Joomla Hazır Portal Güvenlik Önlemleri
Joomla bireyler, küçük ve orta ölçekli işletmeler, büyük kuruluşlar ve geliştiriciler için açık kaynaklı bir web sitesi oluşturma aracı olarak son zamanlarda popülaritesini bir hayli arttırdı. 78 milyon kez indirildi ve şu an milyonlarca web sitesi Joomla ile çalışıyor.
Joomla web siteleri içerik yönetim sistemlerini ve genel olarak interneti zor durumda bırakan siber saldırılardan nasibini alıyor.
Joomla hazır portalında meydana gelen açıklar ve bu açıklar ile nasıl mücadele edebilirsiniz. onlarla ilgili
1- Joomla templates klasörü içerisinde yeralan beez tema klasörünün silinmesi.
En önemli hack nedenlerinden biri olan joomla ilk kurulumu ile gelen beez temasıdır.Bu tema kullanılmayan ama siteniz için büyük risk taşıyan bir etmendir.Bu nedenle templates klasörü içerisinde bulunan beez klasörünü silmenizi önemle tavsiye ediyoruz.Aynı zamanda templates klasörü içerisinde yer alan ve kullanmadığınız diğer temalarınızı da silmeniz daha sağlıklı olacaktır.Sadece kullandığınız temanın varolması daha güvenlidir.
2- Ana dizinde yeralan configurasyon.php dosyasının kriptolanması
Joomla hack nedenlerinden bir diğeri de joomla configuration.php dosyasının okunabilir olması ve bu sayede sitenizin hacklenmesine açık olmasıdır.configuration.php dosyasının yazma izni ne olursa olsun kriptolu olduğunda içerisi okunamayacak ve hack riski ortadan kalkacaktır. Bunun için öncelikle indirmeniz gereken program Config KriptoLama sourcecop 2005 (sourcecop) ve benzeri kriptolama programlarıdır. Bu programı kurduktan sonra configuration.php dosyanızı bilgisayarınıza indirerek gerekli işlemleri yapmanız ve ardından oluşan scopbin klasörü ile birlikte tekrar hostunuza atmanız yeterli olacaktır.
3- Yazma izinlerinin kontrol edilerek düzenlenmesi
Özellikle yanlış verilen yazma izinleri nedeniyle joomla gibi açık kaynak kodlu siteler çok kolay hacklenebilmektedir.Bu nedenle yazma izinlerinin yanlış verilmemesi gerekmektedir.Joomla kurulumu ve kriptolama işlemi bittikten sonra configuration.php dosyasının yazma iznini (chmod) 444 olarak ayarlamanız gerekmektedir.Yine aynı şekilde klasörlerin yazma izni 755 olmalıdır.Bazı özel klasörlerin yazma izinleri 777 olabilmektedir.
4- Açıkları bulunan eklenti,modül,bileşen ve temalardan kurtulun
Yine önemli hack nedenlerinden biride joomla için kullanmakta olduğumuz tema,modül,bileşen ve eklentilerdir.Joomle severler olarak binlerce eklenti yeralmaktadır.Bu eklentilerin birçoğu açıkları bulunan sistem tarafından uyumsuz olan eklentilerdir.Joomla eklentilerini güvenilir joomla sitelerinden indirmeye ve yüklemeye özen göstermelisiniz.Aksi halde kodlarınız,config ayarlarınız, temanız ne kadar güvenli olursa olsun açığı bulunan bir eklentiyi kullanmanız yine hack nedeni olabilir.
5- Ftp bilgilerinizi configuration.php içerisinde bulundurmayınız
Joomla eski configuration.php de ftp bilgilerini istemektedir.Şayet burada doğru ftp bilgilerinizi yazarsanız ve dosyanız kriptolu değilse yada ulaşıma açıksa kolayca kacklenmeyi kabul edersiniz.Bu nedenle kesinlikle config dosyası içerisinde ftp bilgilerinizi yazmayınız yada doğru girmeyiniz.
6- Veritabanı tablo önekinizi değiştirmelisiniz
Bu çok önemli olmamakla birlikte jos_ öneki olan veritabloları hacke daha müsaittir.Çünkü hackleyen kişinin yazmış olduğu shell dosyasında jos_ öneki yer alır ve sadece bu veritabanlarını tarar.Veritabanı önekiniz farklıysa bunu asla görmez.
7- Admin panelinde tema dosyalarının düzenlenmesine izin vermeyiniz.
Admin panelde tema dosyalarının düzenlenilmesi her zaman ihtiyaç duyulan bir işlem değildir.Bu nedenle ftp alanından tema dosyalarını bilgisayarınıza indirip düzenledikten sonra tekrar atabilirsiniz.
8- İyi bir host seçin
Çoğu KOBİ ve birey için web hosting firması tercihi yaparken en önemli husus maliyettir. Ayda 2, 3 dolar gibi cüzi bir miktardan başlayıp çoklu site çözümleri için 12 dolara kadar çok sayıda hosting paketi bulunmaktadır. 7/24 ücretsiz destek alabileceğiniz Joomla hosting paketini tercih edebilirsiniz.
9- SSL Sertifikası kullanın
SSL web sunucusuyla ziyaretçinin web tarayıcısı arasında kriptolanmış bir iletişim oluşturarak özel, hassas veya gizli tüm bilgilerin çeşitli siber saldırılara maruz kalmadan güvenli bir şekilde iletilmesini sağlıyor. Bir web sitesinde gerekli SSL olduğu takdirde, web tarayıcısı ve web sitesinin sunucusu arasında gidip gelen tüm bilgiler kriptolanır ve bu bilgiyi yalnızca web sitesinin sahibi görebilir.
10- URL’lerinizi yeniden yazın
Arama motoru dostu URL’ler Google sıralamalarınızı olumlu olarak etkiler. Aynı zamanda güvenlik bakımından da ciddi bir katkı sağlar çünkü eski URL’ler hackerlara açıklara saldırabilecekleri bilgiler sunabilir. Hackerların gelişmiş Google aramalarında görünmeyen SEF URL’ler oluşturabilmenizi sağlayan, bazıları ücretli bazıları ücretsiz birçok Joomla eklentisi bulunmakta.
Tüm bu işlemlerden sonra tam bir güvenlik almış olmayabilirsiniz. ama en azından bir tık üste taşımış olursunuz güvenlik seviyenizi.
Şunu unutmamak gerekiyor Joomla açık kaynak kodlu hazır yazılımıdır.
Ziyaretçiler için gizlenmiş link,görmek için
Giriş yap veya üye ol.
Joomla bireyler, küçük ve orta ölçekli işletmeler, büyük kuruluşlar ve geliştiriciler için açık kaynaklı bir web sitesi oluşturma aracı olarak son zamanlarda popülaritesini bir hayli arttırdı. 78 milyon kez indirildi ve şu an milyonlarca web sitesi Joomla ile çalışıyor.
Joomla web siteleri içerik yönetim sistemlerini ve genel olarak interneti zor durumda bırakan siber saldırılardan nasibini alıyor.
Joomla hazır portalında meydana gelen açıklar ve bu açıklar ile nasıl mücadele edebilirsiniz. onlarla ilgili
1- Joomla templates klasörü içerisinde yeralan beez tema klasörünün silinmesi.
En önemli hack nedenlerinden biri olan joomla ilk kurulumu ile gelen beez temasıdır.Bu tema kullanılmayan ama siteniz için büyük risk taşıyan bir etmendir.Bu nedenle templates klasörü içerisinde bulunan beez klasörünü silmenizi önemle tavsiye ediyoruz.Aynı zamanda templates klasörü içerisinde yer alan ve kullanmadığınız diğer temalarınızı da silmeniz daha sağlıklı olacaktır.Sadece kullandığınız temanın varolması daha güvenlidir.
2- Ana dizinde yeralan configurasyon.php dosyasının kriptolanması
Joomla hack nedenlerinden bir diğeri de joomla configuration.php dosyasının okunabilir olması ve bu sayede sitenizin hacklenmesine açık olmasıdır.configuration.php dosyasının yazma izni ne olursa olsun kriptolu olduğunda içerisi okunamayacak ve hack riski ortadan kalkacaktır. Bunun için öncelikle indirmeniz gereken program Config KriptoLama sourcecop 2005 (sourcecop) ve benzeri kriptolama programlarıdır. Bu programı kurduktan sonra configuration.php dosyanızı bilgisayarınıza indirerek gerekli işlemleri yapmanız ve ardından oluşan scopbin klasörü ile birlikte tekrar hostunuza atmanız yeterli olacaktır.
