[Thủ thuật] Bảo mật web và forum đơn giản - hiệu quả nhất

**tav4** · 06/08/11 09:36 AM

1 số phương pháp bảo mật website joomla

Xây dựng website đã là khó. Để duy trì và phát triển nó lại càng khó hơn. Và bảo mật cho nó thì vô cùng khó. Sau đây tôi xin giới thiệu vài biện pháp đơn giản để phần nào có thể bảo vệ được website của bạn khỏi những sự nghịch ngợm, chọc phá.

Tôi ví làm website cũng như bạn xây 1 công trình đặt ở đường phố vậy.Ví dụ như làm tượng đài, làm kiốt, v..v. Và bạn làm cách nào để bảo vệ cho công trình của bạn. Công trình ấy, có người cho là hữu ích, tiện dùng, cũng có kẻ muốn phá hoại nó vì nhiều mục đích khác nhau, cũng có thể dođi qua ngứa tay mà lấy viênđá chọi vào.Website cũng như thế. Nó publish, có kẻ muốn thâm nhậpđể lấy dữ liệu thông tin của bạn, cũng có khi họ thấy thích thì họ có thú vui đi phá hoại thôi.

Như vậy, để một website tồn tại trong môi trường khắc nghiệt như thế, cái chính vẫn là tính hữu ích hay nói đúng hơn là sức sống của website đó. Nếu bạn truyền vào website 1 tinh thần khao khát mãnh liệt, thì tôi tin, đấy mới là 1 sức mạnh bất diệt, mà không một thế lực nào có thể tiêu diệt được.

Ở đây, tôi cũng ko dám nói đến bảo mật, mà đơn giản chỉ hướng dẫn các bạn xây một vài lớp tường rào, để những người có ý thức, tự trọng thì họ không bao giờ vượt qua ranh rới này mà thôi.

Thủ thuật 1:

Cách này tôi khuyên các bạn, khi làm các website thông tin thuần túy nên sử dụng.

Như chúng ta đã biết, có rất nhiều website làm ra, và thông tin cung cấp không có tính chất 2 chiều. Như 1 trang thông tin điện tử chẳng hạn. Vì thế chức năng đăng kí và quản lý thành viện ở Front end gần như là không dùng đến. Vì vậy, tôi khuyên nếu như website của bạn không cần tương tác quá nhiều với người dùng qua các tiện ích của việc đăng kí tài khoản . Thì bạn nên tắt chức năng này đi. Việc không cho người ngoài đăng kí, cũng hạn chế được rất nhiều rủi ro bị chiếm quyền điều hành Joomla Admin Panel.

Cách làm như sau: Bạn vào Admin, vào mục Extensions -> Install/Uninstall, và chọn Disable User Component. Vào phần quản lý module, disable Module Login.

Thủ thuật 2:

Ngăn chặn các hành vi xâm phạm và thay đổi nội dung các file của bạn.

Website của bạn có rất nhiều file với chức năng khác nhau. Vì thế hacker có thể tìm đến những file có độ bảo mật thấp, chiếm quyền điều hành file đó, và chèn các đoạn mã độc vào.

Các bạn có thể tăng tường rào bằng cách chống sự truy nhập trực tiếp vào file đó. Đoạn mã thông thường được sử dụng trong Joomla là

PHP Code:

// no direct access
defined('_JEXEC') or die('Restricted access');

Như vậy nếu bạn cài đặt thêm các phần mở rộng cho website, nhớ kiểm tra code xem các file php có đoạn mã này chưa.

Ngoài ra các bạn còn có thể đặt thêm tường rào bằng việc sử dụng .htaccess với đoạn mã

Code: Deny From All

Với file này các bạn có thể bảo vệ chống truy nhập trực tiếp cho các file có cùng cấp với nó (cùng đặt trong 1 thư mục với .htaccess)

Như vậy bạn có thể đặt File trên vào các thư mục như cache, component, modules, tmp, plug in... và các thư mục con của nó để tăng thêm độ bảo mật.

Thủ thuật 3:

Dùng Chmod để bảo vệ các file quan trọng.

Sau khi bạn xây dựng xong website, có những file rất quan trọng, và hầu như không thay đổi trong quá trình sử dụng. Điển hình là file configuration.php. Bạn hãy sử dụng Chmod 444 để bảo vệ những file này.

Thủ thuật 4:

Bảo vệ admin panel

Bạn có thể dùng thêm 1 lớp khóa nữa, bằng htaccess để bảo vệ thư mục adminstration của bạn. Chức năng này thường có trong Cpanel của hosting. Hoặc bạn cũng có thể tự thiết lập 1 file dạng

Code:
AuthType Basic
AuthName "Restricted Area"
AuthUserFile "thu_muc_chua_file_.htpasswds"
require valid-user

Thủ thuật 5:

Thường xuyên kiểm tra hệ thống của mình

Các bạn có thể đặt lịch kiểm tra, back up định kỳ hàng tuần hoặc hàng tháng. Xem phần modify date của các file để kiễm tra file đó có bị thay đổi hay không. Các com, mod bạn nên cài thử trên localhost của mình trước, rồi hãy đưa lên website. Các com, mod không dùng đến, bạn hãy xóa bớt, hoặc disable. Xóa luôn cả các table của Com đó.

