Web Sitesi Güvenliğini Artırmak İçin 8 Adım

1

Siber saldırılar ve siber güvenlik önlemleri her geçen gün önemini daha da artırmaktadır. IDC’nin araştırma ve tahminlerine göre 2017 yılında bu alandaki harcamaların 2016’ya göre % 8.2 artış ile 81.7 milyar dolara ulaşması beklenirken, 2020 yılında bu harcamaların 105 milyar dolara ulaşması bekleniyor. Bir diğer açıdan bakıldığında ise siber saldırılar dünya ekonomisinde her yıl ortalama 3 trilyon dolar zarar meydana getiriyor.

Siber saldırı ve siber güvenlik kavramları önemini bu kadar artırırken, sizin de pek çok emek harcayarak sahip olduğunuz web sitenizin ve verilerinizin güvenliğini sağlamak için almanız gereken bazı önlemler bulunuyor. Bu yazımızda siber güvenliğiniz için dikkat etmeniz gereken bazı noktaları sizlerle paylaşacağız.

1.Karmaşık Şifreler

Web sitenizin güvenliğinin sağlamanın yollarından birisi şifre güvenliğinizi sağlamanızdır. Sistemlerinize ulaşmak için tanımladığınız şifrelerinizde mümkün olduğunca karmaşık kombinasyonlara sahip şifreleri tercih edin. Büyük harf, küçük harf, rakam ve özel karakter kullanacağınız ve minimum 10 karakterden oluşan şifreler ile çalışmanız güvenliğinizi artıracak adımlardan birisidir.

Günümüzde 7/24 ip adresleri üzerinden basit şifre kombinasyonları ile uzak masaüstü ve SSH erişimi denemesi yapan botların varlıkları sayesinde 123456 gibi şifreli sistemler dakikalar içerisinde kırılarak usitimale uğramaktadır.

Karmaşık bir şifre oluşturmanın yanı sıra, oluşturduğunuz şifrenizi farklı hesaplar için kullanmamanız ve her bir erişiminiz için ayrı şifre tanımlamanız da aynı şekilde önemli noktalardan birisidir.

Bu aşamada her bir şifreyi nasıl aklınızda tutacağınızı düşünüyorsanız, bu konuda şifre yönetimi yazılımlarından yardım alabilirsiniz. Bu yazılımlar aracılığıyla şifrelerinizin yönetimini kolaylıkla yapabilir ve dilerseniz yüksek standartta şifreler üretebilirsiniz. Keepass bu tür programlar için iyi bir örnektir.

2.Yazılım Güncelliği

Güncel olmayan işletim sistemleri ve kullandığınız diğer yazılımlarınız siber güvenliğiniz açısından önemli açıklar oluşturmaktadır. Bu sebeple işletim sisteminizin ve web sitenizde kullandığınız WordPress, Joomla gibi içerik yönetim sistemlerinin, Cpanel, Plesk, Maestropanel gibi kontrol panellerinin her daim güncel olduğundan emin olunuz.

Benzer şekilde özellikle içerik yönetim sistemlerine yüklediğiniz tema ve eklentilere de çok dikkat edin. Genellikle ücretsiz olarak sunulan bu eklentiler web sitelerinizin birer zombie’ye dönüşmesine ve DDoS saldırılarda kullanılmasına neden olabilir. Güvenilirliğine inandığınız tema ve eklentilerinizin ise güncellemelerini sürekli takip ederek, en güncel sürümün yüklü olduğundan mutlaka emin olun.

Eğer bulut (cloud) sunucu altyapısı üzerinde çalışıyorsanız güncelleme işlemleriniz öncesi tüm sunucunuzun snapshot’ını almanız faydalı olacaktır.

3.SQL Injection

Web sitelerinizde kullandığınız formlar üzerinden GET ve POST ile sunucunuza gelen değişkenlere dikkat etmeniz de güvenliğiniz açısından oldukça önemlidir.
Bu aşamada Captcha türü kontroller ile formlarınız üzerinde güvenlik almanız hem çok kolay, hem de koruyucu bir çözüm olacaktır.

