Guide til Joomla-sikkerhed — beskyt dit website mod trusler

De fleste sikkerhedsbrud i Joomla kan forebygges. De skyldes ikke avancerede angreb mod selve Joomla-kernen — de skyldes forældede installationer, ulappede extensions, svage administratoradgangskoder og hostingmiljøer, der ikke er sat ordentligt op. Denne guide gennemgår de sikkerhedstiltag, der reelt gør en forskel for at beskytte dit Joomla-website.

Den største risiko: at køre en udløbet Joomla-version

Ingen mængde sikkerhedshærdning kan opveje, at du kører en Joomla-version uden support. Kører dit website på Joomla 3 (udløb i august 2023) eller Joomla 4 (udløb i oktober 2025), er den vigtigste sikkerhedshandling, du kan tage, at opgradere til en understøttet version.

Joomla-versioner uden support modtager ikke sikkerhedsopdateringer. Når en sårbarhed opdages og lukkes i Joomla 5 eller 6, forbliver den samme sårbarhed åben i Joomla 3 og 4 — permanent. Detaljerne om sårbarheden offentliggøres i Joomla Security Centre og giver dermed reelt angribere en køreplan til at udnytte ældre installationer.

Se alle opgraderingsveje →

Extensions: din største angrebsflade

Størstedelen af sikkerhedsbrud i Joomla stammer fra tredjeparts-extensions, ikke fra Joomla-kernen. Det skyldes, at kvaliteten af extension-kode varierer enormt, at forladte extensions aldrig får sikkerhedsopdateringer, og at et typisk Joomla-site kan have 15 til 50 extensions installeret — hver især en mulig indgang.

Best practice for sikre extensions

  • Fjern det, du ikke bruger. Hver installeret extension er angrebsflade. Er en extension installeret, men ikke i aktiv brug, så afinstaller den helt — det er ikke nok at deaktivere den, for koden bliver liggende på serveren og kan stadig være tilgængelig.
  • Opdater hurtigt. Når en extension udgiver en opdatering, så installer den — især hvis changeloggen nævner sikkerhedsrettelser. Test først i staging, og rul derefter ud.
  • Hold øje med forladte extensions. Er en extension ikke blevet opdateret i over 12 måneder, så betragt den som forladt, og planlæg en udskiftning. En forladt extension får aldrig flere sikkerhedsopdateringer.
  • Tjek listen over sårbare extensions. Joomla Extensions Directory fører en liste over extensions med kendte sårbarheder. Hold dine installerede extensions op mod den liste.
  • Vælg kvalitet frem for mængde. Brug det færrest mulige antal extensions. Inden du installerer en ny, så undersøg, om funktionen ikke allerede findes i Joomla-kernen eller i en extension, du allerede har.

Se vores guide til Joomla-extensions for anbefalinger.

Hærdning af administratoradgang

Stærke loginoplysninger

Brug ikke "admin" som administratorbrugernavn. Brug ikke simple adgangskoder. Brug en password manager til at generere unikke, komplekse adgangskoder til hver eneste Joomla-administratorkonto. Det er elementær sikkerhedshygiejne, men det er fortsat den enkeltsvaghed, vi oftest støder på under website-audits.

Tofaktorgodkendelse (2FA)

Joomla 5 og 6 har indbygget tofaktorgodkendelse. Slå den til for alle administratorkonti. 2FA tilføjer et ekstra verifikationstrin — typisk en tidsbaseret kode fra en authenticator-app — der forhindrer uautoriseret adgang, selv hvis adgangskoden bliver kompromitteret. Der er ingen god grund til at lade være.

Begræns administratoradgangen

Ikke alle backend-brugere har brug for Super Administrator-adgang. Joomlas system af brugergrupper giver dig mulighed for at oprette roller med specifikke, afgrænsede rettigheder. Indholdsredaktører bør have rettigheder til at redigere indhold, ikke til systemkonfiguration. Princippet om mindste privilegium gælder for adgangen til CMS'et på samme måde som for ethvert andet system.

Beskyttelse af administrator-mappen

Når du lægger et ekstra lag beskyttelse på din /administrator-mappe — gennem adgangskodebeskyttelse på serverniveau (.htpasswd), IP-begrænsning eller en hemmelig URL-parameter — bliver det markant sværere for automatiserede værktøjer at finde og angribe din loginside. Det erstatter ikke stærke loginoplysninger og 2FA, men det reducerer mængden af brute force-forsøg, dit site skal håndtere.

Server- og hostingsikkerhed

PHP-version

Kør den nyeste understøttede PHP-version (PHP 8.2 eller 8.3 til Joomla 5/6). Ældre PHP-versioner får ikke sikkerhedsopdateringer. At køre Joomla på en PHP-version uden support ophæver mange af de sikkerhedsforbedringer, der ligger i selve CMS'et.

Filrettigheder

Korrekte filrettigheder forhindrer uautoriseret ændring af dine Joomla-filer. Som hovedregel: mapper bør sættes til 755, filer til 644, og configuration.php-filen til 444 (skrivebeskyttet). Dit hostingmiljø kan kræve lidt andre indstillinger — spørg din hostingudbyder, hvis du er i tvivl.

