今天，2014年2月11日，第11届安全互联网日将在全球范围内庆祝。

• 当天的主题是：“让我们一起创造一个更好的互联网”
• 这就像你日历上的任何其他星期二，但这是不是应该如此？
• 你的网站到底有多安全？
• 你存储的关于你的客户、客户和用户的个人信息到底有多安全？

令人遗憾的是，当涉及到安全时，任何系统最终都可能被攻破。但是，你可以采取许多小步骤，使通往你数据路径变得更加困难。每一个小障碍都会累积起来，使得黑客攻击你的网站变得足够麻烦，从而转向下一个网站，而不是在你的网站上花费更多时间。

以下是有7个保持你的网站不被攻破的提示！

1. 隐藏管理员文件夹！

为什么要把欢迎垫放在所有人都能找到的地方？默认情况下，Joomla! 会在你简单地在网站名称后面加上 /administrator 时显示一个非常好的登录模块 - 现在黑客需要的只是一个用户名来尝试，比如 "admin"，以及猜测密码。

虽然不能重命名 /administrator 文件夹，但你可以使其更难访问。一种方法是使用 Web Firewall 工具来重定向管理员 URL，如果它没有在末尾添加你网站的独特代码词。

2. 给后门加一把额外的锁！

使用你主机控制面板中找到的“密码保护目录”工具。

你也可以创建自己的 .htpasswd 和 .htaccess 文件，这将阻止直接访问 Joomla! 后端登录模块。

这些工具和文件一起需要一个额外的密码来访问 Joomla! 登录，并可以限制对 IP 地址白名单的访问。

虽然这并不能完全阻止黑客，但它确实增加了另一个障碍，有时足以使他们放弃尝试进一步的攻击。

3. 将用户名从邮箱中移除！

一旦找到Joomla!登录模块，登录需要两个信息。

不要通过在活跃用户数据库中保留“admin”用户名来泄露其中一个。

这就像把两把钥匙中的一把总是留在保险箱里，只留下一个锁可以通过暴力攻击来打开。

重命名或删除管理员账户！

4. 更新你的软件！

PHP开发者社区和Joomla!开发者社区都在努力工作，以大幅提高安全软件，领先于黑客许多步。如果您不安装这些改进，它们将不会有任何效果！

大多数托管公司都在尽自己的职责，强制网站从早于5.3.x版本的PHP迁移。您需要通过在发布后一个月内检查并应用Joomla!安全版本来做自己的部分。只需点击一下！

这也适用于您的扩展！如果您发现检查更新既繁琐又耗时，请使用像myjoomla.com或watchful.li这样的网站监控工具来提醒您应用网站的重要更新。

5. 增强安全性！

Joomla! 3.x系列的最新版本提供了更高水平的密码加密。

随着Joomla! 3.2的发布，CMS引入了一个名为“强密码”的新功能。其目的是通过使用BCrypt增强密码哈希和存储的加密，从而提高Joomla! 3.2用户账户的安全性。

这对试图闯入您网站的人没有影响，但它对保护您网站上存储的客户密码数据有重大影响。

例如，您可能受到保护，防止前员工或黑客复制您的用户数据库，破解密码，并尝试使用相同的用户名和密码对访问其他网站。

这是一个重要的安全功能。

6. 不要重用密码

一种较常见的攻击手段是记录您用于访问一个无关紧要网站的用户名和密码，然后使用相同的用户名和密码信息，或者其轻微变体，来访问您在其他更关键网站上创建的账户。

这就是设置密码保管器和双因素认证方案值得付出的努力的地方。它们允许您使用复杂的密码，而不需要记住，并且需要您“拥有”的某些东西，以及您“知道”的某些东西——这减少了如果有人确实找到您的用户名和密码，他们可能能够访问您网站的机会。

7. 对抗暴力攻击的双重保障

如果一把密码是好的，两把更好——尤其是第二把可以自毁！

自3.2版本以来，Joomla! 配备了一个健壮的双因素安全方案，它接受通过另一个通道发送给您的临时一次性密码，或者通过您持有的名为Yubikey的独特安全令牌。

拥有两个必须匹配的密码，每次尝试或经过一定时间后更改一次，可以完全阻止暴力破解攻击。Joomla! 提供了可用于内容管理系统（CMS）的最严格的安全方案之一。

不要成为那种必须花费时间和金钱来恢复被黑网站的统计数字。今天至少实施这些建议中的一条，庆祝安全日！

作者：Duke Speer；图片收集和编辑：Shirat Goldstein。