Web sitenizin devamlılığını sağlamak ve olası güvenlik tehditlerine karşı korumak için takip etmeniz gereken bir dizi güvenlik önlemini sizler için sıraladık:
Uygulamanızın güncelliğini ve ayarlarını takip edin
Kullandığınız uygulamalar daima güncel olmalıdır.
İçerik yönetim sisteminizdeki güvenlik açıklarını gidermek için kullandığınız web uygulamasını yeni sürümlerine yükseltmelisiniz. Özellikle WordPress ve Joomla uygulamalarına yapılan güvenlik tehditlerinde güncel olmayan yazılım açıklarından faydalanılmasına çok rastlanır. Eski kodları olan uygulama ile tasarlanmış sitenizin yönetim paneline, adres çubuğuna yazılan bir kodla rahatlıkla girilebilir. Uygulamanızın güncelliğini uygulamanın sitesinden ya da yönetim panelinizden takip edebilir, destek forumları ve mail listelerine üye olarak da uygulamanızın güvenliği konusunda bilgi alabilirsiniz.
Sadece uygulamarınızı değil, eklenti ve scriptleri de güncelleyin.
Uygulamanızı güncellemeniz, uygulama içindeki eklentileri güncellemez. Her bir eklenti uygulama versiyonlarına göre oluşturulur. Bu yüzden eklentilerinizin yeni versiyonlarla uyumlu çalıştığından emin olmanız gerekir.
Tanımadığınız kötü niyetli dosya ve klasörleri silin
PHP uygulamaları kurulum sırasında tanımadığımız Malicious files adı verilen dosyalar oluşturabilir ve bunların takibi önemlidir.
Kullanmadığınız uygulamaları silin
Hesabınıza yüklediğiniz her web ve veritabanı uygulaması, olası saldırılar için giriş kapısıdır. Uzun süredir kullanmadığınız uygulamalar güncel olmayacağından bu kapıları tehditlere karşı açık bırakmış olursunuz.
Konfigürasyon dosyaları gizli tutulmalıdır
İlgili eklentileri kullanarak veritabanı bilgilerinizi içeren bu dosyaların yollarını değiştirebilir veya decode yöntemi ile gizli kodlara dönüştürebilirsiniz.
Yazma izinlerinizi ayarlayın
Web sitenizdeki dosyaların yazma düzeni 644, klasörlerinizin yazma düzeni 755 olmalıdır. İzinleri panel dosya yöneticisi ekranında Change Permissions simgesi üzerinden değiştirebilirsiniz.
.htaccess ve php.ini dosyalarını düzenleyin
php.ini web hosting hesabınızdaki dosyaların işleyişini düzenlediğiniz dosyadır. Bu dosyada düzenleme yaparak güvenlik önlemlerinizi önemli ölçüde artırabilirsiniz. Sitenizi uzun süre güncellemeyeceğiniz durumlarda tarayıcı üzerinden dosya yükleme özelliğini kapatarak ciddi bir önlem almış olursunuz.
Örnek bir php.ini içeriği:
zend_extension=/usr/local/IonCube/ioncube_loader_lin_5.4.so
disable_functions =eval,base64_decode,phpinfo
display_errors = On
log_errors = Off
file_uploads = Off
upload_max_filesize = 128M
max_execution_time = 30
allow_url_fopen=Off
open_basedir = /home/hostingadi:/usr/lib/php:/usr/php4/lib/php:/usr/local/lib/php:/usr/local/php4/lib/php:/tmp
Şifre güvenliğini önemseyin
Karmaşık şifreler tercih edin ve şifremi hatırla seçeneği kullanmayın.
Çerezler yoluyla çalınabileceğinden her defasında şifrenizi manuel olarak girmelisiniz. Hosting şifrenizi, (yönetim panelli sitelerde) yönetim paneli şifenizi ve veritabanı kullanıcı şifrenizi zor ve karmaşık(büyük/küçük harf, rakam, noktalama işareti) bir şifre olarak belirleyin. Veritabanı şifreniz ele geçirilirse, mysql veritabanına bağlanılarak admin paneli şifreniz değiştirilip FTP dizinine upload yapılması mümkün olur.
Kişisel bilgisayar güvenliği
Güvenli bir internet ağı kullanın.
Web hosting hesabınıza güvenli bir ağ ile bağlanmalısınız. Kablosuz bağlantılarda WPA veya WEP şifreleme kullanılmalıdır.
Bilgisayarınız güvenliğini sağlayın
Güvenli olmayan bir bilgisayardan erişim sağlamak, sitenizin güvenliği için en büyük güvenlik açığıdır. Bilgisayarınızda gizli olarak bulunan mallware, keylogger ve virüsler web sitenize bulaşabilirler. Güvenilir ve güçlü bir antivirüs programı ile düzenli taramalar yapmayı ihmal etmeyin.
Alabileceğiniz diğer bazı önlemler
– Düzenli olarak yedekleme(back up) yapmayı unutmayın.
– E-ticaret sitelerinde 3D Secure kullanın. Kredi kartı bilgilerinin veritabanına kaydedilmemesini sağlayın.
– Captcha yöntemi ile spamları engelleyin.
– Http ‘den Https’ ye geçin.
– Güvenlik açıkları bulunan eklentiler kullanmayın.
– Güvenilir Hosting firmaları ile çalışın.
– Uzaktan bağlantıya FTP girişini kaldırın.
– Admin girişi yolunu değiştirin.