Redakční systém Joomla je častým cílem útoků různých typů. Pro minimalizování tohoto rizika lze podniknout několik opatření. Níže je uvedeno několik základních rad.
1. Udržujte redakční systém aktuální, optimálně používejte vždy nejnovější dostupnou verzi. Tyto aktualizace totiž obsahují opravy bezpečnostních děr.
2. Udržujte aktuální i používané pluginy, komponenty a moduly.
3. Instalační soubory a rozšíření stahujte z oficiálních distribucí.
4. Pro administrátorský účet zvolte jiné jméno než “admin”.
5. Používejte soubor .htaccess (stačí na FTP přejmenovat soubor htaccess.txt na .htaccess).
6. Používejte silná hesla (alespoň 12 znaků obsahující velké, malé písmeno, číslo a symbol).
7. Na svém PC používejte kvalitní a aktuální antivirus.
8. V administraci v sekci FTP vypínejte FTP účet, pokud jej zrovna nepoužíváte.
9. Pravidelně redakční systém zálohujte. Případně je možné využít záloh v ceně webhostingu. Více informací zde.
10. Zakažte zápis do souboru configuration.php. Stačí na FTP nastavit pro tento soubor oprávnění na 444. Návod naleznete zde.
11. Vymažte šablony, které nepoužíváte.
12. Pro lepší zabezpečení je také možné “skrýt” administraci pro všechny nežádoucí návštěvníky. Lze to provést pomocí souborů .htaccess a .htpasswd. Tyto soubory stačí vytvořit a na nahrát na FTP do složky /administrator. Návod na použití těchto souborů naleznete zde. Pokud nechcete soubory vytvářet manuálně, lze do redakčního systému nainstalovat rozšíření Admin Tools (existuje i placená verze Professional, která má řadu dalších funkcí pro lepší zabezpečení). Po instalaci se nastavení tohoto rozšíření objeví v sekci “Komponenty” – “Admin Tools”. Následně kliknete na “Password-protect Administrator” a zadáte uživatelské jméno a heslo. Po uložení nastavení se budete těmito údaji autorizovat ještě před samotným přihlášením do administrace redakčního systému Joomla!.
13. Změňte ID Superadministratora. Lze to provést pomocí Admin Tools, viz. obrázek výše (Super Administrator ID).
14. Pomocí souboru .htaccess můžete také zakázat přístup do složky administrator jiným IP adresám než je Vaše. Stačí když do souboru .htaccess, který buď vytvoříte nebo již máte vytvořený na FTP ve složce /administrator přidáte direktivy Deny, Allow. Níže je příklad souboru .htaccess, který obsahuje jak zabezpeční heslem (viz. bod 12.), tak IP adresu.
AuthName “Restricted Area”
AuthType Basic
require valid-user
Order Deny,Allow
Deny from all
Allow from 10.10.10.10
RewriteEngine On
RewriteRule \.htpasswd$ – [F,L]
Do řádku Allow from 10.10.10.10 vyplňte Vaší veřejnou IP adresu (10.10.10.10 smažte). Svoji IP zjisíte například na mojeip.cz. Upozorňujeme, že pokud nemáte statickou (neměnnou) IP adresu může docházet k tomu, že se Vám bude v čase měnit. V tomto případě je nutné IP měnit i v souboru .htaccess. Pokud chcete přidat více povolených IP adres, tak stačí přidat další řádek Allow from a uvést další IP adresu.
15. Častým problém jsou spamy v komentářích u příspěvků. Počet takových komenátářů sahá do tisíců a obvykle obsahují nebezpečný obsah (např. odkazy na zavirované stránky nebo phishing). Jako ochrana může posloužit například plugin R Antispam. Tento plugin je zdarma a po stažení ho stačí nainstalovat v administraci v sekci “Rošíření” – “Správce rozšíření”.