网站防黑几种事项

你的 Joomla! 1.5 网站安全吗？你是否知道已经有很多 Joomla 网站被黑客攻击了？就连国内某著名 Joomla 知识网站前不久也惨遭黑手，首页被替换成黑客的标语。

虽然说没有绝对的安全，但是如果采取一定的措施，总是能 大限度地降低风险，避免网站被攻击的危险性。想提高你网站的安全性吗？那么请认真阅读 —— Joomla 1.5 网站防黑9条戒律：

1、备份！还是备份！

我想“备份”对于数据安全的重要性无需再强调了吧？而且，这个操作是每个网站都能做到的，也并不复杂。为什么有些站长就是做不到呢？

备份，不仅包括对数据库的备份，也包括对文件系统的备份。鉴于各个网站的数据更新频度不同，有些可能一个月备份一次就够了，有些可能需要每天备份一次。请站长根据网站的内容更新情况来决定。

备份工作也可以借助工具变得更简单一些。强烈建议所有 Joomla 1.5 网站安装JBackup 自动备份数据库插件，或者 LazyBackup2 数据库自动备份插件。后者还能将备份结果加密后发送到信箱。

对于需要经常备份文件系统的网站，建议安装 JoomlaPack 备份组件，此组件还有配套的桌面版远程备份工具，可以帮助管理员更方便地备份网站。

2、对照“Joomla 管理员安全问题列表”补漏

Joomla 管理员安全问题列表 是由 Joomla 官方团队专门提出的，请不要忽视它的权威性和重要性。建议所有 Joomla 站长对照该列表查看自己还有哪些安全工作不到位，还有哪些措施是可以做而没做的。相信该列表可以将你的 Joomla 网站变得更安全。

3、用 jSecure 插件把后门关紧

很多 web 程序都有“自定义后台管理目录名称”的功能，例如 WordPress，你可以将 /admin 目录改名为 /ia-7a_88 这样很难猜测的名称，黑客就很难找到管理后台的入口。但是 Joomla 没有这个功能，地球人都知道 Joomla 1.5 的后台入口是http://域名/administrator 。

幸好 Synergy 开发了 jSecure Authentication 后台登录验证插件，该插件的功能是：你可以设置一个密码，当访问后台入口网址时，需要再提供一个密码才能看到登录界面。这就相当于给后门加了一把锁。强烈建议所有 Joomla 网站都安装 jSecure 插件。

4、不要使用默认的 jos_ 数据表前缀

安装 Joomla 1.5 时，默认的数据表前缀是 jos_ ，很少有人去修改这个前缀，这就导致黑客攻击 jos_ 前缀的数据表时大多数情况下能成功。

因此，建议你在安装 Joomla 时选择一个自定义的数据表前缀，这样就能避免很多针对 jos_ 数据表的自动化攻击。

5、更改超级管理员用户

Joomla! 1.5 安装结束后创建的第一个用户就是超级管理员，其用户名是固定的 admin，其 userID 是固定的 62，这一点你知，我知，黑客也知。

单纯修改超级管理员的用户名没有多大意义，因为很多攻击都是针对 user ID 而不是针对 username。因此，我们必须将超级管理员换掉。具体做法：

• 用默认的 admin 帐号登录网站后台；
• 创建一个新的超级管理员用户，使用比较难猜测的用户名和复杂的密码；
• 退出 Joomla 后台，换用新的超级管理员用户帐号再次登录；
• 将原来的 admin 用户级别修改为 低级别的后台帐号，例如 editor，然后再将它封禁（注：有人建议删除 admin 帐号，但是 Joomla之门 认为删除后可能有人在前台恶意注册这个用户名，所以只需禁用就行了）；

6、使用复杂的管理员密码

很多人仍然习惯于使用生日、电话号码、邮政编码、爱人姓名、英文单词等强度极差的字串作为管理员密码。更有甚者，很多人为了方便记忆，竟然将网上银行密码、信箱密码、网站管理密码、淘宝网店密码等统统设置为同一个字串！这些密码全都不堪一击。

怎样才算好的密码？比较强的密码必须同时包含字母（A-Z）、数字（0-9）及特殊字符（#_!@等），并且混合大小写，另外，必须有足够的长度，例如 16 个字符长度的密码肯定比6位的密码更安全。

如果你自己无法编造出一个复杂的密码，可以借助网上的一些 在线密码生成器，迅速产生一个强度极佳的密码串。

另外，Windows XP 操作系统也自带了一个生成随机密码的功能。进入 DOS 模式，输入下面的命令并回车，系统就能自动为你输出一个复杂的密码：

net user administrator /random

这个 DOS 命令生成的密码长度是8位，如果你觉得短，可以重复几次这个命令，然后将两个8位的密码合并成一个16位的密码。

如果怕自己记不住，就写在密码本上，锁在家里抽屉里。万一你忘记了，也能通过 phpMyAdmin 从数据库中找回 Joomla 管理员密码。

7、经常更换密码

你可能已经拥有了一个比较强大的密码，但是仍然建议你经常更换。一般来说，每3个月换一次密码比较合理。

8、不要使用 MySQL 的 root 用户作为数据库的用户

如果你的网站空间是购买的 shared hosting，一般不存在这个问题。如果你比较幸运，有自己的服务器，或者购买了 VPS，那么你就有 MySQL 的 root 管理员权限。当你为安装 Joomla 而创建新数据库时，建议为该数据库重新创建一个管理员用户，指派给够用的权限就行。这个新用户只能访问和管理该站点所对应的数据库，而不是整个 MySQL 根权限。

9、及时更新 Joomla 核心到 新版本

每次 Joomla 官方发布新版本核心，就等于是对旧版本的否定。因此，你必须紧跟这个变化，及时将你的 Joomla! 1.5.x 核心升级到 新版本。

注意：这里所说的“ 新版本”当然是指 新的稳定版，不是测试版，更不是 SVN 版本。目前的 新稳定版是 Joomla! 1.5.12，你升级了吗？

鼎誉网络科技有限公司 小陈做网站 湖南网站制作 长沙网站制作 服务器防黑 服务器管理 网站维护 网站制作

|湘诚凯威 小陈做网站 湖南网站制作 长沙网站制作 服务器防黑 服务器管理 网站维护 网站制作|