Làm thế nào để bảo mật cài đặt Joomla mới?


34

Những hành động mà người ta nên làm sau khi cài đặt Joomla mới để giữ an toàn là gì? Cả trên máy chủ lưu trữ được chia sẻ và những người chuyên dụng.


1
@ Quản trị viên: những gì về một wiki cộng đồng cho câu hỏi này ??
MattAllegro

Câu trả lời:


36

Giữ một trang web Joomla an toàn

  1. Sử dụng mật khẩu mạnh.
  2. Giảm thiểu số lượng tài khoản quản trị viên.
  3. Vô hiệu hóa hoặc xóa tài khoản người dùng không sử dụng.
  4. Giảm thiểu số lượng tiện ích mở rộng của bên thứ ba và khi cần tiện ích mở rộng của bên thứ ba, hãy sử dụng các tiện ích mở rộng được hỗ trợ tốt từ các nhà phát triển được thành lập mà bạn tin tưởng.
  5. Thường xuyên áp dụng các bản cập nhật mới nhất cho các phần mở rộng của Joomla và bên thứ ba, bao gồm các hotfix bảo mật cho các phiên bản Joomla EOL nếu có.
  6. Theo dõi nguồn cấp tin tức bảo mật Joomla để bạn được thông báo về các cập nhật bảo mật cốt lõi của Joomla
  7. Đăng ký Danh sách tiện ích mở rộng dễ bị tổn thương của Joomla (VEL) để có thể nhanh chóng tham gia vào các lỗ hổng mới. Cuộn xuống cuối trang cho liên kết đăng ký - bạn cũng có thể theo dõi VEL trên Twitter .
  8. Sử dụng lưu trữ web an toàn chất lượng tốt bao gồm một trình xử lý tệp PHP thích hợp như suPHP hoặc FastCGI và các phần mở rộng bảo mật như mod_security. Sử dụng một phiên bản PHP được hỗ trợ .
  9. Thay vì chỉ dựa vào các bản sao lưu của công ty lưu trữ web, hãy thường xuyên thực hiện sao lưu trang web của riêng bạn, sao chép các tệp sao lưu ngoài trang web và thường xuyên chạy thử khôi phục đến một vị trí kiểm tra để kiểm tra chất lượng của các bản sao lưu của bạn.
  10. Kích hoạt https.
  11. Triển khai tường lửa ứng dụng web như được cung cấp với phiên bản chuyên nghiệp của Công cụ quản trị Akeeba.
  12. Đừng sử dụng tiền tố bảng tiêu chuẩn.
  13. Thay đổi tên và ID người dùng Super Administrator mặc định thành tên khác. Phiên bản chuyên nghiệp của Công cụ quản trị Akeeba có một công cụ để thay đổi Super Administrator ID.
  14. Hạn chế quyền truy cập vào Quản trị viên Joomla bằng IP. Chỉ cho phép IP đáng tin cậy.
  15. Cho phép xác thực 2 yếu tố cho tài khoản quản trị viên (áp dụng cho Joomla 3.2 trở lên).
  16. Lặp lại các bước trên cho các trang web khác có chung tài khoản lưu trữ hoặc lý tưởng nhất là tách các trang web thành tài khoản lưu trữ web của riêng chúng để tránh lây nhiễm chéo.
  17. Đảm bảo máy tính cá nhân của quản trị viên trang web được bảo mật tương tự. Ví dụ, triển khai một trình quét virus và phần mềm độc hại chất lượng tốt. Điều này giúp bảo vệ bất kỳ thông tin đăng nhập trang web được lưu trữ trên máy tính cá nhân. Tốt nhất là sử dụng một công cụ hoặc ứng dụng mã hóa để lưu trữ trang web và các thông tin khác.
  18. Đọc 10 thủ thuật quản trị ngu ngốc nhất để biết thông tin về những việc không nên làm.

Để biết hướng dẫn chi tiết hơn, xem Danh sách kiểm tra bảo mật chính thức .


