很多人對Open Source的東西都比較容易有安全上的疑慮，會覺得它們不安全。

那...封閉性的系統，真的就安全嗎？

其實系統只要使用者多，就會有攻擊者出現。除了興趣、挑戰，也有商業的利益。如果系統沒有人使用，我想駭客對它們也不會感興趣。

系統是人寫的，只要是程式，就會有漏洞，也會被攻擊。

如果你使用的網站系統很熱門、有很多人使用，而且提供對外服務，那麼就需要考慮到安全的問題。我們能夠做的，就是讓它更安全。

除了網站的安全，伺服器的安全也很重要。

網站的安全

。Joomla版本更新

Joomla會不定時釋出更新，這些更新可以保護你的網站安全。

。擴充套件更新

因為網站功能的需要，大部份都會需要安裝第三方的擴充套件。但是這些擴充套件，安全嗎？

比較知名的開發廠商，會不定時釋出更新。這些更新除了新增功能之外，也會修正套件的錯誤與安全漏洞，建議更新，確保網站安全。

網路上有一些網站，提供付費套件讓你免費下載，有時可能還會覺得挖到寶了。但是這些套件不一定是安全的，有可能會被植入惡意程式或廣告腳本。下載來使用，可能會有木馬屠城的情景出現...謹慎小心可以常保平安。

。administrator後台登入保護

只要是使用Joomla的人都知道，管理後台登入的地方是administrator，所以保護登入的路徑，也是一件很重要的事。

你可以使用AskMyAdmin或AdminExile這類的外掛程式，來保護登入的位址。另外，網站安全的軟體，像是Akeeba Admin Tools也有提供一樣的保護功能。

。較強的密碼設定

做過MIS或網站專案的人都知道，很多客戶為了方便，都很喜歡使用簡單的密碼。而這些密碼，都是很容易猜得出來的。如果使用程式來跑，那就更快了。

所以，網站會員、管理者和資料庫密碼的設定就很重要了。建議取一個比較複雜的密碼，但這密碼是有規則的，可以方便自己記憶。

。不要使用admin作為管理者或會員帳號

admin帳號全世界都知道，攻擊的程式也不會放過這個名稱，所以就不要再使用了。

。使用簡短網址

在全站設定啟用搜尋引擎網址友善化(Search Engine Friendly URLs)設定，並使用網址重寫(URL Rewriting)，這樣就比較不會暴露使用套件的類型，搜尋引擎也比較喜歡這類的簡短網址。

除了以上這些方式，也可以使用網站安全的套件。這類型的安全套件，雖然有提供免費版，但是完整功能需要付費。

以下是我們比較推薦的安全套件：

1. Akeeba Admin Tools Pro

Admin Tools 設定稍微複雜一些，但功能比較強。不過，看過它的影片或文件之後，其實是很容易上手的。如果安裝好之後，要直接使用，可能會不知道從哪裡開始。

2. RSFirewall!

這個設定就比較簡單一點了，自動設定好之後，幾乎就可以使用了。

除了以上的套件，也有些免費的套件。不過，免費套件大部份都有功能上的限制，大家可以視自己的需要來評估選擇。

補充最重要的一點，就是“備份”。有網站就千萬別忘了備份，因為所有的辛苦和收穫就在這個備份裡面。

對於網站管理者來說，備份非常重要，有備份就有機會還原。備份在本機也是會有風險，因為存放在戰場難免會遭殃，所以異地備份一樣要做，保留一份網站備份，把它放在別的地方。

伺服器的安全

大部份人都會租用虛擬主機，所以伺服器安全就比較屬於主機商的事情。所以對我們來說，選擇專業或可信任的主機廠商也是很重要的。

如果是自己安裝的伺服器，盡可能要設定在生產模式(Production Mode)，不要使用AMP預設的開發模式(Development Mode)。關閉不必要的訊息及設定，移除不需要的套件，可以讓你的伺服器更安全。

關於網站安全的主題有很多，我們將會有專欄文章和課程來討論這個網站安全的問題。