Câu trả lời:
Giữ một trang web Joomla an toàn
Để biết hướng dẫn chi tiết hơn, xem Danh sách kiểm tra bảo mật chính thức .
Điều rất quan trọng để lưu trữ các bản sao lưu trên một máy chủ riêng biệt. Tôi thấy rất nhiều người đang trung thành chạy Akeeba Backups ... và họ đang được lưu trữ trên cùng một máy chủ trong cùng thư mục gốc. Không hữu ích nếu bạn bị hack một cách nghiêm trọng, và chắc chắn không hữu ích để phục hồi từ một lỗi lưu trữ.
Akeeba Backup Pro cho phép bạn lưu trữ và quản lý các tệp sao lưu trong bộ nhớ ngoài như đám mây Amazon.
Thay thế cho tệp .htaccess hoặc khóa nó bằng IP, bạn cũng có thể sử dụng jSecure để bảo mật đăng nhập quản trị viên của mình.
Một điều chưa được đề cập là sử dụng một nhà cung cấp dịch vụ lưu trữ có uy tín. Bạn muốn một cái không chỉ theo kịp bảo mật mà còn hoạt động với bạn nếu bạn bị hack hoặc có vấn đề (ví dụ cơ sở dữ liệu bị hỏng). Ý tưởng là để hạn chế thiệt hại trang web của bạn gây ra trong khi cho phép bạn dọn dẹp nó.
Ý tưởng cơ bản, bạn muốn ai đó ..
Nếu bạn muốn có một danh sách các câu hỏi để hỏi chủ nhà để có cảm giác tốt hơn, hãy cho tôi biết.
Hi vọng điêu nay co ich.
Hãy thử điều này quá
robots.txt
cho các thư mục bảo mật.Hy vọng nó sẽ giúp ..
Về cơ bản theo kinh nghiệm của tôi, với quy mô của Joomla, không có cách nào để thực sự bảo mật hoàn toàn. Vì vậy, thay vào đó là một chính sách bảo mật hoàn hảo ngăn chặn tất cả, tốt nhất là hạ thấp kỳ vọng của bạn để thử và giảm thiệt hại tổng thể.
Điều này có thể được thực hiện với một chính sách sao lưu cực kỳ thường xuyên để tại bất kỳ sự xâm nhập nào, trang web có thể được khôi phục, cũng như quét phần mềm độc hại. Cho đến nay, không có một hack nào chúng tôi có là do bảng quản trị của chúng tôi bị ép buộc.
Hầu hết các bản hack mà chúng ta thấy là từ các thành phần của bên thứ ba hoặc lõi Joomla, chúng ta thậm chí đã thấy các bản hack được quản lý để có được các phiên bản mới nhất của Joomla. Điều này là do hack thường có thể trông giống như một yêu cầu bình thường, sử dụng bộ lọc xấu để đẩy tệp lên máy chủ. Khi một tệp trên máy chủ, mọi thứ đều là trò chơi công bằng, nó có thể ở trên bất kỳ trang web nào trong toàn bộ máy chủ được chia sẻ và vẫn ảnh hưởng đến bạn, vì vậy nếu một người trên máy chủ dùng chung không cập nhật, nó có thể ảnh hưởng đến bạn.
Điều này có thể hơi cực đoan, nhưng dựa trên kinh nghiệm cá nhân, tốt nhất nên chuẩn bị cho điều tồi tệ nhất, sau đó tự tin quá mức rằng chính sách của bạn sẽ ngăn chặn tất cả.
Vì vậy, cách tốt nhất để bảo mật cài đặt Joomla mới là sao lưu thường xuyên và cho phép quét phần mềm độc hại, nếu trình quét phần mềm độc hại có thể gửi email cho bạn ngay khi tìm thấy thứ gì đó, thì bạn có thể quay lại bản sao lưu mới nhất trong một khung thời gian rất ngắn.
