Joomla je moćan i fleksibilan CMS koji pokreće hiljade sajtova širom sveta. Međutim, baš zbog svoje popularnosti često je meta hakera. Ako ne održavate sistem redovno, rizikujete da vaš sajt bude kompromitovan, a podaci izgubljeni.
Zato smo pripremili kompletnu listu od 30 proverenih koraka koji će vaš Joomla sajt učiniti maksimalno bezbednim i otpornim na napade.
1. Redovno ažurirajte Joomla verziju
Najvažniji korak. Joomla stalno objavljuje bezbednosne ispravke. Svaka zastarela verzija otvara rupe kroz koje hakeri lako ulaze. Uvek koristite najnoviju stabilnu verziju i redovno proveravajte obaveštenja o ažuriranjima.
2. Koristite samo proverene ekstenzije
Nikada ne instalirajte pluginove i teme sa nepoznatih sajtova. Koristite samo one sa Joomla Extensions Directory (JED) i proverite da li imaju dobru reputaciju i redovna ažuriranja.
3. Uklonite neaktivne dodatke i teme
Neaktivne komponente su često zaboravljene, ali i dalje predstavljaju bezbednosni rizik. Ako ih ne koristite — obrišite ih.
4. Koristite jake administratorske lozinke
Lozinka poput „admin123“ je otvorena vrata za napad. Koristite kombinaciju velikih i malih slova, brojeva i specijalnih znakova. Preporučljivo je koristiti i menadžer lozinki.
5. Promenite administratorski URL
Podrazumevani admin link (/administrator) je poznat svima. Uz pomoć dodatka kao što je AdminExile, možete promeniti URL u nešto poput /secure-login.
6. Ograničite broj pokušaja prijave
Koristite ekstenziju koja blokira IP adrese nakon nekoliko neuspelih pokušaja logovanja. Na taj način sprečavate „brute-force“ napade.
7. Koristite dvofaktorsku autentifikaciju (2FA)
Joomla nudi ugrađenu opciju za 2FA. Aktivirajte je i dodajte dodatni sloj zaštite preko Google Authenticator-a.
8. Redovno pravite sigurnosne kopije
Koristite alat kao što je Akeeba Backup da automatski pravi dnevne ili nedeljne bekape. Uvek čuvajte kopije i van servera (npr. Google Drive ili Dropbox).
9. Postavite HTTPS (SSL sertifikat)
SSL enkripcija štiti komunikaciju između posetioca i servera. Danas se besplatan SSL može dobiti putem Let’s Encrypt, pa nema izgovora da ga ne koristite.
10. Ograničite pristup administratorskom panelu
Dozvolite pristup samo određenim IP adresama ili kreirajte .htaccess zaštitu na /administrator direktorijumu.
11. Redovno proveravajte logove
Logovi sadrže informacije o pokušajima pristupa i greškama. Redovno ih analizirajte jer mogu otkriti rane znakove napada.
12. Koristite zaštitni firewall za Joomla
Postavite Web Application Firewall (WAF) kao što je RSFirewall! ili Admin Tools Pro koji automatski blokiraju sumnjive aktivnosti.
13. Sakrijte verziju Joomla sistema
Nemojte prikazivati tačnu verziju Joomle u meta tagovima — hakeri koriste te informacije da napadnu poznate ranjivosti.
14. Redovno čistite keš i privremene fajlove
Stari keš fajlovi mogu zadržavati osetljive podatke. Očistite ih kroz administratorski panel bar jednom mesečno.
15. Postavite pravilne dozvole na fajlove i foldere
Za foldere koristite 755, a za fajlove 644 dozvole. Nikada ne koristite 777, jer to omogućava svima da pišu po sistemu.
16. Onemogućite registraciju korisnika ako nije potrebna
Ako vaš sajt ne zahteva da se korisnici registruju, isključite opciju registracije i smanjite mogućnost zloupotrebe.
17. Redovno proveravajte korisničke naloge
Pregledajte listu korisnika i obrišite sve koji nisu aktivni ili nepoznati.
18. Koristite složene nazive baze i tabela
Kada kreirate bazu, izbegavajte standardne prefikse kao jos_. Koristite nasumične kombinacije — npr. ms34d_.
19. Redovno menjajte administratorsku lozinku
Promenite lozinku barem jednom u 2–3 meseca, posebno ako više osoba ima pristup panelu.
20. Isključite prikaz grešaka (error reporting)
Greške mogu otkriti putanje fajlova i detalje o serveru. U Global Configuration → Server → Error Reporting postavite na „None“.
21. Ograničite upload fajlova
Dozvolite samo određene tipove fajlova i ograničite maksimalnu veličinu. Time sprečavate upload malicioznih skripti.
22. Koristite siguran hosting
Birajte hosting provajdere koji imaju firewall, antivirus zaštitu i redovne sigurnosne provere. Jeftin hosting često znači i slabiju zaštitu.
23. Ažurirajte PHP verziju
Proverite da server koristi stabilnu verziju PHP-a (8.1+). Starije verzije su često ranjive.
24. Sakrijte imena autora i korisničke ID-eve
Kroz URL-ove i meta tagove hakeri mogu identifikovati korisnike. Koristite SEO ekstenzije koje to prikrivaju.
25. Onemogućite direktan pristup PHP fajlovima
Dodajte u .htaccess zabranu pristupa svim PHP fajlovima iz određenih foldera (npr. /includes/ i /libraries/).
26. Koristite CAPTCHA na formama
Postavite reCAPTCHA ili hCaptcha na sve kontakt forme i registracije kako biste sprečili spam botove.
27. Isključite indeksiranje direktorijuma
Dodajte Options -Indexes u .htaccess da sprečite listanje fajlova na serveru.
28. Proveravajte sajt pomoću bezbednosnih skenera
Koristite alate poput Sucuri SiteCheck ili VirusTotal da redovno proveravate da li je sajt kompromitovan.
29. Edukujte svoj tim
Bezbednost nije samo tehničko pitanje. Naučite sve koji imaju pristup sajtu kako da prepoznaju sumnjive mejlove, phishing pokušaje i lažne linkove.
30. Napravite plan za hitne situacije
Bez obzira na sve mere, napad je uvek moguć. Pripremite plan: gde su bekapi, ko reaguje i kako se sajt vraća u funkciju.
Bezbednost Joomla sajta nije jednokratan zadatak, već stalni proces.
Ako se svih ovih 30 koraka redovno primenjuje, šanse da dođe do kompromitacije sistema biće minimalne.
Ukoliko želite da naš tim proveri bezbednost vašeg Joomla sajta, izvrši analizu i implementira sve ove korake, kontaktirajte nas putem stranice Kontaktirajte nas – pružamo kompletnu Joomla bezbednosnu optimizaciju i održavanje sajta.