上一次Joomla 0day漏洞讓很多使用joomla的網(wǎng)站掛掉，這個(gè)確實(shí)很無奈，畢竟只要是程序，就會(huì)有漏洞，就有被攻破的可能。我們能做的就是盡最大可能防止自己的網(wǎng)站被黑掉。

      一般常見的攻擊路徑有兩種：服務(wù)器和網(wǎng)站程序。對(duì)于服務(wù)器的安全不是我們討論的話題，那是主機(jī)商的事，我們能做的就是自己網(wǎng)站程序的安全防范。對(duì)于Joomla網(wǎng)站，建議做好以下幾個(gè)方面的防范：

是否使用的是最新版本 Joomla!
       這個(gè)是非常重要的，時(shí)刻關(guān)注Joomla的版本更新，及時(shí)將自己的網(wǎng)站更新到最新版。

是否使用的是最新版的第三方擴(kuò)展
       再牛逼的人用Joomla做網(wǎng)站肯定會(huì)或多或少用到一些第三方擴(kuò)展，畢竟省事省力嘛，這些擴(kuò)展很多時(shí)候也會(huì)爆出致命的漏洞，所以及時(shí)更新非常有必要。

是否更改了網(wǎng)站后臺(tái)登錄入口
       地球人都知道Joomla的后臺(tái)入口是administrator，所以為了安全起見，請(qǐng)一定要更改這個(gè)路徑，可以使用這個(gè)插件來處理：Adminexile

是否使用了較弱的密碼
       不管是管理員賬戶還是數(shù)據(jù)庫賬戶的密碼，一定要設(shè)置強(qiáng)壯的密碼，強(qiáng)壯的密碼一般由：大小寫字母、數(shù)字、鍵盤上各種特殊的符號(hào)混合而成，長度起碼8位以上。

是否使用 'admin' 作為會(huì)員用戶名
       admin是一般默認(rèn)的用戶名，不建議使用，Joomla允許我們自定義用戶名的

是否設(shè)置了 FTP 密碼
       在Joomla后臺(tái)【全局設(shè)置】-【服務(wù)器設(shè)置】里面的FTP設(shè)置直接設(shè)置為否。

是否啟用搜索引擎友好網(wǎng)址(Search Engine Friendly URLs)
       如果使用原始的鏈接，既對(duì)搜索引擎不友好，而且也會(huì)暴露使用的擴(kuò)展的類型，更有被注入的風(fēng)險(xiǎn)。

configuration.php 文件完整性
       configuration.php配置文件包含了一些敏感的信息，需要注意檢查該文件是否完整。

會(huì)話(session)存活時(shí)間(lifetime)
       會(huì)話(session)存活時(shí)間(lifetime)推薦設(shè)置為小于 15 分鐘。

會(huì)話(Session)處理方式
       這個(gè)選項(xiàng)系統(tǒng)默認(rèn)是數(shù)據(jù)庫存儲(chǔ)，存在安全隱患，修改為不保存。

Joomla 臨時(shí)目錄中是否有遺留文件
       Joomla 臨時(shí)目錄就是網(wǎng)站根目錄的tmp目錄，里面一般應(yīng)該被清空，不要留任何文件。