SSL/TLS (HTTPS)

Hele dit website skal leveres over HTTPS. Det beskytter de data, der sendes mellem besøgende og din server — herunder loginoplysninger, formularindsendelser og session-cookies. Der er ingen legitim grund til at levere et Joomla-website over HTTP i 2026. Gratis SSL-certifikater fås via Let's Encrypt og hos de fleste hostingudbydere.

Web Application Firewall (WAF)

En web application firewall filtrerer ondsindede forespørgsler fra, før de når din Joomla-installation. WAF'er på serverniveau (ModSecurity, LiteSpeed WAF) eller cloudbaserede WAF'er (Cloudflare, Sucuri) beskytter mod almindelige angreb, herunder SQL injection, cross-site scripting og forsøg på file inclusion.

Regelmæssige backups

Backups er din sidste forsvarslinje. Sker der en sikkerhedshændelse på trods af alle forebyggende tiltag, gør en ren og testet backup det muligt at gendanne dit site til tilstanden før kompromitteringen. Automatiske daglige backups, der gemmes uden for serveren og testes med jævne gendannelser, er afgørende. Akeeba Backup er standardværktøjet til formålet.

Sikkerhedsindstillinger i Joomla-kernen

Hold Joomla opdateret

Installer Joomla-kerneopdateringer hurtigt, når de udgives. Test først i staging, og rul derefter ud i produktion. Joomla 5.4 og 6 understøtter automatiske opdateringer af mindre versioner — slå funktionen til, hvis du er tryg ved kompatibiliteten med dine extensions, eller samarbejd med en vedligeholdelsesudbyder om at styre opdateringerne kontrolleret.

Sikkerhedsindstillinger i global konfiguration

Joomlas globale konfiguration indeholder flere sikkerhedsrelevante indstillinger. Gennemtving HTTPS bør være slået til. Sessionens levetid bør sættes til en fornuftig varighed (15-30 minutter for administratorsessioner). Fejlrapportering bør sættes til "Ingen" eller "Systemstandard" på produktionssites (aldrig "Maksimum" — det afslører serverstier og konfigurationsdetaljer for mulige angribere).

Brugerregistrering

Hvis dit website ikke kræver offentlig brugerregistrering, så slå den fra. Åben brugerregistrering er en almindelig kanal for spamkonti og kan i dårligt konfigurerede installationer udnyttes til rettighedseskalering. Har du brug for offentlig registrering, så implementer CAPTCHA, og kræv e-mailbekræftelse.

Hvad du skal gøre, hvis dit site bliver hacket

Hvis du har mistanke om, at dit Joomla-website er blevet kompromitteret:

  1. Gå ikke i panik, men handl hurtigt. Jo længere en kompromittering får lov at stå, jo større skade gør den — på dine data, dine besøgende og dit omdømme.
  2. Tag sitet offline. Sæt en vedligeholdelsesside op, så besøgende ikke udsættes for ondsindet indhold.
  3. Gendan ikke bare fra backup. Den sårbarhed, der gjorde kompromitteringen mulig, findes stadig. Gendanner du uden at tage fat om årsagen, kan angriberen blot komme ind igen gennem den samme svaghed.
  4. Find indgangen. Find ud af, hvordan angriberen fik adgang — var det en ulappet extension, en svag adgangskode, en sårbarhed i filupload eller et problem på serverniveau?
  5. Ryd op efter kompromitteringen. Fjern alle ondsindede filer, bagdørsscripts og indsprøjtet kode. Tjek databasen for indsprøjtet indhold. Gennemgå brugerkonti for uautoriserede administratorer.
  6. Luk sårbarheden. Opdater den komponent, der blev udnyttet, skift alle adgangskoder, og implementer de forebyggende tiltag, der er beskrevet i denne guide.
  7. Gendan og verificer. Sæt sitet online igen, og hold tæt øje med tegn på fornyet kompromittering.
  8. Overvej professionel hjælp. At rense et hacket website grundigt kræver ekspertise. Et overset bagdørsscript betyder, at angriberen bevarer adgangen, selv når du tror, sitet er rent.

Sikkerhed er en løbende opgave

Sikkerhed er ikke en engangskonfiguration. Truslerne udvikler sig, nye sårbarheder opdages, og landskabet af extensions ændrer sig konstant. Struktureret, løbende vedligeholdelse — regelmæssige opdateringer, overvågning og periodiske sikkerhedsgennemgange — er den mest pålidelige måde at holde et Joomla-website sikkert over tid.

Vores vedligeholdelsesplaner omfatter sikkerhedsovervågning, styring af opdateringer og verifikation af backups som kerneydelser. Vores managed hosting leverer sikkerhed på serverniveau med firewalls, DDoS-beskyttelse og proaktiv overvågning.

Få en sikkerhedsvurdering

Vores gratis website-audit indeholder en sikkerhedsvurdering — vi tjekker din Joomla-version, din PHP-version, sårbarhedsstatus for dine extensions, din SSL-konfiguration og almindelige fejlkonfigurationer. Du får en klar rapport, der viser, hvor dit site står, og hvad der kræver opmærksomhed.

Få din gratis sikkerhedsvurdering →

Du kan også være interesseret i