Guide til Joomla-sikkerhed: beskyt dit websted mod almindelige angreb

De fleste kompromitteringer af Joomla-websteder kan forhindres. De udnytter kendte svagheder — standardbrugernavne til administrator, manglende totrinsbekræftelse, ikke-opdaterede extensions og fejlkonfigurerede servere. Denne guide gennemgår de sikkerhedstiltag, der reelt gør en forskel.

For den fulde sikkerhedsguide, der dækker risici ved end-of-life, sikkerhed for extensions og genopretning efter hack, se vores Joomla-sikkerhedshub.

De fem vigtigste ting, du bør gøre nu

1. Opdatér alt. Joomla-kernen. Hver eneste extension. PHP-versionen. Hvis din Joomla-version er end-of-life, så opgradér — ingen hærdning kan reparere et CMS uden support.

2. Aktivér totrinsbekræftelse. Joomla 5 og 6 har indbygget 2FA. Aktivér det for hver administratorkonto. Dette ene tiltag forhindrer størstedelen af brute force- og credential stuffing-angreb.

3. Skift standardbrugernavnet til administrator. Hvis din Super Administrator-konto stadig hedder "admin", så skift det i dag. Automatiserede angrebsværktøjer går målrettet efter netop dette brugernavn.

4. Fjern ubrugte extensions. Enhver installeret extension er en angrebsflade. Hvis den ikke er i aktiv brug, så afinstallér den helt — ikke bare deaktivér, men fjern den.

5. Kontrollér, at dine backups virker. Automatiske backups er afgørende. Men hvornår testede du sidst at gendanne en? En utestet backup er et håb, ikke et sikkerhedsnet.

Hærdning på serverniveau

HTTPS overalt. SSL/TLS på alle sider, gennemtvunget via .htaccess eller serverkonfiguration. Ingen undtagelser.

Filrettigheder. Mapper: 755. Filer: 644. configuration.php: 444. Disse indstillinger forhindrer uautoriseret ændring af filer.

Beskyttelse af administrator-mappen. Tilføj adgangskodebeskyttelse på serverniveau, IP-begrænsninger eller en hemmelig URL-parameter til din /administrator-mappe. Det reducerer mængden af brute force-forsøg dramatisk.

Web Application Firewall. ModSecurity, LiteSpeed WAF eller en cloud-baseret WAF som Cloudflare giver beskyttelse mod SQL injection, XSS og file inclusion-angreb på serverniveau.

Slå fejlrapportering fra. Sæt Joomlas fejlrapportering til "None" eller "System Default" på produktionswebsteder. "Maximum" viser serverstier og konfigurationsdetaljer, der hjælper angribere.

Løbende sikkerhed

Sikkerhed er ikke en engangskonfiguration. Det kræver løbende overvågning, opdateringer og opmærksomhed. Vores vedligeholdelsesplaner omfatter sikkerhedsovervågning, styring af opdateringer og verifikation af backups.