Joomla! Güvenlik

Akar · 1 04-02-2008, 15:27:03

En güvenli Joomla!, varsayılan Joomla!'dır.

Joomla!'ya eklenecek her zayıf uygulama, Joomla! güvenliğinde zaafiyete sebep olarak sistemi de zayıflatacaktır.

Klasör izinlerinin 755, dosya izinlerinin 644 dışında yapılandırılması en büyük güvenlik sorunlarından biridir. Bu izinler, doğru bir sunucu yapılandırmasında sistem yöneticisinin her türlü işlemi yapabilmesi için uygun olup, yazılabilirlik, dosya yükleme-kopyalama-silme, kurulum işlemlerinde sorun çıkarmaz. Bunlarda yapılacak değişiklik ya da chmod sorunlarını aşmaya yönelik bir eklenti kesinlikle Joomla! güvenliğini zayıflatacaktır. Doğru olan, chmod değerlerini klasörler için 755, dosyalar için 644 seviyesinde tutarak bu izin seviyelerinde sizin çalışabilmenizi sağlayan doğru yapılandırılmış bir sunucuda barınmaktır.

Test, açık kapama, açık gösterme, güvenlik seviyesi gösterme gibi eklentilere itibar etmeyin. Bunların hiç biri doğru yapılandırılmış bir Joomla!'nın vereceği güveni veremez ve hiç biri size normalde olması gerektiği söylenen dışında bir veri gösteremez. Teknik özelliklerini bilmediğiniz dosyalar sizi güvensiz bir yapıya götürebilir.

htaccess dosyanıza gereksiz müdahalelerde bulunmayın. htaccess tek başına bir güvenlik dosyası değildir. Sisteminizin güvenliği bu dosyaya bağlı olmadığı gibi yanlış kullanımı da sistem hatalarına ve sunucunun yorum zamanının uzayarak sayfalarınızın geç yüklenmesine sebep olabilir. En doğru htaccess, kendi sürümünüz ile varsayılan olarak gelendir.

Daima son sürüm Joomla! kullanın. Bunun için Joomla! indirdiğiniz alana ya da Joomla.Org adresine abone olun ve yeni sürümlerde posta ile haberdar olun. Joomla!'yı sadece yetkin yerlerden indirin. Sonradan paketlenmiş bir Joomla! kullanıyorsanız bu paketlemenin sağlanmlığından emin olun. Daha evvel hatalı paketleme yapan bir yere itibar etmeyin.

Genel olarak kabul gören eklentiler kullanın. Eklentilerden haber veren güvenlik forumlarını takip edin. Joomla! tarafından açıkça destek verilmemiş eklentileri kullanmamaya çalışın.

Joomla!'da güvenlik eklentisi yoktur. Joomla! gibi binlerce sayfa kod içeren dev bir betiği, güncel tüm güvenlik tedbirlerini uygulayarak üreten bu ekibin en temel şey olan güvenlik hakkında bir eklentisi olmadığını, birikimin tamemen betik içinde zaten ugulandığını, güvenlik eklentisi diye adlandırılan eklentilerin Joomla! extensions alanında dahi olmadığını unutmayın.

Bu konu geliştirilebilir.
_______________________________
İlaveler:

/administrator dizinini parola ile korumak,
Yeni bir kullanıcıyı SuperAdministrator yaparak kurulumdaki SuperAdministrator kullanıcısını (sizi yani) normal üye konumuna almak,
Joomla!'ya kaydetmek üzere varsayılan dışında bir ftp hesabı oluşturmak.

Akar · 2 04-02-2008, 15:45:37

Bu konuda benzer bir yazı da cmsturk.net forumlarında Joomla! 1.5 Ekip Lideri Pentacle tarafından yazılmıştı.

Alıntı:

1 - Hosting paketinizi sadece ucuz olduğu için seçmeyin. Unutmayın ki sunucunuz hacklenirse sizin siteniz de hacklenmiş olur elinizde olmadan. Ayrıca Joomla'ya gereken php özelliklerine tam destek vermeyen host satıcılarından uzak durmaya bakın.

2 - Mutlaka ama mutlaka site yedeklerini düzenli olarak alın. Bu linkteki eklentiyi kullanabilirsiniz otomatik yedekler için.

3 - PHP ayarlarınızı Joomla için en uygun hale getirin. (özellikle register globals)

4 - Site için kullandığınız admin parolanızı diğer parolalarınızdan ayrı tutun.

5 - Kullanıcı adı olarak "admin" kullanmayın.

6 - Her eklenti/modül/bileşene güvenmeyin. İhtiyacınız yoksa eğer sadece kalabalık görünsün diye ekstra bir şey yüklemeyin.

7 - Joomla paketi ve 3. parti eklentilerin güncelliğini sürekli kontrol edin. Sizden habersiz kritik bir acık bulunmuş ve yamanmış olabilir.

