在搭建自己的 Joomla! 站点时,考虑其安全性是很重要的。Joomla! 本身相对安全,但您总是可能会遭受黑客攻击。这主要是因为配置错误、易受攻击的第三方扩展和弱密码。为了帮助您保护 Joomla! 站点的安全,阅读《Joomla! 网站安全》这本书是一个不错的开始。这本书由 Tom Canavan 编写,共有 248 页,于 2008 年 10 月出版。这本书涵盖了 Joomla! 1.0.x 和 1.5.x。在这篇评论中,您可以了解更多关于这本书的信息。
作者将书籍分为10 个章节,并在书末包括了一个非常有用的附录。第一章被称为让我们开始吧。它讨论了如何选择正确的托管公司,如何设置服务器以获得最佳的安全环境,以及许多其他主题。它涵盖了很多不同的话题,在我看来有点过多。大多数主题稍后会更详细地介绍。如果能在关于选择哪个版本(1.0 或 1.5)的更大主题上,关联到安全问题,将会更好。对于一本在 2008 年 9 月出版的书,距离 1.5.0 稳定版本发布八个月后,书中没有提及并解释 1.5.x 中的重要安全改进,这是令人遗憾的。例如,新的 FTP 层具有巨大的安全优势。当 FTP 层激活时,网站所有者不再需要处理 CHMOD 权限。所有文件都可以设置为不可写,您仍然能够安装扩展和上传媒体。
下一章告诉读者如何搭建测试和开发环境。这确实是基于商业的。对于大多数Joomla!用户来说,劳动率、每小时停机成本以及像MTTF(平均修复时间)这样的术语并没有任何意义。了解“大人物”是如何做的总是好事,但并不真正需要将其应用到自己的情况中。这并不意味着你的网站,无论多小,都不需要测试环境!
在第三章中,你可以阅读关于非常强大且有用的诊断工具的内容。这些工具都解释得非常清晰和彻底。遗憾的是,它们都是基于1.0.x版本(尽管Joomla Tools Suite可以在1.5版本的传统模式下工作),并没有讨论特定的1.5.x原生动工具,例如JoomSuite Defender。
第四章解释了什么是漏洞,为什么它们存在以及如何防止它们。尽管不可能在一个章节中解释一切,但作者很好地选择了讨论和不讨论的内容。这是一个关于漏洞需要了解的最重要部分的良好描述,并伴有清晰的示例。
第五章解释了可能发生在你的Joomla!网站上的两种攻击:SQL注入和远程文件包含。SQL注入解释得非常好,有具体且清晰的示例。远程文件包含部分并没有真正清晰的示例。我完全同意,没有任何网站或代码能在1.5.x版本中100%安全。然而,如果你保持更新到最新版本,并在补丁发布后立即升级(特别是如果解决了安全漏洞),那么仅因为Joomla!核心而被黑客攻击的风险非常非常小。根据我作为Joomla!错误小组会员的经验,我注意到大多数因为Joomla!核心的安全漏洞而被攻击的网站,都是在社区发布了(安全)补丁后被攻击的。
第六章讲述了“坏人”是如何做的,教会读者“坏人”如何收集信息甚至入侵你的网站。了解这些信息非常有用,而且几乎令人害怕 crackers可以从你的网站上获取多少信息。
我认为最有用的章节是关于php.ini和.htaccess的第七章。这两个文件示例都非常清晰。它们对于每个(PHP)网站都有用,无论是Joomla!网站还是其他网站。
第八章主要教你如何阅读日志文件。这项技能非常有用。HTTP 1.1的状态代码也很有用。在章节的最后,介绍了一些用于分析日志文件的工具。同样遗憾的是没有讨论1.5版本的工具。
第九章讲述了如何为你的Joomla!网站设置SSL。这是一个简短的章节,只是对于那些真正想使用SSL的人的起点。作者的决定非常好:几乎没有人会在他们的正常Joomla!网站上使用SSL,有兴趣的人可以通过提供的有趣链接找到更多关于为他们的网站设置SSL的信息。
最后一章是关于事件管理的。实际上是第二章关于测试和开发环境的延续。这个章节对大公司尤其有用。
附录,或者说所谓的“安全手册”非常有用。书中的大部分内容都集中在这里,包括所有实用的检查表、日常操作、有用的代码和工具。一个建议:我会在日常操作列表中添加Joomla!的新安全馈送,http://feeds.joomla.org/JoomlaSecurityNews。
总之,这本书非常值得一读并作为参考书保存。我本来期望书中关于1.5.x版本的内容会更多一些。看起来这本书最初是为1.0.x版本编写的,后来才添加了一些关于1.5.x版本的信息。或者,这本书的作者对1.5.x版本并不十分熟悉,更喜欢坚持使用“老好”的版本。
如果你是一家大公司,希望确保你的网站安全,我强烈建议他们购买这本书。对于对安全性感兴趣的独立网站所有者来说,这本书也很有用,尽管他们需要记住书中的某些部分在他们的情境中并不适用。
你可以在http://www.packtpub.com/joomla-web-security-guide/book以£22.49的价格购买这本书。
