作为最流行和最下载的内容管理系统之一,Joomla也是受到攻击最多的内容之一。
在此列表中学习如何通过开发和培养适当的安全思维来保护基于Joomla的网站,即使您不懂技术。配备此Checklis,您可以立即开始微调Joomla网站安全。
#1.请记住,互联网是一个狂野的丛林
您的Joomla网站一旦在互联网上发布,就会对所有人开放,这意味着它迟早会成为恶意攻击的对象。他们可能来自对脚本或恶意的经验丰富的黑客。
然而,对于您的网站而言,您的网站可能会成为一个无足轻重的黑客攻击对象,Joomla是当今最受欢迎,下载量最大的内容管理系统之一。因此,它也是受到攻击最多的一个。时刻保持警惕!
#2.为您的网站安全承担个人责任
您的Joomla网站安全是您自己的责任。没有别的办法可以绕过它,你必须保持控制。好消息是,尽管您对Joomla网站安全性的主题感到恐惧,但对您而言,您仍然可以学习它,即使您不熟悉技术。
经验是最好的老师,你的确可以学习如何加强Joomla网站的安全。
#3.保持“永远不够好”的态度
如果我们现在已经注意到你对互联网有多危险并且对你的Joomla网站安全负有全部责任感到印象深刻,这里有一个让你更加清醒的词:永远不要假设你做得够多了。
没有“太多安全”这样的事情。在这种情况下,“比安慰更安全”的格言不可能更真实。
#4.让您的CMS版本保持最新状态
确保运行最新稳定的Joomla版本是收紧Joomla站点安全性的“首要任务”步骤之一。每次Joomla项目发布一个新的稳定版本时,您都会立即在您的Joomla管理员控制面板中找到相应的通知。
每次访问您的Joomla管理员后端时,请留意此类通知。永远不要忽视对他们采取行动。立即更新您的Joomla安装到新发布的版本!
#5.订阅Joomla安全公告
在Joomla安全中心发布的安全问题和漏洞公告,在系统中找到。
在http://feeds.joomla.org/JoomlaSecurityNews上订阅Joomla安全公告,并随时了解您网站的最新威胁。
#6.减少超级用户的数量
拥有超级用户访问级别的Joomla用户有权执行Joomla系统内的所有操作。如果您将您的网站上的任何任务委派给团队成员,请确保您仅为该成员分配了最低要求的访问级别。
尽你所能将您网站的超级用户数量降到最低。
#7.总是检查你的Joomla超级管理员密码复杂性!
绝大多数Joomla网站仅因弱超级用户密码而被黑客入侵。在https://howsecureismypassword.net上使用这个漂亮的工具,并确保您知道密码破解需要多长时间。
不要玩你的网站安全为俄罗斯轮盘赌。选择密码来破解计算机需要数千年的时间 - 足够长的密码,由小写字母,大写字母,数字和特殊字符组成。
#8.强加一个严格的Joomla密码策略
在您决定在您的网站上启用用户注册之前,请不要假设您的用户在注册时将为您创建难以猜测的密码。他们从来没有,也永远不会。利用Joomla的内置功能来控制创建的密码(请参阅用户 - >管理 - >选项 - >密码选项)。
当你的用户在你的网站注册时,强迫你的用户创建难以猜出的密码,并且加紧你的Joomla网站的安全性。
#9.使用您的主机随附的安全功能
如果他们向Joomla网站的客户提供内部安全工具或服务,请始终与您的托管服务提供商核实。
这样的服务,比如来自SiteGround.com的HackAlert,不需要任何技能就可以运行它们。无需下载任何内容或安装任何内容。只需在您的主机控制面板中激活一次,即可开始使用。
一旦你打开它们,它们会立即开始在后台运行,扫描你的Joomla网站以防止隐藏的恶意软件和驱动下载。而且,一旦他们发现任何此类恶意软件,他们会立即向您发送警告。
#10.保护您的Joomla管理员密码
没有“太多安全”这样的事情。即使您为Joomla超级管理员创建了一个体面的难以猜测的密码,但通过使用.htaccess文件通过自己的密码来保护您的Joomla管理员登录页面仍然是一个合理的做法。
您可以使用您的主机cPanel轻松启用此选项。如果您以前从未这样做过,并且需要帮助,请联系您的托管支持团队。您的Joomla管理员登录页面是想要成为黑客的第一站。
将此页面隐藏在自己的密码图层后面。它只需要几分钟的时间,但是从长远来看可以让你免于很多悲伤。
#11.备份和更多备份
如果突然发生破坏,没有什么能够保证您的网站不仅仅是一个好的备份。您的托管很可能已经为您的网站创建了自动备份。有了备份,您可以随时将您的Joomla网站及其数据库恢复到过去的状态。
您还应定期创建并下载自己的完整备份。您可以通过Joomla受欢迎且获奖的扩展程序Akeeba Backup for Joomla轻松完成此操作。
确保您经常测试备份也很重要,以便您随时准备应对任何情况。
#12.使用SSL证书保护您的网站
如果您的网站与其用户交互,从他们收集数据并将信息发回给他们,请考虑使用SSL保护您的网站。
虽然数据在站点用户计算机和站点所在的服务器之间传输,但数据可能会被第三方拦截并用于恶意目的。
#13.禁用或删除不需要的Joomla!扩展
如果您安装了一个或多个第三方扩展来增强您的Joomla网站功能,但无论出于何种原因,都不需要其中的任何或部分功能 - 禁用它们,或者更好的是,只需将其卸载即可。只是为了安全起见。
#14.安装安全性扩展
作为您自己的Joomla安全管理员,您只有您的工具。利用已经建立,流行和有用的Joomla安全扩展,即 - 管理工具核心或管理工具专业版。
他们非常直观,相对容易学习。通过您的Joomla扩展管理器安装它们,并立即加强和监控您的网站安全性 - 所有这一切都来自您的Joomla管理员控制面板。
#15.仅从开发人员的网站下载Joomla扩展
请务必直接从其开发者的网站下载您的网站的Joomla扩展。您可能会试图从文件共享网站免费下载商业Joomla扩展,并显然为自己节省一些钱,这是不推荐的!
没有免费午餐这样的事情。如果您发现免费下载某个第三方网站上的付费Joomla扩展程序,请立即避开本网站!保持警惕。
有可能是谁上传了该扩展程序以从该网站免费下载,很可能嵌入了一些恶意文件或恶意代码。
一旦你安装了这种“免费”的扩展,它就成为你的网站和服务器的后门,准备被恶意的创造者使用。
#16.检查你的Joomla!扩展完整性与官方“易受攻击扩展名单”
Joomla扩展对于Joomla网站既是祝福也是诅咒。它们可以同时运作并且易受攻击。
养成检查Joomla扩展名列表中的 Joomla扩展的习惯 。
#17.启用Joomla SEF网址来屏蔽网站网址中的扩展名
这一个真的来自一箱微调技巧。开箱即用,在您的网站URL中,您的Joomla会向您的网站访问者显示它用来生成网页的扩展名。这给潜在的施虐者一个重要的信息。
在您的Joomla后端(系统 - >全局配置 - >站点 - > SEO设置 - >搜索引擎友好网址 - >是)中启用SEF URL,并将这些信息从公众视线中隐藏起来。
恭喜!您刚刚了解到如何将您的Joomla网站安全性提升到一个新的水平。配备了新的思维方式和这个Joomla安全列表,您的Joomla网站的安全性不再让您感到担忧。