8 - Sitenizde yapmayı planladığınız değişiklikleri önce yerel sunucunuzda test edin. Geri dönülemez hasarlar yaratma olasılığını ihmal etmeyin.

9 - Eğer siteniz hacklenirse durumu düzelttiğinizi sanıp hemen "ohh. Kurtardık paçayı" demeyin. raw log'ları inceleyin, admin parolası, mysql parolasını değiştirin, sitenize yeni dosya eklenmiş mi kontrol edin.

10 - Eski bir sürüm, güncellenmemiş bileşenler, güvensiz hosting gibi sebeplerden siteniz hacklenirse suçun Joomla'da olduğunu söylemeyin.

strhost · 3 04-02-2008, 15:47:35

777 yüzünden index yemiştim ilk joomla sitemde güzel makale @akar sağol var ol

~~My_X~~ · 4 04-02-2008, 15:48:45

Her zamanki gibi ustalığını konuşturmuşsun teşekkürler

~~Masterdevil~~ · 5 05-05-2008, 03:56:24

Su an icin 1.0.15 Kullaniyorum,Sitem daha yenide olsa bu yazillanlari birbir okudum kararsiz kaldim.
Acaba 1.5 e Mi gecsem diye ?
Siz bu konuda ne dersiniz 1.0.15 Devam etme su sebvebten dolayi ... ? ne dersiniz yardimilariniz icin tesekurler.

Akar · 6 04-07-2008, 01:29:44

Alıntı:

Masterdevil Nickli Üyeden Alıntı

Su an icin 1.0.15 Kullaniyorum,Sitem daha yenide olsa bu yazillanlari birbir okudum kararsiz kaldim.
Acaba 1.5 e Mi gecsem diye ?
Siz bu konuda ne dersiniz 1.0.15 Devam etme su sebvebten dolayi ... ? ne dersiniz yardimilariniz icin tesekurler.

Yeni kullanıcıların doğrudan, daha temiz ve yeni kodlar içeren 1.5 serisi ile başlamalarını öneriyoruz.

kfaa · 7 05-09-2008, 01:11:38

1 faydalı ip ucuda benden
joomlayı kurarken ön tnımlı veri tabanı önekini (jos_) " (hop_)" gibi değiştirirseniz SQL injection karşı bağışılklık kazanırsınız

nasılmı? - mesela bakın ,
aşşağıdaki bir joomla bileşeni için uygulanan SQL injection unun bir kısmı:

Alıntı:

concat(username,0x3a,password) FROM jos_xxxxx&task=pay_op

injection ile jos_xxxxx tablosundakii administrator kullanıcısının kullanıcı adını ve şifresi isteniyor
ön eki jos_ olursa kullanıcı adı ve md5 hash ını alacaktır .
eğer değişik bi önek kullanırsanız ve saldırgan konfigrasyon dosyanıza ulaşıp o öneki öğrenmezse jos_user adlı tablomuz olmadığından saldırı sonuçsuz kalacaktır

çünkü kullanıcı adı ve şifremizin saklandığı tablo hop_xxxxx .

kolay gelsin.

MrPcKoPaT · 8 05-09-2008, 10:30:08

Alıntı:

kfaa Nickli Üyeden Alıntı

1 faydalı ip ucuda benden
joomlayı kurarken ön tnımlı veri tabanı önekini (jos_) " (hop_)" gibi değiştirirseniz SQL injection karşı bağışılklık kazanırsınız
nasılmı? - mesela bakın ,
aşşağıdaki bir joomla bileşeni için uygulanan SQL injection unun bir kısmı:
injection ile jos_xxxxx tablosundakii administrator kullanıcısının kullanıcı adını ve şifresi isteniyor
ön eki jos_ olursa kullanıcı adı ve md5 hash ını alacaktır .
eğer değişik bi önek kullanırsanız ve saldırgan konfigrasyon dosyanıza ulaşıp o öneki öğrenmezse jos_user adlı tablomuz olmadığından saldırı sonuçsuz kalacaktır
çünkü kullanıcı adı ve şifremizin saklandığı tablo hop_xxxxx .
kolay gelsin.

teşekkürler

Akar · 9 05-09-2008, 22:47:29

Evet, otomatik olarak yapılan saldırılar için koruyucu bir yöntemdir ancak orta seviye kullanıcılar için önerilebilir. Zira değiştirilen tablo önekleri farklı uygulamalar kullanılmak istediğinde sorun oluşturabilir ve bunu bilerek hareket edilemesi gerekir.

kfaa · 10 23-10-2008, 23:03:52

şimdiye kadar hiç sorunla karşılaşmadım ama
haklısın abi

bence eklentileri üreticilerinin kaliteli iş çıkardım diyebilmesi için bu ayrıntıyı dikkate almaları gerekir

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder