Важным аспектом для безопасного функционирования сайта является правильная установка прав группам пользователей. Группы пользователей имеют четкую иерархию. Стандартные группы по убыванию прав:

• Администраторы
  
• Модераторы
  
• Друзья/Проверенные
  
• Пользователи
  
• Гости
  
• Заблокированные

Самые большие права и полномочия имеет группа Администраторы. Самые низкие права имеет группа Гости, группа Заблокированные не имеет прав, все функции сайта отключены для этой группы. Первичные настройки по-умолчанию, которые задаются при создании сайта, дают возможность комфортно и безопасно взаимодействовать пользователям с сайтом. По умолчанию некоторые настройки стандартных групп пользователей изменить нельзя. Сделано это по соображениям безопасности и для защиты от спама.
По умолчанию вновь зарегистрированные пользователи попадают в группу Пользователи. Поэтому эта группа является самой многочисленной на сайте и установка прав для этой группы имеет большое значение.

Самыми уязвимыми местами на сайте в плане спама и распространения нежелательных ссылок - это комментарии, гостевая книга, мини-чат и подписи пользователей. Поэтому для приведённых пунктов настройки рекомендуется снимать галочки на следующие пункты у группы Пользователи:

• Использовать ББ-коды в подписи - пользователи
  
• Разрешить ББ-коды - комментарии
  
• Разрешить ББ-коды и Автоматически делать ссылками www и email адреса - гостевая книга
  
• Разрешить ББ-коды и Автоматически делать ссылками www и email адреса - мини-чат (по умолчанию галочка снята, рекомендуется не ставить галочку)

Этими мерами можно уменьшить количество спама на сайте, а так же защититься от довольно распространённой неприятности, когда с помощью ББ-кодов ставят картинку в мини-чат или комментарии ссылку генерирующую всплывающее окно с запросом пароля.
В настройках Пользователи не стоит подключать функцию Использовать ББ-коды [URL] и [IMG] (по умолчанию галочка снята). Это потенциально опасные ББ-коды.
В настройках форума можно оставить Разрешить ББ-коды для пользователей, но с отключённой Использовать ББ-коды [URL] и [IMG], таким образом панель ББ-кодов у пользователей будет, но не будет [URL] и [IMG].
Так же с осторожностью нужно давать права на Изменять максимальные размеры загружаемых изображений, Загружать файлы на сервер при добавлении материалов, а так же давать права на использование граффити редактора и заливку собственных аватаров на сайт. Это может существенно сэкономить дисковое пространство сайта

Какие права не стоит давать никому кроме главного администратора сайта.

Первое и самое важное - это то, что администратор сайтом со всеми правами (без ограничений) должен быть только один! Если предполагается, что на сайте будут ещё администраторы и модераторы, то нужно давать им несколько урезанные права. Если группу модераторов можно настроить отдельно, то вторую группы Администраторы лучше создать и там настроить права отличные от прав главного администратора. При создании группы Администраторы, ей присвоится id отличный от системной группы по умолчанию. ID главного администратора (группа по умолчанию) 4.

А теперь список прав, которые нельзя давать остальным группам:

• Редактировать дизайн сайта (рекомендуется)
  
• Использование файлового менеджера (категорически нельзя)
  
• Доступ к панели инструментов администратора (категорически не рекомендуется)
  
• Удалять всех пользователей (категорически не рекомендуется)
  
• Перемещать пользователей в другие группы (категорически не рекомендуется)
  
• Добавлять страницы сайта (категорически нельзя)
  
• Редактировать информацию на страницах сайта (категорически не рекомендуется)
  
• Удалять страницы сайта (категорически нельзя)
  
• Так же стоит подумать о том, давать ли права на удаление всех материалов в модулях
  
• Особенно стоит подумать о том давать ли права на использование HTML тегов при добавлении материалов и на форуме. Разрешать HTML теги нужно с большой осторожностью так как это потенциально опасно!

Защита от спама

Не показывать код безопасности - эта настройка снимет код безопасности для групп пользователей, кроме группы Пользователи (группа по умолчанию) и группы Гости. В модуле мини-чат есть отдельная настройка на отключение кода безопасности для группы Пользователи. Код безопасности является если не панацеей от автоспама, то довольно эффективным барьером.
Препятствием к спаму могут стать следующие настройки модуля Пользователи (эффективно для сайтов с локальной авторизацией):
Блокировать повторные e-mail адреса:
Запрещать активность пользователей с неподтвержденными e-mail адресами:

Полезно использовать одну из функций :
Использовать функцию преобразования внешних ссылок с помощью сервиса u.to:
или
Проксировать все внешние ссылки в добавляемых материалах:
Подключить функции можно ПУ - Редактор страниц - Общие настройки

Для защиты от спама в репутацию можно поставить тайм-аут на повторное изменение репутации. Выставить настройку можно ПУ - Пользователи - Настройка модуля - Включить функцию "Репутация пользователя": - Таймаут на повторное изменение репутации - минимум один день.

Самой эффективной защитой от спама на сайте является премодерация выводимых сообщений. Премодерацию можно установить как на добавляемые материалы, так и на добавляемые пользователями сообщения в мини-чат, в гостевую книгу, а так же на комментарии.

Набор команды сайта

Самое главное - это не набирайте в администраторы и в модераторы сайта незнакомых вам людей.
Для маленьких сайтов с посещаемостью менее 500 уников в сутки не нужно набирать огромный административный состав. Вполне достаточно одного главного администратора и одного-двух модераторов.
Никогда не "расплачивайтесь" административным должностями на сайте за какие-либо оказанные вам услуги.
Набор администраторов и модераторов должен быть глубоко осознанным и осмысленным, и должен быть продиктован только необходимостью.
При наборе "журналистов" "постеров" старайтесь в созданных для них группах (если нужно создание группы) не давать права на использование HTML тегов. Придерживайтесь настроек для группы пользователи/проверенные. Предупреждайте всех о запрете использования грабберов и других программ для автопостинга