Joomla!正迅速成为世界上最受欢迎的内容管理系统之一，几乎为网络提供3%的动力，下载量超过3000万次——在您的一天中，您可能浏览过至少一个使用Joomla!的网站。许多企业依赖Joomla!建立其网络存在，但往往企业主没有能力确保其网站得到适当管理，或与最新的安全补丁保持更新。本文为Joomla!网站所有者提供了一些简单提示，以确保您的网站保持最新，并提供一些工具使该过程更加简单！

您的网站使用的是最新安全版本的Joomla!吗？

任何Joomla!网站所有者必须执行的最基本任务是保持基础Joomla!安装更新。像任何软件一样，漏洞和安全问题会定期被发现并修复，并且会定期发布“补丁”来解决这些问题。

Joomla!项目有一个安全打击队，负责调查和修复安全漏洞。对于关键和高度严重性的漏洞，将立即发布补丁，其他较低严重性的补丁将在常规发布周期内发布。Joomla!更新通常会在Joomla!网站、Facebook页面、Twitter和Google+社区上广泛宣传。

有两种方法可以找出您正在使用哪个版本的Joomla!，两种方法都需要您登录到Joomla!网站的“后台”（通过访问www.yoursite.com/administrator）。如果您无法在这里登录（您将收到一条消息说您没有访问权限），您没有管理员级别的账户，因此您需要与您的开发者联系。

Joomla!有几种版本。

• Joomla! 1.0.x - 这已经很长时间不再被支持，但仍有网站在使用它（真是不应该！）。通常在页面顶部有一条红色横条，你可以在页面底部找到版本号。最新的稳定版本是1.0.15。
• Joomla! 1.5.x - 这个版本最近已经被弃用，因此仍有大量网站使用这个版本。然而，官方支持正在被撤销，许多扩展开发者也不再支持这个版本。通常在页面顶部有一条绿色横条，你可以在页面右上角找到版本号。迄今为止的最新稳定版本是1.5.26。
• Joomla! 1.6.x 和 1.7.x - 这些是短期发布版本，现在已经不再支持。通常在页面顶部有一条蓝色横条，版本号将在页面底部显示。请尽快更新，因为1.7->2.5更新中修复了几个安全漏洞。
• Joomla! 2.5.x - 这是Joomla!的当前稳定版本，页面顶部有一条蓝色横条。版本号将在页面底部显示。

如果看不到版本号，可以访问系统信息页面，该页面除了显示Joomla!版本号外，还会显示有关您的Joomla!安装和托管环境的其他信息。

如何更新？

更新您的网站无需担心，但首先需要备份您的网站（请参阅下面）。您可以从Joomla!网站（在1.7.x之前的版本）手动下载补丁文件，然后使用FTP上传到您的网站，或者您可以使用Admin Tools一键更新！

我应该迁移吗？

如果您正在运行Joomla! 1.0.x、1.5.x、1.6.x或1.7.x，您应该认真考虑迁移到2.5.x的最新稳定版本。原因是Joomla!安全打击部队只支持最新版本，而且许多扩展现在不再适用于旧版本的Joomla! - 这意味着识别出的漏洞和错误将不会为您的版本修复。

请记住，从1.0.x迁移到1.5.x或从1.5.x迁移到任何更高版本都需要迁移，通常还需要重新安装您的扩展，并调整或替换您的模板，以支持Joomla! 2.5.x。除非您熟悉Joomla!，否则我建议您寻求专业人士来完成这项工作。

您的扩展更新了吗？

仅次于维护Joomla!的是保持您的扩展更新。我处理的大多数网站妥协是由于有漏洞的扩展而不是Joomla!本身 - 在几乎所有情况下，网站所有者都没有应用扩展开发者提供的补丁。

如果识别出有漏洞的扩展并进行了报告，安全专家将对其进行测试，并将其添加到有漏洞的扩展列表中，其中包含漏洞类型和受影响的版本，以及扩展开发者的更新。红色显示的尚未解决。

如何更新Joomla!扩展？

更新扩展应该是简单地安装新版本 - 在Joomla! 2.5.x及以后的版本中，您可以通过更新功能自动更新扩展（如果扩展支持的话）。记得在更新之前进行备份，以防有任何自定义需要在更新后重新应用。

了解新扩展更新的最好方法是注册他们的邮件列表 - 大多数开发者在有新版本可用时会发送电子邮件。

您的管理员门户是否公开可访问？

如果您能浏览到www.mysite.com/administrator，那么知道（或怀疑）您的网站使用Joomla！的人也能浏览到——这减少了他们入侵您网站的障碍。

