如何保护新的Joomla安装？

在安装新的Joomla之后，为了确保其安全，应采取哪些措施？在共享主机服务器和专用主机服务器上。

确保Joomla网站安全

1. 使用强密码。
2. 最小化管理员帐户的数量。
3. 禁用或删除未使用的用户帐户。
4. 尽量减少第三方扩展的数量，并且在需要第三方扩展的情况下，请使用您信任的成熟开发人员提供的受支持的扩展。
5. 定期将最新更新应用于Joomla和第三方扩展，包括适用的Joomla EOL版本的安全修补程序。
6. 订阅Joomla安全新闻提要，以便随时了解核心Joomla安全更新
7. 订阅Joomla漏洞扩展列表（VEL），以便可以快速解决新漏洞。滚动到页面底部以获取订阅链接 -您也可以在Twitter上关注VEL。
8. 使用高质量的安全虚拟主机，包括适当的PHP文件处理程序（例如suPHP或FastCGI）和安全扩展（例如mod_security）。使用受支持的PHP版本。
9. 而不是仅依靠您的Web托管公司的备份，而是定期执行自己的网站备份，将备份文件复制到非现场，并定期将测试还原运行到测试位置以检查备份的质量。
10. 启用https。
11. 实施Web应用程序防火墙，例如Akeeba Admin Tools专业版随附的防火墙。
12. 不要使用标准表前缀。
13. 将默认的超级管理员用户名和ID更改为其他名称。专业版的Akeeba管理工具具有用于更改超级管理员ID的工具。
14. 通过IP限制对Joomla Admin的访问。只允许信任的IP。
15. 为管理员帐户启用2因子身份验证（适用于Joomla 3.2和更高版本）。
16. 对共享相同托管帐户的其他网站重复上述步骤，或者最好将网站与自己的虚拟主机帐户分开，以防止交叉污染。
17. 确保网站管理员的个人计算机同样受到保护。例如，实施高质量的病毒和恶意软件扫描程序。这有助于保护存储在个人计算机上的所有网站凭据。理想情况下，使用加密工具或应用程序存储网站和其他凭据。
18. 阅读十大最愚蠢的管理员技巧，以获取有关不应该执行的操作的信息。

有关更多详细说明，请参阅官方的“ 安全检查表”。

将备份存储在单独的服务器上非常重要。我看到很多人忠实地运行Akeeba备份...，它们存储在同一根目录下的同一台服务器上。如果您遭到了严重的黑客攻击，则没有太大帮助，并且对于从主机故障中恢复当然也没有帮助。

Akeeba Backup Pro允许您在外部存储（如Amazon云）中存储和管理备份文件。

作为.htaccess文件的替代方案或通过IP对其进行锁定，您还可以使用jSecure保护您的管理员登录名。

尚未提及的一件事是使用信誉良好的托管服务提供商。您想要一个不仅能跟上安全性而且在被黑客入侵或出现问题（例如数据库损坏）时也能与您一起工作的软件。这个想法是为了限制您的网站造成的损害，同时让您对其进行清理。

基本的想法，你想要一个谁。

• 会在附近
• 不是夜间飞行
• 将与您合作
• 并提供了坚实的环境。

如果您想让主持人感觉更好的问题列表，请告诉我。

希望这可以帮助。

也尝试一下

• 使您的Joomla及其扩展保持最新。
• 定期将您的站点备份保存在云中。
• 不要打开robots.txt安全文件夹。
• 对于最新的Joomla版本，使用两因素身份验证将更加安全。
• 确保文件夹和文件具有允许的正确权限。
• 对Joomla使用Cloudfare 。

希望能有所帮助

从我的经验来看，由于Joomla的大小，无法完全确保它的安全。因此，与其说是完美的安全策略，不如说是制止了一切，最好是降低您的期望，以尝试降低总体损失。

这可以通过非常频繁的备份策略来完成，以便在任何入侵时都可以回滚站点以及进行恶意软件扫描。到目前为止，我们还没有一个黑客是由于我们的管理面板被强行强制使用。

我们看到的大多数骇客都是来自第三方组件或Joomla核心，我们甚至看到骇客也设法进入Joomla的最新版本。这是因为骇客通常看起来像是正常的请求，使用错误的过滤将文件推送到服务器上。一旦文件在服务器上，一切都是公平的游戏，它可以在整个共享服务器上的任何站点上，并且仍然会影响您的文件，因此，如果共享服务器上的某个人没有保持最新状态，则可能会影响您。

这可能有点极端，但是根据个人经验，最好为最坏的情况做好准备，然后再过分自信您的政策会阻止一切。

因此，确保新安装的Joomla的最佳方法是经常备份并启用恶意软件扫描，如果恶意软件扫描程序可以在发现问题后立即向您发送电子邮件，那么您可以在很短的时间内回滚到最新的备份。

1. 更改用户名并保持管理员密码牢固，使用两因素身份验证（针对3.3+内置，对于其他http://www.readybytes.net/labs/two-factor-authentication.html）

