Joomla WebSite Güvenliği [Giriş]

Her ciddi web projesinin temelini teşkil eden (etmesi gereken) unsur website güvenliği olmalıdır ki projelerinizin ciddiyetinin de temeli güvenliktir. Website güvenliği dediğimizde de ilk aşama bilgisayarımızdan başlar ki “Güvenli bir websitesi için güvenli bir bilgisayar” olmazsa olmaz ilk etkendir. Güncel ve kaliteli bir anti-virüs yazılımı ile korunan işletim sistemi, sizi internet dünyasına açan tarayıcınızın güncelliği sağlam bir güvenlik için temel oluşturmaktadır.

Gün içinde onlarca websitesini ziyaret ediyor ve bu sitelerde oluşan güvenlik zafiyetleri sebebi ile bilgisayarınıza bulaşabilecek olan Javascript temelli zararlı sayfalar siz farkında olmaksızın tarayıcınıza, oradan bilgisayarınızın sistemine ve en nihayetinde FTP bağlantınız üzerinden de sizin websitenize bulaşabilir.

Bunun en güzel örneklerinden bir tanesi “iframe virüsü” dediğimiz ve ftp yolu ile özellikle websitenizin html ve javascript içeren sayfalarına kendisini kopyalarak tüm websitenizi sarmak sureti ile içerdiği zararlı kodların çalışma mantığına göre sitenize zarar verir. Bu kimi zaman ziyaret edilen sayfalarınızın başka bir websitesine yönlendirilmesi yahut sisteminizi el geçirmek maksadına yönelik yazılmış özel zararlılar olabilir.

İşte bu ve buna benzer sorunların ana kaynağı öncelikle tarayıcınızın ve içerdiği eklentilerin güvenilir olması, kullanılan antivirüs yazılımının güncelliği en önemli etkenlerdir. Hele hele websitenizin dosyalarını yönetmek için sunucuya bağlandığınız FTP programının lisanssız (warez) bir yazılım olması ise adeta “kediye ciğeri teslim etmeye benzer.” Şu yada bu şekilde kırılmış lisanslı bir ftp yazılımı kullanmanız içerebileceği zararlı kodları sitenize bulaştırmakta en çok rastlanılan zafiyetlerin başında gelmektedir.

Bunun yerine zaten tamamen ücretsiz olan WinSCP veya FileZilla gibi kaliteli ftp programlarına yönelmeniz warez ftp programı kullanmaktan “her halde” daha güvenli olacaktır.

Bilgisayar güvenliğinin hemen ardından gelen ikinci adımda da websitenize ait dosyalarınızın bulunduğu sunucunun güvenliğidir. Bu güvenlik, sunucu yöneticisinin deneyimli, ciddi bir firma yahut deneyimini bildiğiniz bir sistem yöneticisinin sağladığı hizmetle başlar. Profesyonel olmayan bir sistem yöneticisinin elinde iyi optimize edilmemiş bir sunucu adeta bir “yolgeçen hanı” şeklinde hizmet veriyor olabilir. Bu sebeple de o sunucuyu kullanan bir çok hesap, isterse tüm güvenlik tedbirlerini en uç noktada almış olursa olsun temelde güvensiz bir yapıya dönüşecektir. Bu sebeple kalitesinden emin olduğunuz bir firma üzerinde hosting, sunucu hizmeti almanız website güvenliğinin temelini oluşturacak en önemli adım olacaktır.

Yazımızı fazla uzatmamak adına dilerseniz yavaş yavaş website güvenliğinin diğer aşamalarından bir tanesi olan “kullanılan script veya tasarım’ın güvenliği konusuna geçelim. Konumuz Joomla! olduğuna göre de script temelli yapacağımız değerlendirme de sonuçta Joomla üzerinden olacaktır.

Çekirdek kod yapısı itibariyle en güvenli sistemlerden bir tanesi olan Joomla! zaman zaman bazı ufak tefek açıkları tespit edilse de arkasında bulunan etkin geliştirici desteği ve adeta her birisi test edici olan milyonlarca kullanıcısı üzerinden bu açıklar hızla kapatılarak daha güvenli bir sistem olma yolunda hızla yol almaktadır. Malumunuz üzere %100 güvenli bir sistem olmamakla beraber amaç, güvenlik yüzdesini arttırmaktır. Joomla ve arkasındaki ekipte bunu layıkı ile yapmakta ve sık sık güvenlik veya sistem iyileştirme sürümleri yayınlamaktadır.

Böylesi güvenli bir iskelet yapıyı zafiyete uğratacak olan bir diğer sebep ise 3. Parti diye tabir edilen ve serbest joomla geliştiricileri tarafından üretilen eklentilerdir. Genellikle sorunlu eklentiler Joomla eklenti deposu dışında, yani joomla’nın bir şekilde onaylamadığı eklentilerin sitenize kurulmasıdır.

Böylesi eklentilerin güvenliğinden söz etmek sanırım fazla iyimserlik olacaktır ki mümkün olduğu kadar joomla eklenti deposu dışında, onun önerdiği siteler dışındaki yerlerden eklenti edinmemek yerinde olacaktır.

Yine yukarıdaki değindiğimiz konunun devamı olarak değineceğimiz bir diğer unsur da kullanılan joomla sürümünün güncelliği olacaktır. Zaten yaygın olarak joomla destek siteleri, teknoloji blogları üzerinden güncel joomla sürümlerini takip edebiliyoruz. Bunu bir alışkanlık haline getirmeli, sorundan soruna joomla forumlarını kullanmamalı ve yeni sürüm denetimini sıklıkla yapmalısınız. Joomla güvenlik haberleri bağlantısından güncel güvenlik uyarılarını takip edebileceğiniz gibi aynı zamanda joomla yönetim panelinizin an sayfasında yer alan “Joomla Güvenlik Haber Başlıkları” modülü üzerinden de görebilirsiniz.

Yine aynı şekilde joomla eklentilerinin güvenliği, tespit edilen açıklar vb. bilgileri de bu sayfa üzerinden takip edebilirsiniz. Nasıl ki joomla’nın güncel sürümlerini takip ediyorsunuz, aynı şekilde sitenizde yüklü olan tüm eklentileri hiç üşenmeden en fazla bir haftalık aralıklarla takip ederek en güncel sürümlü eklentilere sahip olduğunuza emin olun.

Bu yazımızda sizlerle temel anlamda dikkat edilecek olan hususları ele aldık, bir sonraki yazımızda da etkin güvenlik üzerine yapabileceklerimizi göreceğimizi belirtmek isterim.

Kaynak: Joomla Website Güvenliği Giriş