Joomla 2.5 piyasaya cikali yaklasik 7 ay oldu. Bu 7 ay icerisinde cesitli Joomla 2.5'e ait guvenlik aciklarini burada kapatmaya calisacagim.
1# Fabrika ayarindan kurtulun:
Joomla Admin girisi detaylariniz (kullanici adi, parola ve url giris yonteimi), host girisi detaylariniz, database kullanici adi ve parolanizi degistiriniz. Joomla super admin idsi 2.5 surumunde rastgele olarak geldiginden endise etmenize gerek yok ancak, Joomla administrator giris yontemini degistirmeniz gerekiyor. Joomla 2.5 surumunde bile hala, /administrator olarak admin bolumune giris yapilabilmektedir. Joomla extensions bolumunden admin bolumunu degistirebileceginiz uygulamalar bulunabilir.
Ayrica administrator dosyasini .htaccess dosyasi ile IP engellemesi yapiniz. Bunun uzerine, parola korumasida eklemelisiniz.
2# Joomlayi ve bilesenlerini guncelleyip gereksiz olanlardan kurtulunuz. En onemlisi!
Joomlayi her zaman guncel tutup butun bilesenleri,(plugins, modules, extenstions) guncel tutunuz. Gereksiz Joomla ile gelen ornegin bee_113 temasi ve smart search ve weblinks gibi ozellikleri kaldiriniz. Bu guncellemelerden uygulama sahiplerinin sitesine uye olarak bilgi sahibi olabilirsiniz.
3 # Kendi bilgisayarinizi koruyun ve aginizi koruyun.
Guzel bir firewall ve antivirus edinin. FTP ile sitenize baglandiginizda SSL kullanin. Kablosusuz ag kullaniyor iseniz, modemin firmwareini guncelleyiniz. WPA2'dan sasmayiniz. Kablosuz aginizi SSL ile koruyunki baskasi dinleyemesin. Gerekirse kablosuz baglanti kullanmayiniz.
Mozilla ve No script addon kullaniniz. Bazen internet sitelerini ziyaret ettiginizde, tmp dosyasi icine kotu kodlar atilabiliyor. No script bunlarinin onune geciyor.
4 # Dosya haklari, host ve mysql
Configuration.php dosyasini public tarafindan okunur secenegini kaldiriniz. Gerekirse paylasimli hostlardan kacininiz. Dedicated hostlarda bir kac daha fazla koruma edilinebilir.
PHP infoyu Joomla'dan gizleyiniz. (php.ini dosyasini modifiye yaparak) Asagidaki kodlari php.ini dosyaniza koyunuz. Bu dosya genelde home'un altindadir. Eger dosyayi bulamadiysaniz, kendiniz sisteminizde php.ini olarak dosya hazirlayip asagidakileri icine kopyaladiktan sonra hostunuza yukleyebilirsiniz.
upload_max_filesize = 50M
post_max_size = 50M
safe_mode = off '
allow_url_fopen = 0
register_globals = 0
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir = /home/users/you/public_html
open_basedir = /home/users/you/public_html:/tmp
Configuration dosyasini publichtml'den bir ust yukari bir dosyaya cikarmak veya config dosyasini kriptolamak hicbir ise yaramaz. Joomlanizdaki bilesenler eger guncellenmemisse, vay halinize...
Dosya haklarinida admintools adli bilesen ile otomatik olarak belirleyebilirsiniz.
Mysql Joomla kullanicisina ful etki vermeyiniz. Eger bir bilesen yukluyor iseniz, gecici olarak ful yetki verip, yuklemeyi bitirdikten sonra yetkileri kisitlamalisiniz.
5 # Her gordugunuzu yuklemeyin
Her buldugunuz Joomla bilesenini websitenize yuklemeyiniz. Ilk once test yapip, baska bir yerde sorun veriyormu vermiyormu gozden gecirip, emin olduktan sonra dunya'ya acik sitenize ekleyiniz.
6 # Yedeginde yedegini bulundurun
Belirli araliklarla sitenizin yedegini aliniz. Akeeba backup bu konuda cok iyi ancak bazen aksamalar olabiliyor. O yuzden, veritabaninizin yedegini ve tum dosyalariniz yedegini hosting panelinizden kendi sisteminize indiriniz. Boylece akeeba backupla kurtarma islemi gerceklesemezse, ikinci secenekle sitenizi kurtarabilirsiniz.
