首页 > 经验 > 关键词  > joomla最新资讯  > 正文

七点建议 帮你提高Joomla!的网站安全性能

2009-10-23 16:35 · 稿源:Joomla之门

修改默认的 jos_ 数据表前缀

以管理员身份登录到 Joomla! 后台;

进入“全局设置”(global configuration),找到“数据库”标签页,修改原来的数据表前缀 jos_ 为新的前缀(例如:fdasqw_),然后点击“保存”;

通过 phpMyAdmin 访问你的网站数据库;

点击“导出”(export)标签页,所有参数保持默认值,直接点击“执行”按钮。导出过程可能需要一点时间;

导出完成后,打开得到的 SQL 文件,选择全部代码并复制,然后粘贴到文本编辑器(例如:Notepad++);

从 phpMyAdmin 中选择你数据库中的全部数据表,删除它们;

在 Notepad++ 中,利用“查找替换”功能,将全部 jos_ 字串替换为刚才设置的新前缀(fdasqw_);

完成替换后,复制全部代码。进入 phpMyAdmin,点击 SQL 标签页,将这些代码粘贴到输入框,然后点击“执行”按钮。

去掉第三方扩展的名称及版本号

大多数安全漏洞只存在于特定扩展的特定版本中。因此,为了防止黑客根据扩展名称及版本号来迅速寻找“肉机”,就有必要去掉网站前台显示的第三方扩展的名称及版本号。

有些开发人员会在后台参数中留下“是否显示作者版权链接”的选项,对于这些扩展,我们选择“否”即可;大多数第三方扩展的作者都会在前台留下一个版权链接,里面含有该扩展的名称和版本号。去掉这些 hardcod 方式的版权链接的方法是:

假设有一个 com_extension 扩展,将 /components/com_extension 目录复制到 PC 上,用 Notepad++ 打开其中一个 php 文件,然后使用“在多个文件中搜索”功能(勾选“搜索子目录”),搜索前台所显示的那个字串,找到之后直接从源代码中删除即可。

使用 SEF 友好网址组件

SEF 友好网址不仅有利于网站的搜索引擎优化(SEO),也有利于提高安全防护作用。原因是:如果不启用 SEF,则 Joomla! 默认的页面 URL 中会含有第三方扩展的名称,如网址中 option=com_contact 这部分,这里 com_contact 就是“联系人管理”组件的名称。

黑客当然不是通过肉眼来寻找 URL 里面的扩展名称,他们会使用 Google 搜索技巧中的 inurl 方法来快速寻找。

推荐使用 Artio JoomSEF,或者 sh404SEF,或者其它某个 SEF 组件来对 Joomla! 默认的动态网址进行静态化重写,一方面隐藏了扩展名称,另一方面也增强了 SEO 效果。

使用最新版本的 Joomla! 核心及扩展

经常了解一下你正在使用的 Joomla! 核心和第三方扩展是否有了新版本。如果有新版,就尽快升级。一般来说,新版本总是能够修复旧版的安全漏洞或功能 bug。

给目录及文件设置正确的权限(CHMOD)

只有当某个脚本会写入到目录或文件时,才将该目录或文件的权限设置为 777 或 707。其它所有文件和目录的权限都应该设置如下:

PHP 文件:644

配置文件:666

其它目录:755

Joomla之门提示:这里所说的 CHMOD 权限系统是 Linux/*nix 服务器平台特有的功能,如果你使用的是 Windows 平台服务器,就没有这个功能。强烈建议将 Joomla! 运行在 Linux 服务器上。

及时删除残留文件

有时候你可能安装了某个扩展之后不久又不喜欢它了,多数用户这时会进行“取消发布”操作,而不是“卸载”。如果是“取消发布”,则该扩展的文件仍然存放在你的网站空间,如果该扩展的 PHP 文件正好存在一个安全漏洞,就很可能被黑客利用。因此,当你不再需要某个第三方扩展时,立即将它彻底删除,而不要“取消发布”。

Joomla!之门提示:当你通过 Joomla!后台卸载某些组件后,其数据表或许并未删除。如果你确认不再需要该组件,建议通过 phpMyAdmin 将其数据表也彻底删除,以免某个设计不严谨的数据表遭到 SQL Injection 劫持。

修改 .htaccess 文件

用文本编辑器 Notepad++ 打开你 Joomla 网站根目录下的 .htaccess 文件,添加下面的代码进去:

以下为引用的内容:
########## Begin - Rewrite rules to block out some common exploits#
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a < script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2}) [OR]
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue)
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR]
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard)
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR]
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D)
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(.*)$ index.php [F,L]
#
########## End - Rewrite rules to block out some common exploits

原文地址

举报

  • 相关推荐
  • 最新AI资讯去哪看?国内优质AI资讯网站推荐大全

    本文介绍了国内值得关注的优质AI资讯平台,帮助读者高效获取前沿AI动态。随着AI技术快速发展,专业资讯平台比社交媒体更能提供系统性、专业化的内容。重点推荐四个平台:1)AI科技大本营,覆盖广泛AI领域,更新快且技术深度兼具;2)机器之心,专注学术论文解析和产品评测;3)新智元,聚焦产业应用和前沿研究;4)AIbase,每日整理国内外重大AI事件。特别推荐AIbase的&

