黑客喜欢“低垂的果实”。高级黑客知道从受损害的网站和服务器上启动攻击的好处。

安全至关重要，应该让每个网站管理员都牢记在心。Joomla 网站就像其他任何网站一样，可能受到黑客的攻击。在这篇文章中，我将向您介绍一些黑客用来入侵您的 Joomla 网站的方法，以及您如何通过使用非常简单的方法来保护它们。

1. 您的安全程度取决于您的意愿

不幸的是，使您的网站安全永远没有 100% 的保证。您真正能做的就是减轻风险。但这取决于您如何决定保护自己。您可以实施诸如入侵检测系统（IDS）、Web 应用程序防火墙、事件日志和定期通过漏洞扫描进行漏洞评估等措施。这个列表可以无限增长。

黑客喜欢“低垂的果实”。高级黑客知道从受损害的网站和服务器上启动攻击的好处。这给安全团队增加了额外的挑战，以找到攻击的真正原因。不要让这些家伙利用您的网站进行黑客攻击。了解什么安全措施最适合您和您的公司可能需要时间，但总比没有好。

2. 您的主题/扩展可能会背叛您

您真的知道您的 Joomla 主题中有哪些文件吗？漏洞可能存在于最不可能的地方。在 2009 年，有一个关于用户如何利用 Yootheme Warp 5 框架中参数的漏洞披露（这个漏洞已经修复）。让我们看看以下虚构的例子

http://www.example.com/index.php/inicio?yt_color=%3E%22%3E%3CScRiPt%20%0a%0d%3Ealert(12346)%3B%3C/ScRiPt%3E

通过 yt_color 参数，我们能够传递一些跨站脚本（XSS）。你们中的一些人可能会想，“不错，你只是创建了一个弹出窗口。哇哦！”但通过跨站脚本漏洞，您有执行远程文件包含、本地文件包含、窃取Cookies 等潜在的能力，列表可以无限增长。

许多公司（希望很快）将发布补丁来修复这些安全漏洞，以确保客户数据的安全。关注您购买主题或扩展的公司，了解是否有新更新或补丁，这对您来说是最有利的。如果您有任何问题，我会解答这个话题以及许多其他话题，如果您有问题，请联系我！

3. 测试版或阶段站点的优势

开发者普遍担心更新会破坏他们站点的功能。无论是Joomla、扩展或主题的更新，许多人都不愿意更新，或者走向另一个极端，开发者会推出更新，最终破坏他们的站点，然后尝试将站点回滚到可工作状态。使用VMware、Virtualbox或其他虚拟化软件创建测试版或阶段站点非常简单。这样，您可以在不将其投入生产的情况下轻松检查任何更新，并能够测试更新是否会不利影响您的网站。

我曾为一家大型公司提供过咨询服务，其中他们的一个开发团队对其核心基础设施进行了重大部署。公司政策是在投入生产前将更新推送到阶段站点。团队中的一名成员决定同时将更新推送到阶段站点和生产环境。结果更新破坏了两个站点，没有冗余的机会。在周五晚上接下来的4个小时里，他们都在修复这个问题。如果开发者首先将其推送到阶段环境，他们就能看到它将如何影响公司，然后他们就能知道如何进行更改和修复，而无需处于“危机模式”。

NetHosting的CEO Lane Livingston在去年Hostingcon上表示：“是那些不在测试版中测试事情的人让我们陷入困境”，他指的是那些经常直接将东西投入生产而不是建立一个测试版或阶段站点来演示的人。后来他还说：“一些进入网站的最简单方法就是当网站管理员在上线前没有测试事情时。”

结论

我们可以在创建我们的网站上承担更多的责任。我们可以实施更好的实践和程序，以揭示被认为是黑客行为、安全妥协甚至间接导致我们自己的网站崩溃的原因。在今天的世界里，安全需要被视为一种商业成本。Joomla在http://docs.joomla.org/Security上有一个很好的介绍，说明了您如何开始实施网站上的更好安全措施，以及我最喜欢的http://docs.joomla.org/Top_10_Stupidest_Administrator_Tricks中的“十大愚蠢管理员技巧”。