Joomla教程:Joomla網站安全防護指南
上一次Joomla 0day漏洞讓很多使用joomla的網站掛掉,這個確實很無奈,畢竟只要是程式,就會有漏洞,就有被攻破的可能。我們能做的就是盡最大可能防止自己的網站被黑掉。
一般常見的攻擊路徑有兩種:伺服器和網站程式。對於伺服器的安全不是我們討論的話題,那是主機商的事,我們能做的就是自己網站程式的安全防範。對於Joomla網站,建議做好以下幾個方面的防範:
是否使用的是最新版本 Joomla!
這個是非常重要的,時刻關注Joomla的版本更新,及時將自己的網站更新到最新版。
是否使用的是最新版的第三方擴充套件
再牛逼的人用Joomla做網站肯定會或多或少用到一些第三方擴充套件,畢竟省事省力嘛,這些擴充套件很多時候也會爆出致命的漏洞,所以及時更新非常有必要。
是否更改了網站後臺登入入口
地球人都知道Joomla的後臺入口是administrator,所以為了安全起見,請一定要更改這個路徑,可以使用這個外掛來處理:Adminexile
是否使用了較弱的密碼
不管是管理員賬戶還是資料庫賬戶的密碼,一定要設定強壯的密碼,強壯的密碼一般由:大小寫字母、數字、鍵盤上各種特殊的符號混合而成,長度起碼8位以上。
是否使用 'admin' 作為會員使用者名稱
admin是一般預設的使用者名稱,不建議使用,Joomla允許我們自定義使用者名稱的
是否設定了 FTP 密碼
在Joomla後臺【全域性設定】-【伺服器設定】裡面的FTP設定直接設定為否。
是否啟用搜索引擎友好網址(Search Engine Friendly URLs)
如果使用原始的連結,既對搜尋引擎不友好,而且也會暴露使用的擴充套件的型別,更有被注入的風險。
configuration.php 檔案完整性
configuration.php配置檔案包含了一些敏感的資訊,需要注意檢查該檔案是否完整。
會話(session)存活時間(lifetime)
會話(session)存活時間(lifetime)推薦設定為小於 15 分鐘。
會話(Session)處理方式
這個選項系統預設是資料庫儲存,存在安全隱患,修改為不儲存。
Joomla 臨時目錄中是否有遺留檔案
Joomla 臨時目錄就是網站根目錄的tmp目錄,裡面一般應該被清空,不要留任何檔案。