  • 最新AI资讯哪里看?盘点国内优质AI资讯网站和获取渠道

    本文介绍了获取最新AI资讯的重要性及有效方法。在AI技术快速发展的背景下,及时获取准确信息对从业者至关重要。文章推荐了36氪、钛媒体、虎嗅等国内优质AI资讯平台,以及清华北大等高校研究机构的官方渠道。建议构建多元化信息获取体系,包括订阅专业日报、关注社交媒体热点、使用聚合平台等。同时强调信息筛选验证的重要性,提倡建立个人知识管理系统。未来AI资�

  • 570亿元!全球最大成人网站要被贱卖了

    全球最大的成人网站OnlyFans要被出售了(迄今为止OnlyFans已经积累了3亿用户),价格是570亿元。 据国外媒体报道称,一位叫做里奥拉德文斯基(Leo Radvinsky)的亿万富翁,正在联系潜在的银行和投资方,打算把自己名下的一家视频网站给卖掉,而它就是OnlyFans。 对于这次的出售,国外投研机构认为,OnlyFans这是被贱卖,而这背后的原因,当然是合规问题。

  • 国内MCP资源平台有哪些?MCP工具网站推荐

    在人工智能技术飞速发展的今天,Model Context Protocol(MCP,模型上下文协议)作为一种创新的开放标准协议,正在为AI模型与外部工具和服务的交互带来前所未有的便利。今天,我们有幸深入报道一个专注于MCP服务器和相关服务的集合平台——AIbase(https://mcp.aibase.cn/)。这个平台不仅为全球的AI开发者提供了一个强大的资源库,还通过一站式整合、安全实践和开发效率工具,极大地

  • 哪个网站的AI产品库最全?最全AI工具网站平台推荐

    本文介绍了AI工具爆发式增长背景下,全面及时的AI产品库的重要性。重点推荐AIbase平台,该平台收录7000+AI产品,覆盖30+功能分类,支持多维度筛选,数据实时更新。AIbase优势包括:1)全品类覆盖;2)开发者友好,提供API接口;3)个性化体验,支持收藏和导出工具清单。适合内容创作者、开发者、学生等各类用户使用。通过AIbase可快速找到适合的AI工具,提升工作效率。访问�

  • AI新闻网站哪里看?2025年最全AI资讯获取指南

    文章介绍了AI信息过载时代,AIbase.cn作为专业AI资讯平台的优势:1)专业性强,提供技术解读和行业分析;2)时效性高,快速响应重大新闻;3)覆盖全面,包含技术突破、商业应用、投融资等全领域。平台通过精选日报、热点追踪等功能,帮助从业者高效获取有价值信息,适合技术人员、产品经理、投资人等不同群体,是了解AI行业动态的首选渠道。

  • 瑞幸又将联名的门槛提高了!

    联名,瑞幸在行! 这次,瑞幸又将联名玩出了新高度,一场「联名+结婚」,让半个品牌圈都“参与”了,随礼、新郎不是我、P新的结婚证……玩得不亦乐乎。 原本,联名被称为是品牌之间的“抱团取暖”,这次瑞幸玩了一把颇有趣味性的营销,为联名增加了喜感与乐趣。

  • AI新闻聚合网站推荐:2025年最值得关注的AI资讯平台

    本文介绍了AI新闻聚合网站的重要性及其核心价值,分析了当前市场上优质平台的分类与特点,并提供了选择建议。AI新闻聚合网站通过算法筛选和人工编辑,为用户提供高质量、时效性强的AI资讯内容。文章推荐了综合性平台(AIbase)、技术导向平台(AI Research Daily)和行业应用平台(AI in Business)三类代表性网站,建议用户根据需求选择。同时强调了构建多元化信息获取体系的重要性�

  • 马上消金支招:提高警惕远离新型线上线下诈 骗陷阱

    江苏淮安警方近日破获一起新型网络诈骗案,诈骗分子通过短视频平台私信诱导受害人下载APP,以"完成任务获取佣金"为幌子,先让受害人完成小额任务获取信任,随后制造"数据误差"要求大额充值对冲,最终诱导受害人取出11.84万元现金装入礼盒通过网约车运送。警方提醒此类诈骗具有"前期诱导-中期陷阱-后期洗钱"三阶段特征,公众需警惕任何要求线下取现转账的行为,切勿轻信"简单任务高回报"骗局,遇到可疑情况应立即报警。

  • 国内有哪些AI资讯网站?可灵AI上线可图2.1等热点新闻哪里看最及时?

    本文介绍了国内主要AI资讯平台,帮助用户获取及时全面的AI信息。重点推荐了机器之心、AI科技评论、新智元等综合性平台,以及CSDN、InfoQ等技术导向网站,特别强调AIbase.cn的时效性优势,该平台能第一时间发布如可灵AI可图2.1模型免费开放等重要动态。文章指出,选择资讯平台需结合时效性与内容深度,建议用户根据自身需求建立信息筛选体系,通过订阅日报、设置关键词提醒等方式构建个人AI资讯生态系统,其中AIbase.cn因其更新快、覆盖全的特点值得重点关注。