上一次Joomla 0day漏洞让很多使用joomla的网站挂掉,这个确实很无奈,毕竟只要是程序,就会有漏洞,就有被攻破的可能。我们能做的就是尽最大可能防止自己的网站被黑掉。
一般常见的攻击路径有两种:服务器和网站程序。对于服务器的安全不是我们讨论的话题,那是主机商的事,我们能做的就是自己网站程序的安全防范。对于Joomla网站,建议做好以下几个方面的防范:
是否使用的是最新版本 Joomla!
这个是非常重要的,时刻关注Joomla的版本更新,及时将自己的网站更新到最新版。
是否使用的是最新版的第三方扩展
再牛逼的人用Joomla做网站肯定会或多或少用到一些第三方扩展,毕竟省事省力嘛,这些扩展很多时候也会爆出致命的漏洞,所以及时更新非常有必要。
是否更改了网站后台登录入口
地球人都知道Joomla的后台入口是administrator,所以为了安全起见,请一定要更改这个路径,可以使用这个插件来处理:Adminexile
是否使用了较弱的密码
不管是管理员账户还是数据库账户的密码,一定要设置强壮的密码,强壮的密码一般由:大小写字母、数字、键盘上各种特殊的符号混合而成,长度起码8位以上。
是否使用 'admin' 作为会员用户名
admin是一般默认的用户名,不建议使用,Joomla允许我们自定义用户名的
是否设置了 FTP 密码
在Joomla后台【全局设置】-【服务器设置】里面的FTP设置直接设置为否。
是否启用搜索引擎友好网址(Search Engine Friendly URLs)
如果使用原始的链接,既对搜索引擎不友好,而且也会暴露使用的扩展的类型,更有被注入的风险。
configuration.php 文件完整性
configuration.php配置文件包含了一些敏感的信息,需要注意检查该文件是否完整。
会话(session)存活时间(lifetime)
会话(session)存活时间(lifetime)推荐设置为小于 15 分钟。
会话(Session)处理方式
这个选项系统默认是数据库存储,存在安全隐患,修改为不保存。
Joomla 临时目录中是否有遗留文件
Joomla 临时目录就是网站根目录的tmp目录,里面一般应该被清空,不要留任何文件。