10/09/2011

Bảo mật thư mục Administrator trong Joomla


=.= Mình bị hack. Bts nhà nó, web chưa làm xong nó cũng hack, web vớ vẩn nó cũng hack. Hack xong nó còn báo cho mình qua YM x-(. Mình mặc kệ luôn, này thì hack! Tiểu nhân vô đối, site nhà người ta đang yên đang lành có động gì đến nó đâu.
Hừ. Bực mình chút thôi, để trong lòng hoài thật khó chịu :) Cái loại đó sau này có trở nên giỏi giang cũng sẽ là sâu mọt của xã hội. Bài này chính là mình muốn viết về một cách bảo mật cho Joomla: đặt mật khẩu cho thư mục quản trị. Cũng đơn giản thôi, không có gì là phức tạp nhưng nếu áp dụng sẽ có thể làm khó bọn hacker thêm một chút rồi ]:)
Đặt mật khẩu cho thư mục, thực ra làm trong cPanel cũng được (hệ thống quản trị hosting nào cũng có chức năng này). Tuy nhiên để hiểu được bản chất của việc này cũng coi như là biết thêm một cách thú vị. Chính vì vậy ta có thể tự đặt mật khẩu bảo vệ thư mục quản trị Joomla bằng tay, mà tác dụng vẫn như giống với cách làm trong quản trị hosting. Ok, có 3 bước:

1. Tạo file .htpasswd với nội dung sau


tendangnhap:$apr1$t2YOL...$Xo98BGSbFrbqqnry5IFPG1

2. Tạo file .htaccess với nội dung sau:

AuthType Basic
AuthName "Password Required Page"
AuthUserFile "/đường-dẫn-gốc/public_html/administrator/.htpasswd"
Require valid-user

3. Upload 2 file trên vào trong thư mục Administrator:

Vậy là xong.

  • Tạo 2 file .htpasswd và .htaccess  bằng trình soạn thảo text bất kỳ, Save as type: All Files (*.*) 
  • Trong file .htpasswd:
    tendangnhap: Tên đăng nhập vào thư mục đặt password
    $apr1$t2YOL...$Xo98BGSbFrbqqnry5IFPG1: mật khẩu đăng nhập đã được mã hoá, nội dung mật khẩu trường hợp này là: matkhaudangnhap
  • Mật khẩu trong file .htpasswd được mã hoá theo thuật toán DES (Data Encryption Standard), không dễ bị phá. Tạo một file.htpasswd với username và password theo ý muốn tại đây.
  • Trong file .htaccess:
    Đường-dẫn-gốc ở đây là đường dẫn gốc của host dẫn tới thư mục đặt file .htpassword
    Muốn biết đường dẫn gốc của host là gì thì xem: http://site-của-bạn/info.php, mục DOCUMENT_ROOT
    Nếu không xem info.php được (host cấm hàm phpinfo) thì phải hỏi bọn cung cấp hosting thôi ^^!, nhưng thường đường dẫn của host Linux cũng dễ đoán ấy mà.


SHARE THIS

Author:

Tôi là PHƯỚC kỹ sư công nghệ thông tin. chuyên thiết kế web và làm dịch vụ MMO.

0 comments: