Säkra Joomla: guide till härdning som skyddar din webbplats mot vanliga attacker

De flesta intrång i Joomla-webbplatser går att förebygga. De utnyttjar kända svagheter — administratörskonton med standardnamn, avsaknad av tvåfaktorsautentisering, oppatchade tillägg och felkonfigurerade servrar. Den här guiden går igenom de säkerhetsåtgärder som faktiskt spelar roll.

För hela säkerhetsguiden som täcker risker med uttjänta versioner, säkerhet i tillägg och återställning efter intrång, se vår Joomla Säkerhetshubb.

De fem viktigaste sakerna att göra direkt

1. Uppdatera allt. Joomlas kärna. Varje tillägg. PHP-versionen. Om din Joomla-version är uttjänt bör du uppgradera — ingen härdning i världen räddar ett CMS som inte längre stöds.

2. Aktivera tvåfaktorsautentisering. Joomla 5 och 6 har inbyggd 2FA. Aktivera den för varje administratörskonto. Den här enda åtgärden stoppar merparten av alla brute force- och credential stuffing-attacker.

3. Byt ut standardnamnet på admin-kontot. Om ditt superadministratörskonto fortfarande heter "admin" bör du byta namn redan idag. Automatiserade attackverktyg riktar in sig just på det användarnamnet.

4. Ta bort tillägg som inte används. Varje installerat tillägg är en del av angreppsytan. Använder du det inte aktivt ska du avinstallera det helt — inte bara inaktivera, utan ta bort.

5. Kontrollera att dina säkerhetskopior fungerar. Att ha automatiska säkerhetskopior är grundläggande. Men när testade du senast att återställa en? En oprövad säkerhetskopia är en förhoppning, inte ett skyddsnät.

Härdning på servernivå

HTTPS överallt. SSL/TLS på alla sidor, framtvingat via .htaccess eller serverkonfigurationen. Inga undantag.

Filrättigheter. Kataloger: 755. Filer: 644. configuration.php: 444. De här inställningarna förhindrar obehörig ändring av filer.

Skydd av administratörskatalogen. Lägg till lösenordsskydd på servernivå, IP-begränsningar eller en hemlig URL-parameter för din /administrator-katalog. Det minskar antalet brute force-försök dramatiskt.

Web Application Firewall. ModSecurity, LiteSpeed WAF eller en molnbaserad WAF som Cloudflare ger skydd mot SQL-injektion, XSS och file inclusion-attacker redan på servernivå.

Stäng av felrapportering. Ställ in Joomlas felrapportering på "None" eller "System Default" på produktionssajter. "Maximum" visar serversökvägar och konfigurationsdetaljer som hjälper angripare.

Löpande säkerhetsarbete

Säkerhet är inte en engångsinställning. Det kräver kontinuerlig övervakning, uppdateringar och uppmärksamhet. Våra underhållsplaner omfattar säkerhetsövervakning, hantering av uppdateringar och verifiering av säkerhetskopior.