Blog

Son Blog Yazıları

Web sitelerinin güvenliğini sağlamak için alacağımız önlemler

Web sitenizin devamlılığını sağlamak ve olası güvenlik tehditlerine karşı korumak için takip etmeniz gereken bir dizi güvenlik önlemini sizler için sıraladık:

Uygulamanızın güncelliğini ve ayarlarını takip edin

Kullandığınız uygulamalar daima güncel olmalıdır.

İçerik yönetim sisteminizdeki güvenlik açıklarını gidermek için kullandığınız web uygulamasını yeni sürümlerine yükseltmelisiniz. Özellikle WordPress ve Joomla uygulamalarına yapılan güvenlik tehditlerinde güncel olmayan yazılım açıklarından faydalanılmasına çok rastlanır. Eski kodları olan uygulama ile tasarlanmış sitenizin yönetim paneline, adres çubuğuna yazılan bir kodla rahatlıkla girilebilir. Uygulamanızın güncelliğini uygulamanın sitesinden ya da yönetim panelinizden takip edebilir, destek forumları ve mail listelerine üye olarak da uygulamanızın güvenliği konusunda bilgi alabilirsiniz.

Sadece uygulamarınızı değil, eklenti ve scriptleri de güncelleyin.

Uygulamanızı güncellemeniz, uygulama içindeki eklentileri güncellemez. Her bir eklenti uygulama versiyonlarına göre oluşturulur. Bu yüzden eklentilerinizin yeni versiyonlarla uyumlu çalıştığından emin olmanız gerekir.

Tanımadığınız kötü niyetli dosya ve klasörleri silin

PHP uygulamaları kurulum sırasında tanımadığımız Malicious files adı verilen dosyalar oluşturabilir ve bunların takibi önemlidir.

Kullanmadığınız uygulamaları silin

Hesabınıza yüklediğiniz her web ve veritabanı uygulaması, olası saldırılar için giriş kapısıdır. Uzun süredir kullanmadığınız uygulamalar güncel olmayacağından bu kapıları tehditlere karşı açık bırakmış olursunuz.

Konfigürasyon dosyaları gizli tutulmalıdır

İlgili eklentileri kullanarak veritabanı bilgilerinizi içeren bu dosyaların yollarını değiştirebilir veya decode yöntemi ile gizli kodlara dönüştürebilirsiniz.

Yazma izinlerinizi ayarlayın

Web sitenizdeki dosyaların yazma düzeni 644, klasörlerinizin yazma düzeni 755 olmalıdır. İzinleri panel dosya yöneticisi ekranında Change Permissions simgesi üzerinden değiştirebilirsiniz.

.htaccess ve php.ini dosyalarını düzenleyin

php.ini web hosting hesabınızdaki dosyaların işleyişini düzenlediğiniz dosyadır. Bu dosyada düzenleme yaparak güvenlik önlemlerinizi önemli ölçüde artırabilirsiniz. Sitenizi uzun süre güncellemeyeceğiniz durumlarda tarayıcı üzerinden dosya yükleme özelliğini kapatarak ciddi bir önlem almış olursunuz.

Örnek bir php.ini içeriği:

zend_extension=/usr/local/IonCube/ioncube_loader_lin_5.4.so

disable_functions =eval,base64_decode,phpinfo

display_errors = On

log_errors = Off

file_uploads = Off

upload_max_filesize = 128M

max_execution_time = 30

allow_url_fopen=Off

open_basedir = /home/hostingadi:/usr/lib/php:/usr/php4/lib/php:/usr/local/lib/php:/usr/local/php4/lib/php:/tmp

Şifre güvenliğini önemseyin

Karmaşık şifreler tercih edin ve şifremi hatırla seçeneği kullanmayın.

Çerezler yoluyla çalınabileceğinden her defasında şifrenizi manuel olarak girmelisiniz. Hosting şifrenizi, (yönetim panelli sitelerde) yönetim paneli şifenizi ve veritabanı kullanıcı şifrenizi zor ve karmaşık(büyük/küçük harf, rakam, noktalama işareti) bir şifre olarak belirleyin. Veritabanı şifreniz ele geçirilirse, mysql veritabanına bağlanılarak admin paneli şifreniz değiştirilip FTP dizinine upload yapılması mümkün olur.

Kişisel bilgisayar güvenliği

Güvenli bir internet ağı kullanın.

Web hosting hesabınıza güvenli bir ağ ile bağlanmalısınız. Kablosuz bağlantılarda WPA veya WEP şifreleme kullanılmalıdır.

Bilgisayarınız güvenliğini sağlayın

Güvenli olmayan bir bilgisayardan erişim sağlamak, sitenizin güvenliği için en büyük güvenlik açığıdır. Bilgisayarınızda gizli olarak bulunan mallware, keylogger ve virüsler web sitenize bulaşabilirler. Güvenilir ve güçlü bir antivirüs programı ile düzenli taramalar yapmayı ihmal etmeyin.

Alabileceğiniz diğer bazı önlemler

– Düzenli olarak yedekleme(back up) yapmayı unutmayın.

– E-ticaret sitelerinde 3D Secure kullanın.  Kredi kartı bilgilerinin veritabanına kaydedilmemesini sağlayın.

– Captcha yöntemi ile spamları engelleyin.

– Http ‘den Https’ ye geçin.

– Güvenlik açıkları bulunan eklentiler kullanmayın.

– Güvenilir Hosting firmaları ile çalışın.

– Uzaktan bağlantıya FTP girişini kaldırın.

– Admin girişi yolunu değiştirin.

Web sitelerinin sunucularında hangi kriterlere dikkat etmeliyiz ?
Hangi tür siteler için hangi sosyal medya kanalları kullanılmalıdır?

Bir yanıt yazın