Joomla/Joomla!1.5网站防黑9条戒律

来自站长百科
跳转至: 导航、​ 搜索

Joomla | Joomla使用手册

虽然说没有绝对的安全,但是如果采取一定的措施,总是能最大限度地降低风险,避免网站被攻击的危险性。本条目主要介绍Joomla 1.5 网站防黑9条戒律:

备份[ ]

“备份”对于数据安全的重要性无需再强调了吧,而且,这个操作是每个网站都能做到的,也并不复杂。

备份,不仅包括对数据库的备份,也包括对文件系统的备份。鉴于各个网站的数据更新频度不同,有些可能一个月备份一次就够了,有些可能需要每天备份一次。请站长根据网站的内容更新情况来决定。

备份工作也可以借助工具变得更简单一些。强烈建议所有 Joomla 1.5 网站安装 JBackup 自动备份数据库插件,或者 LazyBackup2 数据库自动备份插件。后者还能将备份结果加密后发送到信箱。

对于需要经常备份文件系统的网站,建议安装 JoomlaPack 备份组件,此组件还有配套的桌面版远程备份工具,可以帮助管理员更方便地备份网站。

对照“Joomla 管理员安全问题列表”补漏[ ]

Joomla 管理员安全问题列表 是由 Joomla 官方团队专门提出的,请不要忽视它的权威性和重要性。建议所有 Joomla 站长对照该列表查看自己还有哪些安全工作不到位,还有哪些措施是可以做而没做的。相信该列表可以将你的 Joomla 网站变得更安全。

用jSecure插件把后门关紧[ ]

很多 web 程序都有“自定义后台管理目录名称”的功能,例如 WordPress,你可以将 /admin 目录改名为 /ia-7a_88 这样很难猜测的名称,黑客就很难找到管理后台的入口。但是 Joomla 没有这个功能,大家都知道 Joomla 1.5 的后台入口是 http://域名/administrator 。

幸好 Synergy 开发了 jSecure Authentication 后台登录验证插件,该插件的功能是:你可以设置一个密码,当访问后台入口网址时,需要再提供一个密码才能看到登录界面。这就相当于给后门加了一把锁。强烈建议所有 Joomla 网站都安装 jSecure 插件。

不要使用默认的jos_数据表前缀[ ]

安装 Joomla 1.5 时,默认的数据表前缀是 jos_ ,很少有人去修改这个前缀,这就导致黑客攻击 jos_ 前缀的数据表时大多数情况下能成功。

因此,建议你在安装 Joomla 时选择一个自定义的数据表前缀,这样就能避免很多针对 jos_ 数据表的自动化攻击

更改超级管理员用户[ ]

Joomla! 1.5 安装结束后创建的第一个用户就是超级管理员,其用户名是固定的 admin,其 userID 是固定的62。

单纯修改超级管理员的用户名没有多大意义,因为很多攻击都是针对 user ID 而不是针对 username。因此,我们必须将超级管理员换掉。具体做法:

  • 用默认的 admin 帐号登录网站后台;
  • 创建一个新的超级管理员用户,使用比较难猜测的用户名和复杂的密码;
  • 退出 Joomla 后台,换用新的超级管理员用户帐号再次登录;
  • 将原来的 admin 用户级别修改为最低级别的后台帐号,例如 editor,然后再将它封禁(注:有人建议删除 admin 帐号,但是 Joomla之门 认为删除后可能有人在前台恶意注册这个用户名,所以只需禁用就行了);

使用复杂的管理员密码[ ]

很多人仍然习惯于使用生日、电话号码、邮政编码、爱人姓名、英文单词等强度极差的字串作为管理员密码。更有甚者,很多人为了方便记忆,竟然将网上银行密码、信箱密码、网站管理密码、淘宝网店密码等统统设置为同一个字串!这些密码全都不堪一击。

怎样才算好的密码?比较强的密码必须同时包含字母(A-Z)、数字(0-9)及特殊字符(#_!@等),并且混合大小写,另外,必须有足够的长度,例如 16 个字符长度的密码肯定比6位的密码更安全。如果你自己无法编造出一个复杂的密码,可以借助网上的一些 在线密码生成器,迅速产生一个强度极佳的密码串。

经常更换密码[ ]

你可能已经拥有了一个比较强大的密码,但是仍然建议你经常更换。一般来说,每3个月换一次密码比较合理。

不要使用MySQL的root用户作为数据库的用户[ ]

如果你的网站空间是购买的shared hosting,一般不存在这个问题。如果你比较幸运,有自己的服务器,或者购买了 VPS,那么你就有 MySQL 的 root 管理员权限。当你为安装 Joomla 而创建新数据库时,建议为该数据库重新创建一个管理员用户,指派给够用的权限就行。这个新用户只能访问和管理该站点所对应的数据库,而不是整个 MySQL 根权限。

及时更新Joomla核心到最新版本[ ]

每次 Joomla 官方发布新版本核心,就等于是对旧版本的否定。因此,你必须紧跟这个变化,及时将你的 Joomla! 1.5.x 核心升级到最新版本。

注意:这里所说的“最新版本”当然是指最新的稳定版,不是测试版,更不是 SVN 版本。

参考来源[ ]

http://www.joomlagate.com/article/joomla15-tutorial/9-tips-secure-joomla-websites/

Joomla 1.5使用手册导航

Joomla安装

Joomla!的安装

Joomla 1.5教程

Joomla!1.5自带资源给前台添加下拉菜单 | 巧用ReadMoreExt和Shadowbox来插入外链大图 | 借助pcDTR插件使用任意字体美化Joomla页面 | 借助Abivia Redaction插件滤除Joomla扩展的版权链接 | Joomla!1.5网站防黑9条戒律 | Joomla!1.5与Dokuwiki的完全整合方案 | 用SJSB桥接器无缝整合Joomla!1.5.9、SMF2.0论坛 | 详解用RokBridge 1.0RC8整合Joomla!1.5.9与phpBB3论坛 | Joomla!与Tikiwiki的外观整合 | Jumi插件的介绍 | 用CSS控制Display News模块的外观样式 | Open-Realty介绍 | Google Gears的应用 | 在Joomla!1.5文章中插入Ozio Gallery图库 | 文章中自动插入广告 | GCalendar介绍 | Joomla 1.5 SEO Patch的用法 | Joomla! 1.5生成中文PDF的解决方案

其他Joomla教程

用XAMPP快速搭建Joomla本地测试服务器 | 用Gmail的SMTP发送Joomla激活及通知邮件 | 深入认识Joomla CMS:扩展、菜单及模板 | Joomla 1.0教程 | Joomla高级教程 | Joomla! SEO教程