Son dönemde, Facebook, Instagram ve diğer yaygın olarak kullanılan hizmetler gibi internet'in büyük isimlerini de etkileyen çeşitli şifre ve gizli veriler ışığında, BT güvenliği ve web güvenliği hakkında giderek daha fazla konuşuluyor.
Bununla birlikte, küçük ve orta ölçekli sitelerde veri ihlalleri de meydana gelebilir, bu nedenle bunun olmasını önlemek web yöneticisinin yararınadır. Bu makalede, bir Joomla! web sitesinin güvenlik düzeyini artırmaya ve çeşitli türdeki hacker saldırılarına daha az eğilimli hale getirmeye yardımcı olacak bazı önleyici tedbirler göreceğiz.
Joomla! Sitesi Nasıl Güvenli Hale Getirilir?
Bir sitenin güvenliği tabandan inşa edilmiştir, bu nedenle en banal, ancak temel şeyler bile savunmasını büyük ölçüde artırır.
Güncellemeler
Joomla! sitelerinde başarılı hacker saldırılarının ana nedeni, CMS'nin eski sürümlerinin veya eski uzantıların kullanılmasıdır. Joomla'nın en son desteklenen sürümünü kullandığınızdan emin olmak için arka uçtaki kontrol panelini düzenli olarak kontrol edin.
Yüklü uzantıların güncellemelerini kontrol etmek için "Eklentiler > Yönetim > Güncelleme Siteleri" açın. Ne yazık ki, bazen tüm uzantı geliştiricileri size bir güncelleme bildirmek için Joomla! çekirdek uyarı özelliğini kullanmadığından bu yeterli değildir.
Bu nedenle, yüklü uzantıların yeni sürümlerinin yayınlanmasına dikkat etmek gerekir ve Joomla! çekirdek güncelleme bildirim özelliğini kullanmazlarsa, güncellemelerin yayınlanmasıyla ilgili bültenlere veya RSS yayınlarına abone olun.
Periyodik İnceleme
Yönetilen sitelerin güncelleme durumunu kontrol etmek için aylık olarak 30 dakika planlayın. Hafta sonundan önce Cuma öğleden sonraları için ideal bir etkinlik olabilir.
Bilinen Güvenlik Açıklarını Kontrol Edin
Joomla! çekirdeğinin parçası olmayan tüm kurulu uzantıların bir listesini hazırlamanız önerilir: bileşenler, modüller, eklentiler ve şablonlar. Joomla!, Güvenlik Açığı Uzantıları Listesi (VEL) adı verilen bilinen uzantıları içeren bir veritabanı sağlar; burada uzantıların varlığını yalnızca arama kutusuna girerek doğrulamak mümkündür.
Joomla! Güvenlik Bildirimlerine Abone Olun
Joomla!, bir çekirdek veya uzantı güvenlik açığı durumunda kullanıcıları güncellemek için posta listelerini kullanır. Bildirimler Google Feedburner: Joomla! Güvenlik Bildirimleri aracılığıyla gönderilir
Yönetici Şifrenizin Sağlamlığını Kontrol Edin
Tahmin edilmesi veya zorlaması kolay şifreler çok yaygın bir güvenlik sorunudur. Bilgisayar korsanları tarafından kolay şifreleri kırmak için kullanılan tekniğe "kaba kuvvet" denir ve arka uç paneline erişim sağlayacak kombinasyonları tahmin etmek için bir komut dosyası kullanmaktan oluşur.
Bir parolanın etkinliği ile ilgili en iyi ölçüm uzunluk kadar rastgele değildir. Karakterlerde bazı varyasyonlar içeren uzun bir şifre kullanın ve bunları "şifrem ne kadar güvenli" gibi çevrimiçi araçlarla doğrulayın.
Örneğin, bir parola, myRand0mP4ssw0rd! şeklinde ise bir bilgisayar korsanı tarafından kırılması uzunca bir zaman alabilir.
Yedekleme
Birçok barındırma şirketi otomatik yedekleme sağlar. Kesinlikle mükemmel, ancak sorun durumunda yedeklilik oluşturmak için kişisel yedeklemeler ayarlamak ve korumak her zaman daha iyidir. En iyi, ama aynı zamanda en çok kullanılan uzantı Akeeba Backup'dır.
Barındırma firması, yedekleme sağlamıyorsa veya kendinizi herhangi bir olasılığa karşı korumuyorsa, Akeeba Backup'ı yükleyin ve düzenli olarak yedeklenecek ve site dışında saklayacak şekilde yapılandırın. Yedeği Dropbox veya Amazon S3'e manuel olarak göndermek yaygın bir uygulamadır.
Yedekleme otomatik hale getirildikten sonra, üç ayda bir yedeklemenin geçerli ve işlevsel olup olmadığını kontrol etmeniz önerilir.
Güvenlik Açıklarının Giderilmesi
"Görüntüleme alanını" azaltmak, Joomla! web sitenizin güvenlik düzeyini yükseltmek için iyi bir yöntemdir.
Dosya ve Klasörlerdeki İzinleri Kontrol Etme ve Düzeltme
Joomla'da, tüm web uygulamalarında olduğu gibi, dosya ve klasörlerin kimin neyi değiştirebileceğini belirten izinleri vardır; bu, yetkisiz değişiklikleri önlemek için çok yararlıdır, ancak yeni başlayan biri için bu izinleri değiştirme eğiliminde olmak, herkesin değişiklik yapmasına izin vermek için çok yaygındır.
Bir Joomla! sitesi internette uygunsuz izinlerle bulunduğunda saldırmak çok daha kolaydır. Dosya izinlerini kontrol etmenin ve düzeltmenin birkaç yolu vardır; bunlardan ilki, Yönetici Araçları gibi kendileriyle otomatik olarak ilgilenen bir uzantı yüklemektir. Eşit derecede etkili bir başka yol da, daha fazla zaman ve bilgi gerektiren izinlerin manuel olarak düzeltilmesidir.
PHP Sürümünü Kontrol Edin
PHP, Joomla'nın yazıldığı dildir, ayrıca web'deki diğer birçok yazılım ve uygulamadır ve aynı dilin kendi güvenlik açıkları vardır; bu nedenle, savunmasız olmayan güncel bir sürüm kullandığınızdan emin olmanız gerekir.
Kullanılan PHP sürümünü kontrol etmek için Joomla! arka ucundan "Sistem> Sistem Bilgisi" ne gidin. PHP sürümünüzü not alın ve bir güvenlik açığı veritabanının arama kutusuna girin (CVE - Ortak Güvenlik Açığı Veritabanı): Bakınız
PHP sürümünüzün bilinen güvenlik açıklarından etkilenmesi durumunda, sonraki adım, barındırma kontrol panelinizden yeni bir sürüm seçmek veya barındırma sağlayıcısından güncelleme istemektir.
Aşağıdaki bağlantıda, uzun vadede hangi sürümün benimseneceğine dair bir fikir edinmek için geçerli PHP yayın döngüsünü görüntüleyebilirsiniz: Bakınız
Eski Yönetici Kullanıcılarını Silin
Bir süredir aktif olan bir Joomla! sitesi için, Süper Kullanıcıları, zaman içinde geliştiricilere veya eski çalışanlara verilen maksimum site yönetimi ayrıcalıklarına sahip kullanıcıları biriktirmek çok yaygın bir senaryodur.
Eski hesaplar "kaba kuvvet" saldırıları için kullanılabilir, çünkü çoğu zaman Süper Kullanıcı ayrıcalıklarıyla ve bir geliştiriciden teknik desteğe izin vermek için çok basit bir şifre ile geçici bir hesap oluşturduğumuzu unutuyoruz.
Birkaç yıl sonra, bu silinmemiş geçici hesaplar, bilgisayar korsanlarının web sitesini tehlikeye atabilecekleri gerçek bir Truva atı temsil edebilir. Kontrol etmek ve düzeltmek için Kullanıcı Yönetimi'ne gidin, Kullanıcı Gruplarına göre filtreleyin, Yöneticiler ve Süper Kullanıcılar hesaplarını tek tek kontrol edin ve kullanılmayan veya gereksiz olanları kaldırın.
Önemli: Etkin olan ve orada olmaması gereken bir Süper Kullanıcı hesabı varsa, büyük olasılıkla site saldırıya uğramıştır ve geri kazanma ve güvenli bir şekilde devam etmek gerekir.
Bilgisayar korsanları tarafından kullanılan çok yaygın bir uygulama, sitenin ön ucundan normal bir kullanıcı olarak kaydolmak ve ardından Süper Kullanıcıdan izin alıncaya kadar ayrıcalıkları yükseltmek için bir güvenlik açığından yararlanmaktır.
Gerekirse Yönetici Kullanıcıyı Kontrol Edin ve Yeniden Adlandırın
Kullanıcı Yönetimi'nden "admin" adlı kullanıcıyı aramaya gitmek de iyi bir uygulamadır. Bu kullanıcı varsa, kullanıcı adını "admin" kelimesinden başka bir adla yeniden adlandırmak daha iyidir.
Bu kullanıcı adını değiştirmenin nedeni, varsayılan Süper Kullanıcı adı olması ve kaba kuvvet saldırılarında güvenli veri olarak kullanılabilmesidir. Kullanıcı adını yönetici dışında bir adla değiştirerek, bilgisayar korsanlarının parolaya ek olarak kullanıcı adını da tahmin etmesi gerekir, bu da kaba kuvvet saldırılarını biraz daha zorlaştırır.
Kullanılmayan Üçüncü Taraf Uzantıları Kaldırın
Bir Joomla! sitesinin zaman içinde, belki de artık kullanılmayan bir dizi uzantı biriktirmesi çok yaygındır. Bu, ilke olarak, bir güvenlik riski oluşturur, çünkü şu anda bu uzantılar için bilinen bir güvenlik açığı olmamasına rağmen, gelecekte keşfedilmeyecekleri anlamına gelmez.
Bu ek uzantılar, sitenin güvenlik açıklarından etkilenme olasılığını artırarak saldırı yüzeyini artırır. Bu yüzden kullanılmayan uzantıları kaldırmak iyi bir uygulamadır. Mevcut olmayan kod eklenemez.
Önemli: Sitenizden bir şey silmek istediğinizde, önce bir yedek oluşturmanız gerekir. Ayrıca, bir uzantıyı tamamen silmeden önce sitedeki etkisini kontrol etmek için devre dışı bırakmak yararlıdır.
Uzantıları devre dışı bırakırken, sitedeki etkinin doğru bir şekilde değerlendirilebilmesi için önbellekleme mekanizmalarının devre dışı bırakılması önerilir.
Eski Dosyaları ve Kurulumları Kaldırma
Yıllardır çevrimiçi olan Joomla! siteleri, özellikle taşıma veya başarısız güncelleme durumunda artık gerekli olmayan ek dosyalar biriktirme eğilimindedir. Kontrol edin ve kaldırın:
- Gerekli olmayan herhangi bir PHP dosyası güvenlik riski taşır ve kaldırılması gerekir
- Veritabanı dökümlerini (genellikle ".SQL" uzantılı) veya herkese açık site yedek dosyaları gibi bilgileri ortaya çıkaran yedeklemeler
- Alt klasörlerde eski sürümler veya site yedeklemeleri. Eski bir sitenin herkese açık olarak bağlantılı olmaması, bilgisayar korsanlarının erişemeyeceği anlamına gelmez. Bilgisayar korsanları web alanının bir bölümüne saldırdıktan sonra başka bir bölümü değiştirebildiklerinden, sitenin eski bir sürümü herkese açık olarak mevcutsa, güncelleştirilmiş bir yüklemeye sahip olmanın herhangi bir yararı yoktur. (Aynı şekilde, örneğin WordPress'teki bir blog veya Joomla'da olmayan bir sepet gibi farklı CMS kullanılıyorsa, bu uygulamaların her zaman güncellenmesi büyük önem taşır.)
Önemli: Tüm siteyi veya web alanını tehlikeye atmak için güvenlikte yalnızca bir "delik" olması yeterlidir.
Hata Raporunun Devre Dışı Olduğundan Emin Olun
Genel Yapılandırma'da, "Sistem> Genel Yapılandırma> Sunucu" da hata raporunun devre dışı olduğundan emin olun ("Hiçbiri" olarak ayarlayın).
Bunun nedeni, "bilgi ifşası", yani bilgisayar korsanlarının sitenin yollarını ve uygulama yöntemlerini anlamalarına yardımcı olabilecek potansiyel olarak gizli bilgilerin ve teknik detayların yayınlanması olacaktır.
Hata raporunu devre dışı bırakarak, kasten üretebilecekleri hataların çoğu hakkında bilgi verilmeyecektir.
Bir Joomla! Sitesinin Savunmasını Artırın
Yaygın zayıflıkları ortadan kaldırdıktan sonra, Joomla! sitenizin savunmasını artırma zamanı.
Arka Uca Erişimi Koruyun
Yönetici parolalarını zorlama girişimlerini önlemenin bir yolu, kullanıcıların arka uca erişmesini tamamen önlemektir.
Bunu yapmanın en yaygın iki yolu:
- "yönetici" klasörünü bir şifre ile korumak veya
- yalnızca secret parametresini kullanırken erişilebilir olmasını sağlamak için arka uç URL'sine bir gizli parametre ekleyin
Bu iki yaklaşımdan en basit olanı, URL'de gizli bir parametre belirlemektir. Bunun nedeni, bir uzantıyı ayarlamak için kullanılabilmesi ve sitenin arka ucuna erişmek için iki giriş ekranının geçilmesine gerek olmamasıdır. Hem Yönetici Araçları hem de RS Güvenlik Duvarı, parametrenin arka uç URL'sine eklenmesine izin verir.
Aksi takdirde, yönetici klasörünün parola ile korunmasına ilişkin bilgiler resmi Joomla! belgelerinde bulunabilir.
.Htaccess Dosyasını Kullanın ve Geliştirin
Joomla! "htaccess.txt" adlı bir dosya sağlar, bir kez ".htaccess" olarak yeniden adlandırılırsa SEF (Arama Motoru Dostu) URL'leri kullanmak mümkündür. Ancak, bu dosya, arama motorları için optimize edilmiş URL'ler kullanılmasa bile bilgisayar korsanlarına karşı bazı sağlam temel koruma da içerir.
.Htaccess dosyası temel olarak URL'lere ulaşılabilecek kuralları ve bunların Joomla! yüklemesi tarafından nasıl yönetileceğini belirler. Örneğin Yönetici Araçları, güvenliği artırmak için kuralların oluşturulmasını basitleştiren bir .htaccess dosya oluşturma aracına sahiptir.
2 Faktörlü Kimlik Doğrulamayı Uygulamayı Düşünün
2 faktörlü kimlik doğrulama, telefonu Joomla! girişine yaklaştırır ve her erişimde sayısal bir kod (jeton) girilmesini gerektirir. Bu, bilgisayar korsanlarının şifreyi tahmin etme olasılığını azaltır, çünkü yalnızca yönetici şifresini bulmakla kalmaz, aynı zamanda jeton kodlarını görüntülemek için cep telefonunu da kontrol etmelidir.
İki faktörlü kimlik doğrulama hakkında daha fazla bilgi edinin: Buraya bakınız
Kaynak: Joomla.it