最近我們已經發表的研究結果,我們提供數據的使用Joomla !CMS。事實證明,超過一半的頂級網站仍在使用Joomla !1.5版本。我們已經提到過,它會帶來安全風險。如果你仍然運行舊的Joomla !,在這篇文章中,我們已經決定提供一些技巧,這些技巧可以幫助提高你的網站的安全。
- 其中許多我們分析不僅使用Joomla 1.5線的網站,但更多的是沒有更新到最新版本1.5.26,仍然運行1.5.12甚至1.5.3。如果你是其中之一,你應該立即更新你的網站。
- joomla.org關閉了訪問1.5。x下載,因此對于那些尚未決定遷移到2.5或3。X。X,我們提供我們的Joomla 1.5.26封裝環節。
- 如果你還在使用Joomla的舊版本,那么也許你的網站已經受到攻擊。檢查你的網站已知的惡意軟件,這種免費服務:Sucuri sitecheck。
- 一個嚴重的安全漏洞,這是因為Joomla 1.6和更高的默認數據庫前綴封閉(jos_)。因此,攻擊者總是知道你的數據庫中的表是如何調用的。此外,如果一個組件的安裝在你的網站有一個缺陷,允許你將一個SQL注入攻擊。為了避免這種情況,改變jos_前綴的任何其他。別忘了讓configuration.php文件變化后,你改變了前綴太。
- 在你的configuration.php做出了改變,它不是對文件的訪問權限制多余。這可以通過將權限設置為444。
- Joomla 1.5版本的另一個安全缺乏可能是更改默認超級管理員的用戶名和ID。因此,你要做手工。創建另一個超級管理員(一定要設置用戶名,不是那么簡單的猜測,管理員,根等都是壞的例子;密碼應該是強大的太多,我們建議使用密碼生成器來創建一個強大的密碼。登錄與您的新的超級管理員和塊/刪除超級管理員與“管理員”的用戶名。
- 另一個步驟,應做保護Joomla管理員面板訪問!是改變路徑面板,或阻止訪問使用.htaccess文件。一個積極的副作用是,攻擊者將無法找到你在你的網站上的合作,管理面板沒有回應從它的通常的地方。
- 另一個標志,它可以幫助黑客了解Joomla版本上使用您的網站的meta標簽“發電機”。如果攻擊者可以確定在您的網站上安裝的版本,它的版本,它不是一個很難找到一個現成的漏洞,簡單地通過詢問谷歌。出于安全原因,不促進您的網站是建立在Joomla!及其版本。
- 在前面的步驟中我們提到了使用.htaccess文件。這個文件是Joomla標準軟件包的一部分!你所要做的就是重新命名htaccess.txt為.htaccess。但請注意,你應該避免使用.htaccess文件完全如果您有訪問服務器的主服務器的配置文件。使用.htaccess文件會減慢你的Apache HTTP服務器。任何指令,你可以在一個.htaccess文件最好設置在一個目錄塊,它將具有更好的性能,具有相同的效果。
- Joomla!社區已經開發出先進的主人。htaccess文件,可以幫助你的網站防止未經授權的活動。但是,要確保您知道您所做的一些擴展,使用非標準的入口點可以停止工作。確保你已經仔細閱讀文檔。
- 在我們的實踐中,當我們恢復被黑客攻擊的網站,我們經常看到,惡意軟件腳本已經隱藏在長長的文件列表中,期待著它是很難找到他們。因此,它是一個必須,您跟蹤在您的服務器上的無用文件,并刪除它們。Joomla也是真實的!你不再使用的擴展。如果你不更新您的擴展周期,有黑客利用的安全漏洞已經成為公開,固定在最新版本的機會高。
遵循最佳實踐
許多Joomla!開發人員和管理員不知道Joomla!有自己不斷更新的安全檢查表。你將從社區的發展找到最相關的信息,Joomla的測試和管理!網站。這個網站一定要放在你的書簽。
如果你的網站已經被黑客入侵或污損,你應該做的第一件事是檢查行動清單。之后,使用我們的支持服務來獲得幫助;)
而不是一個結論
然而,所有提到的步驟只是臨時的措施,你會得到一些額外的時間與黑客的戰斗。充分利用時間,你贏了-準備你的網站遷移到新的Joomla!版本。
為你的網站在每一步的有用的鏈接安全上面的建議發表在我們成功的Joomla!現場檢查表。此外,你會發現有信息,將幫助您使您的網站更快,提高可訪問性,并吸引更多的用戶。
最后,請不要低估了上述安全措施的重要性。我們已經不得不處理好幾次嚴重的黑客攻擊,由于未能遵循這些提示。
