Всегда найдется человек, который захочет найти брешь в защите вашего сайта и , зачастую, воспользоваться ею. Редко встречаются такие случаи , хотя и встречаются, когда Вас поставят в известность о найденной уязвимости. Реакция на такую новость у администратора сайта тоже бывает разной от благодарности до грубого ответа. Не станем размышлять чем руководствуются эти люди, которых принято называть хакерами, когда пытаются заполучить доступ к вашему сайту.
Основные методы безопасности Joomla
Защита от прямого доступа к файлам
Для этого в Joomla имеется переменная jexec . В любом файле Фреймворка Joomla должна стоять в начале проверка если jexec не определен то код не должен выполняться. Так же для этого в каждой папке располагают файл index.html.
Защита от подключения удаленных файлов
Для этого злоумышленник попытается вставить скрипт или код в URL.
Защита от SQL - инъекций
Тщательно проверяйте все входные данные от $_POST, $_GET - запросов, а так же со всех полей, где возможен ввод данных пользователем. Исключайте спец. символы, теги. В Joomla для этого есть strip_tags - аналог htmlspecialchars.
Межсайтовый скриптинг XSS
Тут вновь может прийти проверка теми же регулярными выражениями входных данных с $_POST, $_GET.
Проверка прав пользователей
У Joomla для этого имеется собственная система безопасности ACL (access control list). С ней вы запросто ограничите права групп пользователей.
Общие рекомендации безопасности
1. Никогда не просматривайте другие сайты с того же браузера, в котором вы авторизировались в админ. панели Joomla.
2. По-возможности всегда выходите с админки сайта.
3. Когда нет необходимости не оставайтесь впустую авторизированным в административной части сайта.
4. перед тем как ввести логин и пароль к вашему сайту - убедитесь в корректности адреса в адресной строке браузера.
5. Не сохраняйте пароли в браузере.
6. Не забывайте проверять права файлов папок на сервере.