Joomla!对安全非常重视，并且非常积极地在修复可能出现的任何问题。但这并不意味着您不能为您的Joomla!网站做更多的事情来保护它。使用SSL，您可以启用Joomla!中已经内置的一些功能，并防止针对您的站点和用户的某些简单攻击。更好的是，SSL还可以用于您甚至可能不知道的其他功能。

为什么您应该在网站上使用SSL

SSL(或 TLS 如它的新版本所称呼)是自1996年Netscape 2.0以来出现在网页上的那个小锁头。虽然通常认为SSL仅在电子商务、金融或其他类似敏感网站上才是必需的，但事实是，任何网站都能从增加的安全性中受益，包括您的Joomla!网站。您甚至不需要额外的扩展，Joomla!中就有一些您现在就可以利用的功能来帮助保护您的用户，尤其是您自己。

但我没有任何特别的东西需要保护

是的，您有！任何网站上最有价值的东西之一是访问网站的用户名和密码。即使您没有用户登录到您站点的前端，您肯定也会登录到管理员区域。如果您不使用SSL，其他人可以通过多种方式冒充您，并窃取“城堡的钥匙”。

那么风险是什么？

当任何用户登录到您的Joomla!站点时，他们的用户名和密码都会通过互联网发送到您的服务器。这部分很明显。不明显的是，用户名和密码可以在从用户浏览器到无线路由器再到ISP再到服务器本身的任何地方被截获。虽然小型网站不太可能被针对，但这是可能的。更可能的是，随着在餐馆和咖啡馆中使用无线网络的普遍性，这些凭据可能在它们甚至进入互联网之前就被截获。

有人可以使用我的站点的凭据做什么？

嗯，如果您是管理员，他们可以随心所欲地做任何事情。此外，对于您的用户来说，密码过度使用是一个极其普遍的问题。虽然您可能认为您网站的凭证并不那么有价值，但如果用户出于某种疯狂的原因在主要零售网站、托管公司或其他更高调的网站上使用相同的用户名和密码，那么它们可能还是有用的。

SSL是如何阻止这种情况的呢？

实际上，这非常简单。在Joomla！登录模块中，有一个简单的设置“加密登录数据”。当您的网站上有SSL证书时，此设置将使用户的浏览器在将其发送到您的服务器之前加密用户名和密码。就是这样！

会话Cookie也容易受到攻击

在Joomla！中，当用户登录到您网站的前端或后端区域时，浏览器会设置一个特殊的会话Cookie来识别该用户。该Cookie与每个页面加载一起传输，以便Joomla！知道正在查看页面的用户。该Cookie然后授予他们权限执行任何注册或管理员用户可以执行的操作。

虽然Cookie的威胁相对较小，因为它最终会过期，但这仍然可能值得保护，具体取决于您的网站。通过在您的网站上简单地使用SSL，该Cookie也将被加密。再次强调，保护这一方面就像在Joomla！全局配置区域更改“强制SSL”设置一样简单。只需将其设置为“整个网站”或“仅管理员”。如果您有SSL证书，就没有理由选择“无”，您至少应该选择“仅管理员”，这将阻止您的后端会话Cookie被窃取，防止访问您网站的整个管理员部分。

这真的可能吗？

2010年，一款名为Firesheep的Firefox插件被发布，它可以自动扫描无线网络以显示和使用像Facebook和Google这样的流行网站的任何会话Cookie。尽管没有专门针对Joomla！网站的插件，但这种可能性仍然存在。

SSL的缺点

SSL最大的缺点可能是成本和性能。根据您的托管计划，SSL证书可能免费到每年150美元不等。这个价格完全取决于您的托管商是否提供“免费”的共享SSL证书，是否允许您从第三方供应商那里安装（最低10-20美元）或者强制您从他们那里购买（高达150美元）。

如果价格对您的网站来说是合理的，那么您还需要考虑的是，可能会有轻微的性能影响。由于图片、JavaScript、CSS文件和其他内容将被加密，用户的浏览器将无法缓存这些资源。这意味着每页会有更多的请求。虽然影响应该是微不足道的，但根据您的托管计划和流量，这仍然值得注意。

SSL还有其他功能吗？

是的！这篇文章之所以出现，是因为我们在论坛上收到了类似的问题，比如“SSL还有什么用途？”我们的Joomla！Facebook集成扩展JFBConnect要求SSL用于发送Facebook邀请和进行页面标签集成，以便在您的Facebook页面上显示您网站的部分内容。由于大多数网站没有SSL，我们开始列举多个原因，说明除了增强Facebook集成之外，拥有SSL证书可能是有益的。

还有很多您可能不知道的SSL用途，希望现在您已经了解了一些好的例子。您有其他方法可以分享，这些方法可以增强网站的特性、功能或整体安全性吗？在下面的评论中发布它们。