XOOPS輕鬆架 - 線上書籍

:::

XOOPS 研習講義
==========

### 一、緣起

1. 於2023-08-02下午應該許多學校或單位都有收到這樣的通知：![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/1690962347660.jpg)
2. 先說明一下，**這只是通告，並非真的有被入侵**。
3. pma.php是在站長工具箱內，也就「資料庫管理」的導引程式。該程式是用來呼叫最新版的 [adminer 4.81](https://www.adminer.org/)，並加入官方外掛用的。
4. 「Adminer development priorities are: 1. Security, 2. User experience, 3. Performance, 4. Feature set, 5. Size.」這是他們的開發宗旨，第一點就是**Security（安全）。到目前為止，尚無發現 4.81版有任何資安問題（[參見此處](https://www.cvedetails.com/google-search-results.php?q=Adminer#gsc.tab=0&gsc.q=Adminer&gsc.page=1)）**
5. 根據文意，看起來重點應該是這句『該頁面若使用預設密碼或遭暴力密碼破解成功，攻擊者將得到系統完整控制權』。
6. adminer.php 其實只是為文字界面的MySQL，提供一個圖形操作界面而已，所以，登入的帳密，就是資料庫帳密。不過，MySQL沒有所謂的「預設密碼」，因此，若容易被暴力破解，只有「弱密碼」這個可能性而已。
 
### 二、如何應對？

1. 若很急，先改掉 modules/tad\_adm/pma.php 的檔名，例如（不過這屬於鴕鳥心態，就是不讓弱掃單位掃到而已）
2. 可改掉網站的資料庫帳密即可，朝著「不使用root帳號」、「超級麻煩的密碼」的方向來設定即可。
 
### 三、建立資料庫新帳號

1. 點擊「歡迎XXX→資料庫管理」 
 ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/7iAiFNbn84.png)
2. 然後用資料庫密碼登入之（伺服器 99% 都是localhost，台南市例外，因為網站和資料庫並不在同一臺機器上）。 
 ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/8BH3K6U9vc.png)
3. 點擊學校用的資料庫 
 ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/v54tkQkehq.png)
4. 點擊「權限」 
 ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/1b2UHR1A17.png)
5. 點擊「建立使用者」（如果你有權限建立的話，再往下做即可。若是沒權限，那就表示不關您的事...） 
 ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/Adr7q17MER.png)
6. 輸入帳號密碼，密碼越長越好（<label><input name="hashed" title="input" type="checkbox" value="1"></input>Hashed別勾</label>），加點大小寫和特殊符號更佳，「All privileges」記得勾才有全部權限，設好後，下方按「儲存」 
 ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/cOts0eGpaD.png)
7. 此時，應該可以看見使用者列表有您剛剛新建的帳號。 
 ![img](https://img.ltn.com.tw/Upload/3c/page/2022/03/21/220321-48218-2.png)
 
### 四、修改 XOOPS 的 secure.php 檔設定

1. 切到「站長工具箱」的前台，找到「 xoops\_data 路徑」的值  
     ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/LGLcZS6oBF.png)
2. 接著用ssh或filezilla軟體想辦法開啟「/xoops\_data路徑/data/secure.php」這個檔，這是資料庫的設定檔  
     ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/gcIY5WJIpL.png)
3. 修改「XOOPS\_DB\_USER」及「XOOPS\_DB\_PASS」的值，儲存即完成。  
     ![](https://campus-xoops.tn.edu.tw/uploads/tad_book3/image/18/gj4U6H1nsJ.png)
4. 接著，只要回到網站，看看是否可以正常呈現即可。
5. 最後，透過 「SQL命令」來修改root密碼： 
    ```sql
    ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'root的密碼';
    FLUSH PRIVILEGES;
    ```
    
    若上述語法不行（**5.5.5-10.4.30-MariaDB**），請試試下面語法：
    
     
    ```sql
    ALTER USER 'root'@'localhost' IDENTIFIED BY 'root新密碼';
    FLUSH PRIVILEGES;
    ```
    
    若還不行（**5.5.68-MariaDB**），用這個
    
     
    ```sql
    use mysql;
    UPDATE mysql.user SET Password=PASSWORD('root新密碼') WHERE User='root';
    UPDATE user set plugin='' where User='root';
    FLUSH PRIVILEGES;
    ```
 
### 五、常見問答

1. 在XOOPS網站中各模組、MYSQL是否仍需要用root帳號去進行驗證才能使用？ 
 答：沒有一定要用root喔～
2. pma.php剛剛確認是在tad admin內，如果刪除是否會影響到其他系統運作？ 
 答：tad\_adm及 tad\_admin 都有 pma.php，刪除不影響網站（因為本來就跟XOOPS無直接關係），只是會比較不方便而已（得自己裝個資料庫管理工具，如 phpMyAdmin）。
3. 關閉目錄瀏覽功能是否影響到網站運作。 
 答：不會，而且本來就應該關閉，打開才是有問題的阿！！！！

:::

書籍目錄

展開 | 闔起

快速登入

進階搜尋

http%3A%2F%2Fcampus-xoops.tn.edu.tw%2Fmodules%2Ftad_book3%2Fmarkdown.php%3Ftbdsn%3D1974

計數器

今天：
昨天：
總計：

MarkDown

書籍目錄

快速登入

計數器