Bir web sitesi sahibi olarak, tüm çalışmalarınızı bir hackerın değiştirdiğini ya da tamamen sildiğini görmek kadar korkunç bir şey var mıdır? Peki hasar oluştuktan sonra bile olsa bir hackerı nasıl durduracağınızı biliyor musunuz?
Web siteniz (ve markanız) üzerine çok çalıştığınızı biliyoruz, bu yüzden bu temel korunma ipuçlarına zaman ayırmanızı öneriyoruz. Bu makale size ayrıca bir web sitesinin güvenli olup olmadığını ve web sitenizin hackerlardan korunmasını sağlamak için neler yapabileceğinizi öğretecektir.
Dosyalarınızı düzenli olarak yedeklemenin yanı sıra aşağıdaki yedi kolay adımı uygulamak, web sitenizi hackerlara karşı korumanıza yardımcı olacaktır:
- Adım: Platformları ve komut dosyalarını güncel tutun
Web sitenizi olası saldırılardan korumak için yapabileceğiniz en iyi şeylerden biri, yüklediğiniz platformların veya komut dosyalarının güncel olduğundan emin olmaktır. Bu araçların çoğu açık kaynak kodlu yazılım programları olarak oluşturulduğundan, kodlara iyi niyetli geliştiricilerin yanı sıra hackerlar tarafından da kolayca ulaşılabilir. Hackerlar, bu kod üzerinden herhangi bir platform veya script zayıflığını açığa çıkararak güvenlik zayıflıklarını bulabilir ve web sitenizin kontrolünü ele geçirmeye çalışabilirler.
Örneğin, WordPress’te oluşturulmuş bir web sitesi yayınlıyorsanız, hem temel WordPress yüklemeniz hem de yüklediğiniz tüm üçüncü taraf eklentileri bu saldırılara karşı potansiyel olarak zayıf konumdadır. Platformunuzun ve komut dosyalarınızın her zaman en yeni sürümlerine sahip olduğunuzdan emin olmak, bu şekilde saldırıya uğrama riskinizi en aza indirir ve genellikle çok az zaman alır.
WordPress kullanıcıları, WordPress kontrol paneline giriş yaptıklarında bunu hızlı bir şekilde kontrol edebilirler. Sitenizin adının yanında bulunan sol üst köşedeki güncelleme simgesini bulun. WordPress Güncellemelerinize erişmek için numaraya tıklayın.
- Adım: Mümkün olduğunda güvenlik eklentileri yükleyin
Her şeyi güncelledikten sonra, web sitesi hack girişimlerini etkin bir şekilde engelleyen eklentilerle güvenliğinizi daha da geliştirin.
Yine WordPress örneğini kullanırsak; WordPress üzerinde iThemes Security ve Bulletproof Security gibi ücretsiz güvenlik eklentilerden (veya farklı sistemler üzerine kurulmuş web siteleri için benzer araçlardan) yararlanabilirsiniz. Bu ürünler, her bir platformda yer alan güvenlik açıklarına hitap eder ve web sitenizi tehdit edebilecek ek saldırı girişimlerini engellerler.
Alternatif olarak (ister CMS yönetimli bir site, ister HTML sayfaları çalıştırıyor olun) SiteLock’a göz atmanızı tavsiye ederiz. SiteLock, zararlı yazılım tespitinden aktif virüs tarama ve daha fazlası için zayıflık tanımlamasına kadar her şey için günlük izleme sağlayarak sitenizin güvenlik boşluklarının doldurulmasına yardımcı olur. Firmanız web sitenize dayanıyorsa, SiteLock kesinlikle dikkate değer bir yatırımdır.
Not: Bizim WordPress hosting planımız, sitenizin güvenliğini sağlamak adına SiteLock ve başka çeşitli özelliklerle donatılmıştır.
- Adım: HTTPS kullanın
Bir internet kullanıcısı olarak, herhangi bir web sitesine hassas bilgilerinizi vereceğiniz zaman tarayıcı çubuğunda yeşil “https”yi görmek önemlidir. Çoğu tüketici bu beş küçük harfin anlamını bilir: bunlar, söz konusu web sayfasının finansal bilgi vermek için güvenli olduğunu işaret etmektedir.
Bir online satış mağazanız varsa, ya da web sitenizin herhangi bir bölümü ziyaretçilerin kredi kartı numarası gibi hassas bilgileri vermesini gerektiriyorsa, bir SSL sertifikası satın almanız gerekir. SSL sertifikasının maliyeti düşüktür, ancak müşterilerinize sunduğu ekstra şifreleme düzeyi, web sitenizi çok daha güvenilir ve sağlam bir hale getirir.
