• 主页
  • 文章
  • SEO
  • 20 条 Joomla 安全提示,针对黑客的坚如磐石的安全性 - 完整指南

20 条 Joomla 安全提示,针对黑客的坚如磐石的安全性 - 完整指南

已发表: 2021-09-25

您在寻找一些 Joomla 安全提示吗? 如果是这样,这篇文章适合你。 我们将介绍 20 种不同的方式来帮助保护您的 Joomla 站点免受黑客攻击。 这些都是经过试验和测试的方法,多年来已被证明是有效的。 因此,如果您想不惜一切代价避免被黑客入侵,那么采取这些步骤至关重要!

20 个 Joomla 安全提示

1)定期备份

备份是每个 Joomla 用户都应该采取的非常重要的步骤。 如果没有备份,您将不知道您的网站是否遭到黑客入侵或更新后是否有任何损坏。

这也是从黑客中恢复的最佳方式,因为您可以简单地恢复到以前的版本并重试,而不会丢失任何有价值的内容。

办公桌上的硬盘备份

2) Joomla 数据库表前缀

强烈建议始终更改默认的 Joomla 数据库表前缀。 通过更改此设置,您可以防止黑客轻松识别您的站点表,从而使他们无法侵入您的数据库。

为此,在 cPanel 中,转到 MySQL 数据库部分 > MyISAM 选项卡 > 单击全部显示,然后更改前缀(您可以设置任何您喜欢的随机前缀)并单击保存。

如果您使用 PHPMyAdmin 部分来管理 Joomla 数据库,也建议在您的 PHPMyAdmin 部分中进行此更改。

在进行这些类型的更改后,您应该始终通过运行 MySQL 查询来检查一切是否正常工作。

相关:提高 cPanel/WHM 安全性的 25 个技巧。

3) 保持您的 Joomla 网站更新

通过保持您的 Joomla 站点更新,您可以最大限度地减少被黑客入侵的机会,因为每次更新都会关闭新的安全漏洞。 您应该始终通过扩展 > 扩展管理器定期检查更新来确保一切都是最新的。

如果有任何可用更新,请立即安装它们,如果它们要求您覆盖文件或数据库更改,请确保执行它们。

下载扩展时仅使用受信任的来源也很重要。 否则,您将通过安装未知或不受信任的商业组件/模板将整个网站置于危险之中。

使用打字机在一张纸上打出的更新

4) 隐藏您的 Joomla 版本

隐藏您的 Joomla 版本号总是一个好主意,这样黑客就无法找出已修复的漏洞。 例如,如果您正在运行 Joomla 版本 xyz 并且最新发布的版本是 ABC,那么隐藏此信息将防止潜在的攻击者知道可以对您的站点使用哪些漏洞。

5) 使用 .htaccess 部署基本配置设置

您可以使用 .htaccess 文件部署一些 Joomla 配置设置。 这是一个简单的文本文件,放置在您网站的根级别,并允许您为整个站点甚至特定目录配置 apache 服务器选项。

一些有用的例子是:

  • 防止目录列表(显示网站上的所有文件和文件夹
  • 阻止直接访问各种文件类型,例如 php、xml 等。
  • 通过 .htpasswd 密码保护目录(这是限制访问敏感区域的好方法)
躲在盒子里的人从一个小洞里偷看

6) 使用 Joomla 两因素身份验证插件

有许多可用的 Joomla 双重身份验证插件,您可以快速安装并利用这种额外的安全级别。 如果黑客设法掌握了您的用户名/密码,他们仍然无法访问该站点,除非他们还拥有您的辅助设备或代码,例如由 Google 身份验证器生成的 OTP(一次性密码)。

这些插件将使您的网站更加安全,这就是为什么强烈建议您尽可能添加双因素身份验证!

