Sahadaki Durum
Hosting firmaları için panel eklentisi seçimi yalnızca özellik karşılaştırması değildir. Eklentinin API yetkisi, update geçmişi, loglama kabiliyeti ve yedek davranışı güvenlik kararının parçasıdır.
Bu başlıkta amaç, güvenlik duyurusunu yalnızca haber gibi okumak değil; hosting operasyonunda hangi servislerin, hangi müşterilerin ve hangi bakım adımlarının etkileneceğini netleştirmektir. Kritik CVE dönemlerinde başarılı ekipler önce etki alanını daraltır, sonra yamayı uygular ve en son kullanıcı deneyimini ölçer.
Güncel Bulgular
cPanel, Plesk ve DirectAdmin eklentileri çoğu zaman yüksek yetkiyle çalışır. Bu nedenle küçük bir eklenti zafiyeti panel genelinde risk oluşturabilir.
API token kullanan ürünlerde minimum yetki, rotation ve audit log olmazsa entegrasyon büyüdükçe risk de büyür.
Yedek almayan veya rollback sunmayan eklentiler üretim sisteminde değişiklik yaparken operasyonel borç oluşturur.
Uygulama Notları
Yeni eklenti kurulmadan önce vendor güncelleme geçmişi, destek kanalı ve son güvenlik duyuruları incelenmelidir.
API tokenları ürün bazında ayrılmalı, ortak root token kullanılmamalıdır.
Eklenti güncellemesi önce test hesabında denenmeli, ardından canlıda kademeli uygulanmalıdır.
Denetim Notları
Eklenti dosya izinleri ve cron görevleri kontrol edilmelidir.
Gereksiz callback URL veya webhook endpointleri kapatılmalıdır.
Admin panelde yapılan her kritik aksiyon loglanmalıdır.