Joomla güvenlik önlemleri nasıl alınmalıdır?

Joomla güvenlik önlemleri nasıl alınmalıdır?

Aralık 18, 2013
Kategori: Joomla
6 8068 9
Joomla güvenlik önlemleri nasıl alınmalıdır?

Her açık kaynak web yazılım sisteminde olduğu gibi Joomla! içerik yönetim sistemi de güvenlik önlemleri konusunda dikkat edilmesi gereken bir çok unsuru içerir. Joomla sitenizi korumak ve güvenliğini arttırmak için alınacak önlemler sayesinde çok daha korunaklı ve bir o kadar da güvenli bir websitesine sahip olmanız mümkün. %100 güvenliğini söz konusu olmadığı internet ortamında alınacak tedbirler ile güvenlik seviyesini %99’lara kadar çıkarabilirsiniz.

Bu yazımda sizlere çok daha güvenli bir Joomla sitesi sahibi olmanızı gerektirecek önlemlerden bahsetmeye çalışacağım.

Joomla eklentilerinin güncelliği

Joomla 3 ile beraber eklenti güncellemelerini yakından takip etmenin çok kolaylaştığı günümüzde daha alt Joomla sürümleri kullananların özellikle dikkat etmesi gereken en önemli unsur 3. parti Joomla eklentilerinin güvenliği olmalıdır. Joomla, çekirdek yapısı itibari ile hayli güvenli bir sistem olmasına karşın yüklenen 3. parti eklentiler ile güvenlik riski daha da artmakta.

joomla-eklentileri-guvenligi

Ücretli eklentileri ücretsiz yüklememek

Bunun başlıca sebepleri arasında önem sırasına göre sıralamak gerekirse; Ücretli olan Joomla eklentilerinin warez diye tabir edilen sitelerden ücretsiz olarak indirilmesi, henüz fazla kişinin kullanımında olmayan spesifik eklentiler ve kullanılan eklentilerin güncelliği olarak sıralayabilirim. Joomla sitenizde projenize uygun olan bir çok ücretsiz eklenti Joomla eklenti deposu (JED) içerisinde yer almakla beraber gerek özellikleri gerekse de sağladığı farklı fonksiyonlar ile bazı eklentiler ücretli olarak kullanıcılara sunulur. Kendiniz için vazgeçilmez özelliğe sahip bu türden ücretli eklentileri satın almaktan asla kaçınmamanız gerekir. Aksi takdirde bu eklentileri yetkisiz olarak yayınlayan sitelerden indirerek kurmanız zararlı yazılımların da bu eklentiye eklenmiş olma ihtimalini güçlendirecektir. Bu da başlı başına en önemli güvenlik zaafiyeti anlamına gelir.

Yaygın olmayan eklentilere dikkat!

Bir diğer dikkat edilecek unsur olan kullanılacak eklentinin henüz fazla kişi tarafından kullanılmayıp, test imkanı çok daha az olan eklentiler olmalıdır. Bu eklentileri kullanmadan önce muadili olabilecek ve çok daha önceden bu yana var olan eklentilere yönelmek yahut geliştiricisinin daha önce bir çok Joomla eklentisi geliştirmiş tecrübeli kişi yahut ekiplerce hazırlanmış olmasına dikkat edilmelidir.

Joomla eklentilerinin güncelliğine dikkat!

Joomla eklentileri açısından güvenlik tedbirinin bir diğer önemli ayağını oluşturan eklentilerin güncelliği bir çok etkenden önce gelmelidir. Olası açıklar, çalışma hataları ve güvenliğe etki edebilecek diğer faktörler genellikle geliştici tarafından, tester’lar üzerinden ve kullanıcıların bizzat tespitlerine bağlı olarak güncellenirler. Bu nedenle sizlerin yüklemiş olduğu eklentilerin güncelliğini sıklıkla takip etmeleri çok önemlidir. Özellikle Joomla 3 ile beraber bu takip sistem tarafından hem Joomla çekirdeği hem de eklentileri bazında yönetim panelinden topluca yapılabilmekte

Parolalarınız güvenli olsun

İnternet ortamında kullanılan genel parolaların güvenliği son zamanlarda bir çok teknoloji sitesinin de çok dikkat çektiği konular arasında yer alıyor. Özellikle bir çok siteye ait giriş bilgilerinin ya aynı yahut çok basit bilgilerden oluşması website güvenliğinizi tehlikeye atan en önemli unsurlar arasında yer alır.

joomla güvenli parola

Bu durum dikkate alındığında, sosyal ağlarda kullandığınız parolalarınızı ve bir çok sitenizde kullanılan parolaların aynı olmamasına dikkat edin. Seçilen parolaların zorluk derecesi mümkün olduğunca zor olmasına dikkat etmelisiniz. Öyle ki ( *!@#)$ ) gibi özel karakterler içeren parolalar oluşturmak Joomla websitenizin temek güvenliğini olumlu yönde etkileyecektir. Bu konu ile alakalı olarak dikkat etmenizde fayda olan bir başka konu, internet tarayıcınızın website giriş bilgilerini kaydetmemesini, her seferinde bu bilgileri elle girmeyi seçmek çok daha akıllıca bir alışkanlık olacaktır.