4.Port Yönetimi ve Firewall

Eğer paylaşımlı hosting dışında cloud veya dedicated sunucu yönetiyorsanız tüm portlarınızın açık durumda olduğunu bilmeli ve bu konuda önlemler almalısınız. Bu süreçte bir firewall ile kullanılmayan tüm portların ve protokollerin (UDP gibi) kapatılması oldukça faydalı bir çözüm olacaktır. Eğer sunucunuzu web sitelerinin barındırılması için kullanıyorsanız, HTTP 80 ve varsa SSL 443 portu dışında tüm portları kapatabilirsiniz. (Lütfen eposta ve DNS servislerinizin durumunu gözden geçiriniz.)

Sunucunuzun uzak masaüstü veya SSH erişimini ise ofis sabit IP’nizle ya da VPN üzerinden olacak şekilde planlamak gayet makul bir çözüm olacaktır. Bu şekilde sunucunuz üzerinde sadece sizin izin verdiğiniz servisler dünyaya açık şekilde çalışacaktır.

5.Kullanmadığınız Site ve Veri Tabanları

Uzun süredir kullanımda olmayan, güncelliğini yitirmiş web sitelerinizi, veri tabanlarınızı ve uygulamalarınız da sizin için güvenlik zafiyeti yaratacaktır. Bu sebeple kullanmadığınız bu yazılımları silmeniz güvenliğiniz açısından faydalı olacaktır.

6.Kullanıcı Erişimi

Kullanıcı erişim izinlerinizi mutlaka düzenleyin ve her bir hesap için gerçekleştirilecek işin niteliğine uygun olacak şekilde farklı izinler tanımlayın. Aynı şekilde her bir erişim için ayrı kullanıcı adı ve şifre ile girişlerinizi farklılaştırın.

7.Dosya ve Klasör İzinleri

Hosting ya da sunucu hesabınızda barındırılan dosya ve klasörleriniz üzerindeki izinler de güvenlik açıklarına neden olan etkenlerden bir başkasıdır. Bu izinler ile dosya ve klasörlerin her birinde, kullanıcıların ait olduğu gruba göre okuma, yazma ve çalıştırma haklarını denetleyen izinler grubu atanır. Bu sebeple dosya ve klasörlerinizdeki izinleri mutlaka kontrol etmeli ve gerekli düzenlemeleri gerçekleştirmelisiniz.

Linux işletim sisteminde izinler, her basamağın 0-7 arasında bir tamsayı olduğu üç basamaklı bir kod olarak görüntülenir. İlk rakam dosya sahibinin izinlerini, ikinci rakam dosya sahibi olan gruba atanmış kullanıcılarını izinlerini, üçüncü rakam ise diğer herkes için olan izinleri temsil eder. Bu kodlamaya mantıksal açıdan baktığımızda rakamlar aşağıdaki izinleri ifade etmektedir;

  • 4: Okuma
  • 2: Yazma
  • 1: Çalıştırma
  • 0: Bütün izinler kapalı

Örnek olarak, “644” izin kodunda, ilk hanede bulunan “6” rakamı “4 + 2” şeklinde iki iznin toplamını ve mantıksal olarak da dosyanın sahibine dosyayı okuma ve yazma hakkı verildiğini ifade eder. İkinci ve üçüncü hanedeki “4” rakamı ise hem grup kullanıcılarının, hem de genel olarak İnternet kullanıcılarının dosyayı yalnızca dosyayı okuyabileceğini ifade eder.

Bu durumda, “777” izin kodu (4 + 2 + 1/4 + 2 + 1/4 + 2 + 1) dosya sahibi, kullanıcı grubu ve diğer bütün internet kullanıcılarına okuma, yazma ve çalıştırma izinlerinin tamamını sağlayacağından önemli güvenlik açıklarına sebep olacaktır.