7 # Parola ve Kullanici adi secimi
Tamamen site adindan ve emailinizden farkli, ikiside en az 12 haneli olmalidir. Sacma sapan [|bosluk@#* karakterler icermelidir.
Ornek verecek olursak. Eger siteniz, "Boru tamiri, Her turlu boru satisi yapilir" ise, kullanici adiniz ve parolaniz.
kullanici adi: Pinokyoyu(nedecok)izlerdim10seneonce
parola: {\hadioradanSende146
Gordugunuz gibi siteniz veya emailiniz ile hicbir alakasi yok ve tahmin edilemez + hafizada kalacak turden.
8 # Joomla sitesindeki bilesenler
Joomla'daki her bilesen guvenli olacak diye birsey yok. Kac tane yorum yapilmis, yorumlar iyi mi kotu mu? Bilesenler basit PHP guvenlik sorunlarini cozebilmis mi? ; turunden sorulari bilesen secmeden once kendinize sormalisiniz. Bilesenleri yuklemeden once, kaynak kodunun incelenmesi onemlidir.
Joomla sitesinde kabul gorulmemis hicbir bileseni sitenize yuklemeyiniz. Acik kodlu olmayan bilesenlerden uzak durunuz.
9 # Uyelik sistemini kapatiniz.
Eger uyelik sistemi gereksiz ise, ayarlardan sonlandiriniz. reCaptcha sistemini, google recaptcha'dan temin edip, plugins'ten aktif duruma getiriniz.
10 # Super admin ile giris yapmayiniz.
Kendinize admin hesabi acip, o hesabi kullaniniz. Gerekmedikce, super admin olarak sitenizin admin bolumune girmeyiniz.
11# SQL ve diger aciklar
Sitenizi aciklara karsi tarayiniz. Sitenizdeki loglari her gun kontrol etmelisiniz.
12 # Yerel site kurulumu ve onemi
Herhangi bir degisikligi sitenizde gerceklestirmeden once, yerelde WAMP server arayiciligiyla, sitenizi degisiklikle birlikte deneyin. Eger hersey normalse, gercek sitenizde degisiklikleri uygulayin.
13 # Zararli kodlari engelleyiniz.
Sitenizde iletisim formu gibi, kullanicilarin giris yaptigi input kutucuklari var ise, ********** gibi zararli olabilecek kodlari engelleyiniz.
14 # Joomla guvenlik uzmanlarindan destek aliniz.
Buradaki tum adimlari izledikten sonra, Joomlanizi birde Joomla guvenlik uzmanina gostermeniz daha iyi olacaktir.
Joomla 2.5'i biraz daha guvenli hale getirebilmek icin yapabileceklerimizi burada bahsettik. Simdi eger siteniz atak altinda ise ne yapacagiz onu konusalim
1# Forumlara gelip, benim sitem heklendi diye baslik atmayiniz.
2# Hemen parolalarinizi degistiriniz. Site admin parolasi, mysql database kullanici adi ve parolasi, email parolaniz ve host parolaniz.
3# Eger sonuc vermiyor, yaptiginiz degisikliler atagi durdurmuyorsa, sitenize script atilmis demektir.
4# Malware temizleyici bilesenleri bu tip zararli scriptleri silip sitenizi onarma ozelligine sahip. Joomla sitesinde mevcuttur oradan temin ediniz.
5# Eger bileseni yukleyemiyor veya sitenin admin bolumune giremiyor iseniz, akeeba recovery ile sitenizi onceden backup aldiginiz bir noktaya
yukleyebilirisiniz. Burada sitenizi yedekten kurtarirken dikkat edilmesi gereken nokta, , baska bir database ve kullanici adi ve parola ve table kullanmaniz.
Joomla admin parolanizi degistirmeniz ve public-html icerisinde benimrecoveredsitem adli bir dosyaya sitenizi recover yapmaniz. Ondan sonra sitenize girip benimsitem/ benimrecoveredsitem/administrator giris yapip, Joomlayi ve bilesenleri guncelledikten sonra. Recover olan siteyi test etmelisiniz, eger hersey normalse, Public-html altindaki tum dosyalari silip (benimrecoveredsitem dosyasi haric) , benimrecoveredsitem icerisindeki joomla dosyalarini public-html icerisine aktarmalisiniz.
6# Siteniz ne guzel calisiyor. Artik rahatca uyuyabilirsiniz. Hayir! Siteniz daha once heklendigi icin, tekrar heklenme riski cok yuksektir. Belirli araliklarda sitenizi kontrol edip loglara bakmalisiniz.
1# Fabrika ayarindan kurtulun:
Joomla Admin girisi detaylariniz (kullanici adi, parola ve url giris yonteimi), host girisi detaylariniz, database kullanici adi ve parolanizi degistiriniz. Joomla super admin idsi 2.5 surumunde rastgele olarak geldiginden endise etmenize gerek yok ancak, Joomla administrator giris yontemini degistirmeniz gerekiyor. Joomla 2.5 surumunde bile hala, /administrator olarak admin bolumune giris yapilabilmektedir. Joomla extensions bolumunden admin bolumunu degistirebileceginiz uygulamalar bulunabilir.
Ayrica administrator dosyasini .htaccess dosyasi ile IP engellemesi yapiniz. Bunun uzerine, parola korumasida eklemelisiniz.
2# Joomlayi ve bilesenlerini guncelleyip gereksiz olanlardan kurtulunuz. En onemlisi!
Joomlayi her zaman guncel tutup butun bilesenleri,(plugins, modules, extenstions) guncel tutunuz. Gereksiz Joomla ile gelen ornegin bee_113 temasi ve smart search ve weblinks gibi ozellikleri kaldiriniz. Bu guncellemelerden uygulama sahiplerinin sitesine uye olarak bilgi sahibi olabilirsiniz.
3 # Kendi bilgisayarinizi koruyun ve aginizi koruyun.
Guzel bir firewall ve antivirus edinin. FTP ile sitenize baglandiginizda SSL kullanin. Kablosusuz ag kullaniyor iseniz, modemin firmwareini guncelleyiniz. WPA2'dan sasmayiniz. Kablosuz aginizi SSL ile koruyunki baskasi dinleyemesin. Gerekirse kablosuz baglanti kullanmayiniz.
Mozilla ve No script addon kullaniniz. Bazen internet sitelerini ziyaret ettiginizde, tmp dosyasi icine kotu kodlar atilabiliyor. No script bunlarinin onune geciyor.
4 # Dosya haklari, host ve mysql
Configuration.php dosyasini public tarafindan okunur secenegini kaldiriniz. Gerekirse paylasimli hostlardan kacininiz. Dedicated hostlarda bir kac daha fazla koruma edilinebilir.
PHP infoyu Joomla'dan gizleyiniz. (php.ini dosyasini modifiye yaparak) Asagidaki kodlari php.ini dosyaniza koyunuz. Bu dosya genelde home'un altindadir. Eger dosyayi bulamadiysaniz, kendiniz sisteminizde php.ini olarak dosya hazirlayip asagidakileri icine kopyaladiktan sonra hostunuza yukleyebilirsiniz.
upload_max_filesize = 50M
post_max_size = 50M
safe_mode = off '
allow_url_fopen = 0
register_globals = 0
disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
open_basedir = /home/users/you/public_html
open_basedir = /home/users/you/public_html:/tmp
Configuration dosyasini publichtml'den bir ust yukari bir dosyaya cikarmak veya config dosyasini kriptolamak hicbir ise yaramaz. Joomlanizdaki bilesenler eger guncellenmemisse, vay halinize...
Dosya haklarinida admintools adli bilesen ile otomatik olarak belirleyebilirsiniz.
Mysql Joomla kullanicisina ful etki vermeyiniz. Eger bir bilesen yukluyor iseniz, gecici olarak ful yetki verip, yuklemeyi bitirdikten sonra yetkileri kisitlamalisiniz.
5 # Her gordugunuzu yuklemeyin
Her buldugunuz Joomla bilesenini websitenize yuklemeyiniz. Ilk once test yapip, baska bir yerde sorun veriyormu vermiyormu gozden gecirip, emin olduktan sonra dunya'ya acik sitenize ekleyiniz.
6 # Yedeginde yedegini bulundurun
Belirli araliklarla sitenizin yedegini aliniz. Akeeba backup bu konuda cok iyi ancak bazen aksamalar olabiliyor. O yuzden, veritabaninizin yedegini ve tum dosyalariniz yedegini hosting panelinizden kendi sisteminize indiriniz. Boylece akeeba backupla kurtarma islemi gerceklesemezse, ikinci secenekle sitenizi kurtarabilirsiniz.
7 # Parola ve Kullanici adi secimi
Tamamen site adindan ve emailinizden farkli, ikiside en az 12 haneli olmalidir. Sacma sapan [|bosluk@#* karakterler icermelidir.
Ornek verecek olursak. Eger siteniz, "Boru tamiri, Her turlu boru satisi yapilir" ise, kullanici adiniz ve parolaniz.
kullanici adi: Pinokyoyu(nedecok)izlerdim10seneonce
parola: {\hadioradanSende146
Gordugunuz gibi siteniz veya emailiniz ile hicbir alakasi yok ve tahmin edilemez + hafizada kalacak turden.
8 # Joomla sitesindeki bilesenler
Joomla'daki her bilesen guvenli olacak diye birsey yok. Kac tane yorum yapilmis, yorumlar iyi mi kotu mu? Bilesenler basit PHP guvenlik sorunlarini cozebilmis mi? ; turunden sorulari bilesen secmeden once kendinize sormalisiniz. Bilesenleri yuklemeden once, kaynak kodunun incelenmesi onemlidir.
Joomla sitesinde kabul gorulmemis hicbir bileseni sitenize yuklemeyiniz. Acik kodlu olmayan bilesenlerden uzak durunuz.
9 # Uyelik sistemini kapatiniz.
Eger uyelik sistemi gereksiz ise, ayarlardan sonlandiriniz. reCaptcha sistemini, google recaptcha'dan temin edip, plugins'ten aktif duruma getiriniz.
10 # Super admin ile giris yapmayiniz.
Kendinize admin hesabi acip, o hesabi kullaniniz. Gerekmedikce, super admin olarak sitenizin admin bolumune girmeyiniz.
11# SQL ve diger aciklar
Sitenizi aciklara karsi tarayiniz. Sitenizdeki loglari her gun kontrol etmelisiniz.
12 # Yerel site kurulumu ve onemi
Herhangi bir degisikligi sitenizde gerceklestirmeden once, yerelde WAMP server arayiciligiyla, sitenizi degisiklikle birlikte deneyin. Eger hersey normalse, gercek sitenizde degisiklikleri uygulayin.
13 # Zararli kodlari engelleyiniz.
Sitenizde iletisim formu gibi, kullanicilarin giris yaptigi input kutucuklari var ise, ********** gibi zararli olabilecek kodlari engelleyiniz.
14 # Joomla guvenlik uzmanlarindan destek aliniz.
Buradaki tum adimlari izledikten sonra, Joomlanizi birde Joomla guvenlik uzmanina gostermeniz daha iyi olacaktir.
Joomla 2.5'i biraz daha guvenli hale getirebilmek icin yapabileceklerimizi burada bahsettik. Simdi eger siteniz atak altinda ise ne yapacagiz onu konusalim
1# Forumlara gelip, benim sitem heklendi diye baslik atmayiniz.
2# Hemen parolalarinizi degistiriniz. Site admin parolasi, mysql database kullanici adi ve parolasi, email parolaniz ve host parolaniz.
3# Eger sonuc vermiyor, yaptiginiz degisikliler atagi durdurmuyorsa, sitenize script atilmis demektir.
4# Malware temizleyici bilesenleri bu tip zararli scriptleri silip sitenizi onarma ozelligine sahip. Joomla sitesinde mevcuttur oradan temin ediniz.
5# Eger bileseni yukleyemiyor veya sitenin admin bolumune giremiyor iseniz, akeeba recovery ile sitenizi onceden backup aldiginiz bir noktaya
yukleyebilirisiniz. Burada sitenizi yedekten kurtarirken dikkat edilmesi gereken nokta, , baska bir database ve kullanici adi ve parola ve table kullanmaniz.
Joomla admin parolanizi degistirmeniz ve public-html icerisinde benimrecoveredsitem adli bir dosyaya sitenizi recover yapmaniz. Ondan sonra sitenize girip benimsitem/ benimrecoveredsitem/administrator giris yapip, Joomlayi ve bilesenleri guncelledikten sonra. Recover olan siteyi test etmelisiniz, eger hersey normalse, Public-html altindaki tum dosyalari silip (benimrecoveredsitem dosyasi haric) , benimrecoveredsitem icerisindeki joomla dosyalarini public-html icerisine aktarmalisiniz.
6# Siteniz ne guzel calisiyor. Artik rahatca uyuyabilirsiniz. Hayir! Siteniz daha once heklendigi icin, tekrar heklenme riski cok yuksektir. Belirli araliklarda sitenizi kontrol edip loglara bakmalisiniz.