Uygun dosya sahipliği ve izinlerini kullanın

dosya klasör izinleri

Adına gerek file permission gerek Chmod, gerekse de dosya ve klasör izinleri ile sahipliği densin dikkat edilecek en önemli etkenlerden bir tanesidir. Websitenizi barındırdığınız sunucunuza bağlı olarak değişecek olmakla beraber (üzerinde çalışılacak dosyaya etki etmesi açısından) genellikle dosya ve klasör izinleri standarttır, şöyle ki;

  • Dosyaları barındıran klasörlerin izinleri 755
  • Dosyaların izinleri 644
  • Configuration.php dosyanızın izinleri 444 olması önerilir.

Aksi gerekmiyorsa dosya ve klasörlerin yazılabilirlik ayarları asla 777 olarak ayarlanmamalıdır. Eğer yapılacak herhangi bir işlem için bu şekilde ayarlanması gerekiyorsa hızlı bir şekilde bu değere alınıp çalışmanız biter bitmez önerilen değerlere dönüştürmenizi tavsiye ederim.

Joomla güvenlik eklentileri

Aslında bu türden eklentiler diğer öneriler dikkate alınması durumunda pek ihtiyaç duyulacak eklentiler olmasa da yine de barındırdığı farklı güvenlik araçları nedeniyle tercih edilebilir. Mesela Brute Force denilen ataklar, her türlü Spam girişimi gibi zaafiyete sebep olabilecek sorunları bertaraf eden farklı araçlara sahip bu güvenlik eklentileri tercih edilebilir. Bu tür eklentilerden popüler olan bir kaç tanesini vermek gerekirse;

Administrator sayfasının güvenliği

Hepimizin bildiği gibi Joomla yönetim paneline ulaşmak için adres satırına “…/administrator” şeklinde yazmamız yeterli. Bu şekilde site adresimiz sonuna bunu yazan herkes yönetim paneli giriş sayfamıza erişebileceği gibi bir çok saldırı yöntemi arasında kullanılan veya aranan açıklar yönetim paneli üzerinden yapılır. Bu sayfanın gizlenmesi hem açık arama açısından hem de Brute Force diye tabir edilen ataklardan admin panelimizi koruyabiliriz.

joomla administrator şifreleme

Bu işlem için web hizmeti aldığımız yerden bize verilen panelden dizin koruma özelliğini aktif ederek yararlanmak mümkün. Şifrelenecek olan “Administrator” klasörü sayesinde yönetim paneli giriş sayfasına erişmek için ayrı bir kullanıcı adı ve parola girilmesini sağlamak en etkin çözümdür.

Ayrıca internet sağlayıcınız tarafından kullandığınız bir IP üzerinden erişim yapıyorsanız bu durumda oluşturulacak olan bir “.htaccess” dosyası da yeterli olacaktır.

Deny from ALL
Allow from x.x.x.x

Yukarıdaki kodu oluşturacağınız “.htaccess” dosyasına ekleyerek, bu dosyayı da Joomla administrator klasörü içine atmak yeterli olacaktır. Tabi “Allow from” karşısındaki “xx” değerlerini kullandığınız sabit ip adresini girdikten sonra… Eğer dinamik bir ip adresi üzerinden çıkış yapıyorsanız önerdiğimiz diğer çözüm ile aynı amaca ulaşabilirsiniz.

Sizler için derlediğim ve öncelikle dikkat edilmesi gerekli olan bu hususların dışında bir çok faktör yer alabilir. Mesela web barındırma hizmet sağlayıcınızın sunduğu hizmet konusunda sağladığı güvenlik ve tecrübesi en temel unsurlardan bir tanesidir. Bu nedenle kurumsal anlamda iş yapan ve tecrübesine güvendiğiniz yerlerden web barındırma hizmetini almanız önemli. Bu türden örnekleri çoğaltabilmekle beraber yazının sıkılmadan okunabilmesi adına kısa tutmakta yarar görüyorum.

Son bir not olarak eklemem gerekirse eğer; Yedekleme, bir website yöneticisinin en önem vereceği işlem olarak asla gözardı edilmemesi gereken bir alışkanlık olmalıdır. Herhangi bir sorunda sitenizi geri döndürebilmek ve sorundan hızla kurtulmanın temel yolu olan yedeklemeyi en az her gün, her hafta ve her ay şeklinde ayrı ayrı yapmanızda yarar var.

, , , , , ,
Mehmet Yazıcı

Joomla! içerik yönetim sistemi üzerine uzun yıllar çeşitli sitelerden destek verdi. Joomla Kitabı'nı çıkaran ekibin içindeydi. Türkiyede Byte dergisinde Joomla hakkında yazılar yazdı. Yine aynı derginin özel Joomla 1.5 sayısını hazırlayarak Joomla adına bir ilki gerçekleştirdi. Çeşitli seminerlerde Joomla üzerine konuşmacı olarak katıldı. Halen Joomla resmi sitesi magazine.joomla.org'da editörlük yapmakta. Apple ve ürünlerine özel merakı var.

Diğer yazılarımı görüntüle

6 comments

  1. hüseyin
    Reply

    Çok teşekkürler benim için çok faydalı bir bilgi oldu bu gün bir şey daha öğrendim 🙂

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir