Joomla Diceroboh? Sila semak checklist keselamatan ini
Print

Pos pada 12/08/2010 / Oleh Syamsul kategori

Checklist Keselamatan Instalasi Joomla

Sekiranya anda mengesyaki Joomla anda telah diceroboh; Semak sistem log web server anda untuk melihat aktiviti Joomla anda kebelakangan ini (KLIK PAUTAN INI untuk cara pengaktifan / muat turun fail log dari sistem cPanel). Dapatkan bantuan daripada mereka yang mahir untuk cara mengesan aktiviti luar biasa melalui bacaan log sistem.

Untuk mengurangkan risiko Joomla anda diceroboh, ikuti langkah-langkah (checklist) berikut:

1. Teras Joomla anda telah usang (anda guna Joomla versi lama).

Versi lama Joomla biasanya mempunyai banyak lompong (security vulnerabilities) yang mudah diceroboh. Login ke dalam sistem pengurusan Joomla anda (http://URLanda/administrator) dan lihat versi Joomla anda. Sekiranya versi Joomla anda telah usang, ikuti tutorial ini untuk cara naik taraf (upgrade) Joomla anda:

Upgrade Joomla (sedang dibangunkan)

Selain itu, anda juga boleh memasang (install) komponen tambahan ke dalam Joomla, khas untuk tujuan kemaskini Joomla. Antara komponen yang popular adalah Update Manager. Komponen ini akan memudahkan anda untuk mengemaskini versi Joomla dengan cara paling mudah!

2. Components / modules (Extensions) anda telah usang (outdated).

Ini adalah masalah biasa yang sering diabaikan oleh ramai pengguna Joomla. Semak components / modules Joomla anda dan pastikan ia adalah versi terkini (up to date). Semak halaman pembangunnya (addon's homepage) untuk maklumat keselamatan dan panduan kemaskini (upgrade).

3. Kesalahan konfigurasi (misconfigurations) yang membuka ruang pencerobohan:

- register_globals berstatus on dalam konfigurasi PHP's (php.ini) - ini akan membuka ruang untuk pencerobohan menggunakan serangan pembolehubah penceroboh (variable poisoning); pastikan ia OFF; (LIHAT CONTOH SERANGAN)

- allow_url_include berstatus on dalam konfigurasi PHP's - ini akan membuka ruang untuk kod asing (remote code) dimasukkan ke dalam kod skrip (scripts) anda; pastikan ia OFF;

- menggunakan nama jadual (table prefix) _jos. Walaupun mengubahsuainya tidak bermakna akan menghentikan serangan MySQL injections 100%, ia sekurang-kurangnya akan menyukarkan penyerang menceroboh. Ubah table prefix ini kepada sesuatu yang lebih unik; (Anda boleh gunakan TOOLS INI untuk mengubah table prefix anda)

- RG_EMULATION berstatus on dalam Joomla 1.0.* - ini menyebabkan register_globals berstatus on. Anda akan melihat amaran (warning) setiap kali anda login ke dalam sistem pengurusan Joomla. Anda boleh mematikannya (off) dengan menambah kod ini ke dalam fail configuration.php:

if(!defined('RG_EMULATION')) { define( 'RG_EMULATION', 0 ); }

» KLIK DI SINI untuk lihat beberapa lagi tips keselamatan

Pengarang: Syamsul telah bekerja di Kolej Komuniti Sabak Bernam sejak tahun 2004 dan mempunyai pengalaman mengendalikan pelbagai kursus berkaitan diagnosis komputer, rangkaian komputer, multimedia, serta pembangunan halaman web. Blog ini dibina sebagai tapak perkongsian ilmu berkaitan Joomla yang beliau terokai.

0 ulasan

Ulasan Pembaca

Catatan Terbaru Catatan Lama