3- Yazma izinlerinin kontrol edilerek düzenlenmesi
Özellikle yanlış verilen yazma izinleri nedeniyle joomla gibi açık kaynak kodlu siteler çok kolay hacklenebilmektedir.Bu nedenle yazma izinlerinin yanlış verilmemesi gerekmektedir.Joomla kurulumu ve kriptolama işlemi bittikten sonra configuration.php dosyasının yazma iznini (chmod) 444 olarak ayarlamanız gerekmektedir.Yine aynı şekilde klasörlerin yazma izni 755 olmalıdır.Bazı özel klasörlerin yazma izinleri 777 olabilmektedir.
4- Açıkları bulunan eklenti,modül,bileşen ve temalardan kurtulun
Yine önemli hack nedenlerinden biride joomla için kullanmakta olduğumuz tema,modül,bileşen ve eklentilerdir.Joomle severler olarak binlerce eklenti yeralmaktadır.Bu eklentilerin birçoğu açıkları bulunan sistem tarafından uyumsuz olan eklentilerdir.Joomla eklentilerini güvenilir joomla sitelerinden indirmeye ve yüklemeye özen göstermelisiniz.Aksi halde kodlarınız,config ayarlarınız, temanız ne kadar güvenli olursa olsun açığı bulunan bir eklentiyi kullanmanız yine hack nedeni olabilir.
5- Ftp bilgilerinizi configuration.php içerisinde bulundurmayınız
Joomla eski configuration.php de ftp bilgilerini istemektedir.Şayet burada doğru ftp bilgilerinizi yazarsanız ve dosyanız kriptolu değilse yada ulaşıma açıksa kolayca kacklenmeyi kabul edersiniz.Bu nedenle kesinlikle config dosyası içerisinde ftp bilgilerinizi yazmayınız yada doğru girmeyiniz.
6- Veritabanı tablo önekinizi değiştirmelisiniz
Bu çok önemli olmamakla birlikte jos_ öneki olan veritabloları hacke daha müsaittir.Çünkü hackleyen kişinin yazmış olduğu shell dosyasında jos_ öneki yer alır ve sadece bu veritabanlarını tarar.Veritabanı önekiniz farklıysa bunu asla görmez.
7- Admin panelinde tema dosyalarının düzenlenmesine izin vermeyiniz.
Admin panelde tema dosyalarının düzenlenilmesi her zaman ihtiyaç duyulan bir işlem değildir.Bu nedenle ftp alanından tema dosyalarını bilgisayarınıza indirip düzenledikten sonra tekrar atabilirsiniz.
8- İyi bir host seçin
Çoğu KOBİ ve birey için web hosting firması tercihi yaparken en önemli husus maliyettir. Ayda 2, 3 dolar gibi cüzi bir miktardan başlayıp çoklu site çözümleri için 12 dolara kadar çok sayıda hosting paketi bulunmaktadır. 7/24 ücretsiz destek alabileceğiniz Joomla hosting paketini tercih edebilirsiniz.
9- SSL Sertifikası kullanın
SSL web sunucusuyla ziyaretçinin web tarayıcısı arasında kriptolanmış bir iletişim oluşturarak özel, hassas veya gizli tüm bilgilerin çeşitli siber saldırılara maruz kalmadan güvenli bir şekilde iletilmesini sağlıyor. Bir web sitesinde gerekli SSL olduğu takdirde, web tarayıcısı ve web sitesinin sunucusu arasında gidip gelen tüm bilgiler kriptolanır ve bu bilgiyi yalnızca web sitesinin sahibi görebilir.
10- URL’lerinizi yeniden yazın
Arama motoru dostu URL’ler Google sıralamalarınızı olumlu olarak etkiler. Aynı zamanda güvenlik bakımından da ciddi bir katkı sağlar çünkü eski URL’ler hackerlara açıklara saldırabilecekleri bilgiler sunabilir. Hackerların gelişmiş Google aramalarında görünmeyen SEF URL’ler oluşturabilmenizi sağlayan, bazıları ücretli bazıları ücretsiz birçok Joomla eklentisi bulunmakta.
Tüm bu işlemlerden sonra tam bir güvenlik almış olmayabilirsiniz. ama en azından bir tık üste taşımış olursunuz güvenlik seviyenizi.
Şunu unutmamak gerekiyor Joomla açık kaynak kodlu hazır yazılımıdır.