Joomla! 的安全性是 Joomla! 用户中最常讨论的话题之一。Joomla! 因其安全性问题而受到了许多不公正和不准确的批评。大多数提供者常常关注似乎高数量的被黑 Joomla! 网站，同时认为 Joomla! 本身就是问题所在。

不要脆弱

事实上，Joomla! 网站中的大多数安全问题与 Joomla! 的核心代码无关，而是与不安全或过时的第三方扩展或纯安全主机有关！

一个大城市一个破旧区域一家古董店的店主经常被盗。每次抢劫后，他都加强了安保措施，但盗贼也升级了他们的努力。他最终相信他的场所坚不可摧。每个窗户都装了警报器和百叶窗，门像银行保险库一样坚固，墙壁无法攀登。可能还会出什么问题？几天后，他收到了答案，当时盗贼闯入隔壁的商店，用大锤砸穿地下室墙壁，抢走了更多的古董！现在店主在他的墙壁中安装了传感器和警报器，夜晚仍然睡不着觉。

许多 Joomla! 网站托管在 共享服务器 上。通过共享模式可能出现的一种类似情况是，如果一个“邻居”网站被入侵，你的网站也可能遭到攻击。黑客机器人不断在网上寻找服务器弱点，当他们找到时，麻烦就开始了。不仅要考虑 Joomla! 的安全性，还要考虑 Web 的安全性。

保护 Web 服务器与保护网站或 Web 应用程序本身以及它周围的网络一样重要。如果你有一个安全的 Web 应用程序，如 Joomla!，但 Web 服务器不安全，那么你的网站仍然面临着巨大的风险。以下是一些你应该知道的，如果你的 Joomla! 网站托管在共享服务器环境中

• 使用安全、高质量的网站托管。不要被无限带宽、硬盘空间、数据库等优惠所诱惑。

有许多方法可以破解您的网站。以Apache为例。将您的网站托管在运行PHP的CGI模式的服务器上，使用su_php。这样您就不需要设置不安全的权限，如CHMOD 0777。如果您在全局Apache用户下运行PHP，您将面临来自共享服务器上其他用户的跨账户攻击。在CGI模式下运行PHP，您需要确保所有文件都CHMOD 0664，目录为0755。永远不要将文件或目录的CHMOD设置为0777。

尽管这似乎很显然，但请确保您的网站托管提供商正在更新PHP和其他软件。检查他们是否在Apache下运行mod_security。Mod_security是一个Web应用防火墙，可以提供针对Web应用的多种攻击的保护，并允许对HTTP流量进行监控、记录和实时分析。它可以帮助阻止针对您的Joomla!网站的许多跨站脚本攻击。

检查他们是否在PHP下运行了open_basedir 。Open_basedir旨在阻止PHP脚本访问open_basedir限制之外的文件，是作为安全指令的最佳选择。

确保您的托管商默认不允许在PHP中远程包含代码。为此，登录到Joomla!管理员面板，从顶部面板导航到帮助 ->系统信息。然后转到PHP信息选项卡。

• 如果您使用的是PHP 5.2，请确保指令'allow_url_include'设置为关闭。
• 如果您使用的PHP版本低于5.2，请确保指令'allow_url_fopen'设置为关闭。

PHP已弃用的Register Globals功能是一个一般性的安全风险。在某些服务器配置下，它可能导致特定的跨站脚本。当开启时，register_globals会向您的脚本注入各种变量，如来自HTML表单的请求变量。结合PHP不需要变量初始化的事实，这意味着编写不安全代码要容易得多。在PHP6中，甚至不会有Register Globals设置。大多数注重安全的托管商默认关闭PHP的Register Globals指令。查看您的托管商是否已关闭Register globals或允许您在本地.htaccess或php.ini文件中关闭它。

当启用时，expose_php会在每个请求中报告正在使用PHP处理请求，以及安装了哪个版本的PHP。寻找潜在漏洞目标的恶意用户可以使用此信息来识别弱点。关闭expose_php。它本身并不能抵挡一个坚定的攻击者，但会降低攻击者利用简单侦察技术扫描漏洞目标的机会。

破解您的网站的另一种方式是通过FTP。选择一个要求使用SFTP传输文件的主机。SFTP或安全FTP是一个使用SSH传输文件的程序。与标准FTP不同，它加密了命令和数据，防止密码和敏感信息在网络上明文传输。

（注意：Joomla! FTP层是在用户托管在未运行PHP的账户用户的服务器上时开发的。它允许我们在不遇到文件所有权问题的同时安装扩展，但也存在潜在的安全漏洞。如果您的服务器正在运行su_php，您实际上不需要FTP层，并且应该禁用它。）

安全漏洞始终存在，因此服务器设置必须加强以抵御攻击。攻击者必须有两个东西：机会和能力。许多攻击者都有能力，所以不要给他们机会。

并且因为您永远不知道您...什么时候会走运，最后一点建议。备份，备份，备份！