(Sưu tầm)

proooo · 06/08/11 10:21 AM

cảm ơn anh, em đang cần nó để bảo mạt cho fofum

**tav4** · 06/08/11 10:28 AM

Bảo mật forum tuyệt đối an toàn

Bảo mật forum trước sự tấn công của kẻ xấu, hacker... là vô cùng quan trọng. Sau đây là một số phương pháp giúp bảo mật forum an toàn nhất.

1. Bảo mật forum với code chống ddos:

Down về rồi edit file .htaccess và antiddos.phtml trong folder firewall-antiddos (ko phải folder firewall trong firewall-antiddos

).

Trong folder firewall thì edit file config.php ,firewall.php .sửa lại link và mail cho phù hợp. Xong rồi up folder firewall và file antiddos.phtml, .htaccess, .htpasswd lên host nằm chung với index.php của forum.

Edit file global.php

Thêm sau Code

Code:

 <?php

Đoạn bên dưới:

Code:

 $firewall = 'firewall/firewall.php';if( file_exists($firewall) ){ require_once($firewall); }

Xong rồi vô forum thử rồi vô folder firewall trên host nếu thấy địa chỉ ip như dưới là ok rồi. Muốn bỏ lock ip nào thì xóa ip đó thôi .

Downdload:

http://www.mediafire.com/?y1t0qpzizn30iji

Pass:tav4

Upload by tav4 Bkav forum

2. Cách thay đổi pass cho MSSQL:

Bước 1: Từ dấu cmd của máy chủ, ta nhập lệnh:

Code:

 osql-L

Lệnh này sẽ liệt kê tất cả các máy chủ MSSQL gần bạn.

Bước 2: Sao chép đầy đủ tên và phần mở rộng của máy chủ bằng lệnh:

Code:

osql -S copied_servername -E

Lệnh này sẽ kết nối với máy chủ MSSQL bằng cách sử dụng tài khoản quản trị.

Bước 3: Để thay đổi mật khẩu cho MSSQL, bạn cần nhập lệnh sau:

Code:

sp_password NULL,'new_password','sa'
go

Bước 4: Đăng nhập vào MSSQL bằng pass mới để kiểm tra có hoạt động. Nếu có thì đã ok rùi đó.

3. Cách thay đổi mật khẩu cho MySQL:

Bước 1: Đăng nhập vào sever MySQL. Sau đó nhập lệnh sau

Code:

$ mysql -u root -p

Bước 2: Cập nhật cơ sở dữ liệu cho MySQL bằng lệnh

Code:

mysql> use mysql;

Bước 3: Thay đổi mật khẩu người sử dụng bằng lệnh

Code:

 mysql> update user set password=PASSWORD("NEWPASSWORD") where User='vivek';

Bước 4: Cuối cùng phân quyền cho quản trị cao nhất bằng lệnh

Code:

mysql> flush privileges;
mysql> quit

Cách này có thể dụng cho PHP, Python, Perl với mysql API..

4. Cách thay đổi pass cho tài khoản admin:

Bạn vào Active directory Users and Computer\Users bấm chuột phải vào acc administrator chọn reset password. Bạn phải có đủ thẩm quyền mới có thể reset được acc này.

5. Cách đổi pass cho forum mà không cần đổi tên quản trị:

Bạn vào mục Hồ sơ (góc trên cùng tay trái của menu bar) => Chọn Edit Email & Password ở cột bên tay trái. Sau đó nhập Pass cũ và Pass mới mà mình muốn đổi.

6. Cách khắc phục khi bị mất pass admin :

Bước 1: Trước tiên bạn truy cập vào địa chỉ sau http://www.forumotion.com/en/utils

Bước 2: Bạn đăng nhập bằng email của Admin và password của Admin.

Bước 3: Khi phát hiện pass admin đã bị lộ hay bị thay đổi. Các bạn nhanh chóng vào http://help.forumotion.com. Sau đó PM cho Typlo hoặc Luky.

Nhưng quan trọng nhất các bạn cần gửi cho họ các thông tin đầy đủ theo các trường hợp sau:

a. Trường hợp bạn đăng nhập được vào diễn đàn nhưng không vào được trang back up

Code:

 Tiêu đề : Password update
    Nội dung : Điền nội dung sau
    Forum address : địa chỉ diễn đàn của bạn (link gốc)
    Creation email : email lúc bạn đăng ký forum

b. Trường hợp mất pass không vào được diễn đàn lẫn trang back up

Code:

    Tiêu đề : Founder password lost
    Nội dung : Điền nội dung sau
    Forum address :
    Creation email :

Vài điều lưu ý :

- Không gửi nhiều lần pm trừ khi bạn cần thay pass nhiều lần.

- Không đăng cùng lúc email lúc đăng ký forum và link forum công khai.

- Kèm lời cảm ơn trong Pm đến các admin nêu trên.