保护和加固Joomla网站的10个最佳实践
保护您的网站对于您的在线业务的可用性和运营至关重要。
网络安全是一个快速发展的挑战,我们应该时刻关注几乎每周都会发现的在线威胁。您可以定期执行一个security scan of your website来代替手动执行此操作。
没有完美的安全性,但您可以尽力确保安全。
Joomla 是下载次数超过1.1亿次的第二大 CMS,并且SUCURI的最新研究揭示了第二个被感染的网站平台。
大部分的websites are hacked是由于错误的配置、糟糕的托管或易受攻击的代码所致。以下的做法将有助于提升 Joomla 的安全性。
使用强密码来保护管理员登录
不要将默认的管理员帐户设置为“admin”和简单的密码;这可能是 Joomla 中最大的风险。通过保持默认的“admin”和可猜测的密码,您实际上是在帮助黑客工作。
解决方案:
将默认的管理员登录“admin”更改为其他不容易猜测的内容。
使用密码管理器生成长且复杂的密码。避免使用包含您的姓名、网站名称等密码。您可以考虑使用Secure Password Generator。
定期备份 Joomla
备份是您的朋友和救星。当出现问题时,备份可能是恢复在线业务运营的最快方法之一。
解决方案:
将您的网站托管在一个可靠的托管公司上,该公司提供出色的备份计划,如SiteGround。SiteGround 是最好的托管提供商之一,提供每日免费备份。除了托管备份外,还可以使用像Akeeba backup这样的扩展。
使用秘密密钥登录 Joomla 后台。
隐藏您的管理员后台,防止潜在黑客访问,只允许拥有秘密 URL 的人访问管理区域。
解决方案:
使用像AdminExile这样的登录保护扩展,帮助您添加一个秘密密钥。这意味着每当您需要访问管理员登录页面时,您需要在 administrator 之后输入秘密密钥。
例如:example.com/administrator?testing
这里的 testing 是秘密密钥。如果您不使用这个密钥,那么您将会被重定向到主页。很酷吧?
使用最新版本的 Joomla 和扩展。
大多数网站所有者不会升级到最新版本,这是一个重大风险。几乎每个发布版本都会有一些安全修复,因此不升级到最新版本意味着保持您的网站容易受到攻击。
解决方案:
查看 Joomla 提供的vulnerable extension list,并更新旧的扩展。每次 Joomla 发布时都要查看变更日志,如果有任何关键修复,请进行升级。
监控您的 Joomla 网站
当您的网站宕机或不可访问时,您如何知道?通过电子邮件、Slack 或短信通知您的网站不可访问,以便您可以立即采取必要措施。
解决方案:
使用像StatusCake这样的免费工具,它可以监控您的网站,并在它宕机时通知您。还有其他许多类似的工具,我在here中提到过。
启用搜索引擎友好(SEF)
SEF 使您的 Joomla 网站的 URL 更加友好。而且良好的 SEF 组件还提供了安全性的好处。SEF 组件会掩盖信息,使黑客更难找到潜在的安全漏洞。
解决方案:
在 Joomla 管理区域中启用搜索引擎友好的 URL。
- 登录到 Joomla 管理区域
- 点击站点>>全局配置
- 在“站点”选项卡中,选择“是”以启用搜索引擎友好的 URL
删除不需要的扩展并避免未知开发者的扩展
Joomla是开源的,作为管理员,您安装了许多模块来尝试新功能。尝试改进是好的,但是在不了解开发者的情况下安装模块是不好的。删除您不打算使用的扩展。
使用安全扩展
使用扩展来对抗垃圾邮件、暴力破解、双因素身份验证和已知漏洞。有很多扩展可供选择,我列出了一些最好的扩展 here。
保持文件/文件夹权限适当。
所有文件都应具有适当的CHMOD配置。最好的做法是:
PHP文件- 644
配置文件- 644
其他文件夹- 755
使用Web应用防火墙
Web应用防火墙(WAF)是任何网站保护免受OWASP 10安全性、已知漏洞和恶意软件的必备工具。
如果您的Joomla网站托管在cloud VM上,则可以使用免费的ModSecurity。但是,如果您使用的是共享主机或者没有时间,可以考虑使用基于云的WAF,例如Sucuri或Astra。
使用WAF将帮助您解决以下问题。
- 机器人保护
- 登录保护
- 后门保护
- DDoS保护
- SQL注入
- XSS攻击
- Joomla特定漏洞
- 暴力破解攻击
- 第7层DDoS保护
- 还有更多…
如果您遵循这些步骤,那么您的Joomla website is more secure的机会将更大。