Bu nedenle, izinler için tavsiye edebileceğimiz en iyi kural:

  • Klasörler ve dizinler için; 755
  • Bireysel Dosyalar için; 644

İzin kodlarının kullanılmasıdır.

8.Güvenli Servis Sağlayıcı

Web sitenizi barındıracağınız hosting ya da sunucu hizmetini güvenilir bir servis sağlayıcıdan almanız da web sitenizin güvenliğini açısından önemli noktalardan birisidir. Doğru planlamalar ile yapılandırılmış, uzman bir teknik ekip tarafından 7/24 takip edilen, yedekli bir altyapı üzerinden servis almanız durumunda barındırma hizmetinizden kaynaklı güvenlik açıklarını ortadan kaldırmış olursunuz.
Güvenli servis sağlayıcılarının ortak noktası muteber kurulumlardan alınmış sertifikalar kadar kuruluş yılları bir kaç seneden çok daha fazla olan tecrübeli şirketler olmasıdır.

Bonus Bilgi: Yedekleme

Siber saldırılara karşı önlem alın ya da almayın, kullanıcı hatalarından kaynaklı sorunlar için dahil yedekleme işlemi gerçekleştirmeniz oldukça önemlidir. Düzenli yedekler almanız ve aldığınız yedeklerinizin doğru alındığını periyodik olarak, geri dönüş(restore) ederek kontrol etmeniz faydalı olacaktır.

Aldığınız yedekler konusunda bir diğer önemli nokta ise yedeklerinizin sistemleriniz ile aynı ortamda bulunmamasıdır.

Vargonen olarak, servis sağlayıcı tarafında 7/24 izlenen, yedekli altyapımız üzerinden verdiğimiz hosting ve sunucu servislerimizin yanı sıra Firewall,  yedekleme hizmetleri, SLA destek paketleri gibi hizmetlerimiz ile kullanıcılarımızın devamlı ve güvenli çalışan uygulamalarına altyapı sağlıyoruz. Sizler de ürün ve hizmetlerimiz ile ilgili daha fazla bilgi almak istiyorsanız web sitemizi ziyaret edebilir ya da 0850 660 00 99 numaralı telefondan bizlere ulaşabilirsiniz.

Paylaş.

Yazar Hakkında

1 Yorum

  1. Siteye eklenecek script kodlara da dikkat etmek gerekiyor. Ayrıca önceden eklenmiş kodlarında gözden geçirilmesinde büyük fayda var. Örneğin google analytics koduna benzetilmiş bir çok zararlı kodlara rastlanıyor sitelerde şu aralar.

Cevap bırakın

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Vargonen E-Bülten
ABONE OL
vargonen cloud fiziksel sunucu domain hosting

Fırsatlardan ve Gelişmelerden Haberdar Olun!

En güncel haberler, sistemsel gelişmeler ve özel kampanyalar Vargonen E-Bülten'de.
Önceki yazıyı okuyun:
IBM flash system flash storage vargonen domain hosting dedicated bulut sunucu
Diski Olmayan Storage ile Tanışın: Flash Storage

İnternet ile bir anda milyonlara yayılabilen servislerin gündelik hayatımıza girmesi ile depolama çözümleri ile ilgili altyapı ihtiyaçları da önemli hale...

DDoS vargonen hosting domain dedicated bulut sunucu
DDoS Saldırısı Nedir? Nasıl Engellenir?

Son yıllarda siber saldırılar, milyonlarca internet kullanıcısını ve yüzbinlerce web sitesini etkileyerek önemli bir tehdit kaynağı olduklarını göstermişlerdir. Bilgi sızdırmak,...

opencart kurulum setup vargonen hosting domain cloud fiziksel sunucu
Opencart Nedir? Opencart Kurulum İşlemi Nasıl Yapılır?

Günümüzde pek çok kişi ve şirket e-ticaret sitesi sahibi olarak işini internet ortamına taşımak ve ürünlerini müşterileriyle kolaylıkla buluşturmak istiyor....

Kapat