Cấu hình bảo mật website Joomla

Nguyễn Thành Luân 5 phút đọc

Joomla là hệ thống quản trị nội dung mã nguồn mở (CMS) được viết bằng ngôn ngữ PHP và kết nối tới cơ sở dữ liệu MySQL. Thông qua đó, Joomla cho phép người dùng dễ dàng xuất bản các nội dung của mình lên Internet hoặc Intranet cũng như quản lý toàn bộ các bản ghi đó. Joomla vô cùng mạnh mẽ và hoàn toàn miễn phí. Các tính năng cơ bản của Joomla là gì?

Các website sử dụng mã nguồn mở như Joomla, WordPress, Nuke… mở rất dễ bị tấn công, đơn giản là vì nó quá phổ biến. Khi phát hiện một lỗ hổng bảo mật, các hacker sẽ tận dụng nó với ý đồ xấu, thường là website của bạn sẽ bị chèn mã độc, lợi dụng để quảng cáo, lừa đảo…

Khi tải website lên máy chủ Share Hosting, bạn cần lưu ý thiết lập các bảo mật cần thiết vì nhà cung cấp dịch vụ sẽ không thể giúp bạn được nhiều, một khi website đã bị hack và chèn đủ thứ vào tập tin và database.

Khi bạn đọc bài này, chúng tôi chắc bạn đã có website, và ước gì bạn đọc được những điều bạn phải biết trước khi xây dựng Website.

Những nguyên nhân dẫn đến website Joomla bị hack

  • Quyền trên các folder/file không bảo mật
  • Mật khẩu Backend (tức Administrator) quá dễ để dò ra
  • Không có Password Protect thư mục Backend
  • Sử dụng các Module/Extension của một cá nhân/hãng nào đó lập trình kém, sử dụng bản crack/null được tung lên mạng

Các thiết lập cần thiết

Phân quyền thư mục

  • Phân quyền 711 cho Folder (Folder public_html có thể phân quyền 750)
  • Phân Quyền 444 cho File (File configuration.phpindex.php có thể phân 400)
  • Tăng tính bảo mật của mật khẩu
  • Các mật khẩu như: Hosting Control Panel, FTP, Administrator, Database nên thiết lập có độ phức tạp cao, bao gồm: chữ hoa, thường+số+ký tự đặc biệt và tối thiểu 10 ký tự. Ví dụ: Pass!@#$x5%^&88. Bảo quản mật khẩu cẩn thận, không nên đăng nhập mật khẩu những nơi sử dụng internet công cộng.
  • Sử dụng các Template, Module, Extension, Plug-in được cung cấp từ những tổ chức đáng tin cậy, đọc kỹ các phản hồi của những người dùng trước đó, trước khi áp dụng cho website của bạn.
  • Quét virus trước khi cài đặt

Tăng tính bảo mật cho tài khoản Administrator

Các website Joomla thông thường sẽ truy cập quản trị theo đường link: http://tenmien.com/administrator, do đó Hacker không khó để tìm ra đường dẫn trên và tấn công. Khi sử dụng jSecure sẽ hạn chế được vấn đề trên, bạn có thể chỉ định kết hợp nhiều điều kiện để đăng nhập được vào Admin. Ví dụ đơn giản, sau khi cài jSecure, bạn phải đăng nhập Admin với link đặc biệt: http://tenmien.com/administrator?n0nehack.

Lưu ý: Nếu không rành kỹ thuật, bạn nên yêu cầu nơi xây dựng website cài sẵn jSecure.

Những điều cuối cùng

Không ai có thể đảm bảo 100% bảo mật cho website. 2 yếu an toàn mà bạn cần quan tâm nhất cho mọi website là:

  • Đặt mật khẩu bảo mật thật tốt
  • Sao lưu dữ liệu thường xuyên

Hãy nhớ rằng, mọi nhà cung cấp dịch vụ đều có điều khoản miễn trừ trách nhiệm về dữ liệu và các thiệt hại do mất dữ liệu gây ra cho bạn. Bạn không được tin tưởng bất kỳ lời hứa đảm bảo dữ liệu nào, bất kỳ thiết bị lưu trữ nào. Trong khi dữ liệu website là sự sống còn của doanh nghiệp, là một người thông minh, bạn sẽ biết phải lưu trữ nó như thế nào.

Thông tin này có hữu ích không?