Joomla是世界上赫赫有名的CMS之一,下载量超过6800万次,SUCURI的最新研究显示Joomla是受欢迎的网站平台之一。Joomla是经验丰富的网站,特别是运行CMS或其他旧版本站点都是非常受欢迎的目标。在本指南中,我们花了一些时间来详细说明可以解决Joomla的一些安全性措施。
除了数据泄露本身带来的危险外,对于那些容易遭受网站安全攻击的人来说,也存在声誉和信誉损失的风险。无论是开放源代码还是专有CMS(封闭源代码),始终都会对安全性造成威胁。因此,应采取预防措施来尽可能防止和保护您的站点。该清单可用于计划和控制任何内容管理系统的安全性。这使您可以消除人为错误。
在Joomla安装之前
- 选择提供以下服务的托管公司:常规备份,Web应用程序防火墙,防病毒扫描程序,最新版本的PHP和更改PHP设置的选项
- 选择7.2或7.3版的PHP
- 创建一个新的数据库和用户-使用强密码
- 下载最新版本的Joomla!(3.9+)或来自开发者网站的快速入门
- 确定您需要哪些扩展,然后确保它们不在危险列表中
- 创建一个帐户SFTP / FTP-使用强密码,FTP的密码必须不同于用于登录主机面板的密码
- 使用良好的防病毒和恶意软件工具扫描您的PC / Mac
- 对于文件传输,请使用基于SSL / TLS的FTP(FTPS)或SSH文件传输协议(SFTP)
根据以下建议检查并设置所有PHP指令:
安装及后续步骤
- 启用离线模式
- 禁用网站索引
- 请勿将“ admin”,“ root”名称等用于主超级管理员帐户
- 将文件名从htaccess.txt重命名 为.htaccess
- 在.htaccess文件中放入额外的安全规则,例如使用6G防火墙/黑名单(perishablepress.com/6g/)
- 检查并在必要时修复目录和文件权限
- 仅保留您需要的内容-卸载不需要的扩展
- 删除所有登录名/密码薄的演示用户
- 如果不需要,请禁用用户注册
- 在“ SEO设置”部分中启用“搜索引擎友好(SEF)”
- 关闭(禁用)显示错误,在全局配置中设置为“无”
对于现有的网站
- 检查PHP版本-必要时更正
- 检查PHP指令设置-必要时更正
- 使用防火墙和防病毒工具扫描您的站点(它可以来自组件或独立脚本(如AI-BOLIT))
- 进行全面备份
- 卸载所有未使用的组件,模块和插件
- 更新所有具有更新版本的扩展
- 更新Joomla!到最新版本
- 从全局配置中删除FTP设置
- 检查.htaccess文件-更新它的设置
- 删除所有假的,未使用的和非活动的用户帐户
- 用过于简单的名称重命名用户登录名(例如“ admin”)
- 检查/ images文件夹中的所有.php,.bin文件-删除它们
- 禁用用户注册-如果不使用
- 启用ReCaptcha或HiddenCaptcha
- 安装安全扩展(至少是防火墙)
- 为域和网站(特别是对于在线商城)启用SSL
- 如果站点仍使用jos_数据库表前缀-重命名
- 安全的Joomla登录管理区
- 使用自定义的图标,而不是Joomla的图标
- 检查站点地图XML文件的内容
- 删除所有假冒或Lorem ipsum内容
- 安装自动备份组件-定期进行更新