- Adım: Parametrelenmiş sorguları kullanın
Çoğu sitenin yenik düştüğü en yaygın web sitesi hacklerinden biri de SQL enjeksiyonlarıdır. Siteniz dışarıdan kullanıcıların bilgi sağlamalarına izin veren bir web formu veya URL parametresi kullanıyorsa, SQL enjeksiyonları devreye girebilir. Alanın parametrelerini çok açık bırakırsanız, birileri oraya veri tabanınıza sızabilecekleri bir kod ekleyebilir, veritabanınız da iletişim bilgileri veya kredi kartı numaraları gibi hassas müşteri bilgilerini içerebilir. Bütün bu bilgileri korumak sizin görevinizdir.
Web sitenizi SQL enjeksiyon hacklerinden korumak için izleyebileceğiniz birkaç yol vardır, bunun en önemli ve en kolaylarından biri de parametreli sorguların kullanılmasıdır. Parametrelenmiş sorguları kullanmak, kodunuzun bir hackerın uğraşamayacağı kadar spesifik parametrelere sahip olmasını sağlar.
- Adım: CSP kullanın
SQL enjeksiyonları gibi, siteler arası betik çalıştırma (XSS) saldırıları da göz önünde bulundurulması gereken diğer bir ortak düşmandır. Hackerlar, sayfalarınıza kötü niyetli JavaScript kodu sızdırır. Bu da web sitenize gelen herhangi bir ziyaretçinin sayfalarının kodlara maruz kalmasıyla sonuçlanır.
Sitenizi XSS saldırılarına karşı, tıpkı SQL enjeksiyonlarında olduğu gibi parametrelenmiş sorgularla koruyabilirsiniz. Web sitenizde girişe izin verilen işlevler veya alanlar için kullandığınız herhangi bir kodun, neye izin verdiği konusunda mümkün olduğunca spesifik olması gerekir. Böylece, istenmeyen hiçbir koda yer bırakmamış olursunuz.
XSS’den korunmak için kullanabileceğiniz başka bir araç, İçerik Güvenliği Politikası’dır (CSP). CSP, tarayıcınızın sayfanızda geçerli yürütülebilir komut dosyaları kaynaklarını göz önünde bulundurması gereken alanları belirtmenize olanak tanır; böylece tarayıcı, ziyaretçinizin bilgisayarına bulaşabilecek kötü amaçlı betiklere dikkat etmemeyi bilir.
CSP kullanmak, kısaca web sitenize, hangi domainlerin iyi olduğunu ve hangi durumların istisna olduğunu bildiren bir yönergeler dizisi sağlayan doğru HTTP başlığını eklemektir. Mozilla tarafından sağlanmış CSP başlıklarını web sitenize nasıl yükleyeceğiniz ile ilgili ayrıntıları burada bulabilirsiniz.
- Adım: Şifrelerinizin güvenli olduğundan emin olun
Bu adım başta size basit gibi gelebilir, ama aslında çok önemlidir.
Hatırlamanın kolay olacağı bir şifre, başta size daha cazip gelebilir. (Bu yüzden en çok kullanılan şifre 123456’dır.) Ama web siteniz için emin olun bundan çok daha iyisini yapmak zorundasınız.
Güvenli bir şifre bulmaya çalışın (veya IHS Telekom’un şifre üreticisini kullanın). Şifreniz uzun olmalıdır. Özel karakter, sayı ve harf karışımları kullanmanız gerekir. Doğum gününüz veya çocuğunuzun adı gibi kolay tahmin edilebilecek şifrelerden uzak durun. Bir hacker, sizin hakkınızda belli bilgilere erişmişse, bunları tahmin etmesi de kolay olacaktır.
Web sitenize erişimi olan herkesin benzer şekilde güçlü şifrelere sahip olduğundan emin olun. Uzunluk ve karakter tipi olarak belli standartlar belirleyin, böylece başka hesaplar için koydukları kolay şifrelerden daha yaratıcı olmaları gerecektir. Güçlü şifreler oluşturmak, hackerların hesaplarınıza erişmesini engeller.
Bir kişinin koyduğu zayıf şifre, bütün web sitenizi savunmasız hale getirebilir. Bu nedenle, ekibinizdeki herkesten kendinize belirlediğiniz aynı yüksek standartlara sahip olmalarını bekleyin.
