Bu makalemizde genel manada Joomla sitenizin güvenliğini sağlamak için yapabileceğiniz bazı temel noktalara değineceğiz.Joomla CMS (içerik yönetim sistemi) aslında yeterince güvenlik sağlayacak düzeydedir. Fakat bilişim dünyasındaki hacker vb kişilerin işleri de bu güvenlikleri aşmak olduğu için, her türlü güvenlik önlemini delecek şekilde çalışmaktadırlar. Bunun yanında Joomla sadece bize geldiği hali ile değil de, "3. parti" dediğimiz sonradan eklenen ve yüklenen eklentilerle de tehditlere karşı korunmasız hale gelebilir. İşte bu makalemizde bu tip zaaflara ve tehditlere karşı alabileceğimiz genel tedbirlerden bahsedeceğiz.
Ama unutmamak gerekir ki hiç bir sistem 100% güvenilir değildir, delinebilir, aşılabilir.
NOT: Aşağıda sıralayacağımız güvenlik yöntemleri önem sırasına göre yazılmıştır.
Joomla Sürümünüzü Güncel Tutun
Joomla sitemizin güvenliği konusunda alabileceğimiz ilk ve en önemli tedbir, sürümümüzü güncel tutmanızdır. Yukarda da bahsettiğimiz gibi, geliştriciler en iyi ve en güvenilir sürümleri yayınlarlar. Fakat hacker vb uzmanlar ise bu güvenilir sanılan sistemlerin açıklarını bulurlar, siz kapattıkça yenisini açarlar. İşte bu nedenle güvenlik açıkları bulundukça geliştiriciler bu açıkların kapatıldığı yeni sürümler yayınlarlar. İşte bundan dolayı güvenlik konusunda en önemli ve ilk yöntem Joomla sürümünüzü güncel tutmanızdır. Bunun için düzenli olarak www.joomlabilgi.org sitemizin anasayfasını veya www.joomla.org sitesiniz takip etmelisiniz. En azından ayda 1 kere kontrol etmeniz yeterlidir.
Joomla sitenizi nasıl güncelleyeceğinizi Joomla Dersleri bölümümüzde bulabilirsiniz.
Bilgisayarınızı ve İçeriklerini Virüslerden Koruyun
Joomla site sahibi biri iseniz (ki bu makaleyi okuduğuna göre öylesiniz veya olacaksınız) bilirsiniz ki sitenizi yönettiğiniz bilgisayar(lar) ile bolca FTP ile veya Admin paneli ile bağlanırsınız. Dosyalar (resimler, videolar vb) yükleyip, indirirsiniz. Bu durumda bilgisayarınızda bulunan veya sonradan bulaşmış olan virüsler, iframe'ler FTP programları ile veya bu katardığınız dosyalar ile hostunuza bulaşabilir. Bu durum siteniz için çok tehlikelidir, çünkü hem hosttaki diğer sitelere bu virüsler bulaşabilir, hem site ziyaretçilerinize bulaşabilir, en kötüsü de siteniz Google vb popüler arama motorları tarafından saldırgan olarak tanımlanabilir. Bu durumda sitenizin ziyaretçilerinizin en iyi ihtimalle %90'ınını kaybetmeye hazır olun.
Bu yüzden devamlı olarak bilgisayarınızda (ücretli veya ücretsiz) güvenilir ve sağlam antivirüs porgramları bulundurun. Bu programlarla periyodik olarak taramalar yapın. Özellikle sitenize yükleyeceğiniz dosyalar üzerinde virüs taraması yapın.
