Bu günlerde, web sitesi güvenliğini düşünmeden en iyi web sitesi kurucularından biriyle (yeni sekmede açılır) bir web sitesi oluşturmak ve sürdürmek imkansızdır . Bilgisayar korsanlığı çok yaygındır ve web sitenizin arama motoru optimizasyonu ( SEO (opens in new tab) ) puanından müşterilerin şirketinize olan güvenine kadar her şeyi tehdit edebilir.
Popüler inanışın aksine, en iyi web barındırma (yeni sekmede açılır) hizmetlerinden birini kullanmak, sitenizi güvende tutmak için tek başına yeterli değildir. Peki, web sitenizin güvenli ve emniyetli olduğundan nasıl emin olabilirsiniz?
Bu kılavuzda, web sitesi güvenliğini nasıl test edebileceğinizi ve istenmeyen davetsiz misafirleri içerik yönetim sisteminizden (CMS) nasıl uzak tutabileceğinizi açıklayacağız.
Doğru web barındırıcısını seçin
Web sitesi güvenlik önlemlerini değerlendirmeye ve güçlendirmeye dalmadan önce, web barındırma güvenliği hakkında biraz konuşmak önemlidir (yeni sekmede açılır) . Günün sonunda, web barındırıcınız güvenli değilse, yapacağınız hiçbir şey saldırganların web sitenize sızmasını engelleyemez.
Neyse ki, güvenli web barındırma hizmeti almak için bir ton para harcamanıza gerek yok. Birçok düşük maliyetli ve hatta ücretsiz barındırma sağlayıcısı, ağlarını korumak için zahmete girer. Ancak, bir sağlayıcıyı incelemek ve güvenlik özelliklerini değerlendirmek size kalmış.
Sunucu ağlarına sürekli ve hızlı bir şekilde güvenlik yamaları yüklüyorlar mı? Ağ izinsiz girişlerini izleyen profesyonellerden oluşan bir ekipleri var mı? Fiziksel sunucuları doğrudan saldırılara karşı güvenli mi? Bu soruları sormak, bir barındırma sağlayıcısının gerçekten iddia ettikleri kadar güvenli olup olmadığına karar vermenize yardımcı olabilir.
Web sitenizin zayıf yönlerini bulun
Web siteniz çalışmaya başladıktan sonra, bilgisayar korsanlarına karşı iyi korunduğundan emin olmanın ilk adımı kapsamlı bir güvenlik denetimi yapmaktır.
Çoğu web sitesi sahibi, site güvenliğini değerlendirmek için ücretsiz tarama araçlarını kullanabilir. Örneğin, Qualys'ten SSL Sunucu Testi (yeni sekmede açılır), SSL (güvenli yuva katmanı) sertifikanızın yapılandırmasını kontrol eder ve olası zayıflıklar konusunda sizi uyarır. Mozilla'nın Gözlemevi (yeni sekmede açılır) aracı, sitenizin güvenliği ihlal edildiğinde ziyaretçi verilerini sızdırabilecek sayfa başlıkları ve çerezleri içeren daha geniş bir güvenlik denetimi gerçekleştirir.
İçerik yönetim sisteminizde zaten kötü amaçlı yazılım olabileceğini mi düşünüyorsunuz? Sucuri (yeni sekmede açılır) ve SiteGuarding (yeni sekmede açılır) gibi tarayıcılar , enjekte edilen kodu veya kötü niyetli eklentileri belirlemek için web sitenizi tarayabilir.
Çok sayıda hareketli parçaya sahip kurumsal ölçekte bir web siteniz varsa, ücretli, tam hizmet sunan bir güvenlik tarayıcısına yatırım yapmak iyi bir fikirdir. Intruder (yeni sekmede açılır) ve Detectify (yeni sekmede açılır), web sitenizi güvenlik açıklarına karşı sürekli olarak tarayan ve sizi gerçek zamanlı olarak uyaran iki araçtır. İhlal riskini azaltmanıza yardımcı olmak için eksik güvenlik yamalarını, zayıf parolaları, enjekte edilen kötü amaçlı yazılımları ve daha fazlasını aramak üzere tasarlanmıştır.
Web sitenizi güncel tutun
CMS'nizi ve eklentilerinizi güncellemekten kaçınmak kolaydır. Sonuçta, güncellemeler sonsuz gibi görünebilir ve kod değişikliklerinin sitenizin bazı işlevlerini bozma olasılığı vardır.
Yine de yazılım güncellemeleri güvenlik için kesinlikle kritik öneme sahiptir. Çoğu durumda güncellemeler, özellikle yakın zamanda keşfedilen bir güvenlik açığını yamalamak için yayınlanır. Çok fazla bilgisayar korsanlığı, kötü niyetli aktörler için bilinen giriş noktalarına sahip eski yazılımları çalıştıran web sitelerine yapılan saldırılardan kaynaklanmaktadır.
Ne yapabilirsin? CMS'niz veya eklentileriniz için yeni bir yazılım yayınlandığında otomatik uyarılar aldığınızdan emin olun. Alternatif olarak, güncellemeleri ayda bir kez manuel olarak kontrol etmek için bir takvim hatırlatıcısı ayarlayın. Web sitenizin herhangi bir bölümü için bir güncelleme varsa, hemen yükleyin.
Güçlü bir parola politikası oluşturun
Çoğu kuruluşta, web sitesinin arka ucuna erişimi olan birden çok kişi vardır. Ne yazık ki, bilgisayar korsanlarına web sitenize giriş noktası sağlamak için yalnızca bir kişinin oturum açma parolası olarak 'şifre' kullanması yeterlidir. Bilgisayar korsanları sıklıkla, zayıf bir parola kullanarak herhangi bir hesaba girebilen kaba kuvvet saldırıları kullanır.
