Her ciddi web projesinin temelini teşkil eden (etmesi gereken) unsur website guvenliği olmalıdır ki projelerinizin ciddiyetinin de temeli guvenliktir. Website guvenliği dediğimizde de ilk aşama bilgisayarımızdan başlar ki “Guvenli bir websitesi icin guvenli bir bilgisayar” olmazsa olmaz ilk etkendir. Guncel ve kaliteli bir anti-virus yazılımı ile korunan işletim sistemi, sizi internet dunyasına acan tarayıcınızın guncelliği sağlam bir guvenlik icin temel oluşturmaktadır. Gun icinde onlarca websitesini ziyaret ediyor ve bu sitelerde oluşan guvenlik zafiyetleri sebebi ile bilgisayarınıza bulaşabilecek olan Javascript temelli zararlı sayfalar siz farkında olmaksızın tarayıcınıza, oradan bilgisayarınızın sistemine ve en nihayetinde FTP bağlantınız uzerinden de sizin websitenize bulaşabilir.

Bunun en guzel orneklerinden bir tanesi “iframe virusu” dediğimiz ve ftp yolu ile ozellikle websitenizin html ve javascript iceren sayfalarına kendisini kopyalarak tum websitenizi sarmak sureti ile icerdiği zararlı kodların calışma mantığına gore sitenize zarar verir. Bu kimi zaman ziyaret edilen sayfalarınızın başka bir websitesine yonlendirilmesi yahut sisteminizi el gecirmek maksadına yonelik yazılmış ozel zararlılar olabilir.

İşte bu ve buna benzer sorunların ana kaynağı oncelikle tarayıcınızın ve icerdiği eklentilerin guvenilir olması, kullanılan antivirus yazılımının guncelliği en onemli etkenlerdir. Hele hele websitenizin dosyalarını yonetmek icin sunucuya bağlandığınız FTP programının lisanssız (marez) bir yazılım olması ise adeta “kediye ciğeri teslim etmeye benzer.” Şu yada bu şekilde kırılmış lisanslı bir ftp yazılımı kullanmanız icerebileceği zararlı kodları sitenize bulaştırmakta en cok rastlanılan zafiyetlerin başında gelmektedir.

Bunun yerine zaten tamamen ucretsiz olan WinSCP veya FileZilla gibi kaliteli ftp programlarına yonelmeniz marez ftp programı kullanmaktan “her halde” daha guvenli olacaktır.

Bilgisayar guvenliğinin hemen ardından gelen ikinci adımda da websitenize ait dosyalarınızın bulunduğu sunucunun guvenliğidir. Bu guvenlik, sunucu yoneticisinin deneyimli, ciddi bir firma yahut deneyimini bildiğiniz bir sistem yoneticisinin sağladığı hizmetle başlar. Profesyonel olmayan bir sistem yoneticisinin elinde iyi optimize edilmemiş bir sunucu adeta bir “yolgecen hanı” şeklinde hizmet veriyor olabilir. Bu sebeple de o sunucuyu kullanan bir cok hesap, isterse tum guvenlik tedbirlerini en uc noktada almış olursa olsun temelde guvensiz bir yapıya donuşecektir. Bu sebeple kalitesinden emin olduğunuz bir firma uzerinde hosting, sunucu hizmeti almanız website guvenliğinin temelini oluşturacak en onemli adım olacaktır.

Yazımızı fazla uzatmamak adına dilerseniz yavaş yavaş website guvenliğinin diğer aşamalarından bir tanesi olan “kullanılan script veya tasarım’ın guvenliği konusuna gecelim. Konumuz Joomla! olduğuna gore de script temelli yapacağımız değerlendirme de sonucta Joomla uzerinden olacaktır.

Cekirdek kod yapısı itibariyle en guvenli sistemlerden bir tanesi olan Joomla! zaman zaman bazı ufak tefek acıkları tespit edilse de arkasında bulunan etkin geliştirici desteği ve adeta her birisi test edici olan milyonlarca kullanıcısı uzerinden bu acıklar hızla kapatılarak daha guvenli bir sistem olma yolunda hızla yol almaktadır. Malumunuz uzere %100 guvenli bir sistem olmamakla beraber amac, guvenlik yuzdesini arttırmaktır. Joomla ve arkasındaki ekipte bunu layıkı ile yapmakta ve sık sık guvenlik veya sistem iyileştirme surumleri yayınlamaktadır.

Boylesi guvenli bir iskelet yapıyı zafiyete uğratacak olan bir diğer sebep ise 3. Parti diye tabir edilen ve serbest joomla geliştiricileri tarafından uretilen eklentilerdir. Genellikle sorunlu eklentiler Joomla eklenti deposu dışında, yani joomla’nın bir şekilde onaylamadığı eklentilerin sitenize kurulmasıdır.

Boylesi eklentilerin guvenliğinden soz etmek sanırım fazla iyimserlik olacaktır ki mumkun olduğu kadar joomla eklenti deposu dışında, onun onerdiği siteler dışındaki yerlerden eklenti edinmemek yerinde olacaktır.

Yine yukarıdaki değindiğimiz konunun devamı olarak değineceğimiz bir diğer unsur da kullanılan joomla surumunun guncelliği olacaktır. Zaten yaygın olarak joomla destek siteleri, teknoloji blogları uzerinden guncel joomla surumlerini takip edebiliyoruz. Bunu bir alışkanlık haline getirmeli, sorundan soruna joomla forumlarını kullanmamalı ve yeni surum denetimini sıklıkla yapmalısınız. Joomla guvenlik haberleri bağlantısından guncel guvenlik uyarılarını takip edebileceğiniz gibi aynı zamanda joomla yonetim panelinizin an sayfasında yer alan “Joomla Guvenlik Haber Başlıkları” modulu uzerinden de gorebilirsiniz.

Yine aynı şekilde joomla eklentilerinin guvenliği, tespit edilen acıklar vb. bilgileri de bu sayfa uzerinden takip edebilirsiniz. Nasıl ki joomla’nın guncel surumlerini takip ediyorsunuz, aynı şekilde sitenizde yuklu olan tum eklentileri hic uşenmeden en fazla bir haftalık aralıklarla takip ederek en guncel surumlu eklentilere sahip olduğunuza emin olun.

Bu yazımızda sizlerle temel anlamda dikkat edilecek olan hususları ele aldık, bir sonraki yazımızda da etkin guvenlik uzerine yapabileceklerimizi goreceğimizi belirtmek isterim.
Kaynak: Joomla WebSite Guvenliği 'Giriş'