Danh sách này có thể có thể được thêm vào (thoải mái chỉnh sửa). :)
Neil Robertson

2
Có lẽ bạn có thể liên kết đến "danh sách tiện ích mở rộng dễ bị tổn thương"? (Tôi dường như không thể chỉnh sửa câu trả lời của bạn vì một số lý do; tôi có thể chỉnh sửa câu hỏi khác không?)
MrWhite

Cảm ơn @ w3d - Tôi đã thêm một liên kết đến trang đăng ký VEL và cả nguồn cấp dữ liệu Joomla Security News nữa.
Neil Robertson

14

Điều rất quan trọng để lưu trữ các bản sao lưu trên một máy chủ riêng biệt. Tôi thấy rất nhiều người đang trung thành chạy Akeeba Backups ... và họ đang được lưu trữ trên cùng một máy chủ trong cùng thư mục gốc. Không hữu ích nếu bạn bị hack một cách nghiêm trọng, và chắc chắn không hữu ích để phục hồi từ một lỗi lưu trữ.

Akeeba Backup Pro cho phép bạn lưu trữ và quản lý các tệp sao lưu trong bộ nhớ ngoài như đám mây Amazon.


4
Nó cũng quan trọng để kiểm tra sao lưu của bạn để nén bị hỏng sau khi chuyển từ thư mục lưu trữ của bạn. Một bản sao lưu bị hỏng là không có bản sao lưu. Điều này áp dụng cho tất cả các hệ thống sao lưu, Akeeba, CPanel, v.v.
UhlBelk

7

Thay thế cho tệp .htaccess hoặc khóa nó bằng IP, bạn cũng có thể sử dụng jSecure để bảo mật đăng nhập quản trị viên của mình.

Một điều chưa được đề cập là sử dụng một nhà cung cấp dịch vụ lưu trữ có uy tín. Bạn muốn một cái không chỉ theo kịp bảo mật mà còn hoạt động với bạn nếu bạn bị hack hoặc có vấn đề (ví dụ cơ sở dữ liệu bị hỏng). Ý tưởng là để hạn chế thiệt hại trang web của bạn gây ra trong khi cho phép bạn dọn dẹp nó.

Ý tưởng cơ bản, bạn muốn ai đó ..

  • sẽ ở xung quanh
  • không phải là một hoạt động bay qua đêm
  • sẽ làm việc với bạn
  • và cung cấp một môi trường vững chắc.

Nếu bạn muốn có một danh sách các câu hỏi để hỏi chủ nhà để có cảm giác tốt hơn, hãy cho tôi biết.

Hi vọng điêu nay co ich.


6

Hãy thử điều này quá

  • Luôn cập nhật Joomla của bạn cùng với các tiện ích mở rộng của nó.
  • Giữ bản sao lưu thường xuyên của trang web của bạn trong các đám mây .
  • Không mở robots.txtcho các thư mục bảo mật.
  • Đối với các phiên bản Joomla mới nhất, việc sử dụng xác thực hai yếu tố sẽ an toàn hơn.
  • Đảm bảo các thư mục và tệp có quyền cho phép.
  • Sử dụng Cloudfare cho Joomla .

Hy vọng nó sẽ giúp ..


5

Về cơ bản theo kinh nghiệm của tôi, với quy mô của Joomla, không có cách nào để thực sự bảo mật hoàn toàn. Vì vậy, thay vào đó là một chính sách bảo mật hoàn hảo ngăn chặn tất cả, tốt nhất là hạ thấp kỳ vọng của bạn để thử và giảm thiệt hại tổng thể.

Điều này có thể được thực hiện với một chính sách sao lưu cực kỳ thường xuyên để tại bất kỳ sự xâm nhập nào, trang web có thể được khôi phục, cũng như quét phần mềm độc hại. Cho đến nay, không có một hack nào chúng tôi có là do bảng quản trị của chúng tôi bị ép buộc.

Hầu hết các bản hack mà chúng ta thấy là từ các thành phần của bên thứ ba hoặc lõi Joomla, chúng ta thậm chí đã thấy các bản hack được quản lý để có được các phiên bản mới nhất của Joomla. Điều này là do hack thường có thể trông giống như một yêu cầu bình thường, sử dụng bộ lọc xấu để đẩy tệp lên máy chủ. Khi một tệp trên máy chủ, mọi thứ đều là trò chơi công bằng, nó có thể ở trên bất kỳ trang web nào trong toàn bộ máy chủ được chia sẻ và vẫn ảnh hưởng đến bạn, vì vậy nếu một người trên máy chủ dùng chung không cập nhật, nó có thể ảnh hưởng đến bạn.

Điều này có thể hơi cực đoan, nhưng dựa trên kinh nghiệm cá nhân, tốt nhất nên chuẩn bị cho điều tồi tệ nhất, sau đó tự tin quá mức rằng chính sách của bạn sẽ ngăn chặn tất cả.

