Joomla jemlje varnost zelo resno. Za to je ustanovila posebno skupino »Joomla« Security Strike Team«, katera se ukvarja s problemi varnosti znotraj Joomle.
Cilji skupine za varnost:
- Preverjanje in odziv na sporočene ranljivosti Joomle s strani uporabnikov
- Pregled kode pred izdajo nove različice Joomle
- Zagotavljanje javne prisotnosti glede varnostnih vprašanj
- Pomoč skupnosti za boljše razumevanje varnosti Joomle
Ker je na voljo polno dodatkov za Joomlo, je najboljše uporabiti le tiste, katere so preverjene, in se redno posodabljajo. Hekerji najlažje prav preko dodatkov napadajo strani, zato je najboljše da se nepreverjeni dodatki ne nalagajo, saj je polno podobnih. Na drugi strani je dobro imeti testno stran, preko katere je možno vse dodatke prej stestirati preden se postavijo na spletno stran. Odstraniti je potrebno tudi nekaj Joomla oznak kot so metapodatki, povezave raznih Joomlinih dodatkov… In pa Joomla stran administratorja, preko katere lahko vsakdo vidi, če vpiše v brskalnik ime strani in administrator, da je stran izdelana s sistemom Joomle.
Nekaj nasvetov za boljšo varnost Joomle
- Izdelava varnostne kopije strani
Vsake toliko časa, s tem se prepreči izguba večje količine podatkov. Komponenta Akeeba Backup omogoča izdelavo varnostne kopije na enostaven način, prav tako Akeeba Kickstart, omogoča namestitev varnostne kopije enostavno nazaj.
- Posodabljanje Joomle
Zna se zgoditi dogoditi da postanejo starejše različice ranljive.
- Uporaba samo preverjenih dodatkov in redno posodabljanje
Večinoma se zgodi, da je bila spletna stran napadena ravno preko nepreverjenih dodatkov. Obstaja tudi seznam ranljivih dodatkov na doc.joomla
- Izbris neuporabljenih dodatkov
Potrebno je izbrisati, najbolje takoj, ko se oceni da se dodatek ne potrebuje, ali ne ustreza zahtevam, ne pa da se ga samo onemogoči, ker ostanejo še vedno na strežniku.
- Izbira spletnega gostitelja
Kateri zagotavlja primerno varnost in redno vzdrževanje strežnikov.
- Sprememba predpone zbirke podatkov
Starejše različice Joomle so imele privzeti predpono jos_ in zaradi tega se je zgodilo največ napadov na podatke, zato imajo novejše različice generator, kateri izbere naključno ime predpone zbirke podatkov.
- Uporaba komponente SEF
Komponenta SEF ponuja dve možnosti: večjo možnost za zadetek strani preko spletnih iskalnikov, in pa stran bo manj ranljiva pred hekerji.
- Sprememba datoteke htaccess.txt v .htaccess
S tem se poizkuša blokirati nekaj najpogostejših tipov napadov na Joomlo, ker privzeta .htaccess datoteka ni nastavljena.
- Sprememba configuration.php datoteke v nezapisljivo
Potem ko se prenese Joomlo na strežnik in se sama datoteka spremeni in shrani je najboljše da se jo spremeni iz zapisljive v nezapisljivo
- Izbira primernega gesla
Najboljše da gesla vsebujejo tako majhne kot velike črke, ter nekatere znake, pravtako je potrebno geslo vsake toliko časa zamenjati…
- Zasebnost nastavitev
Izklopitev metapodatkov da je stran izdelana z Joomlo, ter preprečitev drugim da vidijo nastavitve serverja v php informacijah. Namestitev SEF komponente na spletno stran…