@vothailam: bạn trả lời rất vờ cờ lờ.
1. Nếu trên server, đối với linux CHMOD 101, đối với Windows Read-only, thì xin hỏi, nếu không chiếm được quyền root, hay thông qua các lỗ hỏng lặt vặt, remote, user, pass, hoặc chính webserver có sơ hở, cpanel,..., thì local bằng cách nào ?
2. Phải nên nói là, đặt password sẽ phế nếu họ đã local thành công vào server của bạn, lúc đấy, tớ chấp bạn 10 cái password đấy.
3. Phải làm tốt những cái căn bản trước đã. Đổi tên thư mục, và các tên file nhạy cảm nếu cần, nhất là file log, bạn đổi làm sao, chỉ mình bạn biết thôi, vì đây là file chứa thông tin debug,...các thứ của bạn, điều này cần tí hiểu biết về php. Dùng listip.txt thôi vẫn chưa đủ, phải dùng luôn .htaccess nữa.
4. Như chủ topic nói, đổi tất cả md5 trong file config thành pass md5 của mình. Tạo 1 lớp .htaccess login nữa cho an toàn nếu thấy cần. Xampp hỗ trợ .htaccess rất tốt,
linux thì khỏi bàn cãi.
5. Thường xuyên check log, xem ip đáng ngờ, login sai nhiều lần, cố ý truy cập link không tồn tại,...deny ip và để ý nhiều hơn trong khoảng thời gian phát hiện.
Điều còn lại, phụ thuộc rất nhiều vào source web và config của webserver. Nếu server chỉ cần chạy TVweb, bạn chỉ cần hiểu tí về php, chặn tất cả các function nào TVweb không dùng đến, vừa tránh được dư thừa, php chạy khỏe hơn (lý thuyết), thế thì có shell nó cũng không chạy được.
Zend cũng là 1 cách, nhưng mục đích của zend thực tế không phải là mã hóa để bảo mật, cái cốt lõi của zend là tối ưu code php, để nó chạy nhanh và chuẩn xác hơn, do đó zend phải mã hóa php theo cách của zend để xử lý, song song đó, chính cái mã hóa để tăng hiệu năng đó nó kéo theo việc mà ngày nay người ta nghĩ đến zend là ...bảo mật, giấu code các thể loại.
Đôi lời chia sẻ cùng ae.