Bugun de sizlere joomla tabanli web sitesini guvenligi nasil saglanir onlari anlatacagim.
Joomla sitenizin güvenliğini sağlamak için yapabileceğiniz bazı temel noktalara değineceğim. Joomla CMS (içerik yönetim sistemi) aslında yeterince güvenlik sağlayacak düzeydedir. Fakat bilişim dünyasındaki hacker vb kişilerin işleri de bu güvenlikleri aşmak olduğu için, her türlü güvenlik önlemini delecek şekilde çalışmaktadırlar. Bunun yanında Joomla sadece bize geldiği hali ile değil de, "3. parti" dediğimiz sonradan eklenen ve yüklenen eklentilerle de tehditlere karşı korunmasız hale gelebilir. İşte bu makalemizde bu tip zaaflara ve tehditlere karşı alabileceğimiz genel tedbirlerden bahsedeceğim.
Ama unutmamak gerekir ki hiç bir sistem 100% güvenilir değildir, delinebilir, aşılabilir.
*Joomla Sürümünüzü Güncel Tutun
Joomla sitemizin güvenliği konusunda alabileceğimiz ilk ve en önemli tedbir, sürümümüzü güncel tutmanızdır. Yukarda da bahsettiğimiz gibi, geliştriciler en iyi ve en güvenilir sürümleri yayınlarlar. Fakat hacker vb uzmanlar ise bu güvenilir sanılan sistemlerin açıklarını bulurlar, siz kapattıkça yenisini açarlar. İşte bu nedenle güvenlik açıkları bulundukça geliştiriciler bu açıkların kapatıldığı yeni sürümler yayınlarlar. İşte bundan dolayı güvenlik konusunda en önemli ve ilk yöntem Joomla sürümünüzü güncel tutmanızdır.
*Bilgisayarınızı ve İçeriklerini Virüslerden Koruyun
Joomla site sahibi biri iseniz (ki bu makaleyi okuduğuna göre öylesiniz veya olacaksınız) bilirsiniz ki sitenizi yönettiğiniz bilgisayar(lar) ile bolca FTP ile veya Admin paneli ile bağlanırsınız. Dosyalar (resimler, videolar vb) yükleyip, indirirsiniz. Bu durumda bilgisayarınızda bulunan veya sonradan bulaşmış olan virüsler, iframe'ler FTP programları ile veya bu katardığınız dosyalar ile hostunuza bulaşabilir. Bu durum siteniz için çok tehlikelidir, çünkü hem hosttaki diğer sitelere bu virüsler bulaşabilir, hem site ziyaretçilerinize bulaşabilir, en kötüsü de siteniz Google vb popüler arama motorları tarafından saldırgan olarak tanımlanabilir. Bu durumda sitenizin ziyaretçilerinizin en iyi ihtimalle %90'ınını kaybetmeye hazır olun.
Bu yüzden devamlı olarak bilgisayarınızda (ücretli veya ücretsiz) güvenilir ve sağlam antivirüs porgramları bulundurun. Bu programlarla periyodik olarak taramalar yapın. Özellikle sitenize yükleyeceğiniz dosyalar üzerinde virüs taraması yapın.
*Güvenilir Eklentileri Kullanın ve Güncel Tutun
Makalemizin başında da bahsettiğimiz gibi Joomla ilk kurulumunda her ne kadar güvenli olursa olsun, sonradan yüklediğimiz ve 3. parti olarak tabir ettiğimiz eklentiler, güvenlik açıklarının oluşmasına neden olabilmektedir. Zaten Joomla sitesi hack'lenen kişilerin sistemleri incelendiğinde, Joomla'dan kaynaklı değil de, eklentilerden kaynaklı zarara uğradığı görülmektedir. Bütün bu saydığımız nedenlerden dolayı, güvenilir olmayan, çok bilinmeyen, warez (ücretli olup da, korsan olarak kullanılan), güncel olmayan eklentileri kullanmamalısınız. Kullandığımız eklentilerin geliştiricilerinin sitelerini düzenli olarak takip edip, güncellemeleri kontrol etmelisiniz.
Admin Kullanıcı Adı ve Şifreniz
Joomla ilk kurulduğunda site yöneticisi olarak kullanıcı adınız Admin olarak belirlenir. Bu varsayılan olarak ilk kurulan tüm Joomla sitelerde böyledir. Fakat bu durum aynı zamanda büyük bir güvenlik açığına neden olabilmektedir. Bu yüzden Joomla kurulumunuzu yaptıktan sonra kullanıcı adınızı değiştirin. Bunun için Kullanıcı Yöneticisi'ni kullanabilirsiniz.
Belirli zaman aralıklarında admin şifrenizi değiştirmenizde de fayda vardır.
jSecure Eklentisi İle Admin Giriş Adresinizi Özelleştirin
Dünyadaki bütün Joomla siteler varsayılan olarak aynı url eklentisi ile admin paneline giriş yaparlar. Yani www.siteadi.com/administratoryazarak Joomla tabanlı bütün sitelerin admin panel giriş sayfasına ulaşabilirsiniz. Bu durum beraberinde bazı güvenlik açıklarını ve tehditleri de getirebilmektedir. Bu yüzden jSecure adlı plugin'i kullanarak admin giriş sayfanızın adresini sadece sizin bileceğiniz şekilde özelleştirebilirsiniz.
Güvenilir ve Kaliteli SEF Eklentisi Kullanın
Konu hakkında bilgiye sahip olanlarınız belki de bu işlemin burada niçin yer aldığını soracak olabilir. Çünkü SEF eklentileri sitemizdeki URL'leri (adresleri) arama motorlarının daha iyi algılayıp, daha iyi index'leyeceği şekilde düzenleyen ve çeviren eklentilerdir. Direkt olarak güvenlikle alakaları yoktur.
Fakat biraz derinlemesine inceleyince aslında güvenlik konusunda da çok faydaları olabilir.
Joomla'yı ilk kurduğumuzda, sitemizdeki linkler http://www.siteadi.com/index.php?opt...ents&Itemid=57 örneğinde olduğu gibi görünmektedir. Bu linke baktığımızda ise sitede hangi bileşenin veya eklentinin kullanıldığını anlayabiliriz. Mesela bu verdiğim linkte yer alan com_chronocomments ibaresi, sitede Chrono Comment bileşenin kullanıldığını göstermektedir. Bu bileşen ve açıkları hakkında bilgiye sahip olan bir kişi ise kolayca siteniz için tehdit oluşturabilir.
Linklerimiz, sadece bileşenler için değil, sitemizin Joomla tabanlı olduğu hakkında da bilgi verir. Çünkü Joomla sistemi belirli bir link formülizasyonu kullanmaktadır. Joomla'ya aşina olan birisi bu linklere bakarak kolayca sitenizi tanımlayabilir.
İşte arama motorlarına sitemizi daha iyi tanıyabilme olanağı veren SEF özelliği, aynı zamanda yukarda bahsettiğimiz bilgileri de saklamaktadır ve maskelemektedir. Bu yüzden kötü niyetli kişilerin işleri bir kat daha zorlaşmaktadır.
Temel olarak, Joomla sisteminin kendisine ait olan ve kurulumla beraber gelen SEF özelliği yeterli olabilecek düzeydedir. Zaten yeni eklentilerin neredeyse hepsi Joomla'nın SEF bileşenine uyumlu olarak geliştirilmektedir. Bu nedenle farklı sorunlar yaşamamanız ve Joomla güncellemelerini de kolayca halletmeniz için 3. parti eklenti kullanmanızı önermeyiz. Joomla'nın kendi SEF özelliğini kullanmanız yeterli olacaktır.
Fakat Joomla'nın kendi SEF özelliği diğer bazı 3. parti SEF eklentilerinin sunduğu esnekliği sunamamaktadır. Bu eklentilerden en güvenilir ve en başarılı olanları ücretsiz olarak kullanılabilen sh404SEF ve Artio JoomSEF'tir.
