【发布时间】:2013-10-02 09:49:41
【问题描述】:
我知道保护任何网站都是一个非常棘手和广泛的话题,但我想将这个问题与我一直在处理的特定网站联系起来。它是在 2007 年左右由其他一些程序员用 php 编码的,我负责它的管理。我的问题是它一次又一次地被黑客入侵。 请帮帮我
Joomla 1.5.18 版(含 Virtuemart)
【问题讨论】:
【发布时间】:2013-10-02 09:49:41
【问题描述】:
首先,您使用的是旧版且安全性较低的 Joomla 1.5。将您的网站升级到 Joomla 2.5 或 3.1,然后阅读以下内容,这是我不久前回答的关于可以采取哪些措施来帮助防止 Joomla 攻击的问题:
【讨论】:
来自this guide:
保护 Joomla 并防止被黑客入侵的 8 种方法!
- 更改默认数据库前缀 (jos_)
- 使用 SEF 组件
- 为每个文件夹和文件使用正确的 CHMOD。
- 密码保护您的行政区域。
- 让您的网站保持最新状态。
- 使用 .htaccess 文件保护您的 Joomla。
- 密码 - 使用唯一且强密码。
- 安装 jSecure Authentication 插件。
【讨论】:
从长远来看,您可能应该迁移到最新版本的 Joomla,例如Joomla 3.x.
短期修复可能涉及以下大部分或全部:
- 清理当前网站。一种有效且有效的方法是使用来自 Phil Taylor 的工具http://myjoomla.com。您的第一次审核是免费的。
- 将 Joomla 管理用户帐户、cPanel 和数据库密码更改为新的强密码。
- 将网站更新到 Joomla 1.5.26。
- 在适用的情况下申请security hotfixes for Joomla EOL versions。
- 将所有第三方扩展更新到最新版本并保持最新。
- 检查并删除任何易受攻击的扩展:http://vel.joomla.org
- 订阅 Joomla 漏洞扩展列表,以便快速处理新漏洞。
- 删除所有未使用的第三方扩展。
- 禁用或删除未使用的用户帐户。
- 尽可能减少第三方扩展的数量。
- 尽可能使用最流行和最受支持的扩展程序。
- 使用重视服务器安全的优质网络主机。
- 不要仅仅依靠您的网络托管服务提供商进行备份。
- 定期备份网站并将其复制到异地。
- 尽管以上通常足以保证 Joomla 网站的安全,但请按照此处已提供的答案考虑安全性增强。
对共享相同虚拟主机空间的任何其他网站运行相同的过程。
您还可以检查自己计算机和任何其他管理员计算机的安全性,因为黑客可能已经从您计算机上的 FTP 客户端等截获了 FTP 密码(或类似密码)。
【讨论】:
我会推荐使用 OWASP Joomla!漏洞扫描器。您将能够识别已知的安全漏洞和可利用的插件。使用方法见:http://m4extensions.com/tutorials/6-how-to-secure-my-joomla-website-from-hack
【讨论】: