Web Sitesi Güvenliği Nedir ve Nasıl Sağlanır?

Tehlikelerle  dolu olan internet dünyasında her web sitesi kendi güveliğini sağlamak zorundadır. Özellikle de kullanıcılarının kişisel bilgilerini saklama ve güvende tutma konusunda başarılı olan web siteleri her zaman bir adım öne çıkarlar. Zira güvenlik internet üzerindeki en önemli faktörlerden birisidir. 

Siber güvenlik ile ilgili çok sayıda rakamlar konuşulmakta, araştırma kuruluşları tarafından raporlar yayımlanmaktadır. İnternette kolay bir arama ile bulabileceğiniz bu raporlardan birkaçını ele aldığımızda ortaya çıkan tablo gösteriyor ki bilişim güvenliğine yapılan harcamalar her sene katlanarak artıyor. International Data Corporation (IDC)’nin verilerine göre dünyada bilişim pazarının yaklaşık %20’si yazılım harcamaları iken, sadece güvenlik yazılımı harcamaları dikkate alındığında bu oran %2 ile 35.2 milyar dolar. Türkiye’de ise güvenlik yazılımı harcamaları oranı bilişim harcamalarının %1’i ile 96 milyon dolardır. 

Bilişim Sanayicileri Derneği'nin (TÜBİSAD) açıkladığı Bilgi ve İletişim Teknolojileri Sektörü 2020 Yılı Pazar Verileri ve Trendlerine göre, bilgi ve iletişim teknolojileri sektörü bir önceki yıla kıyasla yüzde 22 büyüyerek 189 milyar TL'lik harcamaya ulaştı. Bir diğer açıdan bakıldığında ise siber saldırılar dünya ekonomisinde her yıl ortalama 3 trilyon dolar zarar meydana getiriyor.

Siber saldırı ve siber güvenlik kavramları önemini bu kadar artırırken, sizin de pek çok emek ve para harcayarak sahip olduğunuz web sitenizin ve verilerinizin güvenliğini sağlamak için almanız gereken bazı önlemler bulunuyor. Web sitenizin güvenliği için dikkat etmeniz gereken önemli ve temel adımları sizlerle paylaşıyoruz.

SSL sertifikaları, kullanıcı ile web siteleri arasındaki bilgi alışverişini özel olarak şifreleyen anahtarlar olarak bilinir. Bu sertifikalar sayesinde bir web sitesine girdiğiniz tüm bilgiler şifrelenir. Özellikle de e-ticaret sitelerinde bu durum çok önemlidir. Zira kullanıcılar hem üye bilgilerini hem de kart bilgilerini paylaşarak alışveriş yaparken güven altına alınmalıdır. Eğer siteniz SSL sertifikası ile korunmuyorsa, kullanıcıların tüm bilgileri üçüncü taraflar tarafından okunabilir ve kötü amaçlarla kullanılabilir.

Web sitenizin güvenliğinin sağlamanın yollarından birisi şifre güvenliğinizi sağlamanızdır. Sistemlerinize ulaşmak için tanımladığınız şifrelerinizde mümkün olduğunca karmaşık kombinasyonlara sahip şifreleri tercih edin. Büyük harf, küçük harf, rakam ve özel karakter kullanacağınız ve minimum 10 karakterden oluşan şifreler ile çalışmanız güvenliğinizi artıracak adımlardan birisidir.

Günümüzde 7/24 ip adresleri üzerinden basit şifre kombinasyonları ile uzak masaüstü ve SSH erişimi denemesi yapan botların varlıkları sayesinde 123456 gibi şifreli sistemler dakikalar içerisinde kırılmaktadır.

Karmaşık bir şifre oluşturmanın yanı sıra, oluşturduğunuz şifrenizi farklı hesaplar için kullanmamanız ve her bir erişiminiz için ayrı şifre tanımlamanız da aynı şekilde önemli noktalardan birisidir.

Bu aşamada her bir şifreyi nasıl aklınızda tutacağınızı düşünüyorsanız, bu konuda şifre yönetimi yazılımlarından yardım alabilirsiniz. Bu yazılımlar aracılığıyla şifrelerinizin yönetimini kolaylıkla yapabilir ve dilerseniz yüksek standartta şifreler üretebilirsiniz. Sticky Password bu tür programlar için iyi bir örnektir.

Güncel olmayan işletim sistemleri ve kullandığınız diğer yazılımlarınız siber güvenliğiniz açısından önemli açıklar oluşturmaktadır. Bu sebeple işletim sisteminizin ve web sitenizde kullandığınız WordPress, Joomla gibi içerik yönetim sistemlerinin, Cpanel, Plesk, Maestropanel gibi kontrol panellerinin her daim güncel olduğundan emin olunuz.

Benzer şekilde özellikle içerik yönetim sistemlerine yüklediğiniz tema ve eklentilere de çok dikkat edin. Genellikle ücretsiz olarak sunulan bu eklentiler web sitelerinizin birer zombi’ye dönüşmesine ve DDoS saldırılarda kullanılmasına neden olabilir. Güvenilirliğine inandığınız tema ve eklentilerinizin ise güncellemelerini sürekli takip ederek, en güncel sürümün yüklü olduğundan mutlaka emin olun.

Eğer bulut (cloud) sunucu altyapısı üzerinde çalışıyorsanız güncelleme işlemleriniz öncesi tüm sunucunuzun snapshot’ını almanız faydalı olacaktır.

Web sitelerinizde kullandığınız formlar üzerinden GET ve POST ile sunucunuza gelen değişkenlere dikkat etmeniz de güvenliğiniz açısından oldukça önemlidir.

Bu aşamada Captcha türü kontroller ile formlarınız üzerinde güvenlik almanız hem çok kolay, hem de koruyucu bir çözüm olacaktır.

