作为最受欢迎和下载最多的内容管理系统之一,Joomla也是受攻击最多的内容之一。
在此列表中了解如何通过开发和养成适当的安全思维来保护基于Joomla的网站,即使您不是技术娴熟,您可以立即开始微调您的Joomla站点安全。
#1.请记住,互联网是一个野生丛林
您的Joomla网站一旦在互联网上发布,将对所有人开放,这意味着它迟早可能成为恶意攻击的对象。他们可能来自脚本或恶意经验丰富的黑客。
Joomla是当今最受欢迎,下载最多的内容管理系统之一。因此,它也是受攻击最多的一个。开始时要保持警惕!
#2.为你的网站安全承担责任
你的Joomla网站安全是你个人的责任。你个人必须保持控制。好消息是,无论你对Joomla网站安全主题的不怎么了解,你仍然可以学习它,即使你不懂技术。
经验是最好的老师,你确实可以学习如何加强你的Joomla网站安全。立即开始学习。如果您需要帮助,请在本文下方的评论部分向我们提问。
#3.保持“永远不够”的态度
如果我们现在引起你的注意,你对互联网的危险程度有深刻了解,并决定对你的Joomla网站安全承担全部责任。
没有所谓的“过度安全”。在这种情况下,“安全总比遗憾好”这句老话再正确不过了。
#4.保持你的CMS版本是最新的
确保运行最新稳定的Joomla版本是加强Joomla站点安全性的“首要任务”步骤之一。每当Joomla项目发布一个新的稳定版本时,您将立即在Joomla管理员控制面板中找到相应的通知。
每次访问Joomla管理员后端时,请注意此类通知。永远不要忽视行动。立即更新Joomla安装到最新发布的版本!
#5.订阅Joomla安全公告
Joomla安全中心发布关于安全问题和漏洞的公告。
在http://feeds.joomla.org/JoomlaSecurityNews上订阅Joomla安全公告,并随时了解您网站的最新威胁。
#6.减少网站后台管理超级用户的数量
拥有超级用户访问级别的Joomla用户拥有执行Joomla系统中所有操作的权限。如果您将站点上的任何任务委托给一个团队成员,请确保只分配给该成员所需的最低访问级别。
尽你最大的努力将你网站的超级用户数量控制在最低限度。
#7.总是检查你的Joomla超级管理员密码是否复杂性,安全性!
Joomla的绝大多数网站都是由于超级用户密码比较简单而被黑的。在https://howsecureismypassword.net上使用这个工具,确保你知道密码被破解需要多长时间。
不要赌你的网站密码多安全。选择复杂性的密码,让他破解需要数千年的时间,这些密码足够长,由小写字母、大写字母、数字和特殊字符组成。
#8.严格执行Joomla密码政策
在您决定在您的站点上启用用户注册之前,不要假设您的用户在注册时将为您创建难以猜测的密码。他们从来没有也永远不会。利用Joomla内置的功能来控制正在创建的密码(参见用户->管理->选项->密码选项)。
迫使你的用户在你的网站注册时,在你的网站上创建难以猜到的密码,并加强你的Joomla网站安全的额外缺口。
#9.使用主机附带的安全特性
如果你的主机提供商提供内部安全工具或服务给Joomla网站的客户,一定要咨询他们。
这些服务,例如,来自SiteGround.com的HackAlert,不需要任何技能就可以运行它们。不需要下载或安装任何东西。只要在你的主机控制面板中激活它们一次,你就可以开始了。
一旦你打开它们,它们会立即在后台为你运行,扫描你的Joomla网站,防止隐藏的恶意软件。更重要的是,一旦他们发现任何这样的恶意软件,他们会立即向你发出警告。
#10.保护您的Joomla管理员密码
没有所谓的“过度安全”。即使您为Joomla超级管理员创建了一个像样的难以猜到的密码,但通过使用.htaccess文件的Joomla管理员登录页面提供额外的密码层保护仍然是一个不错的实践。
#11.备份,养成备份网站习惯
如果突然发生意外情况,没有什么比一个好的备份更安全了。您的主机很可能已经为您的站点创建了自动备份。这是伟大的。有了备份,您可以随时恢复Joomla站点及其数据库的好的状态。
您还应该定期创建和下载自己的完整备份。你可以通过Joomla的最流行和获奖的扩展Akeeba备份轻松做到这一点。
同样重要的是,要确保定期测试备份,以便随时准备应付任何情况。
#12.使用SSL证书保护站点
如果您的网站与其用户进行交互,从中收集数据并将信息发送给他们,请考虑使用SSL保护您的网站。
当数据在站点用户计算机和站点所在的服务器之间传输时,这些数据有可能被第三方拦截并用于恶意目的。
在联系之前,请与您的主机商确认他们是否已经提供了免费SSL。例如,如果您使用的是Rochen,那么您可以部署Rochen最新的免费“Let’s Encrypt”SSL特性,并在Joomla站点用户和服务器之间进行安全的数据交换。
#13. 禁用或删除不需要的Joomla!扩展
如果您安装了一个或多个第三方扩展来增强Joomla站点的功能,但是,无论出于什么原因,不需要它们中的任何一个或一些的话——禁用它们,或者更好的是,直接卸载它们。这是为了安全起见。
#14.安装安全扩展
作为您自己的Joomla安全管理员,您的能力取决于您的工具。使用完善的,流行的和有用的Joomla安全扩展,即-管理工具核心或管理工具专业。
他们是非常直观和相对容易学习。通过Joomla扩展管理器安装它们,立即加强和监视您的站点安全,所有这些都来自Joomla管理员控制面板。
#15.只从开发人员的站点下载Joomla扩展
你的网站直接从网站的开发者下载Joomla扩展。你可能很想从文件共享网站免费下载一个商业Joomla扩展,这样可以节省一些钱,但千万不要这样做!
天下没有免费的午餐。如果你看到一个付费Joomla扩展可以在一些第三方网站上免费下载,请立即避开这个网站!保持警惕。
可能的情况是,无论谁上传了该扩展,从该网站免费下载,最有可能嵌入一些恶意文件或恶意代码。
一旦你安装了这样的“免费”扩展,它就变成了通往你的网站及其服务器的后门,随时准备被恶意的创建者使用。
当你第一眼看到这些“礼物”时,要避免。
#16.检查你的Joomla !针对官方“易受攻击扩展列表”的扩展
Joomla扩展对于Joomla站点来说既是福也是祸。它们可以同时发挥功能和被攻击。
养成查看Joomla扩展列表的习惯。
#17.开启Joomla URL优化链接
这是一种很好的技巧。开箱即用,在您的网站url中,Joomla会向站点访问者显示它用于生成web页面的别名。这给了潜在的恶意攻击方一个重要的信息。
在Joomla后端启用SEF url(系统->全局配置->站点-> SEO设置->搜索引擎友好的url ->是),并将该别名从公众视线中永远隐藏起来。
恭喜你!您刚刚了解了如何将Joomla站点安全性提升到一个新的层次。拥有更好的心态和Joomla安全检查,你的Joomla网站安全不再是一个漏洞百出的网站。
原创文章,作者:carmelaweatherly,如若转载,请注明出处:https://blog.ytso.com/245954.html