Để bảo mật website Joomla khỏi sự tấn công của những hacker. Hôm nay, SecurityBox sẽ hướng dẫn cách bảo mật website Joomla với 13 tiêu chí đầy đủ nhất mà bạn cần biết.
Những phương pháp hiệu quả nhất giúp bảo mật website Joomla của bạn
Joomla hiện tại đang được coi là một Content Management System(CMS), là một mã nguồn mở, Joomla càng ngày càng được rất nhiều tổ chức cũng như cá nhân dùng làm nền tảng cho những sản phẩm online của mình. Thực tế hiện tại, theo thống kê của SecurityBox có hơn 2,5 % những website dùng Joomla, như vậy chúng rất dễ dàng trở thành mục tiêu tấn công của những tin tặc.
Joomla hoàn toàn miễn phí và có hơn 8000 extension giúp cho bạn có thể làm hết bất kỳ tác vụ nào bạn muốn ở trên CMS. Bên cạnh đó, luôn tồn tại một cộng đồng phát triển vô cùng mạnh mẽ đây cũng chính là một lý do mà các hacker muốn tấn công vào website của bạn. Vậy nên việc bảo mật website Joomla là điều rất cần thiết để ngăn chặn tất cả những cuộc tấn công từ hacker.
Nền tảng để cài đặt Joomla là một trong những điểm kém của hệ thống này đó chính vấn đề bảo mật web Joomla đều liên quan đến mã code. Tất cả những vấn đề đều bắt đầu từ những bản đã khá cũ, chưa được cập nhật những bản vá bản lỗi liên tục hay nhiều khi là từ những extension của một nhà phát triển thứ 3.
1.Server và host
Chọn server hay host thích hợp là một quyết định vô cùng quan trọng. Theo SecurityBox, trong việc bảo mật Joomla, sẽ có thể có rất nhiều vấn đề phát sinh nhiều vấn đề do server hay host chưa được cập nhật đầy đủ những bản vá mới nhất. Kể cả lúc server đã được cài đặt đúng những hệ thống của bạn vẫn sẽ có nguy cơ bị tấn công bởi 1 website khác đã lưu trữ cùng ở trên server của bạn nếu như có độ an toàn thấp. Việc bạn dùng một host bảo mật thấp hãy nghĩ đến việc thay đổi nhà cung cấp hoặc là thay bằng một máy chủ khác riêng biệt để tránh những vấn đề bảo mật chia sẻ.
Securtiy Box khuyên bạn hãy bảo mật website Joomla của bạn trên những hosting nổi tiếng và an toàn như Brinkster hay Godaddy.
2.Dùng tập tin .htaccess
Với cài đặt mặc định, những tập tin.htaccess sẽ không được dùng. Hãy đảm bảo rằng bạn đổi tên nó từ .htaccess.txt thành .htaccess. Và rồi đặt nó trong thư mục root của website của bạn. SecurityBox khuyên bạn chân thành như vậy. Bạn muốn bảo mật cho Joomla của bạn tốt hơn hãy dùng thêm 1 vài quy tắc rewrite cho nó để có thể ngăn ngừa khả năng bị lấy cắp. Bạn cũng hãy nên tìm hiểu thêm nhiều hướng dẫn chỉ sửa những tập tin .htaccess để mà có thể thêm một lớp “khiêng” bảo vệ bổ sung thêm nữa cho hệ thống của bạn.
Bài viết xem nhiều: Hướng dẫn bảo mật wordpress cùng chuyên gia
3.Dùng những tài khoản và Permission
Joomla sẽ hoạt động một cách mượt mà hơn khi được cài đặt và thiết lập đúng cách khi được cài lên máy chủ của bạn. Bạn nên cài đặt cho tất cả những file CHMOD thành 664 và những folder thành 755. SecurityBox đưa ra nhận định về vấn đề bảo mật Joomla này đó là, có một vài exception cho quy tắc này giống như tập tin configuration.php sẽ có thể đổi CHMOD thành 640, và phải chắc chắn rằng không được có một thứ gì được cài đặt tới 777
Account quản trị thông thường sẽ được đặt là “admin”, bạn sẽ phải đổi ngay trên account này. Điều này sẽ làm cho những tin tặc thấy khó khăn hơn khi tìm kiếm thông tin chi tiết về tài khoản
4.Back-up dữ liệu và xử lý những sự cố
Trong việc bảo mật cho website Joomla, SecurityBox cho rằng hãy nên dành thời gian để kiểm tra xử lý sự cốtheo đúng kế hoạch trước khi website của bạn bị tin tặc tấn công hơn là sau lúc đó. Tạo ra những trường hợp sẽ xảy ra nếu website của bạn bị tấn công. Hơn nữa, bạn phải nhớ backup dữ liệu liên tục và thường xuyên. Việc này nếu bạn làm tốt thì chuyện website của bạn có bị tấn công thì cũng sẽ yên tâm hơn. Làm việc này mỗi ngày hay nếu có thời gian là hàng giờ để đảm bảo website ở trạng thái sẵn sàng khi có sự cố xảy ra.