Güvenilir Eklentileri Kullanın ve Güncel Tutun
Makalemizin başında da bahsettiğimiz gibi Joomla ilk kurulumunda her ne kadar güvenli olursa olsun, sonradan yüklediğimiz ve 3. parti olarak tabir ettiğimiz eklentiler, güvenlik açıklarının oluşmasına neden olabilmektedir. Zaten Joomla sitesi hack'lenen kişilerin sistemleri incelendiğinde, Joomla'dan kaynaklı değil de, eklentilerden kaynaklı zarara uğradığı görülmektedir. Bütün bu saydığımız nedenlerden dolayı, güvenilir olmayan, çok bilinmeyen, warez (ücretli olup da, korsan olarak kullanılan), güncel olmayan eklentileri kullanmamalısınız. Kullandığımız eklentilerin geliştiricilerinin sitelerini düzenli olarak takip edip, güncellemeleri kontrol etmelisiniz.
Bu konuda size yardımcı olmak adına savunmasız ve güvenilirlik konusunda zayıf olan eklentilerin listesini sunabileceğiniz buradaki listeyi veriyorum. Burayı da düzenli olarak ziyaret etmeniz ve incelemeniz faydanıza olacaktır.
Admin Kullanıcı Adı ve Şifreniz
Joomla ilk kurulduğunda site yöneticisi olarak kullanıcı adınız Admin olarak belirlenir. Bu varsayılan olarak ilk kurulan tüm Joomla sitelerde böyledir. Fakat bu durum aynı zamanda büyük bir güvenlik açığına neden olabilmektedir. Bu yüzden Joomla kurulumunuzu yaptıktan sonra kullanıcı adınızı değiştirin. Bunun için Kullanıcı Yöneticisi'ni kullanabilirsiniz.
Belirli zaman aralıklarında admin şifrenizi değiştirmenizde de fayda vardır.
jSecure Eklentisi İle Admin Giriş Adresinizi Özelleştirin
Dünyadaki bütün Joomla siteler varsayılan olarak aynı url eklentisi ile admin paneline giriş yaparlar. Yani www.siteadi.com/administrator yazarak Joomla tabanlı bütün sitelerin admin panel giriş sayfasına ulaşabilirsiniz. Bu durum beraberinde bazı güvenlik açıklarını ve tehditleri de getirebilmektedir. Bu yüzden jSecure adlı plugin'i kullanarak admin giriş sayfanızın adresini sadece sizin bileceğiniz şekilde özelleştirebilirsiniz.
jSecure eklentisini indirmek için tıklayın.
Güvenilir ve Kaliteli SEF Eklentisi Kullanın
Konu hakkında bilgiye sahip olanlarınız belki de bu işlemin burada niçin yer aldığını soracak olabilir. Çünkü SEF eklentileri sitemizdeki URL'leri (adresleri) arama motorlarının daha iyi algılayıp, daha iyi index'leyeceği şekilde düzenleyen ve çeviren eklentilerdir. Direkt olarak güvenlikle alakaları yoktur.
Fakat biraz derinlemesine inceleyince aslında güvenlik konusunda da çok faydaları olabilir.
Joomla'yı ilk kurduğumuzda, sitemizdeki linkler http://www.siteadi.com/index.php?option=com_chronocomments&Itemid=57 örneğinde olduğu gibi görünmektedir. Bu linke baktığımızda ise sitede hangi bileşenin veya eklentinin kullanıldığını anlayabiliriz. Mesela bu verdiğim linkte yer alan com_chronocomments ibaresi, sitede Chrono Comment bileşenin kullanıldığını göstermektedir. Bu bileşen ve açıkları hakkında bilgiye sahip olan bir kişi ise kolayca siteniz için tehdit oluşturabilir.
Linklerimiz, sadece bileşenler için değil, sitemizin Joomla tabanlı olduğu hakkında da bilgi verir. Çünkü Joomla sistemi belirli bir link formülizasyonu kullanmaktadır. Joomla'ya aşina olan birisi bu linklere bakarak kolayca sitenizi tanımlayabilir.
İşte arama motorlarına sitemizi daha iyi tanıyabilme olanağı veren SEF özelliği, aynı zamanda yukarda bahsettiğimiz bilgileri de saklamaktadır ve maskelemektedir. Bu yüzden kötü niyetli kişilerin işleri bir kat daha zorlaşmaktadır.
