Joomla har ungefär 2 miljoner aktiva installationer globalt. Det gör det till ett tillräckligt stort mål för att angripare ska bygga automatiserade verktyg specifikt för att leta efter svaga punkter. De letar inte efter just dig — de scannar hela internet efter lågt hängande frukt.
De flesta Joomla-installationer som komprometteras är inte hackade av en människa som sitter och knackar kod. Det är ett script som hittade en gammal version, ett exponerat administrationsgränssnitt eller ett lösenord som är återanvänt från ett annat konto.
Ta bort vad som inte behövs
Första steget är att se vad du faktiskt har installerat. Oanvända extensions — komponenter, moduler, plugins — är öppna dörrar även om de inte är aktiva. Inaktiverade tillägg patchas sällan och granskas sällan.
Gå igenom listan. Tar du bort hälften av vad som finns där behöver du underhålla hälften så mycket.
Uppdatera, och gör det regelbundet
Joomla ger ut säkerhetsuppdateringar löpande. Kärnan, extensions, templates — allt räknas. En gammal version av till exempel JCE-editorn eller Akeeba Backup kan räcka för att ge en angripare fotfäste, oavsett hur välskött resten av installationen är.
Sätt ett schema. En gång i månaden är ofta nog för de flesta, men efter en Joomla-säkerhetsrelease bör det ske inom några dagar.
Flytta eller skydda /administrator
Standardadressen för Joomla-admin är din-webb.se/administrator. Det vet alla som kör automatiserade attacker, och de provar den alltid.
Du kan inte flytta den helt (som du kan med WordPress wp-admin), men du kan lägga IP-begränsning på katalogen via .htaccess om du har ett fast kontorets-IP. Alternativt: lägg på tvåfaktorsautentisering — Joomla har det inbyggt sedan version 3.2 och det kostar ingenting att aktivera.
Använd starka och unika lösenord
Uppenbart, men 3–4 av de komprometterade Joomla-sajter jag ser per år har haft lösenord som "Admin2020" eller "Joomla123". Ofta ett lösenord som återanvändes från ett annat konto som läckt i en dataintrångsdump.
HaveIBeenPwned låter dig kolla om en mailadress dykt upp i kända läckor. Gör det. Ändra lösenord som används på fler ställen.
Kör HTTPS och kontrollera dina HTTP-headers
HTTPS är baslinjen — utan det skickas sessionskakor i klartext. Men utöver det finns headers som X-Frame-Options, X-Content-Type-Options och Content-Security-Policy som faktiskt gör skillnad mot XSS och clickjacking.
Du kan testa dina nuvarande headers gratis på securityheaders.com. De flesta Joomla-installationer missar minst ett par av dessa.
Sätt rätt filrättigheter
Joomla-filerna bör inte vara skrivbara av webbservern annat än där det krävs. Kataloger: 755. Filer: 644. Configuration.php: 444 när du inte gör ändringar.
Fel rättigheter — ofta 777 på hela installationen efter en slarvig flytt — låter angripare skriva filer direkt om de tar sig in via ett annat hål.
Håll koll på loggar och felmeddelanden
Joomla visar ibland tekniska felmeddelanden publikt om debug-läget är på. Det ger angripare information om din databasstruktur, filsökvägar och installationskonfiguration. Stäng av debug i produktionsmiljö.
Sätt upp loggövervakning om möjligt. Ovanligt många misslyckade inloggningar mot /administrator är ofta ett tecken på en pågående brute force-attack.
Ta backup — och testa den
Det är inte en säkerhetsåtgärd i sig, men det är det som avgör om ett intrång innebär en jobbig dag eller en katastrof. En backup du aldrig testat är ingen backup — den kan vara korrupt, sakna filer, eller peka på en databas som inte längre stämmer.
Akeeba Backup är standardlösningen för Joomla. Kör schemalagda backups, spara dem utanför webbservern, och återställ till en testmiljö ett par gånger per år för att verifiera att det faktiskt fungerar.
Vad händer om det ändå går fel?
Inget av det här är 100 procent garantier. Nya sårbarheter dyker upp, och ibland hinner angripare före patcharna.
Om din Joomla-webb blivit hackad trots allt — titta på vad du kan göra via vår guide om hackad Joomla. Det viktigaste är att inte bara radera skadlig kod utan att också förstå hur angriparen kom in, annars är risken hög att det händer igen.
Vill du hellre ha någon annan som håller koll löpande finns Joomla supportavtal för det.