Xem thêm: 5 vấn đề trong việc bảo mật web bạn có thể không biết
5. Quản lý chặt chẽ những extension
Extension của bên thứ là thứ làm cho Joomla trở nên vô cùng phổ biến, tuy nhiên điều này cũng có nghĩa có nhiều cách để thâm nhập vào website của bạn. Mỗi một extension sẽ là một “đối tượng” mà bạn nên phải xem xét và cập nhật những bản vá lỗi, sửa lỗi thường xuyên. SecurityBox muốn nhắc nhở bạn cần thực hiện những bước sau nếu muốn bảo mật website Joomla của bạn. Thứ nhất đó là nên thực hiện công việc code review với bất kỳ extension nào mà bạn dùng. Thứ 2 là nên dùng một bộ kiểm tra và xem xét lại kết quả từ đó. Thứ 3 hãy nên cập nhật những bản sửa lỗi cho extension.
Lời khuyên chân tình từ SecurityBox, nếu bạn dùng một extension không tốt sẽ gây tổn hại cho website của bạn.
6. Loại bỏ số phiên bản của extension
Theo thông thường, những khai thác thường sẽ cụ thể hóa cho một phiên bản nào đó của extension. Đó cũng chính là lý do tại sao bạn nên loại bỏ số phiên bản của extension nào đó khi chúng được cài đặt.Xóa số phiên bản sẽ ngăn chặn được nguy cơ có một cuộc tấn công nào đó trong tương lai.
Bạn cũng có thể thay đổi extension để nó chỉ có thể chỉ ra tên bằng cách dùng một công cụ lập trình như Dreamweaver. Việc thực hiện tìm kiếm toàn cầu và thay thế tất cả những dữ liệu ở trong folder chứa các extension là điều cần thiết giúp bảo mật website của bạn.
7. Xóa bỏ những file không dùng nữa
Bạn đã cài đặt rất rất nhiều extension nhưng không dùng đến chúng. Đây là một điểm kém cũng như còn gây rác cho server của bạn. SecurityBox khuyên bạn nên xóa bỏ chúng để tránh những nguy cơ rình rập có thể xảy đến.
8. Bảo mật password
Database(DB) của bạn vô cùng quan trọng. Một vụ tấn công SQL injection hoặc một cuộc tấn công nào đó đến DB cũng có làm cho công sức của bạn đổ xuống sông xuống biển hết. Để bảo mật website Joomla. hãy nên đảm bảo rằng việc truy cập vào DB là mật khẩu bảo vệ ở cấp mySQL. Bạn có thể dùng các công cụ như Nmap hay Nikto để kiểm tra hệ thống
Password bảo vệ ở phần quản trị Joomla là ở mức độ folder. Password này sẽ có thể cho thêm 1 phần bảo mật bổ sung. Nó sẽ là tên của người sử dụng và với nhiều mật khẩu khác nhau.
- Hãy nên thay đổi prefix bảng mặc định
Hầu hết những cuộc tấn công kiểu SQL injection đều muốn truy cập vào bảng jos_users. Một khi hacker đã vào được bảng đó thì chúng có thể lấy được toàn bộ người dùng cùng với mật khẩu của họ. Dùng một tên ngắn ngẫu nhiên để mà thay thế có những tên mặc định để có thể ngăn chặn những cuộc tấn công kiểu này.
SecurityBox đưa ra cho bạn một giải pháp đó là dùng phiên bản Joomla 1.7 để bảo mật Joomla của bạn trước những cuộc tấn công kiểu này
10. Dùng SSL
Dùng SSL ở trên website của bạn sẽ giúp cho toàn bộ những đăng nhập thành viên. Hãy chú ý phải có một giấy chứng nhận chuẩn cấu hình SSL cho tên miền website của bạn.
11. Vô hiệu Joomla FTP Layer
Tắt FTP Layer của Joomla và chắc chắn nó không lưu trữ dữ liệu login của bạn.
12. Vô hiệu Register_globals
Vô hiệu Register_globals nhưng bạn cũng nên biết rằng điều này theo SecurityBox sẽ có thể vô hiệu nhiều phiên làm việc của PHP. Và tất nhiên có thể gây ảnh hưởng đến những ứng dụng khác mà website đang chạy. Để có thể bảo vệ website Joomla của bạn hãy chỉnh sửa tập tin php.ini trong root folder của tên miền.
13. Dùng URL chuẩn SEO
Hãy dùng URL chuẩn Seo thân thiện với nhiều công cụ tìm kiếm. Việc này sẽ làm tăng thứ hạng website của bạn trên công cụ tìm kiếm cũng như cả thiện việc ngăn ngừa tin tặc dùng kết quả tìm kiếm của công cụ tìm kiếm.
Như vậy SecurityBox đã gửi đến các bạn 13 tiêu chí bảo mật website Joomla hay nhất, hiệu quả nhất. SecurityBox hy vọng bài viết này sẽ hữu ích với bạn.