• Anasayfa
  • Nesne
  • SEO
  • Hackerlara Karşı Sağlam Güvenlik İçin 20 Joomla Güvenlik İpuçları – Eksiksiz Bir Kılavuz

Hackerlara Karşı Sağlam Güvenlik İçin 20 Joomla Güvenlik İpuçları – Eksiksiz Bir Kılavuz

Yayınlanan: 2021-09-25

Bazı Joomla güvenlik ipuçları mı arıyorsunuz? Eğer öyleyse, bu makale tam size göre. Joomla sitenizi bilgisayar korsanlarına karşı korumaya yardımcı olacak 20 farklı yolu ele alacağız. Bunlar, yıllar içinde işe yaradığı kanıtlanmış denenmiş ve test edilmiş yöntemlerdir. Bu nedenle, ne pahasına olursa olsun saldırıya uğramaktan kaçınmak istiyorsanız bu adımları atmanız çok önemlidir!

20 Joomla Güvenlik İpuçları

1) Düzenli yedeklemeler alın

Yedeklemeler, her Joomla kullanıcısının atması gereken çok önemli bir adımdır. Yedeklemeler olmadan, siteniz saldırıya uğrarsa veya bir güncellemeden sonra herhangi bir hasar olursa sitenize ne olduğunu bilemezsiniz.

Ayrıca, herhangi bir değerli içeriği kaybetmeden önceki bir sürüme geri dönebileceğiniz ve tekrar deneyebileceğiniz için, bir hack'ten kurtulmanın en iyi yoludur.

Bir masada Sabit Disk yedekleme

2) Joomla veritabanı tabloları öneki

Her zaman varsayılan Joomla veritabanı tablosu önekini değiştirmeniz şiddetle tavsiye edilir. Bunu değiştirerek, bilgisayar korsanlarının site tablolarınızı kolayca tanımlamasını engelleyebilir ve böylece veritabanınıza girmelerini imkansız hale getirebilirsiniz.

Bunu yapmak için cPanel'de MySQL Veritabanları bölümü > MyISAM sekmesi > Tümünü Göster'e tıklayın, ardından öneki değiştirin (istediğiniz herhangi birini rastgele ayarlayabilirsiniz) ve Kaydet'e tıklayın.

Joomla veritabanlarınızı yönetmek için kullanıyorsanız, PHPMyAdmin bölümünüzde de bu değişiklikleri yapmanız önerilir.

Bu tür değişiklikleri yaptıktan sonra MySQL sorgusu çalıştırarak her şeyin doğru çalıştığını her zaman kontrol etmelisiniz.

İlgili: cPanel/WHM Güvenliğinizi Geliştirmek için 25 İpucu.

3) Joomla web sitenizi güncel tutun

Joomla sitenizi güncel tutarak, her güncellemede yeni güvenlik açıkları kapatıldığı için saldırıya uğrama olasılığını en aza indirirsiniz. Uzantılar > Uzantı Yöneticisi aracılığıyla güncellemeleri düzenli olarak kontrol ederek her şeyin güncel olduğundan her zaman emin olmalısınız.

Mevcut güncellemeler varsa, bunları hemen yükleyin ve dosyaların veya veritabanı değişikliklerinin üzerine yazmanızı gerektiriyorsa, bunları yaptığınızdan emin olun.

Uzantıları indirirken yalnızca güvenilir kaynakları kullanmak da önemlidir. Aksi takdirde, bilinmeyen veya güvenilmeyen ticari bileşenler/şablonlar kurarak tüm web sitenizi riske atıyorsunuz.

Daktilo kullanarak bir kağıda yazılan güncelleme

4) Joomla sürümünüzü gizleyin

Bilgisayar korsanlarının hangi güvenlik açıklarının giderildiğini bulamamaları için Joomla sürüm numaranızı gizlemek her zaman iyi bir fikirdir. Örneğin, Joomla Version xyz kullanıyorsanız ve en son yayınlanan ABC ise, bu bilgiyi gizlemek potansiyel saldırganların sitenize karşı hangi istismarların kullanılabileceğini bilmesini önleyecektir.

