互聯網有它獨特的魅力,吸引了衆多的愛好者和使用者!但是互聯網上的所有內容都是有風險的,這也是不可否認的事實。簡而言之,不僅僅是Joomla,所有其他網站,應用程序,電子商務網站或其他CMS都存在安全風險。無法倖免,但是如果從一開始就採取正確的預防措施可以確保您的網站受到保護。
與對有形資產採取安全措施一樣,您的網站也需要一些基本的安全措施來防範入侵者。在今天的帖子中,我們將概述2021年保護和維護Joomla網站的最佳做法。
定期更新Joomla版本,擴展和插件
舊版本Joomla網站是Joomla網站遭到黑客入侵的常見原因之一。Joomla會定期推出安全補丁。在發佈這些更新時不應用這些更新是不明智的。否則,您將錯過網站的某些重要安全漏洞補丁。
不斷更新Joomla網站不僅可以讓您享受最新的功能和修復,還可以爲您提供安全性和穩定性。同樣,由於安全原因,現有的錯誤修復或要享受添加的最新功能,您需要使擴展程序和插件保持最新。
同時,請確保刪除所有未使用的擴展和插件,因爲它們會帶來另一種安全風險,並且可用於將惡意代碼和腳本注入您的站點。
設置高強度密碼
密碼是防止未經授權訪問您的網站的第一道防線。儘管技術變得越來越好,但難道不是該改善密碼處理方式的時候了嗎?
爲您的Joomla網站創建密碼時,請注意以下幾點。
避免的事情:使用個人信息,例如出生年月,配偶的名字,寵物的名字等等,是一個很大的問題!也不要使用可預測的密碼,例如鍵盤模式,按順序排列的字母等。
優良作法:好的密碼由英文大寫字母(AZ),英文小寫字母(az),數字(0-9)和/或符號(例如!,#或%),十或總共有更多字符。
最佳解決方案:最強的密碼是由密碼管理器創建的。密碼管理器會生成並跟蹤您所有帳戶的複雜且唯一的密碼。爲您的Joomla網站選擇密碼管理器時,請選擇支持兩步驗證的密碼管理器。
應用兩因素身份驗證
雙重身份驗證是密碼之外的另一層安全保護。要登錄帳戶,此功能需要一些額外的操作來驗證用戶身份-通常是發送到電子郵件,文本或基於時間的身份驗證應用程序的6位代碼。
爲了防止災難性災難,Joomla提供了內置的兩因素身份驗證,該身份驗證使用一次性代碼來保護您的網站。如果尚未啓用此功能,則必須啓用它,以便爲您的Joomla網站提供額外的保護。如果您不知道,Joomla使用Google Authenticator將此功能添加到您的網站。
進行定期備份
無論您多麼謹慎,始終都有可能會損壞您的網站。不僅是惡意攻擊,即使更新出錯,也要進行備份,這是使網站正常運行的最快方法。在最壞的情況下,備份您的網站將挽救您的生命!
通過保留備份,可以確保始終保留要還原的站點的最新副本。您可以使用Akeeba Backup擴展程序在Joomla網站上執行此操作 。請參閱我們的文章這裏瞭解如何備份和恢復您的Joomla網站。
聰明地控制管理頁面
有時您可能需要允許用戶訪問和管理後端中的一個或幾個Joomla組件。在沒有給予他們全部訪問權限的情況下,您可以輕鬆地從Joomla管理面板中設置您希望其他用戶訪問哪些組件。
您還可以通過隱藏管理員登錄URL來保護Joomla網站免受網絡攻擊。或者,您可以使用標準的基於Apache .htpasswd文件的機制來鎖定後端。隱藏後端URL使潛在的黑客難上加難。
使用安全擴展
有許多Joomla安全擴展可以保護您的網站免受入侵和黑客攻擊。
這些安全擴展插件爲您的網站添加了許多安全功能,例如:
- 能夠添加額外的後端密碼
- 阻止某些IP
- 防止暴力攻擊
- 檢測並刪除不需要的危險文件
- 優化和修復數據庫
- 嘗試登錄過多次時在登錄期間顯示CAPTCHA
- 自動更新您信任的擴展
- 備份您的網站
- 掃描整個網站
- 生成詳細報告
- 監控正常運行時間
- 檢查SSL證書
- SEO審覈
選擇最佳的Joomla解決方案
小心損壞的下載!不可靠的第三方擴展可能會使您面臨漏洞。如果可以避免安裝第三方模塊,請避免使用!如果您需要第三者分機,請不要在這裏考慮省錢。
切勿從未經身份驗證或非官方的來源免費下載高級擴展,插件或任何項目。來自未知來源的插件可能已損壞或包含惡意軟件,這可能會損害您的網站。即使您需要支付一些額外費用以確保獲得最可靠的服務,也要花一些可靠的資源。
擁有SSL認證
SSL是Internet安全的基礎。它可以保護您的敏感信息(例如,信用卡號,用戶名,密碼,電子郵件等)不被黑客和身份盜用者竊取或篡改。如果您的Joomla網站沒有SSL證書,那將是愚蠢的。
如果沒有SSL,您的網站訪問者和客戶就更有可能被盜取數據。SSL保護Joomla網站免受網絡釣魚詐騙,數據泄露和許多其他威脅的侵害。最終,它爲訪問者和網站所有者建立了一個安全的環境。在此處瞭解如何在Joomla網站上啓用SSL 。
禁用FTP層
FTP具有固有的數據安全風險。通常認爲它是不安全的協議,因爲它依賴於明文用戶名和密碼進行身份驗證,並且不使用加密。通過FTP發送的數據容易受到嗅探,欺騙和暴力攻擊,以及其他基本攻擊方法。
Joomla通常不需要FTP層,並且默認情況下將其禁用。保持原樣。啓用的FTP層可能是Joomla站點中的主要安全漏洞。如果出於任何原因在Joomla站點中啓用了FTP層,我們建議您在使用後立即將其禁用。
測試 測試 測試!重要的事情說三遍
在開發站點上測試所有擴展,然後在生產站點上安裝它們。當需要切換模板,添加或刪除擴展和插件,集成自定義代碼或對網站進行任何重大更改時,最好在臨時站點上進行。
然後在生產現場進行測試。不要忘記檢查日誌中是否存在運行時錯誤和警告。
在閱讀本文後,如果您未採取任何措施來保護它的網站,則可能會面臨風險。即使您已實現上述做法,也要記住,有效的網站安全性是一個持續不斷髮展的過程,需要不斷進行維護,這一點很重要。
隨着安全威脅的發展,您應對這些威脅的計劃也應隨之發展。保證自己的步伐不會落後於惡意攻擊網站的人!
本文轉自六藝開源:閱讀原文