เปลี่ยน Database Prefix
ก่อนการติดตั้งให้เปลี่ยน Database Prefix จาก jos_ เป็นอย่างอื่นแทนเพื่อป้องกันการเจาะระบบแบบ SQL Injection
สำหรับผู้ที่ติดตั้งไปแล้วก็สามารถทำได้โดยใช้ส่วนเสริมด้านความปลอดภัย Akeeba Admin Tools สามารถดาวน์โหลดได้จาก
http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection/14087
เปลี่ยนชื่อ admin เป็นชื่ออื่น
ปกติแล้วผู้ไม่ประสงค์ดี หรือ Hacker มักจะมุ่งเป้าโจมตีมาที่ User admin ซึ่งเป็น User ระดับสูงสุดที่เป็นชื่อมาตรฐานโดยทั่วไปของ Joomla กรณีนี้เราสามารถหลีกเลี่ยงการเป็นเป้าโจมตีนี้ได้ง่ายๆ โดยการเปลี่ยนชื่อ User admin ซึ่งสามารถดูได้ที่หัวข้อ
เพิ่มความปลอดภัย Website Joomla ด้วยการเปลี่ยน Username Admin
ตั้งค่าสิทธิ์ CHMOD ในการใช้งานไฟล์ให้ถูกต้อง
หลีกเลี่ยงการใช้งาน CHMOD 777 และ 707 กับทุกๆ File และ Directory
โดย Server ทุกตัวที่เราให้บริการ User สามารถเขียนไฟล์ได้ แม้ไม่ต้องตั้ง File และ Directory เป็น 777 โดยการตั้งค่าที่ถูกต้องคือ
- 644 สำหรับ ทุกไฟล์
- 666 สำหรับไฟล์ config
- 755 สำหรับ Directory
ลบไฟล์ที่ไม่ได้ใช้งานออก
ทุกครั้งที่ติดตั้ง ส่วนเสริม พวก extension plugin module และ component หากคุณไม่ต้องการใช้งาน ให้ลบออก หรือ Uninstallทันที อย่าตั้งค่าเป็น deactivated หรือ unpublished เพราะจะทำให้ช่องโหว่ของส่วนเสริมที่ล้าสมัยไม่ได้รับการอัพเดท ยังอยู่บน Website ของคุณ เปิดทางให้ Hacker หรือผู้ไม่ประสงค์ดีโจมตี เว็บไซต์ของคุณได้
อัพเดท Joomla และส่วนเสริมให้ทันสมัยอย่างสม่ำเสมอ
ขอแนะนำให้อย่างน้อยควรจะตรวจสอบทุกเดือนว่ามี อัพเดทและส่วนเสริมใดบ้างออกมาใหม่ หรือได้รับการปรับปรุงให้มีความปลอดภัยมากยิ่งขึ้น เมื่อทราบแล้วว่ามีก็ควรจะทำการอัพเดททันที (ท่านใดยังใช้ รุ่น 1.x ขอให้อัพเดทเป็น 2.x และ 3.x ทันที)
http://www.joomla.org/download.html
หลีกเลี่ยงการใช้งานส่วนเสริมที่ล้าสมัย และไม่ปลอดภัย
ก่อนจะติดตั้ง ส่วนเสริมพวก extension plugin module และ component ทุกครั้งให้ตรวจสอบเสมอว่า ส่วนเสริมที่คุณต้องการติดตั้งนั้นเป็นรุ่นล่าสุด และไม่มีรายชื่อในส่วนสเริมที่ถูกพบว่าไม่ปลอดภัย หรือมีช่องโหว่ โดยคุณสามารถตรวจสอบรายชื่อได้จาก
- http://docs.joomla.org/Vulnerable_Extensions_List
- http://docs.joomla.org/Archived_vel
- http://docs.joomla.org/Investigation_of_exploits
เพิ่มความปลอดภัยด้วย htaccess (Apache Mod_Rewrite)
โดยการแก้ไขชื่อ ไฟล์ htaccess.text เป็น .htaccess และเพิ่ม Rule ดังนี้
http://support.hostatom.com/knowledgebase.php?action=displayarticle&id=89
เปิดใช้งาน Search Engine Friendly URLs
การเปิดใช้งาน Search Engine Friendly URLs ไม่เพียงแต่จะทำให้อันดับในเว็บไซต์ ของคุณดีขึ้นในสายตา Search Engine แต่จะยังช่วยป้องกันไม่ให้ Hacker สามารถค้นหาช่องโหว่จาก URL รูปแบบเต็มของเว็บไซต์ของคุณได้ด้วย
ใช้ส่วนเสริมด้านความปลอดภัย
Joomla มีส่วนเสริมด้านความปลอดภัยหลากหลายตัว โดยคุณสามารถเข้าไปเลือกตัวที่เหมาะสมกับรูปแบบการทำงานของเว็บไซต์ของคุณเพื่อใช้งานได้จาก URL ด้านล่างนี้
Joomla Extensions — Access Security
ส่วนเสริมที่แนะนำ
- Admin Tools
- OSE Anti-Hacker