Eğer paylaşımlı hosting dışında cloud veya dedicated sunucu yönetiyorsanız tüm portlarınızın açık durumda olduğunu bilmeli ve bu konuda önlemler almalısınız. Bu süreçte bir firewall ile kullanılmayan tüm portların ve protokollerin (UDP gibi) kapatılması oldukça faydalı bir çözüm olacaktır. Eğer sunucunuzu web sitelerinin barındırılması için kullanıyorsanız, HTTP 80 ve varsa SSL 443 portu dışında tüm portları kapatabilirsiniz. E-posta ve DNS servislerinizin durumunu gözden geçirmeyi unutmayın.

Sunucunuzun uzak masaüstü veya SSH erişimini ise ofis sabit IP’nizle ya da VPN üzerinden olacak şekilde planlamak gayet makul bir çözüm olacaktır. Bu şekilde sunucunuz üzerinde sadece sizin izin verdiğiniz servisler dünyaya açık şekilde çalışacaktır.

Uzun süredir kullanımda olmayan, güncelliğini yitirmiş web sitelerinizi, veri tabanlarınızı ve uygulamalarınız da sizin için güvenlik zafiyeti yaratacaktır. Bu sebeple kullanmadığınız bu yazılımları silmeniz güvenliğiniz açısından faydalı olacaktır.

Kullanıcı erişim izinlerinizi mutlaka düzenleyin ve her bir hesap için gerçekleştirilecek işin niteliğine uygun olacak şekilde farklı izinler tanımlayın. Aynı şekilde her bir erişim için ayrı kullanıcı adı ve şifre ile girişlerinizi farklılaştırın.

Hosting ya da sunucu hesabınızda barındırılan dosya ve klasörleriniz üzerindeki izinler de güvenlik açıklarına neden olan etkenlerden bir başkasıdır. Bu izinler ile dosya ve klasörlerin her birinde, kullanıcıların ait olduğu gruba göre okuma, yazma ve çalıştırma haklarını denetleyen izinler grubu atanır. Bu sebeple dosya ve klasörlerinizdeki izinleri mutlaka kontrol etmeli ve gerekli düzenlemeleri gerçekleştirmelisiniz.

Linux işletim sisteminde izinler, her basamağın 0-7 arasında bir tamsayı olduğu üç basamaklı bir kod olarak görüntülenir. İlk rakam dosya sahibinin izinlerini, ikinci rakam dosya sahibi olan gruba atanmış kullanıcılarını izinlerini, üçüncü rakam ise diğer herkes için olan izinleri temsil eder. Bu kodlamaya mantıksal açıdan baktığımızda rakamlar aşağıdaki izinleri ifade etmektedir;

4: Okuma

2: Yazma

1: Çalıştırma

0: Bütün izinler kapalı

Örnek olarak, “644” izin kodunda, ilk hanede bulunan “6” rakamı “4 + 2” şeklinde iki iznin toplamını ve mantıksal olarak da dosyanın sahibine dosyayı okuma ve yazma hakkı verildiğini ifade eder. İkinci ve üçüncü hanedeki “4” rakamı ise hem grup kullanıcılarının, hem de genel olarak İnternet kullanıcılarının dosyayı yalnızca dosyayı okuyabileceğini ifade eder.

Bu durumda, “777” izin kodu (4 + 2 + 1/4 + 2 + 1/4 + 2 + 1) dosya sahibi, kullanıcı grubu ve diğer bütün internet kullanıcılarına okuma, yazma ve çalıştırma izinlerinin tamamını sağlayacağından önemli güvenlik açıklarına sebep olacaktır.

Bu nedenle, izinler için tavsiye edebileceğimiz en iyi kural:

Klasörler ve dizinler için; 755

Bireysel Dosyalar için; 644

İzin kodlarının kullanılmasıdır.

Web sitenizi barındıracağınız hosting ya da sunucu hizmetini güvenilir bir servis sağlayıcıdan almanız da web sitenizin güvenliğini açısından önemli noktalardan birisidir. Doğru planlamalar ile yapılandırılmış, uzman bir teknik ekip tarafından 7/24 takip edilen, yedekli bir altyapı üzerinden servis almanız durumunda barındırma hizmetinizden kaynaklı güvenlik açıklarını ortadan kaldırmış olursunuz.

Güvenli servis sağlayıcılarının ortak noktası muteber kurulumlardan alınmış sertifikalar kadar kuruluş yılları bir kaç seneden çok daha fazla olan tecrübeli şirketler olmasıdır.

Siber saldırılara karşı önlem alın ya da almayın, kullanıcı hatalarından kaynaklı sorunlar için dahil yedekleme işlemi gerçekleştirmeniz oldukça önemlidir. Düzenli yedekler almanız ve aldığınız yedeklerinizin doğru alındığını periyodik olarak, geri dönüş(restore) ederek kontrol etmeniz faydalı olacaktır.

Aldığınız yedekler konusunda bir diğer önemli nokta ise yedeklerinizin sistemleriniz ile aynı ortamda bulunmamasıdır.

İKWEB Tasarım olarak, ekiplerimiz tarafında 7/24 izlenen, yedekli altyapımız üzerinden verdiğimiz hosting ve sunucu servislerimizin yanı sıra Firewall,  yedekleme hizmetleri, SLA destek paketleri gibi hizmetlerimiz ile kullanıcılarımızın devamlılık ve güvenlik gerektiren uygulamalarına altyapı sağlıyoruz. 

Ürün ve hizmetlerimiz ile ilgili daha fazla bilgi için www.isimkayit.com web sitemizi ziyaret edebilir veya 0850 290 33 44 Çağrı Merkezimizden bizlere ulaşabilirsiniz.