2. 安装kSecure（http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/12271）

3. 使用此htaccess http://docs.joomla.org/Htaccess_examples_（安全性）保护您的网站免受各种攻击

从博客上找到的白皮书“对Joomla网站进行笔测试”中借用此列表。我认为此列表是有关Joomla安全性基础的详尽指南。

1. 始终让您保持Joomla的最新状态。升级发布后，请立即安装最新的升级。
2. 无论使用什么扩展名，都必须使用最新的升级版本对其进行适当的修补。任何旧的扩展名都可能为攻击者提供一种入侵站点的方法。
3. 请勿使用未被使用或未经正确测试的扩展名。
4. 所有用户输入都必须正确验证。这些输入可以是表单，URI，图像上传等形式的输入。假设如果BROWSE按钮使用户能够上传图像，那么它只能使他能够上传图像，而不能使PHP Shell像后来的后门一样工作。服务器。

5. 对所有登录使用强密码。至少8个字符，一个特殊字符，一个数字和一个区分大小写的字母。它将保护您的安装免受暴力侵害。

6. 始终在Web服务器的日志文件中跟踪“最新访客”以捕获潜在的攻击。永远不要将您的日志文件视为一条信息。在跟踪和监视用户方面非常有用。

7. 着重强调为基于Joomla的网站所在的整个服务器实现更高的安全性；是托管在共享服务器还是专用服务器上。

8. 列出您使用的所有扩展并继续对其进行监视。

9. 在各种安全公告中及时了解最新的漏洞和披露。Exploit-db，osvdb，CVE等是一些很好的资源。

10. 默认情况下，使用写权限更改.htaccess文件的权限（因为Joomla必须更新它）。最佳做法是使用444（r-xr-xr-x）。

11. 必须对公共目录具有适当的文件许可权，以便不得上传或执行任何恶意文件。在这种情况下，最佳实践是766（rwxrw-rw-），即只有所有者可以读取，写入和执行。其他人只能读写。

12. 没有人必须具有写入服务器上PHP文件的权限。它们都必须设置为444（r—r—r--），每个人都只能读取。

13. 委托角色。这使您的管理员帐户变得安全。万一有人入侵您的计算机，它必须只能访问相应的用户，而不能访问管理员帐户。

14. 数据库用户必须仅具有发出INSERT，UPDATE和DELETE行之类的命令的权限。一定不能允许它们DROP表。

15. 更改后端文件夹的名称，例如，您可以将/ administrator更改为/ admin12345。16.最后但并非最不重要的一点是，使用最新漏洞进行更新。

    • 完整的白皮书可以在这里找到：http : //www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf

您的第一道防线是托管服务

• 从可靠的托管服务中租借专用服务器
• 确保您在服务器上激活2FA并使用“非常强”密码
• 在您的服务器上安装可靠的防火墙-我使用ConfigServer
• 安装/配置防病毒程序，我使用ClamAV
• 确保每个网站用户名均不使用域名的前8个字符，并使用“非常严格”的密码
• 确保每个网站都安装了SSL证书
• 确保每个网站都在“监禁中”，这意味着除非您需要访问服务器根目录，否则它们没有root用户访问权限。在这种情况下，请确保已安装并配置了Secure Shell（SSH）。我使用我的服务器域网站，但所有其他网站都在“监狱中”。
• 确保及时安装所有服务器更新！！！！

您的下一个防线是您的cPanel

• 使用“非常强”密码
• 为用户配置用户密码强度
• 设置cron作业以执行cPanel完整备份并保存到外部源
• 确保已将cPanel设置为使用SSL进行访问
• 运行“站点安全检查”以查看可能需要进行哪些其他调整
• 确保所有cPanel更新均已立即安装！！！！

下一道防线是管理员面板

• 编辑密码格式要求，以确保密码强度高（大/小写字符，数字和至少1个标点符号，最小长度为18个字符。
• 为用户启用2FA-用于超级用户和管理员帐户
• 限制超级用户帐户的数量（最好只有一个）
• 限制管理员帐户的数量（越少越好）
• 限制管理员可以访问的区域
• 限制发布者，编辑者和作者可以访问的区域
• 安装和配置AdminTools
• 通过AdminTools设置管理员URL密码
• 确保将关键文件（HTACCESS，ROBOTS.TXT，WEBCONFIG，INDEX.PHP（根目录和模板））设置为444。您仍然可以通过cPanel pr Plesk控制面板文件管理器来编辑文件。
• 安装和配置AkeebaBackup
• 配置AkeebaBackup以在外部，异地保存备份
• 仅通过Joomla扩展页面安装插件，绝不安装未在Joomla扩展页面上列出的第三方的插件。
• 禁用和/或卸载Joomla功能不使用且不需要的加载项
• 立即安装Joomla和附加更新！！！

我敢肯定还有其他步骤，但是这些是我在服务器上使用的主要步骤，该服务器托管着来自全国各地的70多个网站。我最近遭受了类似于DDoS攻击的大规模攻击，并且没有访问任何网站。我觉得自己高10英尺，并能防弹，但我知道我不能自满，因为明天又是一天！大声笑

1. 我不喜欢双重身份验证

2. 安装Akeeba管理工具，启用高级htaccess，检查选项和软件防火墙

https://www.akeebabackup.com/download/admin-tools.html

1. 启用后端网址密码