Joomla教程：Joomla網站安全防護指南

上一次Joomla 0day漏洞讓很多使用joomla的網站掛掉，這個確實很無奈，畢竟只要是程式，就會有漏洞，就有被攻破的可能。我們能做的就是盡最大可能防止自己的網站被黑掉。

一般常見的攻擊路徑有兩種：伺服器和網站程式。對於伺服器的安全不是我們討論的話題，那是主機商的事，我們能做的就是自己網站程式的安全防範。對於Joomla網站，建議做好以下幾個方面的防範：

是否使用的是最新版本 Joomla!

這個是非常重要的，時刻關注Joomla的版本更新，及時將自己的網站更新到最新版。

是否使用的是最新版的第三方擴充套件

再牛逼的人用Joomla做網站肯定會或多或少用到一些第三方擴充套件，畢竟省事省力嘛，這些擴充套件很多時候也會爆出致命的漏洞，所以及時更新非常有必要。

是否更改了網站後臺登入入口

地球人都知道Joomla的後臺入口是administrator，所以為了安全起見，請一定要更改這個路徑，可以使用這個外掛來處理：Adminexile

是否使用了較弱的密碼

不管是管理員賬戶還是資料庫賬戶的密碼，一定要設定強壯的密碼，強壯的密碼一般由：大小寫字母、數字、鍵盤上各種特殊的符號混合而成，長度起碼8位以上。

是否使用 'admin' 作為會員使用者名稱

admin是一般預設的使用者名稱，不建議使用，Joomla允許我們自定義使用者名稱的

是否設定了 FTP 密碼

在Joomla後臺【全域性設定】-【伺服器設定】裡面的FTP設定直接設定為否。

是否啟用搜索引擎友好網址(Search Engine Friendly URLs)

如果使用原始的連結，既對搜尋引擎不友好，而且也會暴露使用的擴充套件的型別，更有被注入的風險。

configuration.php 檔案完整性

configuration.php配置檔案包含了一些敏感的資訊，需要注意檢查該檔案是否完整。

會話(session)存活時間(lifetime)

會話(session)存活時間(lifetime)推薦設定為小於 15 分鐘。

會話(Session)處理方式

這個選項系統預設是資料庫儲存，存在安全隱患，修改為不儲存。

Joomla 臨時目錄中是否有遺留檔案

Joomla 臨時目錄就是網站根目錄的tmp目錄，裡面一般應該被清空，不要留任何檔案。