Konuya başlamadan önce belirtmek isterim ki, bu durum herhangi bir karalama veya baltalama amacı taşımamaktadır.

Zaman zaman güvenlik açıklarını tespit etmek, incelemeler yapmak ve "nerelerde neler yapılmış" diye kontrol etmek gibi süreçlerim oluyor. Bu kez rotam WiseCP oldu. Uzun süredir dikkatimi çeken ve PurePHP ile günümüze kadar dayanabilen, çıkışı çok eski olmamasına rağmen nadir yazılımlardan biri. Yazılımın kaynak kodlarını incelediğimde, tüm dosyalara doğrudan erişim sağlanabilmesi, kök dizinin dosya depolamasından hariç tutulmaması gibi uygunsuzlukların yanı sıra, veritabanı bağlantıları ile ilgili çok eski ve artık tedavülden kalkmış yöntemlerin kullanıldığını gördüm. Bunun üzerine incelemelerimi biraz daha genişletmeye karar verdim ve yazılımın tüm kaynak kodlarını açarak detaylı bir inceleme fırsatı buldum.

Kaynak kodları derinlemesine incelediğimde, sayısız uyumsuzluk hatasının yanı sıra boş değerlerin gönderilmesi veya yanlış yerlerde yanlış yöntemlerin tercih edilmesi gibi sorunlarla karşılaştım. Bunun ardından bir açık taraması yapmaya karar verdim. Çünkü bu kadar sorunlu bir sistemin aşılmaması imkânsızdı. Hataları sürümlerle karşılaştırarak, son altı güncelleme ile kaynak kodlarının karşılaştırmasını gerçekleştirdim. Yapılan değişiklikler ve kaynak kod tutarlılığını incelediğimde, şaka gibi bir durumla karşılaştım. Birçok hatanın susturulup, çözüldü diyerek değişiklik günlüğü yayımlandığını fark ettim. Şimdi çok fazla detaya girip yazılımı linç etmek istemiyorum. Hayatımda hiçbir zaman böyle bir şey yapmadım ve kimsenin işini kötülemedim. Ancak bu durum bana iyi niyetli bir çalışma gibi gelmedi.

Daha sonra şifreleme, veri güvenliği gibi politikalarını nasıl uyguladıklarını incelemeye başladım. XSS, SQL Injection ve benzeri açıkların olup olmadığını kontrol etmek için web sitelerini tek tek incelemek yerine, uçtan uca tüm sistemin kaynak kodlarını analiz ettim. Nerelerde ne gibi açıklar ve büyük hatalar olduğunu detaylıca araştırdım. Açık konuşmak gerekirse, birçok güvenlik açığı, verilerin tam anlamıyla güvenli bir şekilde şifrelenmediği ve sunulan hizmetlerin modül dosyalarının baştan savma bir şekilde kodlandığı ortaya çıktı. Düzgün yazılmış tek bir satır koda rastlamadığımı üzülerek belirtmek isterim.

Kısacası, değinmek istediğim nokta şudur: Sonuç olarak, hepiniz burada bu altyapıyı kullanarak hizmet sağlıyor veya sağlayacak olabilirsiniz. Kapalı kaynak kodlu yazılımlar satın alarak beklenmedik birçok olumsuz durumla karşılaşmak istemiyorsanız, kapalı kaynak kodlu yazılımları kullanırken gerçekten güvenilir firmalarla çalıştığınızdan ve işlerini temiz yaptıklarından emin olun. 30.000 ₺ gibi bir ücret alıp, insanlara yapay zekâdan bile kötü hazırlanmış bir yazılım sunmak; benim kitabıma göre ne etik kurallarına ne de ahlak kurallarına sığar.

Konu ile ilgili inceleme sonrası o kadar rahatsız oldum ki çok detay vermek istemiyorum; bu doğru olmaz. Açıklar veya diğer konular ile ilgili bilgileri paylaşmayacağım. Ancak tavsiyem, bu tür yazılımları kullanmadan önce iki kez düşünmenizdir.

Dipnot: Kimse "Açık kaynak kodlu halini atar mısın?", "Açıklar konusunda yardımcı olur musun?" veya benzeri mesajlarla gelmez ise sevinirim. Açık kaynak kodlu hali kesinlikle kimseyle paylaşılmayacak. Kodlar yalnızca kontrol amaçlı ionCube şifreleri kırılarak incelenmiş ve tamamen kaldırılmıştır. Yardım hususunda elbette destek olmak isterdim. Ancak yazılımın neredeyse tamamı şifreli ve kritik noktaların düzeltilmesi gereken yerlerine erişiminiz yok. Bu yüzden bu konuda da destek sağlamam mümkün değildir.