您的托管帐户也是如此,如果可能,请确保通过 SSH(或您喜欢的任何其他方法)使用双因素身份验证,以保护完全访问并限制被黑客入侵的机会。

迷你橙色二元认证主页

7) 限制对 Joomla 管理区域的访问

通过只允许受信任的 IP 地址来限制对 Joomla 管理区域的访问是一个好主意。 这是通过 .htaccess 文件完成的,您可以添加多个条目,如下所示:

订单拒绝,允许
拒绝所有人
允许来自 xx.xx.xx.xx

第一行告诉服务器允许访问,随后的行定义允许哪些 IP 或子网(以“允许”开头)。

停车门访问

8) 在 Joomla 中限制登录尝试

您应该限制失败的登录尝试次数,因为这有助于防止暴力攻击。 您可以通过在您的 Joomla 站点中设置特定的配置参数来实现这一点(即在阻止 IP 地址之前的最大失败登录次数)。

这是通过系统 > 全局配置 > 安全性完成的,然后选择允许用户在被阻止之前登录失败的次数。

9) 使用强密码

与任何保存敏感信息(例如登录详细信息和支付卡数据)的网站一样,使用强密码至关重要。

强密码应至少包含 12 个字符,并包含大小写字母、数字和特殊符号的混合(即 !”£$%^&*)。 还要避免对不同的服务使用相同的密码,因为如果一个帐户被黑客入侵,这将使所有服务都变得不安全。

您的 Joomla 站点和电子邮件不要使用相同的密码也很重要,因为众所周知,黑客会尝试常见的用户名/密码组合,这在某些情况下可能会导致完全接管帐户。 建议每个服务/站点都有自己的唯一密码。

管理和记住密码的方法有很多种,同样重要的是不要在其他人可能访问的任何地方(包括贴在显示器上或键盘下的便利贴上)写下您的密码。

如果您愿意,可以通过多种方式安全地存储密码,其中包括使用密码管理器,例如众所周知的 LastPass。 这是免费供个人使用的,但如果您需要其他功能,也可以使用高级服务。

锁在一些手机电脑和书籍上的链条

10) 设置推荐的 Joomla 文件权限

安装 Joomla 时,建议正确设置网站目录和文件的文件权限。 如果不这样做,黑客可能会获得完全访问权限并造成严重破坏,例如将恶意代码插入您的站点或访问敏感信息,包括数据库详细信息、用户名和密码等。

但是,如果权限过于严格,那么您在尝试上传、编辑或删除文件/文件夹时可能会遇到问题。

11) 更新您的 Joomla 网站的 PHP 版本

Joomla 可以在多个 PHP 版本上运行,包括最新版本的 PHP(即版本 v.52),它被称为 Zend Guard Loader。 与旧版本(例如 v.44)相比,它提供了性能提升、额外的安全功能和错误修复。

也可以在以前的旧版本上运行 Joomla,但不建议这样做,因为它们包含已知的安全漏洞和错误,这可能会导致完全妥协。

最重要的是,还值得注意的是 PHP v.52 是最新的 Joomla 版本(即 v.57 版本)支持的唯一版本。 由于使用它们涉及潜在的安全风险,所有其他版本都被视为不受支持。

如果您在 Linux 服务器上托管 Joomla 网站,请确保它运行最新的 LEMP 堆栈,其中包括 Nginx、MariaDB 和 PHP。

12) 使用安全托管

使用提供免费 SSL 证书以及高级服务器级安全性的安全托管,例如自动防火墙保护、每日异地备份等等。

只需选择最适合您的计划,然后按照我们简单的安装指南安装 Joomla 或 WordPress,即可立即开始使用!

