17点核对项加强你的Joomla网站安全

作为最受欢迎和下载最多的内容管理系统之一,Joomla也是受攻击最多的内容之一。

在此列表中了解如何通过开发和养成适当的安全思维来保护基于Joomla的网站,即使您不是技术娴熟,您可以立即开始微调您的Joomla站点安全

#1.请记住,互联网是一个野生丛林

您的Joomla网站一旦在互联网上发布,将对所有人开放,这意味着它迟早可能成为恶意攻击的对象。他们可能来自脚本或恶意经验丰富的黑客。

Joomla是当今最受欢迎,下载最多的内容管理系统之一。因此,它也是受攻击最多的一个。开始时要保持警惕!

#2.为你的网站安全承担责任

你的Joomla网站安全是你个人的责任。你个人必须保持控制。好消息是,无论你对Joomla网站安全主题的不怎么了解,你仍然可以学习它,即使你不懂技术。

经验是最好的老师,你确实可以学习如何加强你的Joomla网站安全。立即开始学习。如果您需要帮助,请在本文下方的评论部分向我们提问。

#3.保持“永远不够”的态度

如果我们现在引起你的注意,你对互联网的危险程度有深刻了解,并决定对你的Joomla网站安全承担全部责任。

没有所谓的“过度安全”。在这种情况下,“安全总比遗憾好”这句老话再正确不过了。

#4.保持你的CMS版本是最新的

确保运行最新稳定的Joomla版本是加强Joomla站点安全性的“首要任务”步骤之一。每当Joomla项目发布一个新的稳定版本时,您将立即在Joomla管理员控制面板中找到相应的通知。

每次访问Joomla管理员后端时,请注意此类通知。永远不要忽视行动。立即更新Joomla安装到最新发布的版本!

#5.订阅Joomla安全公告

Joomla安全中心发布关于安全问题和漏洞的公告。

在http://feeds.joomla.org/JoomlaSecurityNews上订阅Joomla安全公告,并随时了解您网站的最新威胁。

#6.减少网站后台管理超级用户的数量

拥有超级用户访问级别的Joomla用户拥有执行Joomla系统中所有操作的权限。如果您将站点上的任何任务委托给一个团队成员,请确保只分配给该成员所需的最低访问级别。

尽你最大的努力将你网站的超级用户数量控制在最低限度。

#7.总是检查你的Joomla超级管理员密码是否复杂性,安全性!

Joomla的绝大多数网站都是由于超级用户密码比较简单而被黑的。在https://howsecureismypassword.net上使用这个工具,确保你知道密码被破解需要多长时间。

不要赌你的网站密码多安全。选择复杂性的密码,让他破解需要数千年的时间,这些密码足够长,由小写字母、大写字母、数字和特殊字符组成。

#8.严格执行Joomla密码政策

在您决定在您的站点上启用用户注册之前,不要假设您的用户在注册时将为您创建难以猜测的密码。他们从来没有也永远不会。利用Joomla内置的功能来控制正在创建的密码(参见用户->管理->选项->密码选项)。

迫使你的用户在你的网站注册时,在你的网站上创建难以猜到的密码,并加强你的Joomla网站安全的额外缺口。

#9.使用主机附带的安全特性

如果你的主机提供商提供内部安全工具或服务给Joomla网站的客户,一定要咨询他们。

这些服务,例如,来自SiteGround.com的HackAlert,不需要任何技能就可以运行它们。不需要下载或安装任何东西。只要在你的主机控制面板中激活它们一次,你就可以开始了。

一旦你打开它们,它们会立即在后台为你运行,扫描你的Joomla网站,防止隐藏的恶意软件。更重要的是,一旦他们发现任何这样的恶意软件,他们会立即向你发出警告。

#10.保护您的Joomla管理员密码

没有所谓的“过度安全”。即使您为Joomla超级管理员创建了一个像样的难以猜到的密码,但通过使用.htaccess文件的Joomla管理员登录页面提供额外的密码层保护仍然是一个不错的实践。

#11.备份,养成备份网站习惯

如果突然发生意外情况,没有什么比一个好的备份更安全了。您的主机很可能已经为您的站点创建了自动备份。这是伟大的。有了备份,您可以随时恢复Joomla站点及其数据库的好的状态。

您还应该定期创建和下载自己的完整备份。你可以通过Joomla的最流行和获奖的扩展Akeeba备份轻松做到这一点。

同样重要的是,要确保定期测试备份,以便随时准备应付任何情况。

#12.使用SSL证书保护站点

如果您的网站与其用户进行交互,从中收集数据并将信息发送给他们,请考虑使用SSL保护您的网站。

当数据在站点用户计算机和站点所在的服务器之间传输时,这些数据有可能被第三方拦截并用于恶意目的。

在联系之前,请与您的主机商确认他们是否已经提供了免费SSL。例如,如果您使用的是Rochen,那么您可以部署Rochen最新的免费“Let’s Encrypt”SSL特性,并在Joomla站点用户和服务器之间进行安全的数据交换。

#13. 禁用或删除不需要的Joomla!扩展

如果您安装了一个或多个第三方扩展来增强Joomla站点的功能,但是,无论出于什么原因,不需要它们中的任何一个或一些的话——禁用它们,或者更好的是,直接卸载它们。这是为了安全起见。

#14.安装安全扩展

作为您自己的Joomla安全管理员,您的能力取决于您的工具。使用完善的,流行的和有用的Joomla安全扩展,即-管理工具核心或管理工具专业。

他们是非常直观和相对容易学习。通过Joomla扩展管理器安装它们,立即加强和监视您的站点安全,所有这些都来自Joomla管理员控制面板。

#15.只从开发人员的站点下载Joomla扩展

你的网站直接从网站的开发者下载Joomla扩展。你可能很想从文件共享网站免费下载一个商业Joomla扩展,这样可以节省一些钱,但千万不要这样做!

天下没有免费的午餐。如果你看到一个付费Joomla扩展可以在一些第三方网站上免费下载,请立即避开这个网站!保持警惕。

可能的情况是,无论谁上传了该扩展,从该网站免费下载,最有可能嵌入一些恶意文件或恶意代码。

一旦你安装了这样的“免费”扩展,它就变成了通往你的网站及其服务器的后门,随时准备被恶意的创建者使用。

当你第一眼看到这些“礼物”时,要避免。

#16.检查你的Joomla !针对官方“易受攻击扩展列表”的扩展

Joomla扩展对于Joomla站点来说既是福也是祸。它们可以同时发挥功能和被攻击。

养成查看Joomla扩展列表的习惯。

#17.开启Joomla URL优化链接

这是一种很好的技巧。开箱即用,在您的网站url中,Joomla会向站点访问者显示它用于生成web页面的别名。这给了潜在的恶意攻击方一个重要的信息。

在Joomla后端启用SEF url(系统->全局配置->站点-> SEO设置->搜索引擎友好的url ->是),并将该别名从公众视线中永远隐藏起来。

恭喜你!您刚刚了解了如何将Joomla站点安全性提升到一个新的层次。拥有更好的心态和Joomla安全检查,你的Joomla网站安全不再是一个漏洞百出的网站。