站长百科 | 数字化技能提升教程 数字化时代生存宝典
首页
数字化百科
电子书
建站程序
开发
服务器
办公软件
开发教程
服务器教程
软件使用教程
运营教程
热门电子书
WordPress教程
宝塔面板教程
CSS教程
Shopify教程
导航
程序频道
推广频道
网赚频道
人物频道
网站程序
网页制作
云计算
服务器
CMS
论坛
网店
虚拟主机
cPanel
网址导航
WIKI使用导航
WIKI首页
最新资讯
网站程序
站长人物
页面分类
使用帮助
编辑测试
创建条目
网站地图
站长百科导航
站长百科
主机侦探
IDCtalk云说
跨境电商导航
WordPress啦
站长专题
网站推广
网站程序
网站赚钱
虚拟主机
cPanel
网址导航专题
云计算
微博营销
虚拟主机管理系统
开放平台
WIKI程序与应用
美国十大主机
编辑“
Joomla/Joomla!1.5网站防黑9条戒律
”
人物百科
|
营销百科
|
网赚百科
|
站长工具
|
网站程序
|
域名主机
|
互联网公司
|
分类索引
跳转至:
导航
、
搜索
警告:
您没有登录。如果您做出任意编辑,您的IP地址将会公开可见。如果您
登录
或
创建
一个账户,您的编辑将归属于您的用户名,且将享受其他好处。
反垃圾检查。
不要
加入这个!
{{Joomla top}} 虽然说没有绝对的安全,但是如果采取一定的措施,总是能最大限度地降低风险,避免[[网站]]被攻击的危险性。本条目主要介绍[[Joomla]] 1.5 网站防黑9条戒律: ==备份== “备份”对于[[数据]]安全的重要性无需再强调了吧,而且,这个操作是每个网站都能做到的,也并不复杂。 备份,不仅包括对[[数据库]]的备份,也包括对文件系统的备份。鉴于各个网站的数据更新频度不同,有些可能一个月备份一次就够了,有些可能需要每天备份一次。请站长根据网站的内容更新情况来决定。 备份工作也可以借助工具变得更简单一些。强烈建议所有 Joomla 1.5 网站安装 JBackup 自动备份数据库[[插件]],或者 LazyBackup2 数据库自动备份插件。后者还能将备份结果加密后发送到信箱。 对于需要经常备份文件系统的网站,建议安装 JoomlaPack 备份组件,此组件还有配套的桌面版远程备份工具,可以帮助管理员更方便地备份网站。 ==对照“Joomla 管理员安全问题列表”补漏== Joomla 管理员安全问题列表 是由 Joomla 官方团队专门提出的,请不要忽视它的权威性和重要性。建议所有 Joomla 站长对照该列表查看自己还有哪些安全工作不到位,还有哪些措施是可以做而没做的。相信该列表可以将你的 Joomla 网站变得更安全。 ==用jSecure插件把后门关紧== 很多 web 程序都有“自定义后台管理目录名称”的功能,例如 WordPress,你可以将 /admin 目录改名为 /ia-7a_88 这样很难猜测的名称,黑客就很难找到管理后台的入口。但是 Joomla 没有这个功能,大家都知道 Joomla 1.5 的后台入口是 <nowiki>http://域名/administrator</nowiki> 。 幸好 Synergy 开发了 jSecure Authentication 后台登录验证插件,该插件的功能是:你可以设置一个密码,当访问后台入口网址时,需要再提供一个密码才能看到登录界面。这就相当于给后门加了一把锁。强烈建议所有 Joomla 网站都安装 jSecure 插件。 ==不要使用默认的jos_数据表前缀== 安装 Joomla 1.5 时,默认的数据表前缀是 jos_ ,很少有人去修改这个前缀,这就导致[[黑客]]攻击 jos_ 前缀的数据表时大多数情况下能成功。 因此,建议你在安装 Joomla 时选择一个自定义的数据表前缀,这样就能避免很多针对 jos_ 数据表的自动化攻击 ==更改超级管理员用户== Joomla! 1.5 安装结束后创建的第一个用户就是超级管理员,其用户名是固定的 admin,其 userID 是固定的62。 单纯修改超级管理员的用户名没有多大意义,因为很多攻击都是针对 user ID 而不是针对 username。因此,我们必须将超级管理员换掉。具体做法: *用默认的 admin 帐号登录网站后台; *创建一个新的超级管理员用户,使用比较难猜测的用户名和复杂的密码; *退出 Joomla 后台,换用新的超级管理员用户帐号再次登录; *将原来的 admin 用户级别修改为最低级别的后台帐号,例如 editor,然后再将它封禁(注:有人建议删除 admin 帐号,但是 Joomla之门 认为删除后可能有人在前台恶意注册这个用户名,所以只需禁用就行了); ==使用复杂的管理员密码== 很多人仍然习惯于使用生日、电话号码、邮政编码、爱人姓名、英文单词等强度极差的字串作为管理员密码。更有甚者,很多人为了方便记忆,竟然将网上银行密码、信箱密码、网站管理密码、淘宝网店密码等统统设置为同一个字串!这些密码全都不堪一击。 怎样才算好的密码?比较强的密码必须同时包含字母(A-Z)、数字(0-9)及特殊字符(#_!@等),并且混合大小写,另外,必须有足够的长度,例如 16 个字符长度的密码肯定比6位的密码更安全。如果你自己无法编造出一个复杂的密码,可以借助网上的一些 在线密码生成器,迅速产生一个强度极佳的密码串。 ==经常更换密码== 你可能已经拥有了一个比较强大的密码,但是仍然建议你经常更换。一般来说,每3个月换一次密码比较合理。 ==不要使用MySQL的root用户作为数据库的用户== 如果你的网站空间是购买的shared hosting,一般不存在这个问题。如果你比较幸运,有自己的[[服务器]],或者购买了 [[VPS]],那么你就有 [[MySQL]] 的 root 管理员权限。当你为安装 Joomla 而创建新数据库时,建议为该数据库重新创建一个管理员用户,指派给够用的权限就行。这个新用户只能访问和管理该站点所对应的数据库,而不是整个 MySQL 根权限。 ==及时更新Joomla核心到最新版本== 每次 Joomla 官方发布新版本核心,就等于是对旧版本的否定。因此,你必须紧跟这个变化,及时将你的 Joomla! 1.5.x 核心升级到最新版本。 注意:这里所说的“最新版本”当然是指最新的稳定版,不是测试版,更不是 SVN 版本。 ==参考来源== http://www.joomlagate.com/article/joomla15-tutorial/9-tips-secure-joomla-websites/ {{Joomla 1.5}} [[category:Joomla|J]]
摘要:
请注意,您对站长百科的所有贡献都可能被其他贡献者编辑,修改或删除。如果您不希望您的文字被任意修改和再散布,请不要提交。
您同时也要向我们保证您所提交的内容是您自己所作,或得自一个不受版权保护或相似自由的来源(参阅
Wordpress-mediawiki:版权
的细节)。
未经许可,请勿提交受版权保护的作品!
取消
编辑帮助
(在新窗口中打开)
本页使用的模板:
模板:Joomla 1.5
(
编辑
)
模板:Joomla top
(
编辑
)
