0
Kayıt Ol

Joomla! Güvenlik

15

22.173

  • 04-02-2008, 14:27:03
    #1
    Akar
    Akar
    En güvenli Joomla!, varsayılan Joomla!'dır.

    Joomla!'ya eklenecek her zayıf uygulama, Joomla! güvenliğinde zaafiyete sebep olarak sistemi de zayıflatacaktır.

    Klasör izinlerinin 755, dosya izinlerinin 644 dışında yapılandırılması en büyük güvenlik sorunlarından biridir. Bu izinler, doğru bir sunucu yapılandırmasında sistem yöneticisinin her türlü işlemi yapabilmesi için uygun olup, yazılabilirlik, dosya yükleme-kopyalama-silme, kurulum işlemlerinde sorun çıkarmaz. Bunlarda yapılacak değişiklik ya da chmod sorunlarını aşmaya yönelik bir eklenti kesinlikle Joomla! güvenliğini zayıflatacaktır. Doğru olan, chmod değerlerini klasörler için 755, dosyalar için 644 seviyesinde tutarak bu izin seviyelerinde sizin çalışabilmenizi sağlayan doğru yapılandırılmış bir sunucuda barınmaktır.

    Test, açık kapama, açık gösterme, güvenlik seviyesi gösterme gibi eklentilere itibar etmeyin. Bunların hiç biri doğru yapılandırılmış bir Joomla!'nın vereceği güveni veremez ve hiç biri size normalde olması gerektiği söylenen dışında bir veri gösteremez. Teknik özelliklerini bilmediğiniz dosyalar sizi güvensiz bir yapıya götürebilir.

    htaccess dosyanıza gereksiz müdahalelerde bulunmayın. htaccess tek başına bir güvenlik dosyası değildir. Sisteminizin güvenliği bu dosyaya bağlı olmadığı gibi yanlış kullanımı da sistem hatalarına ve sunucunun yorum zamanının uzayarak sayfalarınızın geç yüklenmesine sebep olabilir. En doğru htaccess, kendi sürümünüz ile varsayılan olarak gelendir.

    Daima son sürüm Joomla! kullanın. Bunun için Joomla! indirdiğiniz alana ya da Joomla.Org adresine abone olun ve yeni sürümlerde posta ile haberdar olun. Joomla!'yı sadece yetkin yerlerden indirin. Sonradan paketlenmiş bir Joomla! kullanıyorsanız bu paketlemenin sağlanmlığından emin olun. Daha evvel hatalı paketleme yapan bir yere itibar etmeyin.

    Genel olarak kabul gören eklentiler kullanın. Eklentilerden haber veren güvenlik forumlarını takip edin. Joomla! tarafından açıkça destek verilmemiş eklentileri kullanmamaya çalışın.

    Joomla!'da güvenlik eklentisi yoktur. Joomla! gibi binlerce sayfa kod içeren dev bir betiği, güncel tüm güvenlik tedbirlerini uygulayarak üreten bu ekibin en temel şey olan güvenlik hakkında bir eklentisi olmadığını, birikimin tamemen betik içinde zaten ugulandığını, güvenlik eklentisi diye adlandırılan eklentilerin Joomla! extensions alanında dahi olmadığını unutmayın.

    Bu konu geliştirilebilir.
    _______________________________
    İlaveler:

    /administrator dizinini parola ile korumak,
    Yeni bir kullanıcıyı SuperAdministrator yaparak kurulumdaki SuperAdministrator kullanıcısını (sizi yani) normal üye konumuna almak,
    Joomla!'ya kaydetmek üzere varsayılan dışında bir ftp hesabı oluşturmak.
  • 04-02-2008, 14:45:37
    #2
    Akar
    Akar
    Bu konuda benzer bir yazı da cmsturk.net forumlarında Joomla! 1.5 Ekip Lideri Pentacle tarafından yazılmıştı.
    Alıntı
    1 - Hosting paketinizi sadece ucuz olduğu için seçmeyin. Unutmayın ki sunucunuz hacklenirse sizin siteniz de hacklenmiş olur elinizde olmadan. Ayrıca Joomla'ya gereken php özelliklerine tam destek vermeyen host satıcılarından uzak durmaya bakın.

    2 - Mutlaka ama mutlaka site yedeklerini düzenli olarak alın. Bu linkteki eklentiyi kullanabilirsiniz otomatik yedekler için.

    3 - PHP ayarlarınızı Joomla için en uygun hale getirin. (özellikle register globals)

    4 - Site için kullandığınız admin parolanızı diğer parolalarınızdan ayrı tutun.

    5 - Kullanıcı adı olarak "admin" kullanmayın.

    6 - Her eklenti/modül/bileşene güvenmeyin. İhtiyacınız yoksa eğer sadece kalabalık görünsün diye ekstra bir şey yüklemeyin.

    7 - Joomla paketi ve 3. parti eklentilerin güncelliğini sürekli kontrol edin. Sizden habersiz kritik bir acık bulunmuş ve yamanmış olabilir.

