Güvenli bir Joomla paketini, yani aktif serilerden birine ait son sürüm Joomla paketini güvenli kılacak birden fazla faktör var. Bunlardan çıkış noktasında en önemli olanı proje faktörü. Geçen yazıda proje faktöründen yüzeysel de olsa bahsetmiştim. Joomla bu noktadaki güvenliği tamamlıyor. Sonraki faktörler biri yine proje ki bu da o güvenli yapının delinmesi durumunda devreye giriyor. Ona da değinmiş, Joomla Projesinin bu tür durumlardaki tepki hızından bahsetmiştik. Sırada teknik ve insan temelli 3 faktör daha yer alıyor. Bunları "barınma", "uygulamalar" ve "kullanıcı" diye isimlendirebiliriz.
Aslında hep okları kendimize çeviriyorm belki ama gerçekten de Joomla hostingi dahi önemli kılan en önemli şey onu satın alan kullanıcı. Hosting güvenliği, özel durum barındırmaları dışında artık neredeyse sıradan bir konu. Kurallar neredeyse jenerik ve herkes tarafından uygulanabilen açık kurallar. Güvensiz barındırma alanlarının çokluğundan bahsetmek doğru olmaz. Ne var ki dikkatsiz bir kullanıcının, azınlıktaki bu tür yerleri tercih etmesi işten bile değil.
Arkadaşlar, çok kolay olan hosting alımı yine de bakkaldan ekmek alır gibi yapılmaz. Çok az olan güvensiz barıdırıcılığa rağmen güven unsuru gözetilmeden hosting alınmaz. Hosting alacağınız yer, tâbiri caizse hostingçiye benzemeli. Asgari gereksinimleri kesin olarak karşılamalı ve bunlarla ilgili sorulara net cevaplar veriliyor olmalı. "Kem-küm hostingi" iş görmez, bu kesin bir kuraldır. Düzenli yedek alınıyor olması bir geri dönüş tedbiri olduğu kadar riskleri de olan bir durumdur. Güvenlik için bu tek başına güvenilebilir bir unusur değildir. Burayı uzatmayayım, barındıracağını yeri seçerken oraya güvenip güvenemeyeceğinizi düşünerek karar verin. Bu, hosting alımında önemli bir tedbirdir.
Kısmetse hosting konusuna ayrı bir yazıda daha detaylı değineceğim.
Modüler yapıdaki Joomla, hele bir de yeni ya da özensiz bir kullanıcı ise kısa sürede eklenti çöplüğüne dönüşüyor. Bu çöplük aslında patlamaya hazır bir bomba. Özellikle tarayıcı taraflı saldırıların, özel adresler taranarak bu adresler üzerinden sistemin aldatılması ya da mantık dışı harekete zorlanması şeklinde gerçekleştiğini düşünürsek, saldırganın kullanacağı en temel şeyin bir adres yapısı olduğunu kavrayabiliriz. Kullanmadığımız ya da güvensiz eklentiler işte bu kendi adres yapıları ile faka basıyor. Bizim yeni ya da umursamaz kullanıcımız da kullansın kullanmasın tüm eklentileri kolleksiyon gibi biriktiriyor sitede. İşte önemli bir sorun. Hele bir de bu eklentilerin kullanılmayıp unutulanlarının güvenlik sorunu yaşayanları olmaya başladı mı vay o sitenin haline. Artık sunucu ne kadar güvenli olsa, Joomla ne kadar yeni son sürüm olsa nafile. Mantıklı, ihtiyaç çerçevesinde ve denetim altında kullanılan eklentiler Joomla!'yı tam da sizin istediğiniz hale getirirken, bunun aksi tam da saldırganların istediği hale getirir.
Bir Joomla web sitesinin her noktasında kullanıcı davranışı güvenlik durumunu etkileyen en büyük faktör olarak karşımıza çıkar. Güvenli ama uyumsuz bir hosting alanında izin seviyelerini yerle bir ederek o alanı güvensiz kılan da kullanıcıdır, sistem güncellemelerini önemsemeyen de kullanıcıdır, ek uygulamaları özenle seçmeyen, bunların güncel durumlarını takip etmeyen, rasgele kodları sisteme bütünleştirmeye çalışan, çok kullanıcılı bilgisayarlardan site yönetimi ve sunucu/ftp erişimleri sağlayan da kullanıcılardır. Beğendiği bir temayı ödeme yapmadan sahip olmak için üreticisi yerine yetkisiz sitelerden warez olarak indiren de yöneticinin amca oğlu değil, kendisidir neticede.
Bunlar, Joomla güvenliği konusundaki ana başlıklarda genel değerlendirmelerdi. Böylece Joomla ve Joomla güvenliği konusundaki mantığın oturmuş olduğunu düşünüyorum. Takip eden yazılarda durumu detaylandırmaya çalışırken bazı noktaların tekrar tekrar üzerinden geçeceğim.
Şimdilik biraz güvendeyiz.
Sonraki yazı 26 Nisan 2012 Perşembe: