Joomla İçerik Yönetim Sistemi (CMS), 110 milyondan fazla kez indirilen ikinci en büyük CMS olması nedeniyle kullanım kolaylığı ve popülerliği nedeniyle internette yaygındır. Ancak popüler olsa da Joomla ve diğer tüm web siteleri, uygulamalar, e-ticaret siteleri veya diğer CMS'ler güvenlik riskleri içerir. Onlardan kaçamazsınız, ancak neyse ki en baştan doğru önlemleri almak sitenizin korunmasını sağlayabilir.
Joomla güvenliği ile ilgili bu kapsamlı ve adım adım kılavuzu sizin için derledik. Joomla web sitenizin güvenliğini artırmak için uygulaması kolay adımlar sağlamayı amaçlamaktadır. Dolayısıyla, Joomla web sitenizi gelen tüm saldırılardan korumak gündeminizdeyse, bu kılavuzu okuyun. Bu makalede bahsedilen tüm ipuçları, en önemli varlıklarınızı çevrimiçi olarak korumak için en iyi güvenlik ve bakım uygulamalarını uyguladığınızdan emin olmak içindir.
1. Akıllı Kullanıcı Adlarını ve Şifreleri Seçin
Joomla yönetici kullanıcı adlarınızı ve şifrelerinizi seçerken akıllı olun. Kullanıcı adınız olarak "admin" kullanmayın ve karmaşık bir şifre seçin. Bu muhtemelen Joomla güvenliğinizi sağlamlaştırmanın en iyi yollarından biridir ve ironik olarak en kolaylarından biridir.
Sağlıklı Joomla güvenliği için güvenli bir şifre kullanmak gereklidir. Giriş şifrenizin yeterince uzun olduğundan (8-14 karakter) ve harfler, sayılar ve semboller içerdiğinden emin olun. Parolalar büyük / küçük harfe duyarlı olduğundan, hem büyük hem de küçük harflerin kullanılması onu daha da güçlendirir. Ayrıca, yönetici şifrelerini ayda en az bir kez değiştirmeyi alışkanlık haline getirin.
2. En Az Ayrıcalık İlkesini Uygulayın
Üç farklı izin grubunu anladığınızdan emin olun:
- Managers: Joomla'nın arka ucuna en az erişime sahip olun. Kategoriler ve makaleler oluşturabilir ve düzenleyebilir. Medya yöneticisine erişebilir ve medyayı yükleyebilir ve kaldırabilir. Uzantılar yüklenemez veya kaldırılamaz.
- Administrators: Yöneticilerin sahip olduğu tüm haklara ve birkaç ek izne sahiptir. Kullanıcı Yönetimi, Menü Yöneticisi ve Extension Manager'a erişim sağlayın. Joomla Global Yapılandırma menüsüne erişilemiyor.
- Super Users: Joomla Arka Ucuna tam erişime sahiptir. Genel Yapılandırmaya erişimin yanı sıra Managers ve Administrators tüm haklarına sahip olun. Yalnızca Süper Kullanıcılar Süper Kullanıcı ekleyebilir, düzenleyebilir ve kaldırabilir.
Bu rolleri kullanıcı grubunuza dikkatlice dağıtmanız önemlidir. Süper Kullanıcı rolüne sahip olan herkes Joomla sistemi içinde herhangi bir eylemi gerçekleştirebilir. Daha az izin gerektiren bir ekip üyesine görevler atarsanız, üye hesabına minimum erişim açıklaması atayın.
3. Joomla İki Faktörlü Kimlik Doğrulamayı Kullanın
Joomla web sitenize ekstra bir güvenlik katmanı ekleyen Joomla İki faktörlü kimlik doğrulamayı etkinleştirmeniz şiddetle tavsiye edilir. Geleneksel olarak, web sitenize giriş yapmak istediğinizde, kendinizi sistemde tanıtmak için kullanıcı adınızı ve şifrenizi girmeniz gerekir. Bu yaklaşımla ilgili en büyük sorun, kullanıcı adınızın ve şifrenizin çalınabilmesi veya tahmin edilebilmesidir. Bu nedenle, Joomla İki faktörlü kimlik doğrulama eklentisi, kullanıcı adınızı ve şifrenizi girdikten sonra 6 basamaklı bir kod girmenizi isteyen ikinci bir güvenlik katmanı ekleyerek web sitenizi bilgisayar korsanlarından koruyabilir; kodu tahmin et.
4. Joomla Yönetici Arka Ucuna Erişimi Kısıtlayın
Hassas bir kaynak olduğundan, IP filtrelemeyi kullanarak Joomla yönetici arka ucuna erişimi sınırlamak akıllıca olacaktır. Bu, aşağıda belirtilen adımları izleyerek Joomla'nın diğer hassas klasörleri için de yapılabilir:
- Adım 1: Korumak istediğiniz dizinde henüz mevcut değilse, öncelikle bir .htaccess dosyası oluşturun.
- Adım 2: Aşağıdaki kodu .htaccess dosyasına ekleyin:
Order Deny, Allow
Deny from all
Allow from xx.xx.xx.xx
- Adım 3: Erişime izin vermek istediğiniz özel IP adresini xx.xx.xx.xx yerine girin.
Htaccess kullanarak IP adresine göre dizin erişimini kısıtlama hakkında daha fazla bilgi burada bulunabilir. IP filtreleme özelliğini kullanarak Joomla yönetici arka ucuna erişimi kısıtlayabilen ve Joomla web sitesi güvenliğinizi güçlendiren diğer birçok özelliği içeren güvenlik uzantılarını da kullanabilirsiniz.
5. Güvenli FTP Bağlantılarını Kullanın
Joomla web sitesi dosyalarınıza erişmek için kullanılan bağlantıların güvenli olduğundan emin olun. Barındırma sağlayıcınız sağlıyorsa SFTP şifrelemesini veya SSH'yi kullanmalısınız. Bir FTP istemcisi kullanıyorsanız, SFTP için varsayılan bağlantı noktası genellikle 22'dir.
Bazı FTP istemcileri, parolaları düz metin olarak veya bilgisayarınızda kodlanmış olarak saklar. Hatta bazı şifreli şifreler bile orijinal haline dönüştürülebilir. Saldırıya uğramamak için istemcide FTP şifrelerini kaydetmemenizi şiddetle tavsiye ederiz.
6. Düzenli Yedeklemeler Alın
Web sitenizin saldırıya uğraması durumunda en kötü senaryoya hazırlanarak zamandan tasarruf edin. Bu nedenle, Joomla web sitenizin eksiksiz bir çalışan yedeğini oluşturmanız önerilir. İşlevsel bir yedekleme, web sitenizi bir siber saldırıdan birkaç dakika sonra geri yükleyebilir.
Bir yedeklemenin iki ana bileşeni şunlardır:
- Joomla Core ve diğer önemli dosyalar
- Veritabanı
Ayrıca, yedekleme yöntemleri de esnek olabilir. İki yoldan birini yedekleyebilirsiniz: Manuel ve Otomatik, aşağıda açıklandığı gibi:
Manuel İşlem
Joomla sitesinin manuel yedeklemesi iki bileşene ihtiyaç duyar: dosyalar ve veritabanı. Joomla dosyalarınızı ve klasörünüzü yedeklemek için, üçüncü taraf barındırma kullanmanız durumunda bir FTP yardımcı programı veya dosya yöneticisi kullanın.
FTP istemcileri tüm dosyaları tek tek yerel makinenize indirebilir. Ancak bu süreç yavaş olabilir. Dosyalar indirildikten sonra, klasörü tek bir zip dosyasına sıkıştırın, ardından şifre koyarak onu koruyun.
Veritabanının bir kopyasını bilgisayarınıza aktararak veritabanı yedeklenebilirken. PhpMyAdmin kullanarak dışa aktarmak istediğiniz veritabanında oturum açın. Sayfanın sol tarafındaki veritabanı adına tıklayın. Joomla veritabanınıza tıkladıktan sonra, "Dışa Aktar" etiketli bir sekme olan bir ekrana gelmelisiniz. Dışa Aktar sekmesini seçin ve ardından "Git" etiketli düğmeyi tıklayın. Ardından güvenli bir yere kaydedin.
Otomatik Süreç
Otomatik yedekleme için, Akeeba Backup gibi bir Joomla uzantısı yardımcı olabilir. Akeeba Backup uzantısını geliştirici resmi sitesinden indirdikten sonra Joomla web sitenize kurun. Kurulum tamamlandıktan sonra, uzantı Gösterge Panosuna erişin ve ardından sitenizi yedekleyin. Yedekleme tamamlandığında bir sayfaya yönlendirileceksiniz. Burada, "Yedeklemeleri Yönet" e tıklayın. Bu, tüm yedeklemeleri içeren bir sayfa açacaktır. Yedeği buradan indirebilir ve yerel olarak kaydedebilirsiniz.
7. Joomla Web Sitenizi Güncel Tutun
Joomla web sitenizi güncellemek, siteye güvenlik ve istikrar sağlayabilir. Ayrıca, tüm güncellemeler tam site sürümü güncellemeleri değildir; birkaç güncelleme küçük olabilir ve sadece hata düzeltmeleridir, diğerleri ise sürüm güncellemeleridir.
Joomla, yamaları hızla yaymasıyla bilinen özel bir güvenlik ekibine sahiptir. Joomla web sitenize yama uygulamamak, onu korsanlığa karşı savunmasız hale getirebilir.
Sitenizi güncellemeler için kontrol etmek için aşağıdakileri yapabilirsiniz:
- Adım 1: Joomla sitenizde yönetici olarak oturum açın
- Adım 2: Daha sonra, Bileşenler> Joomla Güncelleme'ye gidin
- Adım 3: Şimdi, Joomla herhangi bir yeni güncelleme olup olmadığını kontrol edecek. Yeni bir güncelleme gösterirse, "Güncellemeyi Yükle" seçeneğine tıklayın.
Joomla'nın daha yeni bir sürümüne güncelleme yapmadan önce bazı şeyler kontrol edilmelidir:
- Şablon Güncellemesi: Joomla şablonlarınızın daha yeni Joomla sürümüyle uyumlu olup olmadığını kontrol edin. Değilse, şablon yazarından şablonu güncellemesini veya bir alternatifi kullanmasını isteyin.
- Uzantı Güncellemesi: İnceleyin ve tüm Joomla uzantılarının daha yeni Joomla sürümüyle uyumlu olduğundan emin olun. Uyumlu olmayanların hepsini kaldırın. Uzantıları güncellemek için, Uzantılar> Yönet'e gidin ve güncellemeyi tıklayın.
- Önbelleği Temizle: Joomla'nın daha yeni bir sürümüne güncelledikten sonra, önbelleği Joomla sitenizden temizleyin. Bu, Joomla'nın yerleşik işlevselliği kullanılarak yapılabilir.
8. Güvenilir 3. Taraf Uzantıları ve Şablonları Kullanın
Optimum Joomla güvenlik seviyesini elde etmek için web sitenizde minimum sayıda uzantı kullanmanız önerilir. Güvenilmeyen üçüncü taraf uzantılarını veya şablonlarını kullanmak, güvenlik açıkları oluşturabilir ve Joomla web sitesi performansınızı etkileyebilir. Tüm 3. taraf uzantıları sorunsuz değildir; 3. taraf bir uzantıdan kaçınma lüksüne sahipseniz, bunu yapın! Saygın şirketlerden profesyonel uzantıları ve şablonları seçin ve kullanın ve web sitenizi korumak için bunları güncel tutun.
9. Joomla Web Sitenizin PHP Sürümünü Güncelleyin
Web sitenizi çeşitli bilgisayar korsanlığı saldırılarından koruyun ve sitenizin PHP sürümünü en son kararlı sürüme güncelleyerek Joomla site güvenliğinizi güçlendirin. Sitenizi bozmamak için Joomla şablonlarınız ve uzantılarınızla uyumlu bir PHP sürümü seçtiğinizden emin olun. PHP sürümünüzü güncellemenin çeşitli yolları vardır. Bunlardan başlıcaları, Joomla Sitenizin PHP Sürümünü Güncelleme 'dir.
10. HTTP Güvenlik Başlıkları Sağlamlaştırın
Saldırıları ve güvenlik açıklarını azaltmaya yardımcı olarak Joomla siteniz için bir güvenlik katmanı sağladıkları için HTTP güvenlik başlıklarını uygulamanız veya güncellemeniz şiddetle tavsiye edilir. Genellikle web sunucunuzda yalnızca küçük bir yapılandırma değişikliği gerektirirler. Bu başlıklar, tarayıcınıza sitenizin içeriğini işlerken nasıl davranması gerektiğini söyler. Aşağıda, gözden geçirilmesi gereken altı yaygın HTTP güvenlik başlığı bulunmaktadır:
- İçerik Güvenliği Politikası
- X-XSS Koruması
- Sıkı Taşıma Güvenliği
- X Çerçeve Seçenekleri
- Genel Anahtar Pimleri
- X-İçerik Türü
11. Bir Joomla Güvenlik Uzantısı Kullanın
Joomla web sitenize kaba kuvvet saldırılarını önlemek için Joomla yönetici arka ucundaki oturum açma girişimlerini sınırlandırmanız gerekir. Bu, web sitesi yöneticinizin arka ucunu bilgisayar korsanlığı girişimlerinden koruyan çeşitli Joomla güvenlik uzantıları tarafından uygulanabilir. Bu tür uzantıları Joomla Extensions güvenlik listesi kategorisinde bulabilirsiniz.
12. Güvenli Bir Barındırma Sağlayıcısı Seçin
Seçtiğiniz barındırma sağlayıcısının Joomla güvenlik önlemlerini uyguladığından emin olun. Paylaşılan bir barındırma seçerseniz, Joomla güvenliğini dikkate alarak alt ağ oluşturmanın uygulandığından emin olun. Paylaşımlı bir ucuz barındırma sağlayıcısı satın almak ideal bir başlangıç noktası olmayabilir, çünkü siteniz daha yavaş olacaktır, düşük itibara sahip sitelerin 'kötü komşuluğu' nedeniyle spam'a maruz kalacaktır ve diğer sitelerin saldırıya uğraması durumunda güvenliği ihlal edilebilir. Ayrıca bir barındırma planı seçerken, özelleştirme, destek, incelemeler vb. Gibi çeşitli parametreleri kontrol edin.
13. Joomla Güvenliğini Artırmak İçin SSL Kullanın
Joomla siteniz ile ziyaretçinizin tarayıcıları arasındaki iletişimi şifreleyeceğinden, web sitenize bir SSL (Güvenli Yuva Katmanı) sertifikası yüklemeniz şiddetle tavsiye edilir. Doğrulanmış bir sertifika yetkilisinden bir SSL sertifikası alın ve tüm HTTP trafiğinizin HTTPS'ye yönlendirildiğinden emin olun. Bunu yapmak için .htaccess dosyanıza aşağıdaki kodu ekleyin:
- #Redirect HTTP to HTTPS
- RewriteEngine On RewriteCond %{HTTPS} off
- RewriteCond %{HTTP:X-Forwarded-Proto} !https
- RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
14. Sık Joomla Güvenlik Denetimi
Joomla web sitenizi güvenli ve emniyetli tutmak için bir bilgisayar korsanı yapmadan önce güvenlik açıklarını ortaya çıkarmak son derece önemlidir. Bu, web sitelerinizi yönetirken size çok zaman kazandırabilecek profesyonel bir güvenlik denetim aracı seçerek yapılabilir. Titiz güvenlik denetimleri, Joomla güvenliğinizi geliştirmenin harika bir yoludur. Birçok hizmet bunu, web sitesi yedeklemeleri oluşturma, izinsiz giriş belirtilerini tarama ve güvendiğiniz uzantıları toplu olarak güncelleştirme gibi görevleri otomatikleştirerek yapar. Ayrıca, sitenizi en iyi güvenlik uygulamalarının kullanımı için tarayabilir ve olası güvenlik tehditlerini aramak için derin bir tarama gerçekleştirebilir. Bu hizmetler, Joomla sitenizdeki güvenlik açıklarını keşfetmek için manuel ve otomatik mekanizmanın optimize edilmiş bir karışımını kullanır.
15. Kurulum Sonrası Mesajları Kontrol Edin
Joomla Ekibi size yükselttikten sonra veya Joomla'yı ilk kez kurduktan sonra ilgilenmeniz gereken önemli bilgiler sağladığından, tüm kurulum sonrası mesajları okumanız şiddetle tavsiye edilir. Bu mesajlar çoğunlukla Joomla güvenlik yapılandırmalarını veya manuel olarak yapılması gereken ve bir yükseltmenin değiştiremeyeceği dosya değişikliklerini içerir.
16. Savunmasız Uzantıları Tanıyın
En son güvenlik risklerini ve olası yamaları öğrenmek için her zaman Savunmasız Uzantılar Listesi (VEL) web sitesini ve sosyal medya sayfalarını kontrol edin. Güvenlik Açığı Olan Uzantılar Listesi'nde listelenen ve herhangi bir düzeltme ekinin bulunmadığı bilinen tüm uzantıların kaldırılması önerilir. Güvenlik açığı bulunan uzantınızı, yaması kullanılabilir olduğunda güncellediğinizden emin olun. Siteniz, yama güncellemesine sahip olmayan bir uzantının savunmasız bir sürümünü kullanıyorsa, onu değiştirmeniz önerilir.
Sonuç
Her zaman risk olacağından, Joomla güvenliği, olası saldırı taşıyıcılarının sık sık değerlendirilmesini gerektiren sürekli bir süreç olarak kalacaktır. Web sitesi sahipleri ve yöneticileri, bir uzlaşma riskini azaltmak için her zaman web sitesi güvenliğini iyileştirmelidir.
Sonunda, umarım bu makaleyi pratik ve yararlı bulursunuz. Joomla web sitenizin güvenliğini sağlamak için yardıma ihtiyacınız varsa, lütfen sorularınızı yorumlar bölümüne gönderin, size yardımcı olmaktan memnuniyet duyarım.
NOT: Brian Teeman'a makale hakkındaki geri bildirimi için teşekkür ederiz. İlk yayından bu yana düzeltmeler yapıldı.