轉載自Joomla!之門

作者:白健鵬

修改默認的jos_ 數據表前綴
Joomla!之門的《Joomla! 1.5網站防黑9條戒律》這篇文章中也強調要修改默認的數據表前綴,在Joomla!安裝過程中進行數據表前綴的設置當然很容易,但文章沒有說明“對於已經建成的網站,如何修改數據表前綴”。今天介紹一下這個方法:

以管理員身份登錄到Joomla! 後台;
進入“全局設置”(global configuration),找到“數據庫”標籤頁,修改原來的數據表前綴jos_ 為新的前綴(例如:fdasqw_),然後點擊“保存”;
通過phpMyAdmin 訪問你的網站數據庫;
點擊“導出”(export)標籤頁,所有參數保持默認值,直接點擊“執行”按鈕。導出過程可能需要一點時間;
導出完成後,打開得到的SQL文件,選擇全部代碼並複制,然後粘貼到文本編輯器(例如:Notepad++);
從phpMyAdmin 中選擇你數據庫中的全部數據表,刪除它們;
在Notepad++ 中,利用“查找替換”功能,將全部jos_ 字串替換為剛才設置的新前綴(fdasqw_);
完成替換後,複製全部代碼。進入phpMyAdmin,點擊SQL 標籤頁,將這些代碼粘貼到輸入框,然後點擊“執行”按鈕。

Joomla!之門提示:如果你的數據庫很大,那麼最後通過SQL方式導入的過程恐怕很難成功。對於大型數據庫文件,推薦使用BigDump工具。

去掉第三方擴展的名稱及版本號
大多數安全漏洞只存在於特定擴展的特定版本中。因此,為了防止黑客根據擴展名稱及版本號來迅速尋找“肉機”,就有必要去掉網站前台顯示的第三方擴展的名稱及版本號。

有些開發人員會在後台參數中留下“是否顯示作者版權鏈接”的選項,對於這些擴展,我們選擇“否”即可;大多數第三方擴展的作者都會在前台留下一個版權鏈接,裡面含有該擴展的名稱和版本號。去掉這些hardcod 方式的版權鏈接的方法是:

假設有一個com_extension擴展,將/components/com_extension目錄複製到PC上,用Notepad++打開其中一個php文件,然後使用“在多個文件中搜索”功能(勾選“搜索子目錄”),搜索前台所顯示的那個字串,找到之後直接從源代碼中刪除即可。

Joomla!之門提示:

有些擴展的版權鏈接使用了特殊的方式嵌入,例如Artio JoomSEF,用上述方法是無法刪除的。如果你發現某個特殊版權標記無法刪除,可以到Joomla!中文論壇發帖討論。

使用SEF 友好網址組件
SEF 友好網址不僅有利於網站的搜索引擎優化(SEO),也有利於提高安全防護作用。原因是:如果不啟用SEF,則Joomla! 默認的頁面URL 中會含有第三方擴展的名稱,如網址中option=com_contact 這部分,這裡com_contact 就是“聯繫人管理”組件的名稱。

黑客當然不是通過肉眼來尋找URL裡面的擴展名稱,他們會使用Google搜索技巧中的inurl方法來快速尋找。

推薦使用Artio JoomSEF,或者sh404SEF,或者其它某個SEF組件來對Joomla!默認的動態網址進行靜態化重寫,一方面隱藏了擴展名稱,另一方面也增強了SEO效果。

使用最新版本的Joomla! 核心及擴展
經常了解一下你正在使用的Joomla! 核心和第三方擴展是否有了新版本。如果有新版,就盡快升級。一般來說,新版本總是能夠修復舊版的安全漏洞或功能bug。

Joomla!之門提示:

任何升級操作之前,請做好網站的備份工作。強烈推薦使用Akeeba Backup備份工具。

給目錄及文件設置正確的權限(CHMOD)
只有當某個腳本會寫入到目錄或文件時,才將該目錄或文件的權限設置為777 或707。其它所有文件和目錄的權限都應該設置如下:

PHP 文件:644
配置文件:666
其它目錄:755
Joomla之門提示:

這裡所說的CHMOD 權限系統是Linux/*nix 服務器平台特有的功能,如果你使用的是Windows 平台服務器,就沒有這個功能。強烈建議將Joomla! 運行在Linux 服務器上。

及時刪除殘留文件
有時候你可能安裝了某個擴展之後不久又不喜歡它了,多數用戶這時會進行“取消發布”操作,而不是“卸載”。如果是“取消發布”,則該擴展的文件仍然存放在你的網站空間,如果該擴展的PHP 文件正好存在一個安全漏洞,就很可能被黑客利用。因此,當你不再需要某個第三方擴展時,立即將它徹底刪除,而不要“取消發布”。

Joomla!之門提示:

當你通過Joomla!後台卸載某些組件後,其數據表或許並未刪除。如果你確認不再需要該組件,建議通過phpMyAdmin將其數據表也徹底刪除,以免某個設計不嚴謹的數據表遭到SQL Injection劫持。

