạt động tốt ngay từ đầu sau khi cài đặt đúng cách lên máy chủ. Bạn cần thiết lậptoàn bộ các file CHMOD sang 644 và các thư mục sang 755. Có một số ngoại lệ cho quytắc này như file configuration.php sẽ chuyển CHMOD sang 640. Phải đảm bảo là khôngcó gì được thiết lập sang tới 777.Tên tài khoản quản trị mặc định thường là admin, bạn phải thay đổi ngay tên tài khoảnnày. Nó sẽ làm cho hacker khó khăn hơn một chút trong việc tìm kiếm chi tiết tên tàikhoản.4. Sao lưu và xử lý sự cốHãy dành thời gian để xem xét đến một kế hoạch xử lý sự cố trước chứ không phải saukhi website của bạn bị hacker ghé thăm. Lập trước các phác thảo những gì sẽ xảy ra nếubạn trở thành nạn nhân. Phải ghi nhớ: Backup sớm và thường xuyên. Nếu bước nàythực hiện tốt thì áp lực lớn nhất khi website bị tấn công đã không còn, vì dữ liệu là quantrọng nhất thì bạn đã luôn backup rồi. Thực hiện backup hàng ngày hoặc thậm chí - nếu cóthể - là hàng giờ để đảm bảo khi khôi phục lại thì website của bạn không có thời gian chếthoặc mất dữ liệu. Khi đã luôn sẵn có một bản backup rồi thì việc cần lo duy nhất khi cóvấn đề xảy ra là tìm kiếm lỗ hổng trên website.5. Quản lý cẩn thận các cài đặt mở rộng (extension)Phần mở rộng của bên thứ ba chính là thứ khiến Joomla trở nên cực kỳ phổ biến, nhưngnó cũng nhiều lần là con đường để đi vào website của bạn. Mỗi phần mở rộng khác nhaulà một đối tượng mà bạn cần cập nhật các bản vá một cách thường xuyên. Đây cũng chínhlà lý do mà bạn cần xem xét chỉ cài đặt những mở rộng thực sự cần thiết. Bạn nên chắcchắn thực hiện các bước sau: Thực hiện code review cho bất kỳ phần mở rộng nào sử dụng. Chạy một bộ kiểm tra (có rất nhiều trên mạng) và xem xét lại kết quả. Cập nhật và vá lỗi cho phần mở rộng khi cần thiết.Hãy nhớ rằng, một phần mở rộng không an toàn có thể gây hại cho toàn bộ website củabạn.6. Xóa bỏ số phiên bản của cài đặt mở rộngThông thường, các khai thác thường c ...