Joomla-säkerhet — skydda din webbplats mot hot

De flesta säkerhetsintrång i Joomla går att förebygga. De beror sällan på avancerade attacker mot själva Joomla-kärnan — de beror på föråldrade installationer, ouppdaterade tillägg, svaga administratörsuppgifter och hostingmiljöer som inte konfigurerats korrekt. Den här guiden går igenom de säkerhetsåtgärder som verkligen spelar roll för att skydda din Joomla-webbplats.

Den största risken: att köra en Joomla-version som nått slutet på sin livscykel

Ingen mängd säkerhetshärdning väger upp för att köra en Joomla-version som inte längre stöds. Om din webbplats kör Joomla 3 (slut på livscykeln i augusti 2023) eller Joomla 4 (slut på livscykeln i oktober 2025) är det viktigaste du kan göra för säkerheten att uppgradera till en version som stöds.

Joomla-versioner som inte längre stöds får inga säkerhetsuppdateringar. När en sårbarhet upptäcks och åtgärdas i Joomla 5 eller 6 förblir samma sårbarhet öppen i Joomla 3 och 4 — för alltid. Detaljerna om sårbarheten publiceras i Joomla Security Centre, vilket i praktiken ger angripare en färdig karta för att utnyttja äldre installationer.

Se alla uppgraderingsvägar →

Tillägg: din största attackyta

Majoriteten av säkerhetsintrången i Joomla har sitt ursprung i tredjepartstillägg, inte i Joomla-kärnan. Det beror på att kodkvaliteten i tillägg varierar enormt, att övergivna tillägg aldrig får några säkerhetsuppdateringar och att en typisk Joomla-webbplats kan ha 15 till 50 tillägg installerade — vart och ett en potentiell väg in.

Bästa praxis för säkra tillägg

  • Ta bort det du inte använder. Varje installerat tillägg är attackyta. Om ett tillägg är installerat men inte används aktivt bör du avinstallera det helt — att enbart inaktivera det räcker inte, eftersom koden ligger kvar på servern och fortfarande kan vara åtkomlig.
  • Uppdatera utan dröjsmål. När ett tillägg släpper en uppdatering, installera den — särskilt om ändringsloggen nämner säkerhetsfixar. Testa i en stagingmiljö först och driftsätt sedan.
  • Håll utkik efter övergivna tillägg. Om ett tillägg inte har uppdaterats på över 12 månader bör du betrakta det som övergivet och planera för en ersättare. Ett övergivet tillägg kommer aldrig att få en ny säkerhetsuppdatering.
  • Kontrollera listan över sårbara tillägg. Joomla Extensions Directory upprätthåller en lista över tillägg med kända sårbarheter. Stäm av dina installerade tillägg mot den listan.
  • Välj kvalitet framför kvantitet. Använd så få tillägg som möjligt. Innan du installerar ett nytt tillägg, kontrollera att funktionen inte redan finns i Joomla-kärnan eller i ett tillägg du redan har.

För rekommendationer av tillägg, se vår guide till Joomla-tillägg.

Härdning av administratörsåtkomst

Starka inloggningsuppgifter

Använd inte "admin" som administratörsanvändarnamn. Använd inte enkla lösenord. Använd en lösenordshanterare för att skapa unika, komplexa lösenord för varje Joomla-administratörskonto. Det här är grundläggande säkerhetshygien, men det är fortfarande den enskilt vanligaste svaghet vi stöter på när vi granskar webbplatser.

Tvåfaktorsautentisering (2FA)

Joomla 5 och 6 har inbyggd tvåfaktorsautentisering. Aktivera den för samtliga administratörskonton. 2FA lägger till ett andra verifieringssteg — vanligtvis en tidsbaserad kod från en autentiseringsapp — som hindrar obehörig åtkomst även om lösenordet komprometteras. Det finns ingen god anledning att avstå.

Begränsa administratörsåtkomsten

Alla användare i backend behöver inte ha åtkomst som superadministratör. Joomlas system för användargrupper låter dig skapa roller med specifika, begränsade behörigheter. Redaktörer ska ha behörighet att redigera innehåll, inte åtkomst till systemkonfigurationen. Principen om lägsta möjliga behörighet gäller för CMS-åtkomst precis som för alla andra system.

Skydd av administratörskatalogen

Att lägga till ett extra skyddslager för din /administrator-katalog — genom lösenordsskydd på servernivå (.htpasswd), IP-begränsning eller en hemlig URL-parameter — gör det betydligt svårare för automatiserade verktyg att hitta och attackera din inloggningssida. Det ersätter inte starka inloggningsuppgifter och 2FA, men det minskar mängden brute force-försök som din webbplats måste hantera.

Säkerhet för server och hosting

PHP-version

Kör den senaste PHP-version som stöds (PHP 8.2 eller 8.3 för Joomla 5/6). Äldre PHP-versioner får inga säkerhetsuppdateringar. Att köra Joomla på en PHP-version som inte stöds upphäver många av säkerhetsförbättringarna i själva CMS:et.

Filrättigheter

Korrekta filrättigheter förhindrar obehörig ändring av dina Joomla-filer. Som tumregel: kataloger bör sättas till 755, filer till 644 och filen configuration.php till 444 (skrivskyddad). Din hostingmiljö kan kräva något annorlunda inställningar — fråga din hostingleverantör om du är osäker.

SSL/TLS (HTTPS)

Hela din webbplats måste levereras över HTTPS. Det skyddar data som överförs mellan besökare och din server — inklusive inloggningsuppgifter, formulärinskick och sessionscookies. Det finns ingen legitim anledning att leverera en Joomla-webbplats över HTTP år 2026. Gratis SSL-certifikat finns att få via Let's Encrypt och de flesta hostingleverantörer.

Brandvägg för webbapplikationer (WAF)

En brandvägg för webbapplikationer filtrerar bort skadliga förfrågningar innan de når din Joomla-installation. WAF:er på servernivå (ModSecurity, LiteSpeed WAF) eller molnbaserade WAF:er (Cloudflare, Sucuri) ger skydd mot vanliga attacker, däribland SQL-injektion, cross-site scripting och försök till filinkludering.

Regelbundna säkerhetskopior

Säkerhetskopior är din sista försvarslinje. Om en säkerhetsincident inträffar trots alla förebyggande åtgärder låter en ren, testad säkerhetskopia dig återställa webbplatsen till tillståndet före intrånget. Automatiska dagliga säkerhetskopior som lagras utanför servern, tillsammans med regelbunden test av återställning, är avgörande. Akeeba Backup är standardverktyget för detta.

Säkerhetskonfiguration av Joomla-kärnan

Håll Joomla uppdaterat

Installera uppdateringar av Joomla-kärnan utan dröjsmål när de släpps. Testa i en stagingmiljö först och driftsätt sedan i produktion. Joomla 5.4 och 6 stöder automatiska uppdateringar av mindre versioner — aktivera den funktionen om du litar på att dina tillägg är kompatibla, eller samarbeta med en leverantör av underhåll som sköter uppdateringarna på ett kontrollerat sätt.

Säkerhetsinställningar i den globala konfigurationen

Joomlas globala konfiguration innehåller flera säkerhetsrelevanta inställningar. Tvinga HTTPS bör vara aktiverat. Sessionens livslängd bör sättas till en rimlig längd (15–30 minuter för administratörssessioner). Felrapportering bör sättas till "Ingen" eller "Systemstandard" på produktionswebbplatser (aldrig "Maximal" — det exponerar serversökvägar och konfigurationsdetaljer för potentiella angripare).

Användarregistrering

Om din webbplats inte kräver att allmänheten kan registrera sig, inaktivera den möjligheten. Öppen användarregistrering är en vanlig väg in för spamkonton och kan, i dåligt konfigurerade installationer, utnyttjas för behörighetseskalering. Om du verkligen behöver öppen registrering, använd CAPTCHA och kräv e-postverifiering.

Vad du ska göra om din webbplats blir hackad

Om du misstänker att din Joomla-webbplats har komprometterats:

  1. Få inte panik, men agera snabbt. Ju längre ett intrång pågår, desto mer skada gör det — på dina data, dina besökare och ditt rykte.
  2. Ta webbplatsen offline. Lägg upp en underhållssida för att hindra besökare från att utsättas för skadligt innehåll.
  3. Återställ inte bara från säkerhetskopia. Sårbarheten som möjliggjorde intrånget finns fortfarande kvar. Att återställa utan att åtgärda grundorsaken innebär att angriparen helt enkelt kan ta sig in igen genom samma svaghet.
  4. Identifiera vägen in. Ta reda på hur angriparen fick åtkomst — var det ett ouppdaterat tillägg, ett svagt lösenord, en sårbarhet vid filuppladdning eller ett problem på servernivå?
  5. Sanera intrånget. Ta bort alla skadliga filer, bakdörrsskript och injicerad kod. Kontrollera databasen efter injicerat innehåll. Granska användarkontona efter obehöriga administratörer.
  6. Åtgärda sårbarheten. Uppdatera komponenten som utnyttjades, byt alla lösenord och inför de förebyggande åtgärder som beskrivs i den här guiden.
  7. Återställ och verifiera. Ta webbplatsen online igen och bevaka den noga efter tecken på nytt intrång.
  8. Överväg professionell hjälp. Att sanera en hackad webbplats grundligt kräver expertis. Ett förbisett bakdörrsskript innebär att angriparen behåller åtkomsten även efter att du tror att webbplatsen är ren.

Säkerhet är ett pågående arbete

Säkerhet är inte en engångsinställning. Hoten utvecklas, nya sårbarheter upptäcks och tilläggslandskapet förändras ständigt. Strukturerat, löpande underhåll — regelbundna uppdateringar, övervakning och återkommande säkerhetsgenomgångar — är det mest tillförlitliga sättet att hålla en Joomla-webbplats säker över tid.

Våra underhållsplaner inkluderar säkerhetsövervakning, hantering av uppdateringar och verifiering av säkerhetskopior som grundläggande tjänster. Vår hanterade hosting ger säkerhet på servernivå, inklusive brandväggar, DDoS-skydd och proaktiv övervakning.

Få en säkerhetsbedömning

Vår kostnadsfria webbplatsgranskning inkluderar en säkerhetsbedömning — vi kontrollerar din Joomla-version, PHP-version, sårbarhetsstatus för tillägg, SSL-konfiguration och vanliga felkonfigurationer. Du får en tydlig rapport som visar var din webbplats står och vad som behöver åtgärdas.

Få din kostnadsfria säkerhetsbedömning →

Du kanske också är intresserad av