5) Temel yapılandırma ayarlarını dağıtmak için .htaccess kullanın

.htaccess dosyasını kullanarak bazı Joomla yapılandırma ayarlarınızı dağıtabilirsiniz. Bu, web sitenizin kök seviyesine yerleştirilen ve tüm site ve hatta belirli dizinler için apache sunucu seçeneklerini yapılandırmanıza izin veren basit bir metin dosyasıdır.

Bazı yararlı örnekler:

  • Dizin listesinin engellenmesi (web sitesindeki tüm dosya ve klasörleri görüntüler)
  • Php, xml vb. çeşitli dosya türlerine doğrudan erişimin engellenmesi.
  • .htpasswd aracılığıyla dizinleri parolayla koruma (bu, hassas alanlara erişimi kısıtlamanın iyi bir yoludur)
Küçük bir delikten bakan bir kutuda saklanan kişi

6) Joomla iki faktörlü kimlik doğrulama eklentisini kullanın

Hızlı bir şekilde kurabileceğiniz ve bu ek güvenlik seviyesinden yararlanabileceğiniz birçok Joomla İki Faktörlü Kimlik Doğrulama eklentisi mevcuttur. Bir bilgisayar korsanı kullanıcı adınızı/parolanızı ele geçirmeyi başarırsa, Google Authenticator tarafından oluşturulan bir OTP (tek kullanımlık şifre) gibi ikincil cihazınıza veya kodunuza da sahip olmadıkça siteye yine de erişemez.

Bu eklentiler sitenizi daha güvenli hale getirecek, bu nedenle mümkün olan her yerde İki Faktörlü Kimlik Doğrulama eklemeniz şiddetle tavsiye edilir!

Aynı şey barındırma hesabınız için de geçerlidir, tam erişimi korumak ve saldırıya uğrama olasılığını sınırlamak için mümkünse SSH (veya tercih ettiğiniz başka bir yöntem) aracılığıyla iki faktörlü kimlik doğrulama kullandığınızdan emin olun.

mini turuncu iki faktörlü kimlik doğrulama ana sayfası

7) Joomla yönetici alanına erişimi kısıtlayın

Yalnızca güvenilir IP adreslerine izin vererek Joomla Yönetici Alanınıza erişimi kısıtlamak iyi bir fikirdir. Bu, .htaccess dosyası aracılığıyla yapılır ve aşağıdaki gibi birden çok giriş ekleyebilirsiniz:

Sipariş Reddet, İzin Ver
hepsinden reddet
xx.xx.xx.xx'den izin ver

İlk satır sunucuya erişime izin vermesini söyler ve ardından sonraki satırlar hangi IP'lere veya alt ağlara izin verildiğini tanımlar ("izin ver" ile başlayarak).

Park kapısı tatil yeri erişimi

8) Joomla'da oturum açma girişimlerini sınırlayın

Kaba kuvvet saldırılarını önlemeye yardımcı olabileceğinden, başarısız oturum açma girişimlerinin sayısını sınırlandırmalısınız. Bunu, Joomla sitenizde belirli bir yapılandırma parametresi ayarlayarak yapabilirsiniz (yani, bir IP adresini engellemeden önce maksimum başarısız oturum açma).

Bu, Sistem > Genel Konfigürasyon > Güvenlik aracılığıyla ve ardından kullanıcıların bloke edilmeden önce oturum açma işlemlerinde kaç kez başarısız olmasına izin verileceğinin seçilmesiyle yapılır.

9) Güçlü parolalar kullanın

Oturum açma bilgileri ve ödeme kartı verileri gibi hassas bilgileri içeren herhangi bir web sitesinde olduğu gibi, güçlü parolalar kullanmak hayati önem taşır.

Güçlü şifreler en az 12 karakterden oluşmalı ve büyük/küçük harf, sayı ve özel sembollerin bir karışımını içermelidir (yani ”£$%^&*). Ayrıca, farklı hizmetler için aynı parolayı kullanmaktan kaçının çünkü bu, bir hesap saldırıya uğradığında hepsini güvensiz hale getirecektir.

