關於安全的第一課

From Joomla! Documentation

< Security Checklist
This page is a translated version of the page Security Checklist/Getting Started and the translation is 100% complete.
Other languages:
Security Checklist Joomla CMS
Articles in this series

安全很重要

網路安全是一個快速變遷的挑戰,或者說是威脅。沒有一個標準答案來應付所有的網站,任何一種安全設置都可能在一瞬間變得過時,或是需要變更來增強、持續修改。所有對外公開的網站,都會是駭客持續攻擊的目標。您是否願意,並可以投資時間,不分日夜來管理一個對公眾開放、全球用戶都可以訪問,具備資料庫、能做出互動、有用戶權限控管的網站?您是否有時間以及資源,來對最新的網站安全議題做出回應?以下的 Top 10 愚蠢的系統管理員撇步 是一份搞笑/淒慘的視角來說明哪些行為是錯誤的。別效法這些撇步!依據您的經驗,可以閱讀裡頭的 最愚蠢撇步,來引發您的笑聲,或哭聲。幸運的是,這些內容是建立於真正重要的原則,也可以作為您防禦計畫的基石。以下的核對清單會指引您最佳的 Joomla! 安全性實踐。

要如何閱讀這些文件

  1. 並非所有的技巧都是適用於各種技術水準的操作者。您可以先操作您能了解的項目,再進一步閱讀更進階,您尚未熟練的技巧。
  2. 並非所有的技術都適用於所有的伺服器。如果您使用共享主機,您應該要依照您的寄存服務提供,來完成設定;如果您使用虛擬或是實體伺服器,您可以套用儘可能最多的安全策略。
  3. 並非所有的策略都適用於所有版本的 Joomla!。僅適用於特定版本 Joomla的策略,會在前面標記圖示:  Joomla 1.0 Joomla 1.5 Joomla 1.6 Joomla 1.7 Joomla 2.5 Joomla 3.0 Joomla 3.1

最重要的指南

這些核對清單很長,而且一直成長,因為整個架構很大、很複雜而且一直延展中,但先別氣餒。這裡有些最重要的安全性指引,是適用於所有網站的。請讓它們保護您免於重大災難。
  1. 及早備份,經常備份:設定(以及使用及測試)經常性備份以及還原流程。完善之後,可以確保您還原幾乎是任何可以想像的災難。
  2. 及早更新、經常更新:將 Joomla!以及第三方擴充套件版本更新到最新的穩定版本。這會在第一時間獲得修補以及防禦升級,有助於您的網站免於最新的弱點攻擊。
  3. 使用安全托管主機:使用高品質的網站托管。不要傻到僅僅因為「無限流量」、「無限硬碟空間」、「無限資料庫」等等術語就相信他們。
  4. 善用社群:別忘記真實性。「如果有個交易好到令人不敢相信,」


Joomla 安全性論壇上,最有用的帖子是 安全常見問答。清單中的好些項目有在「常見問答」中詳細解說。


您也許可以閱讀 Joomla! 初學者絕佳指南 ,當中有技巧和小撇步,用容易理解的方式來說明,即使是有經驗的 Joomla! 用戶也可以在其中找到不錯的想法。


在e Joomla! 論壇 中可以掏到一些有價值的智慧金塊。講特定些,就是 Joomla! 3.x Security Forum 以及 Joomla! 2.x Security Forum


要收到所有的 Joomla! 安全性發佈,訂閱Joomla 安全性新聞,有幾種方式可以訂閱:
  1. 自動 Email 通知
  2. RSS feed.

壞消息

  1. 網站安全設定沒有完美的方式,一如經濟學家說的,「沒有免費的午餐」。不要被Joomla! 容易安裝的獲獎特性給愚弄了。在對外公開的網路上,維護網站的安全並非一件容易的事情。要維持足夠的安全性,需要廣泛而持續成長的技巧以及知識,堅持的關注,以及強大的備份、還原流程。
  2. 不是只有一種正確方式,由於多樣化而複雜的現代性網路系統,安全性議題並不能用一個簡單、單一涵蓋所有的解決方案來應對。您(或您信任的某人)一定要學習伺服器架構,來做出有效的安全性決定。高度安全性是一個變遷的話題,今天的專家可能是明天的肉雞。歡迎來到這個遊戲...
  3. 經驗是無可取代的 要加強網站安全,您需要獲得真實的經驗 (其中有些會帶來痛苦),或是從別人的經驗中來學習。如果您未曾投資足夠的時間來學習如何維持網站安全,請確認您可以找到夠資格的人來讓您諮詢。閱讀這一篇 Top 10 最愚蠢的系統管理者小撇步 嘲諷文章,裡頭描述了最典型最實用的範例,說明學習網站安全的方式。

好消息

  1. 既使是初學者,也能夠邁出第一步 用戶論壇常常充斥一堆救命!我被駭客攻擊了 的文章,發表者常常都是沒有做標準化安全檢查的。如果您在網站被攻擊之前,就研讀這些清單項目,您已經邁出第一步了。
  2. 並沒有像看起來那麼難 如果這是您剛開始做的頭幾個網站,安全性問題可能看來很惱人,但您不需要一次處理包山包海的所有項目。請從最安全的項目開始,當您開始熟悉 GNU 工具和技巧,包含 GNU/Linux, Apache, MySQL, SQL, PHP, HTTP, CSS, XML, RSS, TCP/IP, FTP, Git, JavaScript, 以及 Joomla!,您可以增修到您的安全性策略中。
  3. 您可以獲得幫助,當您覺得您的網站被攻擊了, 請不要 在論壇上發表。萬一您剛好受害於未被公開的弱點,或是面對新的攻擊手法,結果您將資訊公開在論壇上,會讓其他的網站成為受害者。請將安全性弱點回報到Joomla! Security Task Force.
Retrieved from "https://docs.sandbox.joomla.org/index.php?title=Security_Checklist/Getting_Started/zh-tw&oldid=780969"