Hướng dẫn bảo mật đối với forum/ website tránh local attack

- Hiện nay trên root thấy nhiều anh em kêu bị hack hay hướng dẫn bảo mật web, hôm nay ngồi rảnh rỗi nên viết bài này để hướng dẫn anh em đôi chút, thực ra nhiều nơi cũng hướng dẫn anh em bảo mật phần nào rồi nên mình chỉ viết lại thôi, mỗi người 1 các bảo mật khác nhau và sau bài này mình sẽ hướng dẫn các bạn bảo mật cao hơn một chút nữa.

Chú ý nếu các bạn nào dùng open source thì thường xuyên cập nhật thông tin báo lỗi về phiên bản các bạn đang dùng và fix lỗi đó . Còn các bạn dùng code tay thì chú ý nhất vẫn là SQL Injection, lỗi này được cảnh báo rất nhiều nhưng hầu như anh em cũng thường mắc phải.

Sau đây là hướng dẫn anh em bảo mật Part 1: (làm dc thế này cũng ổn ổn rồi)

1, Đối với các open source thì điều đầu tiên là cần đổi dường dẫn file config, ở đây mình sẽ chỉ các bạn đổi ở VBB vì nó khá thông dụng với anh em.

Bạn tạo 1 thư mục có tên là #tenthumuc, lưu ý có dấu # ở đầu nhé

Copy file config.php vào đây (có thể đổi tên)

Sau đó vào file includes/class_core.php tìm includes/config.php và thay bằng đường dẫn mới của file config

ví dụ mình đặt tên thư mục chứa config là #kai và đổi tên config.php thành root.php thì bạn mở file includes/class_core.php thay toàn bộ includes/config.php thành #kai/root.php

Giải thích: Tên thư mục có dấu # ở đầu sẽ hạn chế đc rất nhiều nguy cơ attack, vì sao ?
Vì # là dấu phân cách địa chỉ đặc biệt, Ví dụ:

http://root.vn/hack.php#kai

--> trình duyệt sẽ chỉ gửi yêu cầu tới file http://root.vn/hack.php và khi trang load xong nó sẽ cuộn thanh cuốn tới thẻ có ID là kai

Như vậy nếu kẻ nào đó dùng shell đọc file config.php chằng hạn
Nếu theo cách bình thường thì nó sẽ gọi như sau:

“http://root.vn/hack.php?act=f&f=config.php&d=/home/user/public_html/forum/#kai​

như bạn thấy trong link trên dấu # đã phân cách chuỗi kai ra khỏi link
Vậy link trên sẽ tương đương link sau

“http://root.vn/hack.php?act=f&f=config.php&d=/home/user/public_html/forum/​

--> như thế sẽ sai đường dẫn và không đọc được config nữa.

2. Đổi vị trí đường dẫn admin

- VBB:

Ở file config tìm dòng

“$config['Misc']['admincpdir'] = 'admincp';​

sau đó thay admincp bằng tên bạn muốn thay và từ giờ bạn vào admin theo đường dẫn mới là dc.

- Joomla: dùng cái component gì gì đó mà quên mất tên rồi . Nhớ sẽ cập nhật sau

- Wordpress: Có nhiều plugin nhưng mình thấy dùng thằng hide_my_wp khá hay, khi view source thì những hacker ko có kinh nghiệm ko thể nhận biết ra dc đó là wordpress . Tải em nó tại đây nha http://file.root.vn/pod03bcg1

Còn các mã nguồn khác tự tìm nha....

3. Chmod bảo vệ thư mục

- Đối với em Cpanel:

CHMOD 400 cho file #tenthumuc/config.php , includes/class_core.php
CHMOD 100 cho thư mục #tenthumuc và includes

- Đối với em DirectAdmin

Chmod 004 cho file #tenthumuc/config.php , includes/class_core.php
CHMOD 001 cho thư mục #tenthumuc và includes

- Đối với em Kloxo:

CHMOD 404 cho config nhé với thằng Kloxo thì hơi đặc biệt 1 chút là bạn đổi tên có dấu # nó sẽ ko nhìn dc trên host, chỉ có thể nhìn qua ftp nên bạn up nó lên thông qua ftp nhé.

4. Phân quyền user trên database

Khi add user vào với database thì các bạn bỏ phần lựa chọn ở Drop đi, nhiều bạn hay để full quyền. Còn riêng bạn nào xài vbb thì để nhé để nó còn đếm lượt view topic

5. Đặt pass cho thư mục admin

Với Cpanel:

Chuột phải vào thư mục cần bảo vệ chọn Password Protect




Nhập thông báo ở cửa sổ đăng nhập khi người dùng vào thư mục này





Sau đó lưu lại




Rồi nhấn back lại để nhập user, pass




Nhấn Add/modify authorized user là xong.

Với DirectAdmin

Duyệt đến folder cần bảo vệ chọn Protect




Sau đó điền thông tin như hình



6. Khuyến cáo

- Backup dữ liệu thường xuyên.
- Không cho thằng nào biết pass
- Phương thức này cũng chỉ để bảo vệ bạn 1 phần khỏi sự tấn công của hacker nên đừng nghĩ là trang của bạn đã được bảo mật nhé
- Cập nhật thường xuyên các bản vá lỗi CMS mình đang dùng.

Root.vn​