Joomla eklentilerim güvenli mi ? Hangi eklentilerde açık var ? Joomla!’da açık mı var ?…Bu sorular yılardır değişmeyen en sık karşılaştığımız sorulardan. Yıllardır bu soruların cevapları da hiç değişmedi. Bir İYS kullanıcısı iseniz, kullandığınız her paketin güncelliğini takip etmeniz gerekir. Windows szin bilgisayarınıza takla atarak girip güncellemeleri gözünüze sokabilir ama bir İYS bunu yapamaz. Aslında çok kolay olan bu eklenti güvenliği kontrolüne değinmek istiyorum.
Joomla! resmi yayınında daha evvel 1.0 sürümler zamanı bulunan Açık İçeren Eklentiler sayfası yayından kaldırılıp bu içerik doc.joomla.org adresinde verilmeye başlandığından beri adresi foruma eklemediğimizi az evvel bir üyemizin soruna cevap verirken farkettim.
Joomla! çekirdek ve 3. parti eklentilerin, yani hem ana pakette gelen hem de sonradan eklenebilen eklentilerin güvenlik açığı içerip içermediğini kontrol etmek için http://docs.joomla.org/Vulnerable_Extensions_List adresini kullanın. Bunu düzenli aralıklarla yapmanızı öneririm.
Kontrol çok basit. Kullandığınız eklentilerin bir listesini çıkartın ve verdiğim sayfa içerisinde eklenti isimlerini arayın. Arama yaparken eklentinin çıplak ismini kullanın. Yani başındaki com, mod, plg gibi öneki kullanmayın. Zira eklentiye ait bir başka eklenti listelenmiş olabilir. Örneğin bir bileşene ait modül açık teşkil ediyor olabilir. Aramayı com_falanca veya mod_falanca şeklinde yaparsanız kontrolünüz yetersiz kalabilir. Bu sebeple aramayı bileşenle sınırlandırmamanız iyi olur.
Sayfadaki tablo ne işe yarıyor ?
Extensions: Eklenti ismini içerir.
Details: Listelenen eklentideki açığı Yöntem, Yakalandığı Tarih ve Derece şeklinde bildirir.
Reference Link: Açığın yayınlandığı adresi bildirir.
Extension Update Link: Varsa eklentinin bu açığı kapatan yaması ya da yeni sürümüne bağlantı verir.
Şimdi, arama yaptığınızda eğer bir netice çıkmamışsa eklentinizin bilinen bir açığı yok demektir. Eğer varsa detayları ve yama ya da yeni sürümünü bir an evvel araştırın.
Listelenen bir eklentiyi kullanıyorsanız ve bu eklentinin sayfada verildiği yerdeki Extension Update Link kısmında bir yama ya da güncelleme bağlantısı yoksa, dolayısıyla Not Known (Bilinmiyor) yazıyorsa, bu eklentinin güvenlik güncellemesi gelene kadar ondan bir an evvel kurtulmanız gerekir. Eğer açığın türü ve derecesini değerlendirebilecek güvenlik bilgisine sahipseniz bu değerlendirmeyi elbette kendiniz yapabilirsiniz. Ancak böyle bir bilgi donanımınız yoksa eklentiden derhal kurtulmalısınız.
Eklentiden kurtulmak, kalıcı olarak veri kaybı yaşamak değildir. Eklentiyi yedekleyerek kaldırmanız durumunda güvenlik sorunu giderildiğinde yeniden yayınlayabilirsiniz. Bunun için yedeklemeyi eklentinin veritabanı tablolarında yapmanız yeterli. Eklenti bir menü öğesinden yayınlanıyorsa bunu bir uyarı sayfası ile değişitrmek ya da htaccess ile geçici bir yönlendirme yapmak da düşünülebilir.
Unutmayın !
Joomla kullanıcılarının güvenlik sorunları büyük ölçüde 3. parti eklentilerden kaynaklanmaktadır. Bunların da büyük kısmı güncelliğini takip etmemekle gelir.
Joomla 1.6 sürümlerine kadar eklentilerinizi kendiniz takip etmeye devam edeceksiniz. 1.6 Yönetim Merkezinde eklentilerle ilgili güncellemeler ve Güvenlik Merkezini takip etme şansınız olacak.
Genel güvenlik tedbirlerinden ödün vermeyin ki güvende kalasınız.