Vì vậy, cách tốt nhất để bảo mật cài đặt Joomla mới là sao lưu thường xuyên và cho phép quét phần mềm độc hại, nếu trình quét phần mềm độc hại có thể gửi email cho bạn ngay khi tìm thấy thứ gì đó, thì bạn có thể quay lại bản sao lưu mới nhất trong một khung thời gian rất ngắn.


"Giảm tiêu chuẩn của bạn xuống" ??? Điều đó có thể đã được "cải thiện tiêu chuẩn của bạn?
chesedo

Hình này sẽ giảm phiếu, tôi không muốn ai nghĩ rằng nếu họ làm theo hướng dẫn thì họ an toàn. Mete đưa tiêu chuẩn của bạn xuống như không mong muốn không bị hack, nhưng thay vào đó hãy chuẩn bị cho nó xảy ra. Hầu hết những người tôi biết có thể sao lưu mỗi tuần một lần hoặc mỗi tháng một lần vì họ cảm thấy bị hack là rất hiếm, nhưng thực tế không phải vậy.
Jordan Ramstad

Sau đó, bạn có thể đã sử dụng "làm giảm sự mong đợi của bạn " (không bị hack) :)
chesedo

Tốt lưu ý, chỉnh sửa rằng, cảm ơn bạn. Không cố nói bất cứ điều gì tồi tệ về Joomla, tôi yêu nó, nó chỉ chiến đấu với hack là không bao giờ biến mất, vì vậy tốt nhất nên chuẩn bị :).
Jordan Ramstad

Hoàn toàn chính xác - đôi khi cách tốt nhất để giúp đỡ là thẳng thắn :).
chesedo

4
  1. Thay đổi tên người dùng và giữ mật khẩu quản trị viên mạnh mẽ, sử dụng xác thực hai yếu tố (sẵn sàng cho 3.3+, cho những người khác http: // www. Yetbytes.net/labs/two-factor-authentication.html )

  2. Cài đặt kSecure ( http ://extensions.j Joomla.org/extensions/access-a-security/site-security/login-protection/12271 )

  3. Bảo vệ trang web của bạn khỏi các cuộc tấn công khác nhau bằng cách sử dụng htaccess này http: //docs.j Joomla.org/Htaccess_examples_(security )


3

Mượn danh sách này từ một whitepaper "Pen-tests a Joomla site" được tìm thấy trên blog. Tôi nghĩ rằng danh sách này là một hướng dẫn kỹ lưỡng cho những điều cơ bản về bảo mật Joomla.

  1. Luôn cập nhật cho bạn Joomla. Cài đặt bản nâng cấp mới nhất ngay khi bản nâng cấp được phát hành.
  2. Bất kỳ tiện ích mở rộng nào đang được sử dụng, chúng phải được vá đúng cách với các bản phát hành nâng cấp mới nhất. Bất kỳ tiện ích mở rộng cũ nào cũng có thể cung cấp cho kẻ tấn công một cách để thỏa hiệp trang web.
  3. Không sử dụng các tiện ích mở rộng chưa được sử dụng hoặc chưa được kiểm tra đúng cách.
  4. Tất cả các đầu vào của người dùng phải được xác nhận hợp lệ. Các đầu vào này có thể là đầu vào dưới dạng, URI, tải lên hình ảnh, v.v ... Giả sử nếu nút BROWSE cho phép người dùng tải lên hình ảnh, thì nó chỉ phải cho phép anh ta tải lên hình ảnh chứ không phải vỏ PHP mà sau này có thể hoạt động như một cửa hậu máy chủ.
  5. Sử dụng mật khẩu mạnh cho tất cả các thông tin đăng nhập. Ít nhất 8 ký tự, một ký tự đặc biệt, một số và một chữ cái phân biệt chữ hoa chữ thường. Nó sẽ bảo vệ cài đặt của bạn khỏi một lực lượng vũ phu.

  6. Luôn theo dõi các khách truy cập mới nhất trên mạng trong các tệp nhật ký của Máy chủ Web để bắt các cuộc tấn công tiềm năng. Không bao giờ coi các tệp nhật ký của bạn chỉ là một phần thông tin. Nó rất hữu ích trong việc theo dõi và giám sát người dùng.