我该如何隐藏我的管理员门户？

您可以通过多种方式隐藏您网站的这一部分，最常见的是使用一个必须附加到URL中的“秘密词”来访问管理员登录界面。例如：www.mysite.com/administrator/?mysecretword。这样，如果没有秘密词，用户甚至无法访问管理员门户的登录页面。

Admin Tools已经内置了这一功能，或者您可以使用其他许多扩展程序，在Joomla! 扩展目录中提供这一功能。

您的默认管理员账户是否仍然启用？

当您使用早于2.5.x版本的网站创建时，默认管理员账户使用了一个固定的ID——在1.5.x及以前版本中为#62，在1.6.x及以后版本中为#42。用户名也是“admin”——这两个通常都不会更改。

那么，您可能会说！如果有人试图入侵您的网站并且知道存在一个具有#62或#42用户ID的账户，这个账户可以完全访问您的网站，他们会首先尝试利用任何漏洞——获得对该账户的访问权限，以便他们可以以管理员权限登录您的网站（并实际上做任何他们想做的事情，包括破坏您的网站或安装恶意代码）。

如何处理默认管理员账户

最好的做法是禁用此账户，并使用单独的账户来执行管理员任务。

基本规则是拥有您需要的最小管理员账户数量，并确保它们有强大的密码。如果您为某人创建管理员账户以处理您网站的一部分，记得之后禁用它。

将管理员账户视为您房子的钥匙或昂贵的汽车，您绝对不希望它落入错误的手中！

您是否定期将您的网站备份到安全的外部位置？

如果最坏的情况发生，您的网站离线了，您与您的托管提供商发生争执，或者（天哪！）您犯了一个错误并需要快速恢复您的网站，您能这样做吗？

作为一位企业主，这应该在您的持续计划中占有重要位置，并被视为对企业的风险，特别是如果您的很大一部分工作是通过您的网站完成的。

我该如何备份我的网站？

存在自动备份您网站的功能，甚至可以将这些备份推送到远程存储设施，如Dropbox或Amazon S3，并在出现任何问题时通知您。做这件事的最佳扩展程序无疑是经过全世界数千名Joomla！用户测试的Akeeba Backup。专业版本还允许您备份其他数据库（例如，如果您运行的是独立的电子商务商店或学习环境）。

备份您的网站只是风险管理的一部分——确保您定期测试您的备份，而不是在关键时刻！您可以使用Akeeba的Kickstart快速完成这项工作，它可以让您在几分钟内重建您的网站。

我该如何跟进这件事？

管理一个站点相对容易，你可以轻松地在日历中添加提醒，或关注Joomla!新闻，以确保你保持最新状态，但当你是忙碌的人或者管理多个站点时，很容易错过更新公告或忘记更新站点。

请记住，一旦发布Joomla!更新公告，该更新修复的漏洞就会在“野外”出现 - 因此，你让网站不修补的时间越长，遭受攻击的风险就越高。

Admin Tools和Akeeba Backup都内置了通知系统，如果您的网站过时或备份失败，它们会定期提醒您，但当您管理多个网站时，这可能相当低效。

自动化和远程监控站点

在Joomla!世界大会上，我和Victor Drover（流行的Joomla!扩展提供商Anything Digital（JCal Pro、sh404、Josetta等）的幕后人物）聊了起来 - 我们谈论了他们在世界大会上作为赞助商推出的最新服务Watchful.li。

Watchful可以监控任意数量的网站，如果它们过时，会主动通知您。他们还可以监控您的备份，并检查您的首页是否有特定单词 - 如果它不存在，可能意味着您的网站已被未经您同意地修改。

您还可以直接从Watchful.li仪表板触发备份，以及运行2.5.x和更高版本的网站的更新。

我们最近开始将所有网站转移到Watchful.li，并且对新引入的功能感到非常满意。

我强烈建议您试试看 - Victor还慷慨地为这篇文章的读者提供了一个代码，只需3美元即可获得3个月的会员资格，只需使用代码VIRYA3 - 如果您在Watchful上注册，您的仪表板上还有Akeeba的20%折扣代码！

结论

总的来说，我仅列举了一些我认为在确保您的Joomla!网站安全方面重要的考虑因素，所有这些都在普通网站主的能力范围内。还有工具可以让大部分工作自动化，如果您很忙，我强烈推荐您使用这些工具！

请注意，虽然这为您提供了保持网站安全的核心预防措施，但还有许多其他因素可以考虑，例如您的托管提供商的安全性等，但这五个技巧应该为您打下良好的基础。