Sahadaki Durum
Website builder kullanan hosting hesaplarında güvenlik yalnızca panel tarafında değil, yayınlanan statik/dinamik dosyaların web sunucusundaki davranışında da değerlendirilmelidir.
Bu başlıkta amaç, güvenlik duyurusunu yalnızca haber gibi okumak değil; hosting operasyonunda hangi servislerin, hangi müşterilerin ve hangi bakım adımlarının etkileneceğini netleştirmektir. Kritik CVE dönemlerinde başarılı ekipler önce etki alanını daraltır, sonra yamayı uygular ve en son kullanıcı deneyimini ölçer.
Güncel Bulgular
Builder sistemleri hızlı yayın yaptığı için kullanıcılar çoğu zaman dosya yapısını bilmez. Bu nedenle güvenlik varsayılanları daha sıkı olmalıdır.
Firewall ve WAF kuralları builder endpointlerini tamamen engellerse müşteri site yayınlayamaz; çok gevşek bırakılırsa upload yüzeyi büyür.
Güncelleme takibi yapılmayan builder eklentileri, panel güncel olsa bile eski JavaScript, eski template veya zayıf upload kontrolü taşıyabilir.
Uygulama Notları
SitePad güncellemesi sonrası yeni site oluşturma, mevcut siteyi düzenleme ve publish işlemi test edilmelidir.
WAF tarafında builder pathleri için geniş muafiyet vermek yerine method, file type ve kullanıcı oturumu bazlı kural yazılmalıdır.
Yayınlanan dosyalarda executable izinler ve beklenmeyen PHP dosyaları kontrol edilmelidir.
Denetim Notları
Upload dizinlerinde `.php`, `.phtml` ve benzeri çalıştırılabilir dosyalar engellenmelidir.
Builder kullanıcıları için disk kotası ve inode takibi yapılmalıdır.
Template kaynaklı dış bağlantılar ve eski CDN çağrıları periyodik olarak gözden geçirilmelidir.