1. Các thành viên khi post bài chú ý nếu nội dung sai khu vực quy định sẻ bị ban nick và xóa tất cả những bài của acc vi phạp ngay lập tức ( Không có việc cáo kiện gì ở đây nhé ). Các bạn SEO chú ý giùm.
    Quy Định Về Avatar:
    Lựa chọn avatar khác với mặt định của Cotdien.com là điều bắt buộc khi đăng bài. Bất cứ bài viết nào tính từ thời điểm ngày 12/09/2017 của thành viên không có avatar riêng sẽ được coi là không hợp lệ.
    Những điều ở trên đồng nghĩa là vi phạm và ban nick xoá bài là cái kết đau lòng không ai muốn (àh tất nhiên là cũng khỏi kiện cáo)

Hướng dẫn bảo mật đối với forum/ website tránh local attack

Thảo luận trong '2. Hướng Dẫn Kỹ Thuật Web, Hosting & Domain' bắt đầu bởi Cotdien, 31 Tháng bảy 2013.

  1. Cotdien

    Cotdien I'M NOTHING Staff Member

    Tham gia ngày:
    25 Tháng sáu 2013
    Bài viết:
    398
    Đã được thích:
    2
    Điểm thành tích:
    18
    - Hiện nay trên root thấy nhiều anh em kêu bị hack hay hướng dẫn bảo mật web, hôm nay ngồi rảnh rỗi nên viết bài này để hướng dẫn anh em đôi chút, thực ra nhiều nơi cũng hướng dẫn anh em bảo mật phần nào rồi nên mình chỉ viết lại thôi, mỗi người 1 các bảo mật khác nhau và sau bài này mình sẽ hướng dẫn các bạn bảo mật cao hơn một chút nữa.

    Chú ý nếu các bạn nào dùng open source thì thường xuyên cập nhật thông tin báo lỗi về phiên bản các bạn đang dùng và fix lỗi đó :D. Còn các bạn dùng code tay thì chú ý nhất vẫn là SQL Injection, lỗi này được cảnh báo rất nhiều nhưng hầu như anh em cũng thường mắc phải.

    Sau đây là hướng dẫn anh em bảo mật Part 1: (làm dc thế này cũng ổn ổn rồi)

    1, Đối với các open source thì điều đầu tiên là cần đổi dường dẫn file config, ở đây mình sẽ chỉ các bạn đổi ở VBB vì nó khá thông dụng với anh em.

    Bạn tạo 1 thư mục có tên là #tenthumuc, lưu ý có dấu # ở đầu nhé

    Copy file config.php vào đây (có thể đổi tên)

    Sau đó vào file includes/class_core.php tìm includes/config.php và thay bằng đường dẫn mới của file config

    ví dụ mình đặt tên thư mục chứa config là #kai và đổi tên config.php thành root.php thì bạn mở file includes/class_core.php thay toàn bộ includes/config.php thành #kai/root.php

    Giải thích: Tên thư mục có dấu # ở đầu sẽ hạn chế đc rất nhiều nguy cơ attack, vì sao ?
    Vì # là dấu phân cách địa chỉ đặc biệt, Ví dụ:

    http://root.vn/hack.php#kai

    --> trình duyệt sẽ chỉ gửi yêu cầu tới file http://root.vn/hack.php và khi trang load xong nó sẽ cuộn thanh cuốn tới thẻ có ID là kai

    Như vậy nếu kẻ nào đó dùng shell đọc file config.php chằng hạn
    Nếu theo cách bình thường thì nó sẽ gọi như sau:





    như bạn thấy trong link trên dấu # đã phân cách chuỗi kai ra khỏi link
    Vậy link trên sẽ tương đương link sau



    --> như thế sẽ sai đường dẫn và không đọc được config nữa.

    2. Đổi vị trí đường dẫn admin

    - VBB:

    Ở file config tìm dòng


    $config['Misc']['admincpdir'] = 'admincp';


    sau đó thay admincp bằng tên bạn muốn thay và từ giờ bạn vào admin theo đường dẫn mới là dc.

    - Joomla: dùng cái component gì gì đó mà quên mất tên rồi :D . Nhớ sẽ cập nhật sau

    - Wordpress: Có nhiều plugin nhưng mình thấy dùng thằng hide_my_wp khá hay, khi view source thì những hacker ko có kinh nghiệm ko thể nhận biết ra dc đó là wordpress . Tải em nó tại đây nha http://file.root.vn/pod03bcg1

    Còn các mã nguồn khác tự tìm nha....

    3. Chmod bảo vệ thư mục

    - Đối với em Cpanel:

    CHMOD 400 cho file #tenthumuc/config.php , includes/class_core.php
    CHMOD 100 cho thư mục #tenthumuc và includes

    - Đối với em DirectAdmin

    Chmod 004 cho file #tenthumuc/config.php , includes/class_core.php
    CHMOD 001 cho thư mục #tenthumuc và includes

    - Đối với em Kloxo:

    CHMOD 404 cho config nhé với thằng Kloxo thì hơi đặc biệt 1 chút là bạn đổi tên có dấu # nó sẽ ko nhìn dc trên host, chỉ có thể nhìn qua ftp nên bạn up nó lên thông qua ftp nhé.

    4. Phân quyền user trên database

    Khi add user vào với database thì các bạn bỏ phần lựa chọn ở Drop đi, nhiều bạn hay để full quyền. Còn riêng bạn nào xài vbb thì để nhé để nó còn đếm lượt view topic

    5. Đặt pass cho thư mục admin

    Với Cpanel:

    Chuột phải vào thư mục cần bảo vệ chọn Password Protect

    [​IMG]


    Nhập thông báo ở cửa sổ đăng nhập khi người dùng vào thư mục này

    [​IMG]



    Sau đó lưu lại

    [​IMG]


    Rồi nhấn back lại để nhập user, pass

    [​IMG]


    Nhấn Add/modify authorized user là xong.

    Với DirectAdmin

    Duyệt đến folder cần bảo vệ chọn Protect

    [​IMG]


    Sau đó điền thông tin như hình

    [​IMG]

    6. Khuyến cáo

    - Backup dữ liệu thường xuyên.
    - Không cho thằng nào biết pass :D
    - Phương thức này cũng chỉ để bảo vệ bạn 1 phần khỏi sự tấn công của hacker nên đừng nghĩ là trang của bạn đã được bảo mật nhé
    - Cập nhật thường xuyên các bản vá lỗi CMS mình đang dùng.

    Root.vn
     

Chia sẻ trang này