Joomla siteniz ve e-postanız için aynı parolayı kullanmamanız da önemlidir çünkü bilgisayar korsanlarının bazı durumlarda hesabın tamamen ele geçirilmesine yol açabilecek ortak kullanıcı adları/parola kombinasyonlarını denediği bilinmektedir. Her hizmetin/sitenin kendi benzersiz parolasına sahip olması önerilir.

Geçişi yönetmenin ve hatırlamanın birçok yolu vardır Parolalarınızı başkaları tarafından erişilebilecek herhangi bir yere yazmamak da önemlidir (monitöre yapıştırılan Post-it notlar veya klavyeler dahil).

İsterseniz, iyi bilinen LastPass gibi bir Parola Yöneticisini kullanmayı da içeren parolaları güvenli bir şekilde saklamanın birçok yolu vardır. Bu, kişisel kullanım için ücretsizdir, ancak ek özelliklere ihtiyacınız varsa, premium bir hizmet de mevcuttur.

bazı telefonlara, bilgisayarlara ve kitaplara kilitlenmiş bir zincir

10) Önerilen Joomla dosya izinlerini ayarlayın

Joomla'yı kurduğunuzda, web sitenizin dizinleri ve dosyalarındaki dosya izinlerini doğru bir şekilde ayarlamanız önerilir. Bunu yapmamak, bilgisayar korsanlarının tam erişim elde etmesine ve sitenize kötü amaçlı kod ekleme veya veritabanı ayrıntıları, kullanıcı adları ve şifreler vb. dahil olmak üzere hassas bilgilere erişme gibi hasara yol açmasına olanak tanır.

Ancak, izinler çok kısıtlayıcıysa, dosya/klasör yüklemeye, düzenlemeye veya silmeye çalışırken sorunlarla karşılaşabilirsiniz.

11) Joomla web sitenizin PHP sürümünü güncelleyin

Joomla, Zend Guard Loader olarak bilinen PHP'nin en son sürümü (yani sürüm v.52) dahil olmak üzere birden çok PHP sürümünde çalışabilir. v.44 gibi eski sürümlere göre performans artışları, ek güvenlik özellikleri ve hata düzeltmeleri sağlar.

Joomla'yı önceki eski sürümlerde çalıştırmak da mümkündür, ancak bu, tam bir uzlaşmaya yol açabilecek bilinen güvenlik açıkları ve hataları içerdiğinden önerilmez.

Bunun da ötesinde, PHP v.52'nin en son Joomla sürümü (yani sürüm v.57) tarafından desteklenen tek sürüm olduğunu da belirtmekte fayda var. Diğer tüm sürümlerin kullanılmasıyla ilgili olası güvenlik riskleri nedeniyle desteklenmediği kabul edilir.

Joomla web sitenizi bir Linux sunucusunda barındırıyorsanız, Nginx, MariaDB ve PHP'yi içeren güncel bir LEMP yığınını çalıştırdığından emin olun.

12) Güvenli barındırma kullanın

Otomatik güvenlik duvarı koruması, günlük site dışı yedeklemeler ve çok daha fazlası gibi gelişmiş sunucu düzeyinde güvenliğin yanı sıra ücretsiz bir SSL sertifikası sağlayan güvenli barındırma kullanma.

Size en uygun planı seçin ve hemen başlamak için basit kurulum kılavuzlarımızı izleyerek Joomla veya WordPress'i kurun!

ekranda kilitli sarı arka planda bir telefon

13) Tehlikeli PHP işlevlerini devre dışı bırakın

PHP, rastgele PHP kodunu çalıştırmanıza izin veren eval() gibi çeşitli yerleşik işlevlere sahiptir. Bu, bilgisayar korsanları tarafından kötü amaçlı komut dosyaları çalıştırmak veya web sitenizin dosyalarına/veritabanına erişim sağlamak için yaygın olarak kullanılır.

