Açık Dergi Sistemi OJS’ye virüs bulaşır mı, birileri zararlı kod ekleyebilir mi? gibi sorularla sık sık karşılaşıyoruz. OJS sürekli geliştirilen ve güncellenen dünyanın en gelişmiş makale yayın sistemidir. OJS açık kaynak olarak yayınlandığı için bu yazılımı isteyen herkes kendi hosting veya sunucusuna kurabilmektedir. Bu kurulum ve ayarları yapma sürecinde dikkat edilmediği taktirde bazı açıklar oluşabilmektedir. Dolayısıyla OJS’yi bilen uzmanlardan destek almak, güvenlik önlemlerini baştan almak gelecekte karşılaşılabilecek sorunları en aza indirecektir. Bu kısa girişten sonra detaylara geçelim…
Açık Dergi Sistemi OJS günümüzde en çok tercih edilen yazılımlardan biri. Benzer özelliklere sahip, açık kaynak bir dergi/makale yayın sistemi henüz mevcut değildir. OJS’nin en çok tercih edilen yazılım olmasının temelinde tüm makale yayın sürecini karşılıyor olması, kolay kullanımı, crossref, DOAJ gibi platformlarla entegrasyonu ve ihtiyaçlara göre sürekli geliştiriliyor olması yatmaktadır.
OJS Dergi Sistemine sahipseniz her türlü web sitesinde olduğu gibi bunda da çeşitli güvenlik önlemlerini almanız gerekir. Yapılan araştırmaya göre bilgisayar korsanları tarafından her bir 39 saniyede bir saldırı gerçekleştiriliyor. Özellikle güvenli olmayan kullanıcı adı ve şifreler bu girişimleri kolaylaştırıyor ve korsanlara açık kapı bırakıyor.
Elbette tüm güvenlik açığını şifreler oluşturmuyor. Müşterilerimizin dergilerinin en iyi şekilde korunması ve hızlı çalışması için çeşitli güvenlik önlemleri alıyoruz. Aşağıda bu önlemlerden bazılarına değineceğiz. Bazı güvenlik önlemlerini -maalesef sitelerimizin ve sunucularımızın güvenliği sebebiyle- açıklayamayacağımızı da belirtmek isteriz.
Emeğinizin boşa gitmemesini, verilerinizin kaybolmamasını ve hasar görmemesini istiyorsanız güvenlik önlemlerini almanız; süreçteki gelişmeleri, güncellemeleri takip etmeniz çok önemli. Bir dergiyi, siteyi inşa etmek, oluşturmak kadar var olanı en iyi şekilde korumak da önemlidir.
OJS, PKP tarafından desteklenmekte ve güvenlik konusunda tespit edilen son gelişmelere göre sürekli yenilenmektedir. Güvenlik açıkları PKP ekibi tarafından tespit edilebildiği gibi 10 binlerce kullanıcı tarafından da tespit edilebilmekte ve PKP ekibine bildirilmektedir. Çok fazla kişi tarafından kullanılan bir yazılım olması güvenlik açıklarının hızlı bir şekilde tespit edilmesine de yardımcı olmaktadır.
Tespit edilen ve bildirilen güvenlik açıkları hızlı bir şekilde giderilmekte ve akabinde hemen yeni versiyonlar yayımlanmaktadır. Dolayısıyla OJS yazılımı üzerine kurulu bir dergi siteniz var ise en son sürümle güncellemenizin en önemli güvenlik önlemi olduğunu ifade edebiliriz.
Açık Dergi Sistemi OJS güncellemeleri için bizden destek alabilirsiniz.
Aşağıdaki resimden de anlaşılabileceği gibi bazı versiyonlar özellikle güvenlik açığını kapatmak üzere yayımlanmaktadır.
OJS dergi sitesine yönelik güvenlik çalışması sadece iyi bir şifre ve güncel versiyonu kullanmakla yeterli değil elbette. OJS dergi sisteminin kurulu olduğu sunucu veya hosting üzerinde de bazı güvenlik tedbirlerinin alınması gerekmektedir. Bu konuda sunucu yöneticinize ve size düşen sorumluluklar mevcut.
OJS Dergi Sitenizin Güvenliğini Artırmak ve Korumak İçin Öneriler
- OJS dergi yazılımının son versiyonunu her zaman PKP sitesinden indirin. Farklı site ve kişiler tarafından sunulan dosyaları kullanmayın.
- PKP sitesi üzerinden tüm güncellemeleri takip ederek her zaman son versiyonu kullanmaya çalışın. Sitenizi yöneten bir teknik ekip var ise onlardan bu talepte bulunabilirsiniz. Özellikle güvenlik açığını kapatmaya yönelik versiyonlar yayınlandı ise son sürüme güncellemeyi ihmal etmeyin.