    8 - Sitenizde yapmayı planladığınız değişiklikleri önce yerel sunucunuzda test edin. Geri dönülemez hasarlar yaratma olasılığını ihmal etmeyin.

    9 - Eğer siteniz hacklenirse durumu düzelttiğinizi sanıp hemen "ohh. Kurtardık paçayı" demeyin. raw log'ları inceleyin, admin parolası, mysql parolasını değiştirin, sitenize yeni dosya eklenmiş mi kontrol edin.

    10 - Eski bir sürüm, güncellenmemiş bileşenler, güvensiz hosting gibi sebeplerden siteniz hacklenirse suçun Joomla'da olduğunu söylemeyin.
  • 04-02-2008, 14:47:35
    #3
    strhost
    strhost
    Üyeliği durduruldu
    777 yüzünden index yemiştim ilk joomla sitemde güzel makale @akar sağol var ol
  • 04-02-2008, 14:48:45
    #4
    My_X
    My_X
    Üyeliği durduruldu
    Her zamanki gibi ustalığını konuşturmuşsun teşekkürler
  • 05-05-2008, 02:56:24
    #5
    Masterdevil
    Masterdevil
    Üyeliği durduruldu
    Su an icin 1.0.15 Kullaniyorum,Sitem daha yenide olsa bu yazillanlari birbir okudum kararsiz kaldim.
    Acaba 1.5 e Mi gecsem diye ?
    Siz bu konuda ne dersiniz 1.0.15 Devam etme su sebvebten dolayi ... ? ne dersiniz yardimilariniz icin tesekurler.
  • 04-07-2008, 00:29:44
    #6
    Akar
    Akar
    Masterdevil adlı üyeden alıntı: mesajı görüntüle
    Su an icin 1.0.15 Kullaniyorum,Sitem daha yenide olsa bu yazillanlari birbir okudum kararsiz kaldim.
    Acaba 1.5 e Mi gecsem diye ?
    Siz bu konuda ne dersiniz 1.0.15 Devam etme su sebvebten dolayi ... ? ne dersiniz yardimilariniz icin tesekurler.
    Yeni kullanıcıların doğrudan, daha temiz ve yeni kodlar içeren 1.5 serisi ile başlamalarını öneriyoruz.
  • 05-09-2008, 00:11:38
    #7
    kfaa
    kfaa
    1 faydalı ip ucuda benden
    joomlayı kurarken ön tnımlı veri tabanı önekini (jos_) " (hop_)" gibi değiştirirseniz SQL injection karşı bağışılklık kazanırsınız

    nasılmı? - mesela bakın ,
    aşşağıdaki bir joomla bileşeni için uygulanan SQL injection unun bir kısmı:
    Alıntı
    concat(username,0x3a,password) FROM jos_xxxxx&task=pay_op
    injection ile jos_xxxxx tablosundakii administrator kullanıcısının kullanıcı adını ve şifresi isteniyor
    ön eki jos_ olursa kullanıcı adı ve md5 hash ını alacaktır .
    eğer değişik bi önek kullanırsanız ve saldırgan konfigrasyon dosyanıza ulaşıp o öneki öğrenmezse jos_user adlı tablomuz olmadığından saldırı sonuçsuz kalacaktır

    çünkü kullanıcı adı ve şifremizin saklandığı tablo hop_xxxxx .

    kolay gelsin.
  • 05-09-2008, 09:30:08
    #8
    Gookhan
    Gookhan
    kfaa adlı üyeden alıntı: mesajı görüntüle
    1 faydalı ip ucuda benden
    joomlayı kurarken ön tnımlı veri tabanı önekini (jos_) " (hop_)" gibi değiştirirseniz SQL injection karşı bağışılklık kazanırsınız
    nasılmı? - mesela bakın ,
    aşşağıdaki bir joomla bileşeni için uygulanan SQL injection unun bir kısmı:
    injection ile jos_xxxxx tablosundakii administrator kullanıcısının kullanıcı adını ve şifresi isteniyor
    ön eki jos_ olursa kullanıcı adı ve md5 hash ını alacaktır .
    eğer değişik bi önek kullanırsanız ve saldırgan konfigrasyon dosyanıza ulaşıp o öneki öğrenmezse jos_user adlı tablomuz olmadığından saldırı sonuçsuz kalacaktır
    çünkü kullanıcı adı ve şifremizin saklandığı tablo hop_xxxxx .
    kolay gelsin.

    teşekkürler
  • 05-09-2008, 21:47:29
    #9
    Akar
    Akar
    Evet, otomatik olarak yapılan saldırılar için koruyucu bir yöntemdir ancak orta seviye kullanıcılar için önerilebilir. Zira değiştirilen tablo önekleri farklı uygulamalar kullanılmak istediğinde sorun oluşturabilir ve bunu bilerek hareket edilemesi gerekir.