  7. Đặt một số căng thẳng để thực hiện bảo mật hơn cho toàn bộ máy chủ mà trang web dựa trên Joomla của bạn được lưu trữ; được lưu trữ trên máy chủ được chia sẻ hoặc một máy chủ chuyên dụng.

  8. Lập danh sách tất cả các tiện ích mở rộng bạn sử dụng và tiếp tục theo dõi chúng.

  9. Giữ cho mình cập nhật với các lỗ hổng và tiết lộ mới nhất tại các tư vấn bảo mật khác nhau. Khai thác-db, osvdb, CVE, vv là một số tài nguyên tốt.

  10. Thay đổi quyền trên tệp .htaccess của bạn theo mặc định bằng cách sử dụng quyền ghi (vì Joomla phải cập nhật tệp). Cách thực hành tốt nhất là sử dụng 444 (r-xr-xr-x).

  11. Quyền truy cập tệp thích hợp trên các thư mục công cộng phải được cung cấp sao cho mọi tệp độc hại không được tải lên hoặc thực thi. Thực tiễn tốt nhất trong bối cảnh này là 766 (rwxrw-rw-), tức là chỉ Chủ sở hữu mới có thể đọc, viết và thực thi. Những người khác chỉ có thể đọc và viết.

  12. Không ai phải có quyền ghi vào các tệp PHP trên máy chủ. Tất cả đều phải được đặt với 444 (r r r r r r r), mọi người chỉ có thể đọc.

  13. Phân công vai trò. Nó làm cho tài khoản Administrator của bạn an toàn. Trong trường hợp ai đó xâm nhập vào máy của bạn, nó phải chỉ có quyền truy cập vào người dùng tương ứng chứ không phải tài khoản quản trị viên.

  14. Người dùng cơ sở dữ liệu chỉ phải có quyền đưa ra các lệnh như các hàng INSERT, UPDATE và DELETE. Họ không được phép DROP bảng.

  15. Thay đổi tên của các thư mục phụ trợ, ví dụ: bạn có thể thay đổi / quản trị viên thành / admin12345. 16. Cuối cùng nhưng không kém phần quan trọng, hãy cập nhật các lỗ hổng mới nhất.


Quảng cáo đề xuất thêm 12: không ai ngoại trừ máy chủ Web cũng phải có quyền đọc các tệp PHP trên máy chủ. Đặt người dùng thành người dùng của máy chủ Web (dữ liệu www hoặc http) và đặt nó thành 400 hoặc 600 cho các tệp có thể chỉnh sửa thông qua phụ trợ (css, ...).
Tom Kuschel

3

Tuyến phòng thủ đầu tiên của bạn là dịch vụ lưu trữ

  • Thuê một máy chủ chuyên dụng từ một dịch vụ lưu trữ đáng tin cậy
  • Đảm bảo rằng bạn kích hoạt 2FA trên máy chủ của mình và sử dụng mật khẩu 'RẤT MẠNH M' '
  • Cài đặt tường lửa đáng tin cậy trên máy chủ của bạn - Tôi sử dụng ConfigServer
  • Cài đặt / Cấu hình chương trình chống vi-rút, tôi sử dụng ClamAV
  • Đảm bảo rằng mỗi tên người dùng trang web KHÔNG sử dụng 8 ký tự đầu tiên của tên miền và sử dụng mật khẩu 'RẤT MẠNH M' '
  • Đảm bảo mỗi trang web có chứng chỉ SSL được cài đặt
  • Đảm bảo mỗi trang web là 'Trong tù' có nghĩa là họ không có quyền truy cập root trừ khi bạn cần quyền truy cập vào root máy chủ. Trong trường hợp đó, đảm bảo bạn đã cài đặt và cấu hình Secure Shell (SSH). Tôi sử dụng trang web tên miền máy chủ của mình nhưng có tất cả các trang web khác 'Trong tù'.
  • Đảm bảo rằng tất cả các bản cập nhật máy chủ được cài đặt kịp thời !!!!

Tuyến phòng thủ tiếp theo của bạn là cPanel của bạn

  • Sử dụng mật khẩu "RẤT MẠNH"
  • Cấu hình sức mạnh mật khẩu người dùng cho người dùng
  • Thiết lập công việc định kỳ để thực hiện sao lưu toàn bộ cPanel và lưu vào nguồn bên ngoài
  • Đảm bảo rằng cPanel đã được thiết lập để sử dụng SSL để truy cập
  • Chạy 'Kiểm tra bảo mật trang web' để xem những điều chỉnh khác có thể cần thiết
  • Đảm bảo rằng tất cả các bản cập nhật cPanel được cài đặt kịp thời !!!!