黄色背景上的手机,屏幕上有锁

13) 禁用危险的 PHP 函数

PHP 具有多种内置函数,例如 eval(),可让您执行任意 PHP 代码。 这通常被黑客用来运行恶意脚本或访问您网站的文件/数据库。

因此,建议您禁用危险的 PHP 功能(如果尚未禁用),以防止攻击者获得访问权限并可能危及您的网站/服务器等。

14) 禁用脚本注入

脚本注入允许黑客将恶意代码注入您的网站,这可能导致他们操纵网页的外观、将访问者重定向到其他地方、窃取敏感信息等。

许多脚本注入攻击可以通过设置服务器端 PHP 变量(例如通过 .htaccess 文件)来防止,这些变量可以防止直接执行服务器文档根目录中的任何文件。

15) 注意可疑文件/活动

您应该定期监控您的网站是否有可疑活动(例如创建新文件、异常访问请求等)。 这使您可以在造成任何损害之前及早发现漏洞,并让您有机会尽快尝试从系统中删除黑客。

一个人在黑暗中在电脑上进行黑客攻击

16) 在 Joomla 中过滤垃圾评论

值得一提的是,糟糕的机器人可能会非常烦人,并且会在您的网站上留下垃圾评论。

这是因为他们中的许多人出于 SEO 目的爬网,并且会发布评论/内容以获得有价值的反向链接,从而帮助提高他们的搜索引擎排名 (SEO)。

因此,建议您安装一个插件,例如 bb-botmanager,以过滤垃圾评论并防止它们出现在您的网站上。

有人用咖啡过滤器过滤咖啡

17) 使用 SSL 来提高 Joomla 的安全性

如今,每个网站都推荐使用 SSL,并应将其视为基本要求。

SSL 证书在您的服务器和最终用户之间提供加密连接,这有助于防止黑客拦截登录凭据等敏感信息。

18) Joomla 安全审计

还值得一提的是,您可以执行 Joomla 安全审核以识别可能被黑客利用的潜在问题/缺陷。

这允许您在任何错误被用于您的网站之前修复它们,并有助于保护您的网站免受未来攻击。

如果您想执行自己的安全审计,请查看我们的博客文章为您的代码执行安全审计:基础知识。

19) 使用防火墙

您可以做的最重要的事情之一是使用防火墙来保护您的 Joomla 网站。

防火墙基本上会阻止所有未经授权的流量,并会阻止黑客访问您的服务器(例如,通过恶意脚本等)。

有许多防火墙可用,例如 ModSecurity、Naxsi、Suhosin 等。

一堵砖墙

20) 删除不必要的插件/主题

还建议您从 Joomla 中删除所有不必要的插件和主题,因为它们可能会被黑客用于恶意目的以获得未经授权的访问、将脚本注入网页等。

常问问题

为什么 SSL 在保护 Joomla 站点方面很重要?

SSL 证书在您的服务器和最终用户之间提供加密连接,这有助于防止黑客拦截敏感信息,例如登录凭据等。

我应该多久监控一次我的网站是否有可疑活动?

建议您定期监控您的站点/系统,以便在造成任何损害(例如通过垃圾邮件评论、注入攻击、访问漏洞等)之前及早检测到任何违规或漏洞。这使您可以采取措施快速解决问题,而不是而不是等待黑客利用它们并获得访问权限等。

什么是防火墙,为什么要使用防火墙?

防火墙基本上会阻止所有未经授权的流量,并会阻止黑客访问您的服务器(例如,通过恶意脚本等)。 有许多防火墙可用,例如 ModSecurity、Naxsi、Suhosin 等。

如何删除 Joomla 中不必要的插件/主题?

建议您从您的网站中删除所有不必要的插件和主题,因为它们可能会被黑客用于恶意目的以获得未经授权的访问,将脚本注入网页。

Joomla 使用安全吗?

Joomla 是一个很棒的内容管理系统,它在易用性和灵活性方面提供了两全其美的优势。 但是,就像任何其他 CMS 一样,它从来都不是 100% 安全的,因此您应该始终采取措施来加强您的站点以抵御来自黑客等的潜在漏洞。

什么是 RSFirewall?

RSFirewall 是一个功能强大的 Joomla 插件,它使您能够通过一个易于使用的界面完全控制和监视对您站点的访问。 您可以使用它来阻止 IP 地址、按时间限制访问等。

什么是 ModSecurity?

ModSecurity 是一种开源 Web 应用程序防火墙 (WAF),它使您能够控制和监视进入/离开服务器的流量。 它是一个强大的工具,可以防止黑客访问您的网站。

什么是安全审计,为什么我应该考虑在我的站点上执行安全审计?

安全审计基本上确定了可能被黑客利用的漏洞/问题。 它允许您在任何错误被用于您的网站之前修复它们,并有助于保护您的网站免受未来攻击。

结论

总之,Joomla 是一个非常流行的 CMS,它包含许多安全漏洞。 因此,遵循本文中的实际步骤以确保您的网站安全非常重要。

尽管 Joomla 已经存在了很长一段时间,但仍有用户/开发人员没有足够重视安全性。 这使黑客可以完全访问他们的服务器,而不会受到所有者的任何阻力

因此,当涉及到 Joomla 安全性时,请确保您正在做您需要做的一切!