我将使用 Joomla 创建一个新网站!3.
潜在地,这个网站会通过广告给我一些钱,但我有点担心可以采取什么措施来攻击它。我说一点是因为我不希望获得巨额收入,而且我不认为有人会试图贿赂我让他们控制我的网站(就像发生在 @N twitter 帐户的所有者身上一样),但在交易时戴着你永远不知道的黑帽子。
我不需要提供公开身份验证或让我以外的人在本网站上输入数据(我可能会通过邮件接受输入并在检查其内容后手动复制粘贴,因为我希望写作质量良好且一致与网站的恢复)。
我将使用免费的 Joomla!主题 - 标准安装中包含的基本主题可能会很好。
作为一个对 Internet 工作原理略知一二的安全菜鸟(假设刚好能理解 Heartbleed),我是否绝对需要防范任何威胁?
我应该为我的项目聘请专业开发人员,还是我应该做一些事情来合理地保护我的网站(使黑客不值得付出努力),我可以在 8/5 的一个月内了解这些事情工人的空闲时间?
使用Joomla等 3rd 方应用程序时要做的最重要的事情!是始终使它们保持最新状态。大多数攻击针对的是很久以前修补的漏洞,并且只会攻击那些忽视更新的人。因此,在您的日历中创建一个定期提醒以检查是否有更新可用于 Joomla(以及您正在运行的任何主题和插件)并安装它。更新 Joomla 非常简单,因为它可以在管理界面中完成。您不需要任何高级 IT 技能即可做到这一点。但定期这样做非常重要!
警惕任何长时间未发布任何更新的插件、主题、扩展和其他插件。这意味着该插件是完美的并且没有安全问题,或者开发人员根本不关心发布任何更新来修复安全漏洞。但后一种情况的可能性要大得多。您还应该定期检查易受攻击的扩展列表,并避免其中列出的所有内容。
有关更多信息,请参阅Joomla wiki 上的安全和性能常见问题解答。
这实际上不仅适用于 Joomla 之类的应用程序,还适用于您的整个软件堆栈,从操作系统到网络服务器到 PHP 到 MYSQL。操作系统和网络服务器也需要安全配置。但是,当您使用托管解决方案时,提供商可能会处理除您自己安装的应用程序之外的所有事情,因此您可能不必担心这一点。
但是,当您租用虚拟服务器时,情况就不同了,它为您提供了一个裸操作系统(或什至没有),并希望您自己设置一切。在这种情况下,您有责任更新所有内容。当您的项目需要此功能时,您应该考虑雇用知道如何正确强化服务器、知道哪些组件需要更新以及如何完成的人。但是您要找的人不是软件开发人员。是系统管理员。
这是非常主观的,答案是一个问题,您对您的网站有多重视?让专业人士开发您的网站并不意味着它是安全的,专业人士开发的网站也有大量违规行为。
作为开发人员,我会说如果您正在寻找质量,开发人员会更好,是的,安全性也可能更好,但是在开发网站时可以采取很多步骤来确保网站安全。
如果您遵循 OWASP 最常见的 10 个漏洞并阻止它们,那么您会比 Internet 上的许多小型网站做得更好,您的大部分问题将与 SSL 和注入有关,例如(但不限于):
在我看来,这 5 个是任何 Web 应用程序最糟糕的噩梦,但也很容易不让发生!
概括
您需要安全专家吗?它会有所帮助,如果你认为它值得,那么是的,你这样做,如果你不认为它值得,那么不,你不这样做。
您需要专业的开发人员吗?不,但为了质量和合理保证是的。
你能保护自己吗?是的,当然,至少在某种程度上是这样。
你能在时间限制内学到足够的东西吗?没问题。
显然,这仅与 Web 应用程序有关,与托管它的服务器无关。