Tuyến phòng thủ tiếp theo của bạn là bảng quản trị viên

  • Chỉnh sửa các yêu cầu định dạng mật khẩu để đảm bảo mật khẩu mạnh (ký tự chữ hoa / thường, số và ít nhất 1 dấu chấm câu với độ dài tối thiểu là 18 ký tự.
  • Kích hoạt 2FA cho người dùng - Sử dụng cho tài khoản Siêu người dùng và Quản trị viên
  • Giới hạn số tài khoản Siêu người dùng (tốt nhất chỉ có một)
  • Giới hạn số tài khoản Quản trị viên (càng ít càng tốt)
  • Giới hạn các khu vực mà Quản trị viên có thể truy cập
  • Giới hạn các khu vực mà Nhà xuất bản, Biên tập viên và Tác giả có thể truy cập
  • Cài đặt và cấu hình AdminTools
  • Thiết lập mật khẩu URL quản trị viên thông qua AdminTools
  • Đảm bảo rằng các tệp quan trọng (HTACCESS, ROBOTS.TXT, [ONFIG, INDEX.PHP (cả root và mẫu) được đặt thành 444. Bạn vẫn có thể chỉnh sửa các tệp qua trình quản lý tệp bảng điều khiển cPanel pr Plesk
  • Cài đặt và cấu hình AkeebaBackup
  • Định cấu hình AkeebaBackup để lưu các bản sao lưu bên ngoài, ngoại vi
  • Chỉ cài đặt tiện ích bổ sung thông qua các trang Tiện ích mở rộng Joomla, không bao giờ cài đặt tiện ích bổ sung từ bên thứ 3 không được liệt kê trên trang Tiện ích mở rộng Joomla.
  • Vô hiệu hóa và / hoặc gỡ cài đặt các tiện ích bổ sung không được sử dụng và không cần thiết cho chức năng Joomla
  • Cài đặt Joomla và cập nhật tiện ích kịp thời !!!

Tôi chắc chắn có những bước khác nhưng đây là những bước chính mà tôi sử dụng trên máy chủ của mình lưu trữ hơn 70 trang web trên toàn quốc. Gần đây tôi đã có một cuộc tấn công lớn tương tự như một cuộc tấn công DDoS và không có một trang web nào được truy cập. Tôi cảm thấy cao 10 feet và chống đạn nhưng tôi biết tôi không thể tự mãn vì ngày mai là một ngày khác! LOL


-4
  1. Tôi không phải là người hâm mộ của xác thực hai yếu tố

  2. Cài đặt Công cụ quản trị Akeeba, bật htaccess nâng cao, kiểm tra các tùy chọn và tường lửa phần mềm

https://www.akeebabackup.com/doad/admin-tools.html

  1. Kích hoạt mật khẩu Url phụ trợ

1
Bạn có muốn chia sẻ lý do tại sao bạn không phải là người hâm mộ của xác thực hai yếu tố?
chesedo

2
Tôi thấy - điều đó có ý nghĩa. Nhưng tại sao bao gồm không sử dụng nó trong số các điểm để giúp bảo mật? Nếu bạn muốn nó trong bài viết của bạn thì tại sao không có nó như là một ghi chú bên cạnh cùng với lý do?
chesedo

1
Bạn đúng rồi. Tôi chỉ đang học cách trả lời các câu hỏi ở đây ;-) BTW Câu trả lời này đã nhận được -2 :-(
Anibal

4
Hãy để nó như một câu trả lời ngây thơ đầu tiên trên hệ thống của tác giả này. Nó có một số sự quyến rũ theo cách riêng của nó.
Anibal

1
Hehe! Thực sự, quan điểm của hệ thống SE là 'nhận được câu trả lời tốt nhất' hoặc làm cho câu trả lời tốt hơn - tôi sẽ đề nghị rằng câu trả lời của bạn, với lời giải thích của nó có thể bị xóa và thêm vào như một nhận xét, cùng với lời giải thích, nó giúp tăng cường sự hiểu biết của một người tác động của xác thực 2 yếu tố khi giải quyết vấn đề bảo mật.
NivF007
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.