Bu nedenle, saldırganların erişim elde etmesini ve web sitenizi/sunucunuzu vb. potansiyel olarak tehlikeye atmasını önlemek için tehlikeli PHP işlevlerini (henüz değilse) devre dışı bırakmanız önerilir.

14) Komut dosyası enjeksiyonlarını devre dışı bırakın

Komut dosyası enjeksiyonları, bilgisayar korsanlarının web sitenize kötü amaçlı kod eklemesine izin verir; bu, web sayfalarının görünümünü değiştirmelerine, ziyaretçileri başka bir yere yönlendirmelerine, hassas bilgileri çalmalarına vb. neden olabilir.

Birçok komut dosyası yerleştirme saldırısı, sunucunun belge kökündeki herhangi bir dosyanın doğrudan yürütülmesini engelleyen sunucu tarafı PHP değişkenleri (örn. .htaccess dosyası aracılığıyla) ayarlanarak önlenebilir.

15) Şüpheli dosyaları/etkinlikleri izleyin

Web sitenizi şüpheli etkinliklere karşı düzenli olarak izlemelisiniz (örn. yeni dosyaların oluşturulması, olağandışı erişim talepleri vb.). Bu, herhangi bir hasar oluşmadan önce ihlalleri erkenden tespit etmenize olanak tanır ve ayrıca size bilgisayar korsanlarını sistemden mümkün olan en kısa sürede deneme ve kaldırma şansı verir.

karanlıkta bir bilgisayarı hackleyen bir kişi

16) Joomla'da spam yorumları filtreleyin

Kötü botların oldukça can sıkıcı olabileceğini ve web sitenize spam yorumlar bırakabileceğini belirtmekte fayda var.

Bunun nedeni, birçoğunun web'i SEO amacıyla taraması ve arama motoru sıralamalarını (SEO) iyileştirmeye yardımcı olan değerli geri bağlantılar elde etmek için yorum/içerik yayınlamasıdır.

Bu nedenle, istenmeyen yorumları filtrelemek ve sitenizde görünmelerini önlemek için bb-botmanager gibi bir eklenti yüklemeniz önerilir.

kahve filtresiyle kahve süzen biri

17) Joomla güvenliğini artırmak için SSL kullanın

SSL, bugünlerde her web sitesi için önerilir ve temel bir gereklilik olarak düşünülmelidir.

SSL sertifikaları, sunucunuz ile son kullanıcı arasında, bilgisayar korsanlarının oturum açma kimlik bilgileri gibi hassas bilgileri ele geçirmesini önlemeye yardımcı olan şifreli bir bağlantı sağlar.

18) Joomla güvenlik denetimi

Bilgisayar korsanları tarafından kullanılabilecek olası sorunları/kusurları belirlemek için bir Joomla güvenlik denetimi gerçekleştirebileceğinizi de belirtmekte fayda var.

Bu, sitenize karşı kullanılmadan önce tüm hataları düzeltmenize olanak tanır ve web sitenizi gelecekteki saldırılara karşı güvende tutmanıza yardımcı olur.

Kendi güvenlik denetiminizi gerçekleştirmek istiyorsanız, Kodunuz için Güvenlik Denetimi Gerçekleştirme: Temel Bilgiler adlı blog makalemize göz atın.

19) Güvenlik duvarı kullanın

Joomla web sitenizin güvenliğini sağlamak için yapabileceğiniz en önemli şeylerden biri güvenlik duvarı kullanmaktır.

Güvenlik duvarı temelde tüm yetkisiz trafiği engeller ve bilgisayar korsanlarının sunucunuza erişmesini engeller (örn. kötü amaçlı komut dosyaları vb. yoluyla).

ModSecurity, Naxsi, Suhosin vb. gibi birçok güvenlik duvarı mevcuttur.

bir tuğla duvar

20) Gereksiz eklentileri/temaları kaldırın

Ayrıca, korsanlar tarafından yetkisiz erişim elde etmek, web sayfalarına komut dosyaları yerleştirmek vb. için kötü amaçlı amaçlarla kullanılabilecekleri için tüm gereksiz eklentileri ve temaları Joomla'dan kaldırmanız önerilir.