Temel olarak, Joomla sisteminin kendisine ait olan ve kurulumla beraber gelen SEF özelliği yeterli olabilecek düzeydedir. Zaten yeni eklentilerin neredeyse hepsi Joomla'nın SEF bileşenine uyumlu olarak geliştirilmektedir. Bu nedenle farklı sorunlar yaşamamanız ve Joomla güncellemelerini de kolayca halletmeniz için 3. parti eklenti kullanmanızı önermeyiz. Joomla'nın kendi SEF özelliğini kullanmanız yeterli olacaktır.
Fakat Joomla'nın kendi SEF özelliği diğer bazı 3. parti SEF eklentilerinin sunduğu esnekliği sunamamaktadır. Bu eklentilerden en güvenilir ve en başarılı olanları ücretsiz olarak kullanılabilen sh404SEF ve Artio JoomSEF'tir.
Burada sh404SEF eklentisini biraz daha incelemekte fayda olduğunu düşünüyorum. Çünkü şuan için en gözde ve kullanışlı 3. parti SEF eklentisi. Sadece SEF işlevselliği değil, güvenlik konusunda da bize yardımcı olabilmektedir. Mesela sitemize gerçekleştirilen kötü niyetli saldırıları durdurmakta ve bu saldırı hakkında site sahibine bilgi göndermektedir. Bunun yanında site kaynağında yer alan ve sitenizin Joomla tabanlı olduğunu gösteren Meta etiketi olan Generator etiketini kaldırmanıza da olanak sağlamaktadır. Burada aklımıza işin etik kısmı gelebilir, yani Joomla ibaresini oradan kaldırmak haksızlık gibi düşünülebilir. Ama bence kötü niyetli kişilere fırsat vermeden de Joomla'yı tanıtmanın yolları bulunmaktadır.
Bu arada Meta Generator etiketinin kaldırılması veya değiştirilmesi hakkında farklı yöntem sunan bu makalemizi de inceleyebilirsiniz.
Güvenli Host ve Server Seçimi
Bazı güvenlik tedbirleri ise ne Joomla ile ne de kullandığımız eklentilerle alakalı olmayabilir. Kullanmakta olduğumuz ve sitemizin her türlü barınmasını, tutulmasını sağlayan host'lardan ve server'lardan kaynaklanabilir. Bizim sizlere JoomlaBilgi.org olarak önerdiğimiz hosting Birhost'tur, gerek Joomla sistemine olan uygunluğu ile gerek ise hizmetleri ile gerçekten çok iyi bir hosting. Ayrıca site takipçilerimize de %25'e varan indirimler yapılmaktadır. Hemen Birhos'tan Joomla uyumlu hosting almak için tıklayın. Bunun için host seçiminde dikkat etmemiz gereken noktalar şunlardır:
Dosya Yazılabilirlik Özelliğini Kontrol Edin
Hostumuzda bulunan klasör ve dosyalara biz ve/veya hostumuz yazılabilirlik yani müdahele edilebilirlik özelliği verebiliriz. Bu durumda o klasörler üzerinde değişiklik ve müdahele gerçekleştirebiliriz. Burada dikkat etmemiz gereken nokta Joomla kurulumunu yaptığımız anadizinde bulunan configuration.php adlı dosyanın yazılabilirlik özelliğidir. Joomla 1.5 sürümlerinde bu dosya varsayılan olarak korunmaktadır fakat Joomla 1.0 için aynısı geçerli değildir. Bunun için dosyanın yazılabilirliğini 444 olarak değiştirmeniz gerekmektedir.
Kullanmadığınız Temaları Silin
Joomla sitemizde birden çok tema bulunabilir ve bunların hepsini veya bir kaçını kullanabiliyor olabiliriz. Ama eğer sadece tek bir tema kullanıyorsanız ve kullanmadığınız temalar hala duruyorsa onları silin. Neden diye soracak olursanız; mesela sonradan sitenize bir tema yüklediniz ve Joomla ile beraber gelen temaları ise silmediniz. Bu durumda birisi adres çubuğuna /index.php?jos_change_template=rhuk_solarflare_ii yazması durumunda sitenizi bu Joomla ile gelen tema ile gösterebilir. Eğer bir kişi de bu linke girerse sitenizi çok çirkin bir durumda görebilir, çünkü her temanın modül pozisyonu farklıdır. Bunun yanında istemediğiniz modülleri ve doğal olarak içerikleri de görebilirler.
Kaynak
Ama unutmamak gerekir ki hiç bir sistem 100% güvenilir değildir, delinebilir, aşılabilir.
NOT: Aşağıda sıralayacağımız güvenlik yöntemleri önem sırasına göre yazılmıştır.
Joomla Sürümünüzü Güncel Tutun
Joomla sitemizin güvenliği konusunda alabileceğimiz ilk ve en önemli tedbir, sürümümüzü güncel tutmanızdır. Yukarda da bahsettiğimiz gibi, geliştriciler en iyi ve en güvenilir sürümleri yayınlarlar. Fakat hacker vb uzmanlar ise bu güvenilir sanılan sistemlerin açıklarını bulurlar, siz kapattıkça yenisini açarlar. İşte bu nedenle güvenlik açıkları bulundukça geliştiriciler bu açıkların kapatıldığı yeni sürümler yayınlarlar. İşte bundan dolayı güvenlik konusunda en önemli ve ilk yöntem Joomla sürümünüzü güncel tutmanızdır. Bunun için düzenli olarak www.joomlabilgi.org sitemizin anasayfasını veya www.joomla.org sitesiniz takip etmelisiniz. En azından ayda 1 kere kontrol etmeniz yeterlidir.
Joomla sitenizi nasıl güncelleyeceğinizi Joomla Dersleri bölümümüzde bulabilirsiniz.
Bilgisayarınızı ve İçeriklerini Virüslerden Koruyun
Joomla site sahibi biri iseniz (ki bu makaleyi okuduğuna göre öylesiniz veya olacaksınız) bilirsiniz ki sitenizi yönettiğiniz bilgisayar(lar) ile bolca FTP ile veya Admin paneli ile bağlanırsınız. Dosyalar (resimler, videolar vb) yükleyip, indirirsiniz. Bu durumda bilgisayarınızda bulunan veya sonradan bulaşmış olan virüsler, iframe'ler FTP programları ile veya bu katardığınız dosyalar ile hostunuza bulaşabilir. Bu durum siteniz için çok tehlikelidir, çünkü hem hosttaki diğer sitelere bu virüsler bulaşabilir, hem site ziyaretçilerinize bulaşabilir, en kötüsü de siteniz Google vb popüler arama motorları tarafından saldırgan olarak tanımlanabilir. Bu durumda sitenizin ziyaretçilerinizin en iyi ihtimalle %90'ınını kaybetmeye hazır olun.
Bu yüzden devamlı olarak bilgisayarınızda (ücretli veya ücretsiz) güvenilir ve sağlam antivirüs porgramları bulundurun. Bu programlarla periyodik olarak taramalar yapın. Özellikle sitenize yükleyeceğiniz dosyalar üzerinde virüs taraması yapın.
Güvenilir Eklentileri Kullanın ve Güncel Tutun
Makalemizin başında da bahsettiğimiz gibi Joomla ilk kurulumunda her ne kadar güvenli olursa olsun, sonradan yüklediğimiz ve 3. parti olarak tabir ettiğimiz eklentiler, güvenlik açıklarının oluşmasına neden olabilmektedir. Zaten Joomla sitesi hack'lenen kişilerin sistemleri incelendiğinde, Joomla'dan kaynaklı değil de, eklentilerden kaynaklı zarara uğradığı görülmektedir. Bütün bu saydığımız nedenlerden dolayı, güvenilir olmayan, çok bilinmeyen, warez (ücretli olup da, korsan olarak kullanılan), güncel olmayan eklentileri kullanmamalısınız. Kullandığımız eklentilerin geliştiricilerinin sitelerini düzenli olarak takip edip, güncellemeleri kontrol etmelisiniz.
Bu konuda size yardımcı olmak adına savunmasız ve güvenilirlik konusunda zayıf olan eklentilerin listesini sunabileceğiniz buradaki listeyi veriyorum. Burayı da düzenli olarak ziyaret etmeniz ve incelemeniz faydanıza olacaktır.
Admin Kullanıcı Adı ve Şifreniz
Belirli zaman aralıklarında admin şifrenizi değiştirmenizde de fayda vardır.
jSecure Eklentisi İle Admin Giriş Adresinizi Özelleştirin
Dünyadaki bütün Joomla siteler varsayılan olarak aynı url eklentisi ile admin paneline giriş yaparlar. Yani www.siteadi.com/administrator yazarak Joomla tabanlı bütün sitelerin admin panel giriş sayfasına ulaşabilirsiniz. Bu durum beraberinde bazı güvenlik açıklarını ve tehditleri de getirebilmektedir. Bu yüzden jSecure adlı plugin'i kullanarak admin giriş sayfanızın adresini sadece sizin bileceğiniz şekilde özelleştirebilirsiniz.
jSecure eklentisini indirmek için tıklayın.
Güvenilir ve Kaliteli SEF Eklentisi Kullanın
Konu hakkında bilgiye sahip olanlarınız belki de bu işlemin burada niçin yer aldığını soracak olabilir. Çünkü SEF eklentileri sitemizdeki URL'leri (adresleri) arama motorlarının daha iyi algılayıp, daha iyi index'leyeceği şekilde düzenleyen ve çeviren eklentilerdir. Direkt olarak güvenlikle alakaları yoktur.
Fakat biraz derinlemesine inceleyince aslında güvenlik konusunda da çok faydaları olabilir.
Joomla'yı ilk kurduğumuzda, sitemizdeki linkler http://www.siteadi.com/index.php?option=com_chronocomments&Itemid=57 örneğinde olduğu gibi görünmektedir. Bu linke baktığımızda ise sitede hangi bileşenin veya eklentinin kullanıldığını anlayabiliriz. Mesela bu verdiğim linkte yer alan com_chronocomments ibaresi, sitede Chrono Comment bileşenin kullanıldığını göstermektedir. Bu bileşen ve açıkları hakkında bilgiye sahip olan bir kişi ise kolayca siteniz için tehdit oluşturabilir.
Linklerimiz, sadece bileşenler için değil, sitemizin Joomla tabanlı olduğu hakkında da bilgi verir. Çünkü Joomla sistemi belirli bir link formülizasyonu kullanmaktadır. Joomla'ya aşina olan birisi bu linklere bakarak kolayca sitenizi tanımlayabilir.
İşte arama motorlarına sitemizi daha iyi tanıyabilme olanağı veren SEF özelliği, aynı zamanda yukarda bahsettiğimiz bilgileri de saklamaktadır ve maskelemektedir. Bu yüzden kötü niyetli kişilerin işleri bir kat daha zorlaşmaktadır.
Temel olarak, Joomla sisteminin kendisine ait olan ve kurulumla beraber gelen SEF özelliği yeterli olabilecek düzeydedir. Zaten yeni eklentilerin neredeyse hepsi Joomla'nın SEF bileşenine uyumlu olarak geliştirilmektedir. Bu nedenle farklı sorunlar yaşamamanız ve Joomla güncellemelerini de kolayca halletmeniz için 3. parti eklenti kullanmanızı önermeyiz. Joomla'nın kendi SEF özelliğini kullanmanız yeterli olacaktır.
Fakat Joomla'nın kendi SEF özelliği diğer bazı 3. parti SEF eklentilerinin sunduğu esnekliği sunamamaktadır. Bu eklentilerden en güvenilir ve en başarılı olanları ücretsiz olarak kullanılabilen sh404SEF ve Artio JoomSEF'tir.
