Joomla!正迅速成为世界上最受欢迎的内容管理系统之一，几乎占据了3%的互联网，并超过了3000万次下载 - 在您的一天中，您可能至少浏览了一个使用Joomla!的网站。许多企业依赖于Joomla!来建立他们的网络存在，但往往企业主没有权力确保他们的网站得到妥善管理，或是最新的安全补丁。本文为Joomla!网站所有者提供了一些简单提示，以确保您的网站保持更新，并提供一些工具来简化这一过程！

您的网站是否正在使用最新的安全版本Joomla!？

任何Joomla!网站所有者必须执行的最基本任务是保持基础Joomla!安装的更新。像任何软件一样，错误和安全漏洞会定期被发现并修复，并且会定期发布“补丁”来解决这些问题。

Joomla!项目有一个安全打击队，负责调查和修复安全漏洞。对于关键和高度严重性的漏洞，将立即发布补丁，而其他较低严重性的补丁将在常规发布周期内发布。Joomla!更新通常会在Joomla!网站、Facebook页面、Twitter和Google+社区上广泛宣传。

有两种方法可以找出您正在使用哪个版本的Joomla!，这两种方法都需要您登录到Joomla!网站的“后台”（通过访问www.yoursite.com/administrator）。如果您不能在这里登录（您会收到一条消息说您没有访问权限），那么您没有管理员级别的账户，您需要与您的开发者交谈。

Joomla!有几个版本：

• Joomla! 1.0.x - 这已经很久以前就不再支持了，但仍然有一些网站在使用它（真遗憾！）。通常由页面顶部的红色条纹表示，您将在页面底部找到版本号。最新稳定版本是1.0.15。
• Joomla! 1.5.x - 这个版本最近已经被弃用，因此还有很多网站在使用这个版本。然而，官方支持正在被取消，许多扩展开发人员也不再支持这个版本。 页面顶部有一条绿色横幅表示，您可以在页面右上角找到版本号。 目前最新的稳定版本是1.5.26。
• Joomla! 1.6.x和1.7.x - 这些是短期发布的版本，不再受到支持。 页面顶部有一条蓝色横幅表示，版本号将在页面底部显示。 请尽快更新，因为1.7->2.5更新中修复了几个安全漏洞。
• Joomla! 2.5.x - 这是Joomla!的当前稳定版本，页面顶部有一条蓝色横幅表示。   版本号将在页面底部显示。

如果您看不到版本号，可以访问系统信息页面，该页面除了显示Joomla!版本号之外，还会显示有关您的Joomla!安装和托管环境的其他信息。

如何更新？

更新您的网站不必引起担忧，但是首先备份您的网站很重要（见下文）。 您可以从Joomla!网站手动下载补丁文件（在1.7.x之前的版本），然后使用FTP将这些文件上传到您的网站，或者您可以使用管理员工具一键更新！

我应该迁移吗？

如果您正在运行Joomla! 1.0.x、1.5.x、1.6.x或1.7.x，您应该认真考虑迁移到最新的2.5.x稳定版本。 原因在于，Joomla!安全打击部队只支持最新版本，而且现在许多扩展对旧版本Joomla!不可用——这意味着已经识别出的漏洞和错误将不会为您的版本修复。

重要的是要记住，从1.0.x迁移到1.5.x或从1.5.x迁移到任何更高版本都需要迁移，通常还需要重新安装您的扩展，并调整或替换您的模板，以使用支持Joomla! 2.5.x的模板。 除非您熟悉Joomla!，否则我建议您请专业人士来完成这项工作。

您的扩展是否已更新？

维护Joomla!的重要性仅次于保持您的扩展更新。 我处理的许多网站被攻击是由于有漏洞的扩展而不是Joomla!本身——在几乎所有情况下，网站所有者都没有应用扩展开发者提供的补丁。

如果发现并报告了有漏洞的扩展，安全专家将对其进行测试，并将其添加到有漏洞的扩展列表中，并列出漏洞类型和受影响的版本，以及扩展开发者的更新。 红色显示的尚未解决。

如何更新Joomla!扩展？

更新扩展应该是简单地安装新版本——在Joomla! 2.5.x和以后的版本中，您可以通过更新功能自动更新扩展（如果扩展支持的话）。 记得在更新之前备份，以防有任何自定义需要更新后重新应用。

了解新扩展更新的最佳方式是注册他们的邮件列表——大多数开发者在有新版本可用时都会发送电子邮件。

您的管理员门户是否公开可访问？

如果您可以浏览到www.mysite.com/administrator，那么知道（或怀疑）您的网站正在使用Joomla!的人也可以浏览——这是他们攻击您网站的一个更少的障碍。

