คำถามติดแท็ก security

แท็กนี้มีไว้สำหรับคำถามด้านความปลอดภัยที่เกี่ยวข้องกับ Joomla และการเข้ารหัสส่วนขยาย / เทมเพลตเพื่อป้องกันการบุกรุก


8
แนวทางปฏิบัติที่แนะนำเกี่ยวกับสิทธิ์การใช้ไฟล์ / ไดเรกทอรีของ Joomla และความเป็นเจ้าของในระบบ Linux?
ในอดีตที่ผ่านมาฉันมักพบปัญหากับการอนุญาตและความเป็นเจ้าของไฟล์ / ไดเรกทอรี Joomla บนระบบลินุกซ์ ปัญหาที่พบ ไม่สามารถถ่ายโอนไฟล์ไปยังเซิร์ฟเวอร์โดยใช้โปรแกรมเช่น WinSCP ไม่สามารถติดตั้งส่วนเสริม Joomla ปลั๊กอิน ฯลฯ ไฟล์และโฟลเดอร์ที่ไม่ปลอดภัยเนื่องจากการอนุญาตที่เป็นอันตรายและการตั้งค่าความเป็นเจ้าของ แนวทางปฏิบัติที่ดีที่สุดที่แนะนำสำหรับการตั้งค่าการอนุญาตและการเป็นเจ้าของใน Joomla บนระบบ linux คืออะไร?

6
จะตรวจสอบได้อย่างไรว่าผู้ใช้เป็นผู้ใช้ขั้นสูง?
เพื่อตรวจสอบว่าผู้เข้าชมเป็นแขกเราใช้สิ่งนี้: if ($user->guest) { echo 'Hello, guest!'; } ตอนนี้ถ้าฉันต้องการที่จะตรวจสอบว่าผู้เข้าชมเป็น SuperUser (ผู้ดูแลระบบ) ที่ลงทะเบียนหรือไม่สิ่งที่จะเป็นรหัสสำหรับที่? ฉันมีไฟล์ PHP ภายนอกที่ฉันไม่ต้องการให้ใครเข้าถึงได้ยกเว้น SuperUsers ของเว็บไซต์ Joomla ของฉัน เพียงแค่พยายามรักษาความปลอดภัยของไฟล์โดยการนำเข้า Joomla CMS

3
ฉันจะรู้ได้อย่างไรว่าเทมเพลตฟรีมีมัลแวร์หรือไม่
ฉันเพิ่งเจอเว็บไซต์ที่แจกธีมคุณภาพดีฟรี แต่เมื่อดาวน์โหลดแล้วปรากฎว่าชุดรูปแบบทั้งหมดมีมัลแวร์ที่ปกปิดไม่ดี โชคดีในโอกาสนี้โปรแกรมป้องกันไวรัสของฉันมารับมัน สิ่งที่เป็นสัญญาณทั่วไปว่าชุดรูปแบบอาจมีมัลแวร์มีเทคนิคใด ๆ ที่ชัดเจนหรือเป็นที่รู้จักกันดีที่ฉันควรทราบ?

3
ไดเร็กทอรี Joomla tmp - มีไว้เพื่ออะไรและฉันสามารถลบเนื้อหาได้หรือไม่?
ปัจจุบันเว็บไซต์ Joomla ของฉันใช้พื้นที่เก็บข้อมูลประมาณ 100 MB ฉันตรวจสอบโฟลเดอร์ของฉันและพบว่าtmp folderมีขนาดประมาณ 30MB และมีไฟล์และโฟลเดอร์จำนวนหนึ่งชื่อว่า "install_320e535e4332c2" ไฟล์เหล่านี้บางไฟล์เป็นไฟล์ล่าสุดกว่านี้ในขณะที่บางไฟล์ดูเหมือนจะเก่ากว่า (มากกว่า 1 เดือน) ฉันตรวจสอบการติดตั้ง Joomla ที่สะอาดและพบว่าโฟลเดอร์นี้ว่างเปล่า ความต้องการที่แท้จริงสำหรับโฟลเดอร์นี้คืออะไร? จะเป็นการดีไหมที่จะลบเนื้อหาในเว็บไซต์สดของฉัน?

7
รับคำขอมากเกินไป (ท่วม) ฉันจะบล็อก / ลดการร้องขอบอตมายังไซต์ของฉันได้อย่างไร
เราใช้ J3.2.3 ในเว็บไซต์ของลูกค้าซึ่งเป็นเว็บไซต์คาสิโนออนไลน์ เว็บไซต์ยังไม่เผยแพร่เนื่องจากอยู่ในโหมดการพัฒนา วันนี้เราสังเกตเห็นว่าเซิร์ฟเวอร์ช้าเกินไปแม้ว่ามันจะเป็นเซิร์ฟเวอร์เฉพาะ หลังจากขุดลงในเซิร์ฟเวอร์เราเข้าใจว่ามีคำขอจำนวนมากที่มาจาก IPs, บอทและอื่น ๆ เราสามารถบล็อก IP ได้อย่างแน่นอนโดยใช้เครื่องมือของ Ubuntu แต่นี่ไม่ใช่วิธีแก้ปัญหา เราควรใช้วิธีการตรวจจับพวกเขาก่อนแล้วจึงปิดกั้นพวกเขา แต่ในเวลาเดียวกันจะไม่ปิดกั้นผู้เยี่ยมชมจริง ฉันติดตั้ง sh404SEF และเปิดใช้งานคุณลักษณะด้านความปลอดภัยเช่นเดียวกับ Project Honey Pot! ตอนนี้เมื่อฉันไปที่ส่วนประกอบ> sh404SEF> สถิติความปลอดภัยฉันได้รับสถิติเหล่านี้ในช่วง 30-40 นาทีที่ผ่านมา: คำถามที่ 1: เป็นอันตรายหรือไม่ที่มีคำขอหน้านี้มาก คำถามที่ 2: มีวิธีลดจำนวนคำขอหรือไม่ คำถามที่ 3: วิธีใดดีที่สุดในการปกป้องเว็บไซต์ Joomla ของฉันจากบ็อตการโจมตี DDoS เป็นต้น ขอบคุณ!