SSS

Bir Joomla sitesinin güvenliğini sağlamak söz konusu olduğunda SSL neden önemlidir?

SSL sertifikaları, sunucunuz ile son kullanıcı arasında şifreli bir bağlantı sağlayarak, bilgisayar korsanlarının oturum açma kimlik bilgileri gibi hassas bilgileri ele geçirmesini önlemeye yardımcı olur.

Web sitemi/sitelerimi şüpheli etkinlik için ne sıklıkla izlemeliyim?

Spam yorumları, enjeksiyon saldırıları, erişim açıkları vb. yoluyla herhangi bir hasar oluşmadan önce herhangi bir ihlal veya güvenlik açığının erken tespit edilebilmesi için sitelerinizi/sistemlerinizi düzenli olarak izlemeniz önerilir. Bu, sorunları daha hızlı çözmek için adımlar atmanızı sağlar. bilgisayar korsanlarının bunlardan yararlanmasını ve erişim elde etmesini beklemektense.

Güvenlik duvarı nedir ve neden kullanmalıyım?

Güvenlik duvarı temelde tüm yetkisiz trafiği engeller ve bilgisayar korsanlarının sunucunuza erişmesini engeller (örn. kötü amaçlı komut dosyaları vb. yoluyla). ModSecurity, Naxsi, Suhosin gibi pek çok güvenlik duvarı mevcuttur.

Joomla'da gereksiz eklentileri/temaları nasıl kaldırabilirsiniz?

Tüm gereksiz eklentileri ve temaları web sitelerinizden kaldırmanız önerilir, çünkü bunlar bilgisayar korsanları tarafından kötü niyetli amaçlarla yetkisiz erişim elde etmek, web sayfalarına komut dosyaları yerleştirmek için kullanılabilir.

Joomla'yı kullanmak güvenli mi?

Joomla, kullanım kolaylığı ve esneklik açısından her iki dünyanın da en iyisini sunan harika bir içerik yönetim sistemidir. Ancak, tıpkı diğer tüm CMS'ler gibi, hiçbir zaman %100 güvenli değildir, bu nedenle sitenizi bilgisayar korsanlarından vb. gelebilecek olası güvenlik açıklarına karşı güçlendirmek için her zaman adımlar atmalısınız.

RSFirewall nedir?

RSFirewall, kullanımı kolay bir arayüz aracılığıyla sitenize erişimi tam olarak kontrol etme ve izleme yeteneği sağlayan güçlü bir Joomla eklentisidir. IP adreslerini engellemek, erişimi günün saatine göre sınırlamak vb. için kullanabilirsiniz.

ModSecurity nedir?

ModSecurity, sunucularınıza giren/çıkan trafiği kontrol etme ve izleme olanağı sağlayan açık kaynaklı bir web uygulaması güvenlik duvarıdır (WAF). Bilgisayar korsanlarının sitenize erişmesini engellemek için güçlü bir araçtır.

Güvenlik denetimi nedir ve neden sitelerimde/sitelerimde gerçekleştirmeyi düşünmeliyim?

Bir güvenlik denetimi, temel olarak, bilgisayar korsanları tarafından istismar edilebilecek güvenlik açıklarını/sorunları tanımlar. Sitenize karşı kullanılmadan önce tüm hataları düzeltmenize olanak tanır ve web sitenizi gelecekteki saldırılara karşı güvende tutmanıza yardımcı olur.

Çözüm

Sonuç olarak, Joomla birçok güvenlik açığı içeren çok popüler bir CMS'dir. Bu nedenle, web sitenizi güvende tutmak için bu makaledeki pratik adımları izlemeniz önemlidir.

Joomla bir süredir piyasada olsa da, güvenliği yeterince ciddiye almayan kullanıcılar/geliştiriciler var. Bu, bilgisayar korsanlarının sahiplerinden herhangi bir direniş olmaksızın sunucularına tam erişime sahip olmasını sağlar.

Bu nedenle, Joomla güvenliği söz konusu olduğunda yapmanız gereken her şeyi yaptığınızdan emin olun!