本文概述
- 使用强密码进行安全的管理员登录
- 定期进行Joomla备份
- 使用密钥登录到Joomla Admin
- 使用最新版本的Joomla和扩展程序
- 监控你的Joomla网站
- 启用搜索引擎友好(SEF)
- 删除不需要的内容并避免使用身份不明的开发者扩展
- 使用安全扩展
- 保持适当的文件/文件夹权限
- 使用Web应用程序防火墙
保护你的网站对于在线业务可用性和运营至关重要。
互联网安全是一项瞬息万变的挑战, 人们应该始终关注几乎每周都发现的在线威胁。你可能不需要手动执行此操作, 而是可以对网站执行常规安全扫描。
没有完美的安全性, 但是你可以尽力保护它们。
Joomla是下载量超过1.1亿次的第二大CMS, SUCURI的最新研究揭示了第二个受感染的网站平台。
大多数网站由于配置错误, 托管不当或易受攻击的代码而被黑客入侵。以下做法将有助于提高Joomla的安全性。
使用强密码进行安全的管理员登录
不要将默认的管理员帐户保留为” admin”和错误的密码;这可能是Joomla中最大的风险。通过保留默认的”管理员”和可猜测的密码, 你可以帮助黑客工作。
解:
将默认的管理员登录名” admin”更改为其他内容, 这不容易猜到。
使用密码管理器生成长而复杂的密码字符串。避免在密码中包含你的姓名, 网站名称。你可能更喜欢使用安全密码生成器。
定期进行Joomla备份
备份是你的朋友, 也是救生员。当出现问题时, 备份可能是还原在线业务运营的最快方法之一。
解:
通过可靠的托管公司托管你的网站, 该公司提供了出色的备份计划, 例如SiteGround。 SiteGround是每天免费提供备份的最佳托管服务提供商之一。与托管备份一起, 使用扩展如Akeeba备份。
使用密钥登录到Joomla Admin
对潜在的黑客隐藏你的管理员后端, 并允许那些拥有秘密URL的人访问管理区域。
解:
使用诸如AdminExile之类的登录保护扩展名可以帮助你添加密钥。这意味着每当你需要访问管理员登录页面时, 都需要在管理员之后输入密钥。
例如:example.com/administrator?testing
测试是这里的秘密。如果你不使用此键, 那么你将被重定向到主页。不酷吗?
使用最新版本的Joomla和扩展程序
大多数网站所有者没有升级到最新版本, 这是一个很大的风险。几乎在每个发行版中, 你都会注意到一些安全修复程序, 因此不升级到最新版本意味着使你的网站容易受到攻击。
解:
查看Joomla提供的易受攻击的扩展列表, 并更新旧扩展。每次Joomla发行时, 请查看更改日志, 如果发现任何重要的修复程序, 请进行升级。
监控你的Joomla网站
你怎么知道你的网站何时崩溃或被破坏?当你的网站无法访问时, 通过电子邮件, Slack或SMS收到通知, 因此你可以立即采取必要的措施。
解:
使用StatusCake之类的免费工具来监视你的网站, 并在网站出现故障时通知你。我在这里提到了许多其他类似的工作。
启用搜索引擎友好(SEF)
SEF使你的Joomla网站的URL更适合搜索引擎。好的SEF组件还具有安全性。 SEF组件会掩盖该信息, 使黑客更难发现最终的安全漏洞。
解:
在” Joomla管理”区域中启用”搜索引擎友好的URL”。
- 登录到Joomla管理
- 单击站点>>全局配置
- 在”网站”选项卡上, 选择”搜索引擎友好的网址”旁边的”是”
删除不需要的内容并避免使用身份不明的开发者扩展
Joomla是开源的, 作为管理员, 你可以安装许多模块来试用新功能。尝试和改进是件好事, 但在不了解你安装模块的开发人员的情况下是不好的。删除不需要的扩展名。
使用安全扩展
使用扩展程序来对抗垃圾邮件, 暴力破解, 两因素身份验证和已知漏洞。有很多, 我在这里列出了一些最好的。
保持适当的文件/文件夹权限
所有文件都应具有正确的CHMOD配置。最好,
PHP文件– 644
配置文件– 644
其他文件夹– 755
使用Web应用程序防火墙
Web应用程序防火墙(WAF)对于任何网站都至关重要, 可以保护其免受OWASP 10顶级安全性, 已知漏洞和恶意软件的侵害。
如果你将Joomla网站托管在云或VPS上, 则可以使用免费的ModSecurity。但是, 如果你位于共享主机上或没有时间, 则可以考虑使用基于云的Web应用程序防火墙。使用WAF将为你提供以下帮助。
- 机器人防护
- 登录保护
- 后门保护
- DDoS保护
- SQL注入
- XSS攻击
- Joomla特定漏洞
- 蛮力攻击
- 第7层DDoS保护
- 以及更多…
如果你按照这些步骤操作, 那么你的Joomla网站可能会更安全。
评论前必须登录!
注册