如何隐藏我的管理员门户？

有几种方法可以隐藏您网站的这部分内容，最流行的方法是使用一个“秘密词”，必须将其附加到URL上才能访问管理员登录屏幕。例如：www.mysite.com/administrator/?mysecretword。这样，如果用户没有秘密词，他们甚至无法进入您管理员门户的登录页面。

“管理员工具”具有内置此功能，或者您可以使用许多其他提供此功能的扩展，这些扩展可在Joomla! 扩展目录中找到。

您默认的管理员账户仍然启用吗？

当您使用早于2.5.x版本的网站时，默认管理员账户使用一个固定的ID创建 - 在1.5.x及之前版本中为#62，在1.6.x及以后版本中为#42。用户名也是“admin” - 这两点通常都未被更改。

那么，您可能会说！如果有人试图破坏您的网站，并且知道存在一个ID为#62或#42的账户，该账户对您的网站拥有完全访问权限，这将是他们尝试利用任何漏洞的第一件事 - 获取该账户的访问权限，以便他们可以用管理员权限登录您的网站（实际上可以做他们想做的任何事情，包括破坏您的网站或安装恶意代码）。

如何处理默认管理员账户

最好的办法是禁用此账户，并使用另一个账户来完成管理员任务。

基本原则是，拥有您所需的绝对最少的管理员账户数量，并确保它们有强大的密码。如果您为某人创建一个管理员账户以处理您网站的某个部分，请记住之后禁用它。

将管理员账户视为您房子的钥匙或昂贵的汽车的钥匙，您绝对不希望这些钥匙落入错误的手中！

您是否定期将您的网站备份到安全的异地位置？

如果最坏的情况发生，您的网站离线，您与您的托管提供商发生纠纷，或者（天哪！）您犯了一个错误，需要快速恢复您的网站，您能这样做吗？

作为企业主，这应该在您的持续计划中占据重要位置，并被视为对企业的风险，尤其是如果您的很大一部分工作是通过您的网站完成的。

我如何备份我的网站？

存在自动备份您的网站的功能，甚至可以将这些备份推送到远程存储设施，如Dropbox或Amazon S3，并在出现问题时报警。毫无疑问，最好的扩展是Akeeba Backup，这是由世界各地的数千名Joomla!用户测试过的。专业版本还允许您备份其他数据库（例如，如果您正在运行独立的电子商务商店或学习环境）。

备份您的网站只是风险管理的一部分 - 确保您定期测试您的备份，而不仅仅是当您处于紧张时刻时！您可以使用Akeeba的Kickstart快速完成此操作，它可以让您在几分钟内重新创建您的网站。

我如何保持跟踪？

管理一个网站相对容易，可以添加一个提醒到您的日历或关注Joomla!新闻，以确保您保持最新，但当你是一个忙碌的人或管理多个网站时，很容易错过更新公告或忘记更新一个网站。

请记住，一旦 Joomla! 更新公告发布，该更新修复的漏洞就已经在“野外”存在了——因此，您的网站越是不打补丁，被攻击的风险就越高。

管理员工具和 Akeeba 备份都内置了通知系统，如果您的网站过时或备份失败，会定期提醒您，但当你管理多个网站时，这可能会相当低效。

自动化和远程监控网站

在 Joomla! 世界大会上，我与 Victor Drover 进行了交谈——他是流行的 Joomla! 扩展提供商 Anything Digital（JCal Pro、sh404、Josetta 等）的幕后人物——我们谈论了他们最新推出的服务，Watchful.li，这是他们作为赞助商在大会上推出的。

Watchful 可以监控任意数量的网站，并在网站过时时会主动通知您。他们还可以监控您的备份，并检查您的首页是否有特定的单词——如果该单词不存在，这可能意味着您的网站已被未经您同意修改。

您也可以直接从 Watchful.li 控制台触发备份，以及更新运行 2.5.x 及以上版本的网站。

我们最近开始将所有网站迁移到 Watchful.li，并对他们引入的新功能印象深刻。

我强烈推荐您试试看——Victor 还慷慨地为本文的读者提供了一个代码，只需3美元即可享受3个月的试用期——只需使用代码 VIRYA3，如果您在 Watchful 上注册，您的控制台还有 Akeeba 的20%折扣代码！

结论

总的来说，我仅列举了确保您的 Joomla! 网站安全的重要考虑因素中的一小部分，所有这些都在普通网站主的能力范围内。还有许多工具可以将这些自动化，如果您很忙，我强烈推荐使用这些工具！

请注意，虽然这为您提供了保持网站安全的核心安全预防措施，但还有许多其他因素可以考虑，例如您的托管提供商的安全性等，但这五个提示应该能为您奠定良好的基础。