Güçlü bir parola politikası oluşturup uygulayarak bunun olmasını engelleyebilirsiniz. Örneğin, oturum açma kimlik bilgilerine sahip herkesin harf, sayı ve özel karakter kombinasyonu kullanmasını zorunlu kılabilirsiniz. Birçok web sunucusunun kontrol paneli yazılımı, yeni kullanıcı hesapları için parola gereksinimleri belirlemenize olanak tanır.
Oturum açma sayfalarını şifreli tutun
Parolaları güvende tutmanın bir diğer önemli adımı da web sitenizin giriş sayfalarını SSL ile şifrelemektir. Düzgün yapılandırılmış bir SSL sertifikası, şifreler internet üzerinden aktarılırken şifrelerinin çözülememesini sağlar.
Web sitenizde çalışanların veya müşterilerin hassas bilgileri iletebileceği diğer sayfalar için de SSL şifrelemesine sahip olmalısınız. Örneğin, önemli verilerin yanlış ellere geçmesini önlemek için ödeme sayfaları ve hesap oluşturma sayfaları her zaman şifrelenmelidir.
Web sitenizi temizleyin
Web sitenizde ne kadar çok eklenti, veri tabanı ve uygulama varsa, bilgisayar korsanları için o kadar fazla potansiyel giriş noktası vardır. Hepsini güncel tutsanız bile, en az birinin henüz bir yaması olmayan bir güvenlik açığı içerme olasılığı her zaman vardır.
Sonuç olarak, web sitenizi temiz ve düzenli tutmanız önemlidir. Artık ihtiyaç duymadığınız dosyaları ve yazılımları sitenizin bir parçası olarak kaldırmalısınız. Çoğu durumda, veritabanlarını ve uygulama dosyalarını çevrimdışı olarak arşivlemek mümkündür, böylece gelecekte ihtiyaç duymanız durumunda kullanılabilirler.
Bir içerik dağıtım ağı kullanın
Dağıtılmış hizmet reddi (DDoS) saldırıları, web sitesi dosyalarınızı etkilemez, ancak sitenizi saatlerce hatta günlerce çevrimdışı duruma getirebilir. Bu tür saldırılara karşı korunmak için Cloudflare gibi ücretsiz bir içerik dağıtım ağına (CDN) yönelin.
Bir CDN ile, sitenizin önbelleğe alınmış bir sürümü dünyanın her yerindeki sunucularda barındırılır. Bu nedenle, web siteniz bir DDoS saldırısıyla çevrimdışına alınsa bile, ziyaretçiler sitenizin önbelleğe alınmış sürümüne erişmeye devam edebilir. Çoğu durumda, ziyaretçiler sitenizin saldırganlar tarafından hedef alındığını fark etmez bile.
Web sitesi dosyalarınızı yedekleyin
Bu adımların tümü, web sitenizin saldırıya uğramasını en başta önlemeye yardımcı olsa da, her zaman bir ihlale hazır olmanız önemlidir. Web sitenizin dosyalarını düzenli olarak yedeklemek, bir saldırıdan sonra hızlı bir şekilde eski haline dönmek için çok önemlidir.
Web barındırıcınızın kontrol paneli aracılığıyla manuel yedeklemeler çalıştırabilirsiniz, ancak WordPress gibi birçok CMS'de otomatik yedeklemelere olanak tanıyan eklentiler bulunur. Yalnızca web sitesi veritabanlarınızı değil, aynı zamanda eklentilerinizdeki önemli dosyaları ve ziyaretçi hesapları verilerini de yedeklediğinizden emin olun.
Yedeklemeler, web sitenizle tamamen bağlantısı kesilerek çevrimdışı veya bulutta saklanmalıdır. Bir fidye yazılımı saldırısı durumunda geri yüklemek için en az bir eski yedeği saklamak da iyi bir fikirdir.
Özet
Web sitenizi saldırılara karşı güvende tutmak, proaktif olmanızı gerektirir. Sitenizi kötü amaçlı yazılımlara ve güvenlik açıklarına karşı sık sık tarayın, varsa güvenlik yamalarını uygulayın ve web barındırma sağlayıcınızın tamamen güvenli olduğundan emin olun.
Sitenizin güvenliğini sağlamak için adımlar atmak, saldırı riskini azaltmaya yardımcı olabilir, ancak her ihtimale karşı, bir bilgisayar korsanının savunmanızı aşması durumunda, verilerinizin her zaman dağıtıma hazır bir yedeğini bulundurmalısınız.
Web barındırma ve web sitesi oluşturucuları hakkında daha fazla okuma
Web siteleri söz konusu olduğunda, SEO performansın anahtarıdır. Web sitenizi düzenli olarak güncellerseniz web sitesi SEO'sunun (yeni sekmede açılır) neden iyileştirildiğini öğrenin ; SEO sonuçlarını iyileştirmek için kullanılacak altı temel Google aracını (yeni sekmede açılır) öğrenin ; ve optimum SEO ile nasıl blog yazısı yazılacağını keşfedin (yeni sekmede açılır) . Ayrıca, bir web sitesinin GDPR ile nasıl uyumlu hale getirileceğini öğrenmeye değer (opens in new tab) ve eğer hosting bulmakta zorlanıyorsanız, bir web hosting hizmetini nasıl seçeceğinizi keşfedin (opens in new tab) .