5
จะทำอย่างไรถ้าเว็บไซต์ Joomla ของฉันถูกแฮ็ก
ฉันมีเว็บไซต์ Joomla 2.5 เมื่อวานนี้ฉันไม่สามารถลงชื่อเข้าใช้แผงผู้ดูแลระบบได้ ฉันเช็คเอาต์ตารางผู้ใช้ ฉันช็อคเมื่อฉันเห็นว่าฟิลด์ชื่อผู้ใช้ของผู้ใช้ทั้งหมดเป็น ' ผู้ดูแลระบบ ' และรหัสผ่านคือ ' 268e27056a3e52cf3755d193cbeb0594 ' โดยทั่วไปฉันจะไม่ใช้ส่วนขยายของบุคคลที่สามที่ไม่น่าเชื่อถือ / ไม่น่าเชื่อถือ มีใครที่พบปัญหาเดียวกันนี้หรือไม่ ถ้าใช่คุณช่วยบอกฉันได้ว่าอะไรคือสาเหตุและวิธีแก้ปัญหาคืออะไร?
10 security 

3
ห้ามการเข้าถึงไฟล์ INI และ XML โดยตรง
เจ้าของเว็บไซต์บางคนไม่ต้องการให้ผู้คนโดยเฉพาะคู่แข่งรู้ว่าคุณลักษณะใดที่พวกเขามีในเว็บไซต์ เพราะข้อมูลสำคัญบางอย่างในภาษาหรือไฟล์การกำหนดค่าสามารถเข้าถึงได้โดยตรงจากเบราว์เซอร์เช่น administrator/components/com_bank/language/en-GB/en-GB.com_bank.ini administrator/components/com_bank/config.xml components/com_bank/models/forms/transaction.xml แม้ว่าจะมีเพียงช่างเทคนิคเท่านั้นที่รู้เกี่ยวกับ Joomla เท่านั้นที่สามารถค้นหาลิงก์เหล่านี้เข้าถึงและค้นหา (หรือคาดเดา) ว่ามีไซต์ใดบ้าง แต่เจ้าของเว็บไซต์ต้องการให้ทุกอย่างเป็นความลับ ดังนั้นมีวิธีแก้ไขปัญหาด้านเซิร์ฟเวอร์หรือส่วนขยาย Joomla ใด ๆ เพื่อห้ามการเข้าถึงโดยตรงไปยังไฟล์ INI และ XML เหล่านี้หรือไม่
10 cms  security 

2
จะหยุดผู้ใช้ (ปลอม) จากการลงทะเบียนบนเว็บไซต์ของฉันได้อย่างไร?
ฉันดูแลเว็บไซต์ที่ไม่ต้องการให้ผู้ใช้ลงทะเบียน ผู้ใช้ที่จำเป็นเท่านั้นคือผู้ใช้ขั้นสูง ปัญหาคือฉันพบผู้ใช้ที่ลงทะเบียนใหม่จำนวนมาก ก่อนอื่นฉันต้องการปิดการใช้งานความสามารถในการลงทะเบียนผู้ใช้ใหม่และลบผู้ใช้ที่มีอยู่ยกเว้นผู้ใช้ขั้นสูง สำหรับการเริ่มต้นฉันทำขั้นตอนบางอย่างฉันได้ติดตั้งสองขั้นตอนการตรวจสอบเพื่อพยายามบล็อกและลบผู้ใช้ ฉันประสบปัญหาเมื่อฉันพยายามลบหรือบล็อกผู้ใช้ไม่มีอะไรเกิดขึ้นโดยไม่แสดงข้อผิดพลาดใด ๆ

3
การเปลี่ยนชื่อไดเรกทอรีผู้ดูแลระบบ
สามารถเปลี่ยนชื่อไดเรกทอรีผู้ดูแลระบบได้อย่างมีประสิทธิภาพ (ตัวอย่างเช่นเปลี่ยนง่าย ๆ ใน Joomla! core code) เป็นadmTZ34 ? เหตุผลหลักคือทำให้รูปแบบมาตรฐานที่ทำให้สับสนซึ่งสามารถใช้www.example.com/administratorเพื่อตรวจสอบสถานะของ Joomla! การติดตั้ง (ในรุ่นเก่ายัง Joomla! เวอร์ชั่น ฯลฯ )
9 security 
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.