Joomlanın güvenlik durumunu bir Joomlacıya, üstelik bizim gibi isimleri Joomla ile bir anılan Joomlacılara sorduğunuzda, elbette "Joomla son derece güvenlidir" cevabı alınır. Aynı soru, yaygın hazır sistemleri kullanmayanlara yöneltildiğinde ise yaygın sistemlerin nasıl hedef olduğu ve bunun için Joomla'nın da güvenli sayılamayacağı gibi bir yorum almak çok olasıdır.
Aslında haklı yönü olan bu yorum, Joomla'nın büyüklüğünden gelen denetim mekanizmaları sebebiyle haklılığını yitiriyor. Geçtiğimiz günlerde 30 milyon indirme sayısını aşan, son 12 ayda 8 milyon sefer indirilen Joomla gibi bir sistemin, hedefte ilk sırada olması kaçınılmaz. Ne var ki; organizyon yapısı büyük ölçekli şirketlerle kıyaslanabilecek bir profesyoneliğe sahip olan Joomla Projesinin, bir ya da birkaç kişiden müteşekkil geliştirici kadrosuna sahip küçük ve sahipsiz cms sistemleri gibi açıklarla başbaşa kalması beklenemez.
Önceklikli olarak bilmemiz gerekir ki Joomla ve benzeri büyük sistemler, kod yapısında açık varken yayına giremez. Evet! Joomla!'nın yeni bir sürümü çıktığıda o kesinlikle güvenlik açısından kusursuza yakın bir yapıya sahiptir. Ancak sistem üzerinde yeni bir açık oluşturulması, yani sonradan bir açık oluşturulması bu işin doğası gereği mümkündür. Joomla gibi başka sistemlerde de açık olmadığı iddia edilebilir ancak açık oluşturulamayacağı kesinlikle iddia edilemez. İşte güvenlik tam da burada anlam kazanıyor.
Sistemimizin son derece güvenli olup, açık içermediğini ama üzerinde bir açık oluşturulma ihtimali bulunduğunu artık biliyorsunuz. Bu, Joomla!'ya has bir durum değil, bilakis hazır ya da özel kodlanmış tüm sistemler için geçerli, inkâr edilemez bir gerçekliktir. Joomla!'ya olan güven burada belirginleşiyor, sebebine gelelim;
Bir açık oluşturulduğunda bunu genelde Joomla Projesinin kendisinden, bir duyuru ile haber alıyorsunuz. Üstelik artık yönetimde güncelleme uyarıları da geldi; "geç tedbir ve önleme" noktasında da önemli bir adım oldu. Küçük projeler yahut organizasyon yapısı kuvvetli olmayan, milyonlarca kez indirilmeyen betiklerde ise kullanıcılar genelde bir güvenlik sorunu olduğunu siteleri elden gittiğinde farkeder; bunların ise sadece aralarından tedbirli olanları 1 hafta, 1 ay ya da birkaç aylık yedeklerine geri dönerek sistemi kısmen kurtarabilirler.
Aslında bu da yetmez, artık o sistemin güvenli halini kullanmak için sistem yazarına dil dökmek, ek bütçe ayırarak geliştirilmesini sağlamak yahut sistemi bilmeyen uzmanlara yamalar yaptırmak gibi çok türlü sorunlara çözüm bularak, mevcut sistemle devam etmenin yolu aranır. Öyle ya, onlarca menü, yüzlerce, binlerce içerik, resim, video... Yeni bir sisteme aktarımı dahi yeni bir masraf demek.
Joomla Projesi, ilk yayınlandığı 1.0 kararlı sürümünden Joomla 2.5.4 sürümüne; Nisan 2012'ye kadar 5 seri, 20'den fazlası alfa, beta, RC sürüm, 56 tanesi kararlı sürüm olmak üzere yaklaşık 80 sürüm yayınladı. Bu 80'e yakın sürüm içerisinde yüksek seviyeli güvenlik sorunu düzeltmesi içeren sürüm sayısı 10'u bulmamaktadır. Hatta bu yüksek seviyeli güvenlik sorunu düzeltmesi içeren sürümlerdeki "açık kapama" tabir edilen düzeltmelerin bir kısmı genel o ana kadar güvenli olan php yöntemleri yahut jenerik kütüphanelerle ilgili olup, aynı kod yapısını kullanan Wordpress, Drupal gibi diğer önde gelen sistemler için de duyurulmuştur. Joomla güvenli değil demek için bu 80 civarı sürümden, geçmişte kalan birkaç sürüme takılıp kalmak gerekir.
Joomla gerçekten de çok büyük bir proje. Proje geliştiricilerinin çalışma grupları son derece aktif ve kurallı. Hâl böyle olunca, bir güvenlik sorununda, anonsun ertesi günü açığın kapatılarak yeni paketle yayına girildiğini görüyoruz. Kullanıcı olarak bizler bundan yukarıda da belirttiğim gibi duyurularla haberdar oluyoruz. Duyuru detaylarına baktığımızda dün anons edilen bir güvenlik açığının bugün kapatılarak yeni sürümün paketlendiğini görebiliyoruz. Üstelik artık uyarı sistemi de mevcut. Dünyanın bir ucundan Joomla Projesi, sitemizin yönetimine girdiğimizde bize diyor ki; "Joomla!'da yeni güncelleme var, senin sürümün de bu güncellemeyi gerektiriyor, hemen tek tıkla yükseltmeni yap".
Joomla Projesinin yayınlandığı ve düzelttiği sürümlere bakmak, onun güvenli yapısı, dahası projenin güvenirliği açısından yeterli olacaktır.