Bezpieczeństwo strony Joomla zaczyna się od prostych kroków, które każdy użytkownik może wykonać samodzielnie w panelu administracyjnym i na serwerze. Regularne aktualizacje i silne hasła to podstawa, która chroni przed 90% najpopularniejszych ataków.
Spis treści
Aktualizuj Joomla i wszystkie rozszerzenia
Największym zagrożeniem dla Joomla są stare wersje systemu i dodatków, bo hakerzy znają luki w nieaktualizowanym oprogramowaniu. W panelu administracyjnym sprawdź zakładkę System > Aktualizacje – Joomla sama pokaże dostępne poprawki i pozwoli je zainstalować jednym kliknięciem. Zawsze przed aktualizacją zrób kopię zapasową, bo rzadko, ale zdarza się, że nowa wersja koliduje z jakimś starym rozszerzeniem.
Robiąc to co miesiąc, unikniesz większości exploitów, które boty automatycznie testują na wszystkich stronach Joomla w internecie.
Ustaw silne hasła i dwuskładnikowe logowanie
Domyślne hasło “admin” lub proste kombinacje typu “haslo123” to zaproszenie dla ataków brute-force, gdzie komputer testuje miliony haseł na sekundę. Ustaw hasło dłuższe niż 12 znaków z wielkimi literami, cyframi i znakami specjalnymi, np. “Hydraulik!Warszawa2026#”. Włącz dwuskładnikowe uwierzytelnianie (2FA) w Użytkownicy > Opcje – po podaniu hasła dostaniesz kod SMS lub z aplikacji Google Authenticator.
Zmień też domyślny login administratora z “admin” na coś unikalnego jak “zarzadca_strony” – to znacznie utrudni automatyczne ataki.
Ogranicz dostęp do panelu administracyjnego
Panel pod adresem twojastrona.pl/administrator to pierwszy cel hakerów, więc zmień jego adres lub zabezpiecz hasłem na poziomie serwera. W panelu hostingu włącz ochronę katalogu .htpasswd dla folderu /administrator lub edytuj plik .htaccess, dodając reguły blokujące dostęp spoza Twojego IP. Dodaj pusty plik index.html do folderu administrator, żeby ukryć listę plików.
Te kroki sprawiają, że nawet jeśli ktoś zna adres, nie zobaczy strony logowania bez dodatkowego hasła.
Ustaw prawidłowe uprawnienia plików
Złe uprawnienia na plikach to częsta przyczyna włamań – foldery powinny mieć 755, a pliki 644. W menedżerze plików hostingu lub przez FTP sprawdź configuration.php (ustaw 644) i usuń instalator Joomla z katalogu, jeśli jeszcze tam jest. Nigdy nie ustawiaj 777 na całym serwisie, bo wtedy każdy może zapisywać pliki na Twoim serwerze.
Po każdej zmianie odśwież stronę – jeśli coś nie działa, cofnij uprawnienia.
Wyłącz niepotrzebne funkcje i rozszerzenia
Wyłącz wysyłanie błędów PHP na stronie (w konfiguracji globalnej ustaw Debug na “Wył.”) i ukryj wersję Joomla w kodzie źródłowym. Usuń nieużywane rozszerzenia z Rozszerzenia > Zarządzaj, bo każde z nich to potencjalna luka. Zainstaluj darmowy skaner bezpieczeństwa jak RSFirewall, który monitoruje pliki i blokuje podejrzane IP.
Regularnie przeglądaj logi błędów serwera w panelu hostingu – nietypowe zapytania szybko wskażą problem.
Monitoruj stronę i reaguj szybko
Skonfiguruj automatyczne kopie zapasowe w panelu hostingu i pobieraj je raz w miesiącu na swój komputer. Użyj Google Search Console, żeby śledzić, czy Google nie zablokował strony za malware. Jeśli zauważysz wolniejsze działanie lub dziwne przekierowania, natychmiast zmień wszystkie hasła i sprawdź pliki przez FTP.
W razie podejrzenia włamania przywróć backup sprzed problemu i przeanalizuj logi serwera.