修改.htaccess 文件
用文本編輯器Notepad++打開你Joomla網站根目錄下的.htaccess文件,添加下面的代碼進去:

########## Begin - Rewrite rules to block out some common exploits# 
# Block out any script trying to set a mosConfig value through the URL 
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1 ,21}(=|%3D) [OR] 
# Block out any script trying to base64_encode crap to send via URL 
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] 
# Block out any script that includes a < script > tag in URL 
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] 
# Block out any script trying to set a PHP GLOBALS variable via URL 
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR] 
# Block out any script trying to modify a _REQUEST variable via URL 
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0 -9A-Z]{0,2}) [OR] 
# Block out any script that tries to set CONFIG_EXT (com_extcal2 issue) 
RewriteCond %{QUERY_STRING} CONFIG_EXT([|%20|%5B).*= [NC,OR ] 
# Block out any script that tries to set sbp or sb_authorname via URL (simpleboard) 
RewriteCond %{QUERY_STRING} sbp(=|%20|%3D) [OR] 
RewriteCond %{QUERY_STRING} sb_authorname(=|%20|%3D ) 
# Send all blocked request to homepage with 403 Forbidden error! 
RewriteRule ^(.*)$ index.php [F,L] 

########## End - Rewrite rules to block out some common exploits

 

 

世界級強大的管理後台

輕鬆管理網站、會員、圖片、影片、會員,編輯文章超容易!

RWD響應式網頁設計

適合各種螢幕尺寸大小瀏覽,IPAD. MAC. IPHONE.Android兼容!網站內容完整展現!

SEO關鍵字優化

網站製作依GOOGLE搜尋引擎最佳化規範開發,自行新增修改關鍵字!

技術團隊支援

專案管理、程式開發、視覺設計,讓您的專案無後顧之憂!

Image
Image
Image
Image
 

所見即所得編輯器

與WORD相容(WYSIWYG)編輯器,編輯管理文章圖片超容易!
 

網站流量分析

分析網站的主要客群、性別、年齡層、最常瀏覽網頁、瀏覽路徑、活躍使用者...
 

視覺形象設計

資深設計師為您把關,重視品牌設計與形象質感,與眾不同才有價值
 

完整的教育訓練

我們提供客戶完整免費的教育訓練,使用網站後台簡單又快速
 

專案人才培訓

業界講師授課,資訊力就是競爭力!加入我們,向高山舉目!

 

 

跨境電子商務

市場決定了價值!我們的市場在世界!
 

SEO搜尋引擎優化

依照"Google 搜尋引擎最佳化指南"進行網站優化,搜尋率只昇不降!
 

行銷活動推廣

連結各種行銷媒體、定時舉辦促銷活動、粉絲團宣傳及異業結盟...
 

強大的程式擴充功能

超過上千種的程式擴充模組,網站功能擴充很容易!
 

專業的網站諮詢

專業的網站諮詢人員回答您的問題,即時協助!

 

 

RWD響應式網頁設計

適合手機、平板、筆電...等各種螢幕尺寸!SEO完全優化!
 

客製化大型程式開發

超強程式開發者,有多種大型程式開發經驗,客製化程式開發沒問題!
 

上千種視覺版型套用

提供國外前端視覺版型選擇套用,網站更具國際性與世界競爭力!
 

技術團隊支援 the A team

專案管理、程式開發、視覺設計,讓您的專案無後顧之憂!
 

虛擬主機代管

主機是項專門的知識技術,而我們就是專業!

 

客戶推薦


最新文章

原創、翻譯及轉貼的資訊都在這裡。

程式設計開發
響應式設計為什麼要錢?

08 三月 2019 - 3052 Views

網站製作方案比較表

18 一月 2017 - 3618 Views

軟體開發規格書的重要性

01 十一月 2016 - 12066 Views

階層式設計

21 十月 2016 - 5794 Views

Joomla!教學
joomla 4 安裝教學

06 八月 2022 - 64 Views

【SEO優化】舊語法更新刪除

13 十二月 2017 - 3143 Views

Joomla-Website Builder簡易操作教學

22 三月 2017 - 8491 Views

WORDPRESS
wordpress外掛安裝

24 七月 2022 - 74 Views

wordpress安裝教學

23 七月 2022 - 102 Views

WordPress Vs Joomla比較

01 七月 2016 - 2921 Views

wordpress的框架分析及頁面架構

31 三月 2016 - 8155 Views

網頁
【電商PM】-內容管理系統CMS

02 一月 2018 - 4296 Views

網頁動畫設計入門

27 三月 2017 - 8970 Views

網站是實現夢想的工具! 開始準備建置您的網站了嗎? 加Line好友
 

我們重視設計質感與行銷價值

。網頁設計。程式設計。Joomla教學。

聯絡資訊


ring@des13.com

 @igodos 加line好友

因應疫情,我們實施居家辦公,辦公室及會議室不開放

04-23174836 /  0931-303767 

thedes13 

 
Our website is protected by DMC Firewall!