- OJS dergi sitenizi ve özellikle de veri tabanınızı sürekli yedekleyin. En azından her bir sayı yayımlandığında bir yedek almanız ve bu yedeği sunucu dışında bir yerde tutmanız olası durumlar için kurtarıcıdır. Sunucuda bir sorun olduğunda sitenize, verilerinize ulaşamadığınızda elinizdeki yedeklerle hemen aynı veya başka bir sunucuda sitenizi çalıştırabilirsiniz. Örneğin sunucularımızda günlük ve haftalık yedekler alınmakta, yedekler dışarıda farklı sunucularda tutulmaktadır.
- Özellikle site yöneticisi, dergi yöneticisi, bölüm editörleri için üst seviye (tahmine dilmesi zor) şifre kullanın. Şifreleriniz: Yeterince uzun olmalı.
- Ad, soyadı gibi kişisel bilgiler içermemeli.
- Büyük ve küçük harf içermeli.
- Rakam veya sayı içermeli.
- Özel karakter içermeli.
- Tahmin edilebilir olmamalı.
- Ardışık sayılar içermemeli.
- Korsanlar bazı durumlarda yani sunucunuzda ve ayarlarda açık olduğunu fark eder ise sunucunuza veya site dosyalarınızın olduğu yere zararlı/ajan kodlar yükleyebilirler. Daha sonra bu dosyaları kullanarak siteniz ve sunucunuz üzerinde hasar oluşturabilirler. Bu gibi tehlikeli durumları engellemek için sitenizi kurduğunuz alanda .htaccess dosyası oluşturun ve bu dosyanın içine aşağıdaki kodları yapıştırın. Hacklenme olayıyla karşılaşan ve bizden yardım talep eden dergileri incelediğimizde sitelerin çoğuna, makale gönderimi esnasında dosya yüklenmesi gereken alan kullanılarak farklı formatta dosyalar ve zararlı kodlar yüklendiğini görüyoruz. Özellikle PHTML, js ve php dosyalarının yüklendiğini görüyoruz. Bu gibi saldırıları 2 şekilde engelleyebiliriz.
1)
- OJS Dergi Sitesi Güvenliği için .htaccess Dosya İçeriği
<Files ~ “js/\.(js|JS)$”> allow from all</Files> <FilesMatch “\.(?:inc|php|py|php5|php4|php3|rb|phtml)$”>Order allow,denyDeny from all</FilesMatch>
2)
OJS 3.3.x versiyonunda etkin bir şekilde çalışan “Control Public Files – Genel Dosyaları Kontrol Et” eklentisini kurup aktif ederek. Eklentiyi kurup aktif ettiğimizde ayarlar bölümünde hangi dosya türlerine izin vereceğimiz (örn. doc, docx, pdf, jpg vb.) ve her bir kullanıcıya kaç mb dosya yükleme izni verebileceğimiz gibi seçenekler yer alamaktadır.
Bu iki seçenekten birini kesinlikle tavsiye ederiz…
Dosyalar klasörünü public_html dışına taşıma
- Bir diğer önemli güvenlik önlemi dergi ve makale dosyalarının yüklendiği klasörü (kurulum yaparken “files” ve ya farklı şekilde adlandırmış olabilirsiniz) public_html klasörünün dışına taşımak. Bu sayede doğrudan tarayıcı üzerinden bu dosyalara ulaşım engellenmiş olacaktır.
Güvenlik Sertifikası / https
Sitenizin güvenliğini daha da artırmak ve ziyaretçilerin gözünde güvenilir bir site durumuna gelmek için SSL güvenlik sertifikası almanız ve sitenize tanımlamanız/tanımlatmanız önemlidir. Basitçe anlatmak gerekirse SSL, Secure Sockets Layer (Güvenli Yuva Katmanı)’ın kısaltmasıdır. SSL sertifikaları, ziyaretçiler web sitenize geldiğinde onların verilerini, bilgilerini korumaya yarar. Örneğin, bir SSL sertifikası web sitenize üye olan ziyaretçilerin kişisel verilerini korur.
Ayrıca Google 2014 yılında yaptığı açıklamayla, SSL sertifikasına sahip olan siteleri aramalarda daha ön sırada göstereceğini bildirmiştir.
Sitenize SSL sertifikası tanımladığınızda OJS config.inc.php dosyasında gerekli ayarları yapmayı da unutmayınız. SSL kurulumu sonrası aşağıdaki “Off” terimlerini “On” yapmanız yeterli olacaktır.
; Force SSL connections site-wide
force_ssl = Off
; Force SSL connections for login only
force_login_ssl = Off
OJS dergi sitenizin güvenliği için en azından yukarıdaki işlemlerin gerçekleştirilmesi çok önemli. Bunlar dışında da çeşitli önlemler mevcut.
Bununla birlikte dünyada 25 binden fazla kişi ve kurum tarafından kullanılan Açık Dergi Sistemi OJS’nin en güvenli ve gelişmiş bir sistem olduğunu da vurgulamamız gerekir.
OJS dergi sitesi kurmak, sitenizi taşımak, sitenizi güncellemek veya güvenliğini artırmak için bizimle iletişime geçebilirsiniz.
Güvenlik konusunda farklı sorularınız varsa yorum bölümüne yazabilirsiniz.
Konu yoruma kapalıdır.