Thay đổi tên người dùng và giữ mật khẩu quản trị viên mạnh mẽ, sử dụng xác thực hai yếu tố (sẵn sàng cho 3.3+, cho những người khác http: // www. Yetbytes.net/labs/two-factor-authentication.html )
Cài đặt kSecure ( http ://extensions.j Joomla.org/extensions/access-a-security/site-security/login-protection/12271 )
Bảo vệ trang web của bạn khỏi các cuộc tấn công khác nhau bằng cách sử dụng htaccess này http: //docs.j Joomla.org/Htaccess_examples_(security )
Mượn danh sách này từ một whitepaper "Pen-tests a Joomla site" được tìm thấy trên blog. Tôi nghĩ rằng danh sách này là một hướng dẫn kỹ lưỡng cho những điều cơ bản về bảo mật Joomla.
Sử dụng mật khẩu mạnh cho tất cả các thông tin đăng nhập. Ít nhất 8 ký tự, một ký tự đặc biệt, một số và một chữ cái phân biệt chữ hoa chữ thường. Nó sẽ bảo vệ cài đặt của bạn khỏi một lực lượng vũ phu.
Luôn theo dõi các khách truy cập mới nhất trên mạng trong các tệp nhật ký của Máy chủ Web để bắt các cuộc tấn công tiềm năng. Không bao giờ coi các tệp nhật ký của bạn chỉ là một phần thông tin. Nó rất hữu ích trong việc theo dõi và giám sát người dùng.
Đặt một số căng thẳng để thực hiện bảo mật hơn cho toàn bộ máy chủ mà trang web dựa trên Joomla của bạn được lưu trữ; được lưu trữ trên máy chủ được chia sẻ hoặc một máy chủ chuyên dụng.
Lập danh sách tất cả các tiện ích mở rộng bạn sử dụng và tiếp tục theo dõi chúng.
Giữ cho mình cập nhật với các lỗ hổng và tiết lộ mới nhất tại các tư vấn bảo mật khác nhau. Khai thác-db, osvdb, CVE, vv là một số tài nguyên tốt.
Thay đổi quyền trên tệp .htaccess của bạn theo mặc định bằng cách sử dụng quyền ghi (vì Joomla phải cập nhật tệp). Cách thực hành tốt nhất là sử dụng 444 (r-xr-xr-x).
Quyền truy cập tệp thích hợp trên các thư mục công cộng phải được cung cấp sao cho mọi tệp độc hại không được tải lên hoặc thực thi. Thực tiễn tốt nhất trong bối cảnh này là 766 (rwxrw-rw-), tức là chỉ Chủ sở hữu mới có thể đọc, viết và thực thi. Những người khác chỉ có thể đọc và viết.
Không ai phải có quyền ghi vào các tệp PHP trên máy chủ. Tất cả đều phải được đặt với 444 (r r r r r r r), mọi người chỉ có thể đọc.
Phân công vai trò. Nó làm cho tài khoản Administrator của bạn an toàn. Trong trường hợp ai đó xâm nhập vào máy của bạn, nó phải chỉ có quyền truy cập vào người dùng tương ứng chứ không phải tài khoản quản trị viên.
Người dùng cơ sở dữ liệu chỉ phải có quyền đưa ra các lệnh như các hàng INSERT, UPDATE và DELETE. Họ không được phép DROP bảng.
Thay đổi tên của các thư mục phụ trợ, ví dụ: bạn có thể thay đổi / quản trị viên thành / admin12345. 16. Cuối cùng nhưng không kém phần quan trọng, hãy cập nhật các lỗ hổng mới nhất.
Tuyến phòng thủ đầu tiên của bạn là dịch vụ lưu trữ
Tuyến phòng thủ tiếp theo của bạn là cPanel của bạn
Tuyến phòng thủ tiếp theo của bạn là bảng quản trị viên
Tôi chắc chắn có những bước khác nhưng đây là những bước chính mà tôi sử dụng trên máy chủ của mình lưu trữ hơn 70 trang web trên toàn quốc. Gần đây tôi đã có một cuộc tấn công lớn tương tự như một cuộc tấn công DDoS và không có một trang web nào được truy cập. Tôi cảm thấy cao 10 feet và chống đạn nhưng tôi biết tôi không thể tự mãn vì ngày mai là một ngày khác! LOL
Tôi không phải là người hâm mộ của xác thực hai yếu tố
Cài đặt Công cụ quản trị Akeeba, bật htaccess nâng cao, kiểm tra các tùy chọn và tường lửa phần mềm
https://www.akeebabackup.com/doad/admin-tools.html