Das Joomla-Entwicklerteam schreibt das Thema Sicherheit sehr groß und reagiert immer sehr schnell auf eventuelle Lücken. Trotzdem gibt es eine Maßnahme, die jedem Joomla-Administrator zu empfehlen ist (das gleiche gilt auch für andere Software wie z.B. phpMyAdmin, phpBB, AWStats usw.):

• Absichern des Verzeichnisses /administrator durch eine .htaccess-Datei (Voraussetzung: Als Webserver wird Apache benutzt).

Dadurch ist selbst, wenn einmal eine Sicherheitslücke auftauchen sollte, zumindest der Zugang für den Administrator mit einem weiteren Passwortschutz belegt.

• PHP sollte unbedingt in der Einstellung register_globals OFF betrieben werden. Viele der gängigen Crackversuche basieren auf dem Einschleusen bösartigen Codes in globale Variablen. Mit dem Ausschalten dieser Einstellung werden sehr viele Schädlinge bereits ausgehebelt.
  
  
• Darüber hinaus sollte in der Datei globals.php zu Beginn die Zeile
  define( 'RG_EMULATION', 0 );
  stehen, damit Joomla auch intern keine globalen Variablen verwendet.
  
  
• Es existieren sehr viele Zusatzkomponenten für Joomla. Etliche davon sind leider äußerst schlampig programmiert. Vor dem Einsatz einer solchen Extension sollte daher eine Recherche stehen, ob bei der betreffenden Komponente Sicherheitslücken bekannt sind und ab welcher Version sie ggf. behoben sind. Hierbei sollte es ausreichen, auf http://forum.joomla.org und http://www.joomlaportal.de nach dem Namen der Extension zu suchen.