Joomla-säkerhet: 10 konkreta åtgärder som gör din webb svårare att knäcka

· 4 min lästid · Joomla Säkerhet
Joomla-säkerhet: 10 konkreta åtgärder som gör din webb svårare att knäcka

Joomla är ett stabilt CMS, men standardinstallationen är inte särskilt härdad. Många installationer körs med fabriksinställningar som angripare känner till utan och innan. Det är lågt hängande frukt.

Det behövs inte mycket för att göra en stor skillnad. Nedan är tio åtgärder jag brukar gå igenom när vi tar över en Joomla-webb som inte skötts aktivt.

Byt admin-URL:en

Standardadressen /administrator är det första en bot testar. Joomla har inbyggt stöd för att byta detta via Global Configuration → System. Välj något som inte är uppenbart — inte /admin2 eller /backend.

Det stoppar inte en dedikerad angripare, men det filtrerar bort 90% av det automatiserade skräpet.

Stäng av XML-RPC om du inte använder det

Joomla exponerar ett antal API-endpoints som sällan används av vanliga webbplatser men gärna missbrukas. Kolla vilka komponenter som är aktiverade under Extensions och inaktivera det du inte aktivt använder.

Sätt rätt filrättigheter

Filer ska vara 644, mappar 755. Configuration.php ska vara 444 — skrivskyddad. Om din server tillåter att PHP-filer skrivs av webbservern är det ett problem, inte en bekvämlighet.

Detta är något din webbhotellsleverantör kan hjälpa med om du inte vill göra det via FTP/SSH själv.

Tvåfaktorsautentisering på alla adminanvändare

Joomla har haft inbyggt stöd för 2FA sedan version 3.2. Ändå ser jag regelbundet installationer där det inte är aktiverat. Det tar fem minuter att slå på och eliminerar i princip risken för att ett stulet lösenord räcker för att komma in.

Gå till Users → Manage, klicka på en användare och aktivera Two Factor Authentication.

Håll PHP-versionen aktuell

Det här är inte Joomla-specifikt, men det är vanligare att Joomla-installationer körs på gamla PHP-versioner. PHP 7.4 nådde end-of-life i december 2022. Kör du fortfarande på det är du utan säkerhetspatchar.

PHP 8.1 eller 8.2 är vad du ska vara på idag.

Ta bort oanvända extensions

Varje inaktiverad men fortfarande installerad extension är en potentiell ingångspunkt. Inaktiverad är inte detsamma som borttagen — koden finns kvar på servern och kan fortfarande exploateras.

Gå igenom Extensions → Manage och plocka bort det du faktiskt inte använder. Detsamma gäller teman/templates.

Aktivera HTTPS och forcera det

Om din webb fortfarande tillåter HTTP-trafik skickas cookies och sessionsdata i klartext. Sätt Redirect HTTP to HTTPS i Global Configuration och se till att cookien för adminsessionen är märkt som Secure.

Har du inte SSL på plats ännu kan du läsa mer om varför det inte är valbart längre på vår sida om WordPress-säkerhet — principerna gäller Joomla lika väl.

Begränsa inloggningsförsök

Joomla har inget inbyggt skydd mot brute force-attacker i standardinstallationen. Det finns extensions för detta — Brute Force Stop är en av de mer använda. Alternativt kan du lösa det på servernivå med fail2ban eller via din WAF om du har en.

Granska super admin-kontona

Jag ser ofta installationer med 3-4 super admin-konton, varav ett par är skapade av byråer som nu inte längre arbetar med kunden. Ta bort dem. En super admin som inte loggar in längre är ett vilande konto med full behörighet.

Håll en super admin, max två om det finns ett starkt skäl.

Logga och övervaka

Joomla har en inbyggd logg under System → Logs. Problemet är att de flesta aldrig tittar på den. Sätt upp någon form av aktiv övervakning — antingen manuellt en gång i veckan eller via ett externt verktyg.

Om din webb gör saker du inte gjort — skapar användare, ändrar filer, skickar mail — vill du veta det inom timmar, inte månader. Vi erbjuder löpande övervakning som en del av vårt Joomla-supportavtal för kunder som inte vill sköta det själva.


De flesta hackade Joomla-installationer jag sett hade kunnat undvikas med fem av de tio punkterna ovan. Det är sällan sofistikerade attacker — det är gamla extensions, standard-URLs och inga inloggningsbegränsningar.

Vill du veta var din webb faktiskt står? Kör ett gratis webbtest så ser du en del av det direkt.

Hur mår din webb?

Kör ett gratis test och se hur din webb presterar inom SEO, säkerhet, prestanda och tillgänglighet, på under en minut.

Testa gratis

Inget konto krävs

Få fler tips som dessa

Prenumerera på vårt nyhetsbrev, vi delar tips om webbunderhåll, säkerhet och prestanda.