首页 > Joomla > Joomla!网站防黑指南

Joomla!网站防黑指南

2009年7月10日

你的 Joomla!  网站安全吗?你是否知道已经有很多 Joomla 网站被黑客攻击了?就连国内某著名 Joomla 知识网站前不久也惨遭黑手,首页被替换成黑客的标语。虽然说没有绝对的安全,但是如果采取一定的措施,总是能最大限度地降低风险,避免网站被攻击的危险性。想提高你网站的安全性吗?那么请认真阅读 —— Joomla! 网站防黑指南:

 1、备份!还是备份!
我想“备份”对于数据安全的重要性无需再强调了吧?而且,这个操作是每个网站都能做到的,也并不复杂。为什么有些站长就是做不到呢?

备份,不仅包括对数据库的备份,也包括对文件系统的备份。鉴于各个网站的数据更新频度不同,有些可能一个月备份一次就够了,有些可能需要每天备份一次。请站长根据网站的内容更新情况来决定。

备份工作也可以借助工具变得更简单一些。强烈建议所有 Joomla 1.5 网站安装 JBackup 自动备份数据库插件,或者 LazyBackup2 数据库自动备份插件。后者还能将备份结果加密后发送到信箱。

对于需要经常备份文件系统的网站,建议安装 JoomlaPack 备份组件,此组件还有配套的桌面版远程备份工具,可以帮助管理员更方便地备份网站。

2、对照“Joomla 管理员安全问题列表”补漏
Joomla 管理员安全问题列表(Joomla Administrator’s Security Checklist)是由 Joomla 官方团队专门提出的,请不要忽视它的权威性和重要性。建议所有 Joomla 站长对照该列表查看自己还有哪些安全工作不到位,还有哪些措施是可以做而没做的。相信该列表可以将你的 Joomla 网站变得更安全。

3、用 jSecure 插件把后门关紧
很多 web 程序都有“自定义后台管理目录名称”的功能,例如 WordPress,你可以将 /admin 目录改名为 /ia-7a_88 这样很难猜测的名称,黑客就很难找到管理后台的入口。但是 Joomla 没有这个功能,地球人都知道 Joomla 1.5 的后台入口是 http://域名/administrator 。

幸好 Synergy 开发了 jSecure Authentication 后台登录验证插件,该插件的功能是:你可以设置一个密码,当访问后台入口网址时,需要再提供一个密码才能看到登录界面。这就相当于给后门加了一把锁。强烈建议所有 Joomla 网站都安装 jSecure 插件。

4、不要使用默认的 jos_ 数据表前缀
安装 Joomla 1.5 时,默认的数据表前缀是 jos_ ,很少有人去修改这个前缀,这就导致黑客攻击 jos_ 前缀的数据表时大多数情况下能成功。

因此,建议你在安装 Joomla 时选择一个自定义的数据表前缀,这样就能避免很多针对 jos_ 数据表的自动化攻击。

5、更改超级管理员用户
Joomla! 1.5 安装结束后创建的第一个用户就是超级管理员,其用户名是固定的 admin,其 userID 是固定的 62,这一点你知,我知,黑客也知。

单纯修改超级管理员的用户名没有多大意义,因为很多攻击都是针对 user ID 而不是针对 username。因此,我们必须将超级管理员换掉。具体做法:

用默认的 admin 帐号登录网站后台;
创建一个新的超级管理员用户,使用比较难猜测的用户名和复杂的密码;
退出 Joomla 后台,换用新的超级管理员用户帐号再次登录;
将原来的 admin 用户级别修改为最低级别的后台帐号,例如 editor,然后再将它封禁(注:有人建议删除 admin 帐号,但是 Joomla之门 认为删除后可能有人在前台恶意注册这个用户名,所以只需禁用就行了);

6、使用复杂的管理员密码
很多人仍然习惯于使用生日、电话号码、邮政编码、爱人姓名、英文单词等强度极差的字串作为管理员密码。更有甚者,很多人为了方便记忆,竟然将网上银行密码、信箱密码、网站管理密码、淘宝网店密码等统统设置为同一个字串!这些密码全都不堪一击。

怎样才算好的密码?比较强的密码必须同时包含字母(A-Z)、数字(0-9)及特殊字符(#_!@等),并且混合大小写,另外,必须有足够的长度,例如 16 个字符长度的密码肯定比6位的密码更安全。

如果你自己无法编造出一个复杂的密码,可以借助网上的一些 在线密码生成器,迅速产生一个强度极佳的密码串。

另外,Windows XP 操作系统也自带了一个生成随机密码的功能。进入 DOS 模式,输入下面的命令并回车,系统就能自动为你输出一个复杂的密码:

  net user administrator /random

这个 DOS 命令生成的密码长度是8位,如果你觉得短,可以重复几次这个命令,然后将两个8位的密码合并成一个16位的密码。
如果怕自己记不住,就写在密码本上,锁在家里抽屉里。万一你忘记了,也能通过 phpMyAdmin 从数据库中找回 Joomla 管理员密码。

7、经常更换密码
你可能已经拥有了一个比较强大的密码,但是仍然建议你经常更换。一般来说,每3个月换一次密码比较合理。

8、不要使用 MySQL 的 root 用户作为数据库的用户
如果你的网站空间是购买的 shared hosting,一般不存在这个问题。如果你比较幸运,有自己的服务器,或者购买了 VPS,那么你就有 MySQL 的 root 管理员权限。当你为安装 Joomla 而创建新数据库时,建议为该数据库重新创建一个管理员用户,指派给够用的权限就行。这个新用户只能访问和管理该站点所对应的数据库,而不是整个 MySQL 根权限。

9、及时更新 Joomla 核心到最新版本
每次 Joomla 官方发布新版本核心,就等于是对旧版本的否定。因此,你必须紧跟这个变化,及时将你的 Joomla! 1.5.x 核心升级到最新版本。

注意:这里所说的“最新版本”当然是指最新的稳定版,不是测试版,更不是 SVN 版本。目前的最新稳定版是 Joomla! 1.5.12,你升级了吗?

10、警慎使用第三方插件
由于第三方插件的安全漏洞导致的网站被黑事件层出不穷,比如某某下载插件,下载插件最好是到joomla官方网站,尽量少用插件,要用就用稳定版本的插件。

作者: 分类: Joomla 标签: ,
声明:本站遵循 署名-非商业性使用-相同方式共享 3.0 共享协议. 转载请注明转自 执子之手与子偕老
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.