去年我参加了几个 Joomla! 日和开源活动。在这些活动中，每次都会提到的一个话题就是 Joomla! 安全。查看网络上的报告和关于安全问题的报告，可以说网络安全总体上是一个问题。在我们的论坛和公开报告中，可以找到大量关于安全相关话题的报道，毫无疑问，在使用 Joomla! 时也需要关心安全。

在这篇博客中，我不想讨论 Joomla! 是否安全。这个问题的答案取决于你为创建一个安全的服务器和安全的 Joomla! 安装所采取的预防措施。如果你对一个好的教程感兴趣，我建议你查看一下 Joomla! 安全清单。考虑到你的网站已经正确设置并采取了所有安全预防措施，那么保持网站更新的最佳实践是什么？我曾在 瑞士 Joomla! 日 与某人进行了长时间讨论，他关于更新的逻辑是等待一段时间（如果我没记错的话是两个月）来等待是否有关于更新的问题报告。尽管我可以想象你不急于成为早期采用者的环境，但当例如 Joomla! 核心代码的高级别安全漏洞或你使用的扩展更新发布时，这可能会是一个相当冒险的策略。

在您的复杂站点中，由于有很多紧密集成的扩展，更新过程可能会相当具有挑战性，因此很难给出一个适用于您情况的具体清单。重要的是要认识到，在维护版本发布期间，我们不会更改CMS/应用框架的API，并且我们努力与之前的维护版本完全向后兼容。维护版本致力于稳定性、小的增强功能、错误和安全修复以及有限的新功能（完整的版本策略和发布版本说明可在文档wiki中找到Version Strategy）。

维护版本发布时有没有一般性的经验法则？再次强调，没有确切的答案。让我们从一些场景开始。当一个维护版本发布并包含一个重大安全问题时（例如Joomla! 1.5.7），我建议您高度警惕，并尽快升级您的网站。当您网站上使用的一个扩展发布了一个高级别安全补丁时，情况也是如此。
当有一个正常的维护版本发布时（例如1.5.8），我也建议尽快升级。最新版本的软件包含错误修复，很可能会修复（小的）安全漏洞。为了尽可能顺利地进行，我建议您总是在测试环境中测试升级。当您找到了一个想要使用的新扩展时，这也是一个好习惯。您会惊讶于有多少人期望更新或扩展能够在不测试的情况下正常工作。

我通常会尽快实施维护版本，并且99次中有100次都不会有任何问题。人们只是等待1.5.7或1.5.8证明是好的做法是错误的。我花了很多时间来验证我使用的扩展，如果它们没有正确使用1.5 API或没有得到积极维护，我就不会使用它们。我还不会使用那些使用奇怪的补丁（或遗留模式）来使事情工作的扩展。但是，除了我信任Joomla!错误小组和开发团队创建的补丁之外，我总是在单独的环境中测试之后再在实时网站上实施...但在我们对实时网站进行适当备份之后。更新逻辑将是即将推出的Joomla! 1.6中一个有趣的挑战。