Burada sh404SEF eklentisini biraz daha incelemekte fayda olduğunu düşünüyorum. Çünkü şuan için en gözde ve kullanışlı 3. parti SEF eklentisi. Sadece SEF işlevselliği değil, güvenlik konusunda da bize yardımcı olabilmektedir. Mesela sitemize gerçekleştirilen kötü niyetli saldırıları durdurmakta ve bu saldırı hakkında site sahibine bilgi göndermektedir. Bunun yanında site kaynağında yer alan ve sitenizin Joomla tabanlı olduğunu gösteren Meta etiketi olan Generator etiketini kaldırmanıza da olanak sağlamaktadır. Burada aklımıza işin etik kısmı gelebilir, yani Joomla ibaresini oradan kaldırmak haksızlık gibi düşünülebilir. Ama bence kötü niyetli kişilere fırsat vermeden de Joomla'yı tanıtmanın yolları bulunmaktadır.
Bu arada Meta Generator etiketinin kaldırılması veya değiştirilmesi hakkında farklı yöntem sunan bu makalemizi de inceleyebilirsiniz.
Güvenli Host ve Server Seçimi
Bazı güvenlik tedbirleri ise ne Joomla ile ne de kullandığımız eklentilerle alakalı olmayabilir. Kullanmakta olduğumuz ve sitemizin her türlü barınmasını, tutulmasını sağlayan host'lardan ve server'lardan kaynaklanabilir. Bizim sizlere JoomlaBilgi.org olarak önerdiğimiz hosting Birhost'tur, gerek Joomla sistemine olan uygunluğu ile gerek ise hizmetleri ile gerçekten çok iyi bir hosting. Ayrıca site takipçilerimize de %25'e varan indirimler yapılmaktadır. Hemen Birhos'tan Joomla uyumlu hosting almak için tıklayın. Bunun için host seçiminde dikkat etmemiz gereken noktalar şunlardır:
- php safe_mode kullanan hostlardan kaçınmalısınız. Yani safe_mode hostunuzda kapalı olması avsiye edilir.
- Eğer Joomla 1.0 sürümü kullanıyorsanız (tabi ilk olarak en güncel Joomla'ya geçmeniz gerekmektedir) Genel Yapılandırma kısmında bulunan Joomla's Register Globals Emulation özelliğinin kapalı olduğundan emin olun.
- PHP 5 ve hatta PHP 5.2 üzeri özellikler sunan host'ları tercih edin.
Dosya Yazılabilirlik Özelliğini Kontrol Edin
Hostumuzda bulunan klasör ve dosyalara biz ve/veya hostumuz yazılabilirlik yani müdahele edilebilirlik özelliği verebiliriz. Bu durumda o klasörler üzerinde değişiklik ve müdahele gerçekleştirebiliriz. Burada dikkat etmemiz gereken nokta Joomla kurulumunu yaptığımız anadizinde bulunan configuration.php adlı dosyanın yazılabilirlik özelliğidir. Joomla 1.5 sürümlerinde bu dosya varsayılan olarak korunmaktadır fakat Joomla 1.0 için aynısı geçerli değildir. Bunun için dosyanın yazılabilirliğini 444 olarak değiştirmeniz gerekmektedir.
Kullanmadığınız Temaları Silin
Joomla sitemizde birden çok tema bulunabilir ve bunların hepsini veya bir kaçını kullanabiliyor olabiliriz. Ama eğer sadece tek bir tema kullanıyorsanız ve kullanmadığınız temalar hala duruyorsa onları silin. Neden diye soracak olursanız; mesela sonradan sitenize bir tema yüklediniz ve Joomla ile beraber gelen temaları ise silmediniz. Bu durumda birisi adres çubuğuna /index.php?jos_change_template=rhuk_solarflare_ii yazması durumunda sitenizi bu Joomla ile gelen tema ile gösterebilir. Eğer bir kişi de bu linke girerse sitenizi çok çirkin bir durumda görebilir, çünkü her temanın modül pozisyonu farklıdır. Bunun yanında istemediğiniz modülleri ve doğal olarak içerikleri de görebilirler.
Kaynak
