Joomla!非常重视安全，并且非常积极地解决可能出现的任何问题。但这并不意味着您不能为您的Joomla!网站做更多的事情来保护它。使用SSL，您可以启用Joomla!中已经内置的一些功能，并保护免受针对您的网站和用户的某些简单攻击。更好的是，SSL还可以用于您可能甚至不知道的其他功能。

为什么您应该在网站上使用SSL

SSL(或 TLS 如更新的版本所称呼)是自1996年Netscape 2.0以来出现在网页上的那个小锁头。虽然人们普遍认为SSL仅适用于电子商务、金融或其他类似敏感网站，但事实是，任何网站都能从增加的安全中受益，包括您的Joomla!网站。您甚至不需要额外的扩展，Joomla!中就有一些您可以立即利用的功能来帮助保护您的用户，尤其是您自己。

但我没有什么特别的东西需要保护

是的，您有！任何网站最有价值的东西之一就是访问网站的用户名和密码。即使您没有登录到网站前端的用户，您肯定也会登录到管理员区域。如果您不使用SSL，其他人可以通过多种方式冒充您，窃取“城堡的钥匙”。

那么风险是什么？

当任何用户登录到您的Joomla!网站时，他们的用户名和密码会通过互联网发送到您的服务器。这部分很明显。不明显的是，用户名和密码可以在从用户浏览器到无线路由器、到ISP到服务器本身的路径上的任何地方被拦截。虽然小型网站不太可能成为目标，但这是有可能的。更可能的是，随着在餐馆和咖啡馆中无线网络的使用越来越普遍，这些凭证可以在甚至进入互联网之前就被拦截出来。

有人可以用我网站的凭证做什么呢？

嗯，如果你是管理员，他们可以做他们想做的任何事情。此外，对于你的用户来说，密码滥用是一个极其普遍的问题。虽然你可能认为你网站的凭证并不那么有价值，但如果用户出于某种疯狂的原因在主要零售网站、托管公司或其他知名度更高的网站上使用相同的用户名和密码，它们可能会很有用。

SSL如何阻止这种情况发生？

实际上，这非常简单。在Joomla! 登录模块中，有一个简单的设置“加密登录数据”。当你的网站上安装了SSL证书时，这个设置将使用户的浏览器在将用户名和密码发送到你的服务器之前对其进行加密。就是这样！

会话Cookie也存在风险

在Joomla!中，当用户登录到网站的端前或端后区域时，浏览器中会设置一个特殊的会话Cookie来识别该用户。这个Cookie会随着每次页面加载而传输，以便Joomla!知道查看页面的用户。然后，这个Cookie将授予他们权限去做任何注册或管理员用户可以做的事情。

虽然这个Cookie的风险不大，因为它最终会过期，但它仍然可能值得保护，具体取决于你的网站。通过简单地在整个网站上使用SSL，这个Cookie也将被加密。同样，保护这一方面就像在Joomla!的全局配置区域中更改“强制SSL”设置一样简单。只需将其设置为“整个网站”或“仅管理员”。如果你有SSL证书，没有理由选择“无”，你应该至少选择“仅管理员”，这将防止你的后端会话Cookie被捕获，从而阻止对整个管理员部分的访问。

这真的可能吗？

2010年，一个名为Firesheep的Firefox插件被发布，它可以自动扫描无线网络以显示并使用Facebook和Google等热门网站的任何会话Cookie。虽然还没有专门针对Joomla!网站的插件，但这种情况仍然存在。

SSL的缺点

SSL的最大缺点是可能的花费和性能。根据你的托管计划，SSL证书可能从免费到每年150美元不等。这个价格完全取决于你的主机是否提供“免费”的共享SSL证书，是否允许你从第三方供应商安装（最低10-20美元）或者强迫你从他们那里购买（最高150美元）。

如果价格对你的网站来说是合理的，你唯一要考虑的另一点是性能会略有下降。由于图片、JavaScript、CSS文件和其他内容将被加密，用户的浏览器无法缓存这些资产。这意味着每页的请求更多。虽然影响应该很小，但根据你的托管计划流量，这是值得注意的。

SSL还有其他功能吗？

是的！这篇文章之所以出现，正是因为我们在论坛上收到了类似的问题：“SSL还有什么用？” 对于我们的Joomla! Facebook集成扩展JFBConnect，SSL是发送Facebook邀请和进行页面Tab集成所必需的，以便在您的Facebook页面上显示您的网站部分。由于大多数网站没有SSL，我们开始提出多个理由，说明除了增强Facebook集成之外，拥有SSL证书也是有益的。

还有很多其他理由使用SSL，你可能还没有意识到，希望现在你已经有了一些好的例子。你有没有其他方法可以分享SSL如何增强网站的功能、功能或安全性？请在下面的评论中发表。