Joomla säkerhet – 9 konkreta steg för att skydda din webb

· 4 min lästid · Joomla Säkerhet
Joomla säkerhet – 9 konkreta steg för att skydda din webb

Joomla har ungefär 2 miljoner aktiva installationer globalt. Det gör det till ett tillräckligt stort mål för att angripare ska bygga automatiserade verktyg specifikt för att leta efter svaga punkter. De letar inte efter just dig — de scannar hela internet efter lågt hängande frukt.

De flesta Joomla-installationer som komprometteras är inte hackade av en människa som sitter och knackar kod. Det är ett script som hittade en gammal version, ett exponerat administrationsgränssnitt eller ett lösenord som är återanvänt från ett annat konto.

Ta bort vad som inte behövs

Första steget är att se vad du faktiskt har installerat. Oanvända extensions — komponenter, moduler, plugins — är öppna dörrar även om de inte är aktiva. Inaktiverade tillägg patchas sällan och granskas sällan.

Gå igenom listan. Tar du bort hälften av vad som finns där behöver du underhålla hälften så mycket.

Uppdatera, och gör det regelbundet

Joomla ger ut säkerhetsuppdateringar löpande. Kärnan, extensions, templates — allt räknas. En gammal version av till exempel JCE-editorn eller Akeeba Backup kan räcka för att ge en angripare fotfäste, oavsett hur välskött resten av installationen är.

Sätt ett schema. En gång i månaden är ofta nog för de flesta, men efter en Joomla-säkerhetsrelease bör det ske inom några dagar.

Flytta eller skydda /administrator

Standardadressen för Joomla-admin är din-webb.se/administrator. Det vet alla som kör automatiserade attacker, och de provar den alltid.

Du kan inte flytta den helt (som du kan med WordPress wp-admin), men du kan lägga IP-begränsning på katalogen via .htaccess om du har ett fast kontorets-IP. Alternativt: lägg på tvåfaktorsautentisering — Joomla har det inbyggt sedan version 3.2 och det kostar ingenting att aktivera.

Använd starka och unika lösenord

Uppenbart, men 3–4 av de komprometterade Joomla-sajter jag ser per år har haft lösenord som "Admin2020" eller "Joomla123". Ofta ett lösenord som återanvändes från ett annat konto som läckt i en dataintrångsdump.

HaveIBeenPwned låter dig kolla om en mailadress dykt upp i kända läckor. Gör det. Ändra lösenord som används på fler ställen.

Kör HTTPS och kontrollera dina HTTP-headers

HTTPS är baslinjen — utan det skickas sessionskakor i klartext. Men utöver det finns headers som X-Frame-Options, X-Content-Type-Options och Content-Security-Policy som faktiskt gör skillnad mot XSS och clickjacking.

Du kan testa dina nuvarande headers gratis på securityheaders.com. De flesta Joomla-installationer missar minst ett par av dessa.

Sätt rätt filrättigheter

Joomla-filerna bör inte vara skrivbara av webbservern annat än där det krävs. Kataloger: 755. Filer: 644. Configuration.php: 444 när du inte gör ändringar.

Fel rättigheter — ofta 777 på hela installationen efter en slarvig flytt — låter angripare skriva filer direkt om de tar sig in via ett annat hål.

Håll koll på loggar och felmeddelanden

Joomla visar ibland tekniska felmeddelanden publikt om debug-läget är på. Det ger angripare information om din databasstruktur, filsökvägar och installationskonfiguration. Stäng av debug i produktionsmiljö.

Sätt upp loggövervakning om möjligt. Ovanligt många misslyckade inloggningar mot /administrator är ofta ett tecken på en pågående brute force-attack.

Ta backup — och testa den

Det är inte en säkerhetsåtgärd i sig, men det är det som avgör om ett intrång innebär en jobbig dag eller en katastrof. En backup du aldrig testat är ingen backup — den kan vara korrupt, sakna filer, eller peka på en databas som inte längre stämmer.

Akeeba Backup är standardlösningen för Joomla. Kör schemalagda backups, spara dem utanför webbservern, och återställ till en testmiljö ett par gånger per år för att verifiera att det faktiskt fungerar.

Vad händer om det ändå går fel?

Inget av det här är 100 procent garantier. Nya sårbarheter dyker upp, och ibland hinner angripare före patcharna.

Om din Joomla-webb blivit hackad trots allt — titta på vad du kan göra via vår guide om hackad Joomla. Det viktigaste är att inte bara radera skadlig kod utan att också förstå hur angriparen kom in, annars är risken hög att det händer igen.

Vill du hellre ha någon annan som håller koll löpande finns Joomla supportavtal för det.

Hur mår din webb?

Kör ett gratis test och se hur din webb presterar inom SEO, säkerhet, prestanda och tillgänglighet, på under en minut.

Testa gratis

Inget konto krävs

Få fler tips som dessa

Prenumerera på vårt nyhetsbrev, vi delar tips om webbunderhåll, säkerhet och prestanda.