Burada sh404SEF eklentisini biraz daha incelemekte fayda olduğunu düşünüyorum. Çünkü şuan için en gözde ve kullanışlı 3. parti SEF eklentisi. Sadece SEF işlevselliği değil, güvenlik konusunda da bize yardımcı olabilmektedir. Mesela sitemize gerçekleştirilen kötü niyetli saldırıları durdurmakta ve bu saldırı hakkında site sahibine bilgi göndermektedir. Bunun yanında site kaynağında yer alan ve sitenizin Joomla tabanlı olduğunu gösteren **** etiketi olan Generator etiketini kaldırmanıza da olanak sağlamaktadır. Burada aklımıza işin etik kısmı gelebilir, yani Joomla ibaresini oradan kaldırmak haksızlık gibi düşünülebilir. Ama bence kötü niyetli kişilere fırsat vermeden de Joomla'yı tanıtmanın yolları bulunmaktadır.
*Güvenli Host ve Server Seçimi
Bazı güvenlik tedbirleri ise ne Joomla ile ne de kullandığımız eklentilerle alakalı olmayabilir. Kullanmakta olduğumuz ve sitemizin her türlü barınmasını, tutulmasını sağlayan host'lardan ve server'lardan kaynaklanabilir.
*Dosya Yazılabilirlik Özelliğini Kontrol Edin
Hostumuzda bulunan klasör ve dosyalara biz ve/veya hostumuz yazılabilirlik yani müdahele edilebilirlik özelliği verebiliriz. Bu durumda o klasörler üzerinde değişiklik ve müdahele gerçekleştirebiliriz. Burada dikkat etmemiz gereken nokta Joomla kurulumunu yaptığımız anadizinde bulunan configuration.php adlı dosyanın yazılabilirlik özelliğidir. Joomla 1.5 sürümlerinde bu dosya varsayılan olarak korunmaktadır fakat Joomla 1.0 için aynısı geçerli değildir. Bunun için dosyanın yazılabilirliğini 444 olarak değiştirmeniz gerekmektedir.
Kullanmadığınız Temaları Silin
Joomla sitemizde birden çok tema bulunabilir ve bunların hepsini veya bir kaçını kullanabiliyor olabiliriz. Ama eğer sadece tek bir tema kullanıyorsanız ve kullanmadığınız temalar hala duruyorsa onları silin. Neden diye soracak olursanız; mesela sonradan sitenize bir tema yüklediniz ve Joomla ile beraber gelen temaları ise silmediniz. Bu durumda birisi adres çubuğuna /index.php?jos_change_template=rhuk_solarflare_ii yazması durumunda sitenizi bu Joomla ile gelen tema ile gösterebilir. Eğer bir kişi de bu linke girerse sitenizi çok çirkin bir durumda görebilir, çünkü her temanın modül pozisyonu farklıdır. Bunun yanında istemediğiniz modülleri ve doğal olarak içerikleri de görebilirler.
*Ücretli eklentileri ücretsiz yüklememek
Bunun başlıca sebepleri arasında önem sırasına göre sıralamak gerekirse; Ücretli olan Joomla eklentilerinin warez diye tabir edilen sitelerden ücretsiz olarak indirilmesi, henüz fazla kişinin kullanımında olmayan spesifik eklentiler ve kullanılan eklentilerin güncelliği olarak sıralayabilirim. Joomla sitenizde projenize uygun olan bir çok ücretsiz eklenti Joomla eklenti deposu (JED) içerisinde yer almakla beraber gerek özellikleri gerekse de sağladığı farklı fonksiyonlar ile bazı eklentiler ücretli olarak kullanıcılara sunulur. Kendiniz için vazgeçilmez özelliğe sahip bu türden ücretli eklentileri satın almaktan asla kaçınmamanız gerekir. Aksi takdirde bu eklentileri yetkisiz olarak yayınlayan sitelerden indirerek kurmanız zararlı yazılımların da bu eklentiye eklenmiş olma ihtimalini güçlendirecektir. Bu da başlı başına en önemli güvenlik zaafiyeti anlamına gelir.
Yaygın olmayan eklentilere dikkat!
Bir diğer dikkat edilecek unsur olan kullanılacak eklentinin henüz fazla kişi tarafından kullanılmayıp, test imkanı çok daha az olan eklentiler olmalıdır. Bu eklentileri kullanmadan önce muadili olabilecek ve çok daha önceden bu yana var olan eklentilere yönelmek yahut geliştiricisinin daha önce bir çok Joomla eklentisi geliştirmiş tecrübeli kişi yahut ekiplerce hazırlanmış olmasına dikkat edilmelidir.
aLinti..