- Adım: Dizin ve dosya izinlerinizi kilitleyin
Bu son adımda biraz teknik dil kullanacağız. Ama biraz sabredip okursanız çok faydasını göreceksiniz.
Tüm web siteleri, web hosting hesabınızda saklanan bir dizi dosya ve klasöre indirgenebilir. Web sitenizin çalışması için gereken tüm komut dosyalarını ve verileri içermenin yanı sıra, bu dosya ve klasörlerin her birine, belirli bir dosya veya klasörü kimlerin veya hangi kullanıcı gruplarının okuyabileceğini, yazabileceğini ve çalıştırabileceğini kontrol eden bir izinler kümesi atanır.
Linux işletim sisteminde izinler, her rakamın 0-7 arasında bir tam sayı olduğu üç basamaklı bir kod olarak görüntülenir. İlk basamak, dosyanın sahibi için izinleri temsil eder, ikinci basamak, dosyanın sahibi olan gruba atanan herkes için izinleri temsil eder ve üçüncü basamak, diğer herkes için izinleri temsil eder. Görevler aşağıdaki gibi çalışır:
4 = Oku
2 = Yaz
1 = İşlem gerçekleştir
0 = Bu kullanıcıya izin yok
Örnek olarak, “644.” izin kodunu alalım. Bu durumda, ilk konumda “6” (veya “4 + 2”), dosyanın sahibine dosyayı okuma ve yazma yetkisi verir. İkinci ve üçüncü pozisyonlardaki “4”, hem grup kullanıcılarının hem de internet kullanıcılarının büyük çoğunluğunun sadece dosyayı okuyabileceği anlamına gelir – bu da dosyayı beklenmedik manipülasyonlardan korur.
Dolayısıyla, “777” (veya 4+2+1 / 4+2+1 / 4+2+1) numaralı izinleri olan bir dosya, hem kullanıcı, hem grup hem de dünya üzerindeki diğer herkes tarafından okunabilir, yazılabilir ve üzerinde işlem gerçekleştirilebilir.
Tahmin edebileceğiniz gibi, web üzerinde herhangi birine yazma ve işlem gerçekleştirme yetkisi veren izin kodu atanmış bir dosya, yalnızca sahibinin tüm haklara sahip olduğu kilitlenmiş bir dosyadan çok daha az güvenilirdir. Tabii ki, diğer kullanıcı gruplarına da erişim sağlamak için geçerli nedenler vardır (örneğin anonim FTP yükleme), ancak bir web sitesi sahibi güvenlik riski oluşturmamak adına bu yetkileri atamadan önce dikkatle düşünmelidir.
Bu nedenle, izinlerinizi aşağıdaki gibi ayarlamak sizin için iyi bir başlangıç olacaktır:
Klasörler ve dizinler = 755
Bireysel dosyalar = 644
Dosya izinlerinizi ayarlamak için cPanel’inizin Dosya Yöneticisine giriş yapın ya da sunucunuza FTP ile bağlanın. İçeri girdiğinizde, mevcut dosya izinlerinizin bir listesini görürsünüz (Filezilla FTP programı kullanılarak oluşturulmuş aşağıdaki örnekte görebileceğiniz gibi):
Bu örnekteki son sütun, şu anda web sitesinin içeriğine atanan klasör ve dosya izinlerini göstermektedir. Bu izinleri Filezilla’da değiştirmek için, ilgili klasöre veya dosyaya sağ tıklayın ve “Dosya izinleri” seçeneğini seçin. Karşınıza bir dizi onay kutusu kullanarak farklı izinler atamanızı sağlayan bir ekran gelecektir:
Web hostunuzun veya FTP programınızın back end kısmı biraz farklı gözükebilir, ama izinleri değiştirmek için yapacağınız temel işlemler aynıdır. Klasör ve dosya izinlerinizi değiştirmeyle ilgili sorularınız varsa lütfen bu bağlantıya tıklayın. Bu adımı sakın ertelemeyin, sitenizi güvenceye almak ve hackerlara karşı nasıl korunacağınızı öğrenmek, sitenizi uzun vadede sağlıklı ve güvenli tutmanın en önemli yollarından biridir.
İHS Telekom’da, web sitenizin korunmasına yardımcı olacak özel mod güvenlik kuralları ile korunmaktadır. Yeni bir hosting sağlayıcısı arıyorsanız, satın almak için burayı tıklayabilirsiniz.Transfer olmak istiyorsanız, ücretsiz olarak uzman ekibimize web sitenizi ücretsiz olarak taşıtabilirsiniz.