如何保护Joomla网站免受暴力攻击？

Joomla是第二大开源CMS平台，支持从小型到企业级的数百万个网站。

有很多方法可以攻击网站，其中一个流行的方法是暴力破解攻击。

正如您所看到的，在WhiteHat Security的最新报告中，它以第五名的身份脱颖而出。

暴力破解可以发生在任何其他平台，如WordPress、Magento、Drupal，甚至是服务器操作系统。从技术上讲，任何需要密码保护的平台/服务、API等都可能成为暴力破解攻击的受害者。

好消息是，与其他漏洞相比，减轻暴力破解攻击并不困难。

如果您正在运行基于Joomla CMS的博客、企业网站或eCommerce，并且正在寻找暴力破解缓解解决方案，那么以下内容将对您有所帮助。

管理方面的暴力破解保护

Admin brute force protection是一个由SiteGuarding开发的免费插件，用于保护/administrator登录免受机器人和脚本登录。

AdminExile

AminExile是最受好评的安全插件之一，它为保护Joomla网站提供了许多功能。

• 添加访问密钥-在Joomla管理员URL中包含额外的密钥
• 添加键值-在管理员URL中包含键和值

如果检测到暴力破解，阻止登录请求，并选择通过电子邮件通知管理员。

SUCURI

SUCURI Firewall是一家全方位的云安全服务提供商，可保护多平台网站免受暴力破解、恶意机器人、DDoS攻击、垃圾邮件、SQL注入等。

如果您正在寻找全面的Joomla安全解决方案，那么SUCURI是一个不错的选择。它运行在全球分布的任播网络上，这意味着您可以获得保护，并享受全球CDN性能优化。

阻止暴力破解

Brute Force Stop是另一个免费扩展，可以让您配置阻止阈值和阻止持续时间。

• 阻止阈值-在多少次尝试后将IP地址阻止
• 阻止持续时间-IP地址将在阻止列表中保持多长时间

您还可以配置阻止消息、配置通知等选项。

启用双因素身份验证

从Joomla 3.2开始，您可以启用双因素身份验证，使用Google Authenticator和YubiKey身份验证方法，无需安装任何额外的插件。

双因素身份验证可以减少暴力破解尝试，是添加一层登录安全性的最佳方法之一。

RS Firewall

RS Firewall是一款高级安全扩展，可保护Joomla网站免受包括暴力破解在内的以下漏洞的攻击。

• SQL注入
• 跨站脚本
• 本地文件入侵
• 恶意软件
• 垃圾邮件

您可以启用记录所有被阻止的尝试，以便您可以查看日志并永久阻止可疑的IP地址。

RS Firewall还提供了一个选项，可以阻止大洲和国家。

您还可以考虑以下扩展。

Akeeba Admin Tools-一款用于维护、保护和优化Joomla网站的高级扩展。

Limit Login Attempts-限制登录尝试次数、阻止IP、限制锁定、锁定通知电子邮件等的免费插件。

DMC Firewall-密码保护管理员文件夹、执行健康检查、禁止可疑IP等。

Cloudflare WAF

Cloudflare是一家受欢迎的CDN和云安全解决方案提供商，适用于任何网站。

免费计划提供基本安全性；然而，如果你愿意花几美元，你可以选择PRO计划，该计划带有许多其他功能，包括<brute force protection。

暴力破解可能会对你的在线业务造成财务和声誉损失。我希望上述解决方案能帮助你保护你的Joomla网站免受暴力破解攻击。

保持安全！