Joomla安全清单——安全检查表

Joomla是世界上赫赫有名的CMS之一,下载量超过6800万次,SUCURI的最新研究显示Joomla是受欢迎的网站平台之一。Joomla是经验丰富的网站,特别是运行CMS或其他旧版本站点都是非常受欢迎的目标。在本指南中,我们花了一些时间来详细说明可以解决Joomla的一些安全性措施。

Joomla安全清单——安全检查表

除了数据泄露本身带来的危险外,对于那些容易遭受网站安全攻击的人来说,也存在声誉和信誉损失的风险。无论是开放源代码还是专有CMS(封闭源代码),始终都会对安全性造成威胁。因此,应采取预防措施来尽可能防止和保护您的站点。该清单可用于计划和控制任何内容管理系统的安全性。这使您可以消除人为错误。

在Joomla安装之前

  • 选择提供以下服务的托管公司:常规备份,Web应用程序防火墙,防病毒扫描程序,最新版本的PHP和更改PHP设置的选项
  • 选择7.2或7.3版的PHP
  • 创建一个新的数据库和用户-使用强密码
  • 下载最新版本的Joomla!(3.9+)或来自开发者网站的快速入门
  • 确定您需要哪些扩展,然后确保它们不在危险列表中
  • 创建一个帐户SFTP / FTP-使用强密码,FTP的密码必须不同于用于登录主机面板的密码
  • 使用良好的防病毒和恶意软件工具扫描您的PC / Mac
  • 对于文件传输,请使用基于SSL / TLS的FTP(FTPS)或SSH文件传输协议(SFTP)

根据以下建议检查并设置所有PHP指令:

Joomla安全清单——安全检查表

安装及后续步骤

  • 启用离线模式
  • 禁用网站索引
  • 请勿将“ admin”,“ root”名称等用于主超级管理员帐户
  • 将文件名从htaccess.txt重命名 为.htaccess
  • 在.htaccess文件中放入额外的安全规则,例如使用6G防火墙/黑名单(perishablepress.com/6g/)
  • 检查并在必要时修复目录和文件权限
  • 仅保留您需要的内容-卸载不需要的扩展
  • 删除所有登录名/密码薄的演示用户
  • 如果不需要,请禁用用户注册
  • 在“ SEO设置”部分中启用“搜索引擎友好(SEF)”
  • 关闭(禁用)显示错误,在全局配置中设置为“无”

对于现有的网站

  • 检查PHP版本-必要时更正
  • 检查PHP指令设置-必要时更正
  • 使用防火墙和防病毒工具扫描您的站点(它可以来自组件或独立脚本(如AI-BOLIT))
  • 进行全面备份
  • 卸载所有未使用的组件,模块和插件
  • 更新所有具有更新版本的扩展
  • 更新Joomla!到最新版本
  • 从全局配置中删除FTP设置
  • 检查.htaccess文件-更新它的设置
  • 删除所有假的,未使用的和非活动的用户帐户
  • 用过于简单的名称重命名用户登录名(例如“ admin”)
  • 检查/ images文件夹中的所有.php,.bin文件-删除它们
  • 禁用用户注册-如果不使用
  • 启用ReCaptcha或HiddenCaptcha
  • 安装安全扩展(至少是防火墙)
  • 为域和网站(特别是对于在线商城)启用SSL
  • 如果站点仍使用jos_数据库表前缀-重命名
  • 安全的Joomla登录管理区
  • 使用自定义的图标,而不是Joomla的图标
  • 检查站点地图XML文件的内容
  • 删除所有假冒或Lorem ipsum内容
  • 安装自动备份组件-定期进行更新