İnsanların ve şirketlerin, kimsenin içeriği hacklemeyeceğini veya siteye kötü amaçlı yazılım yüklemeyeceğini umarak web sitelerini tamamen terk ettikleri bir zaman vardı.
Saldırıların sayısı ve sıklığı, sürekli bir tehdit olduğu anlamına geldiğinden ve bir web sitesi ne kadar başarılıysa, tehlike o kadar büyük olduğundan, o günler geride kaldı.
Öyleyse web sitenizi ( web barındırma sağlayıcınız aracılığıyla) korumanın yolları nelerdir ve sitenin saldırıya uğraması ve haince değiştirilme olasılığını nasıl azaltabilirsiniz?
Ancak buna geçmeden önce, güvenli sunucularda barındırılanlar da dahil olmak üzere saldırıya uğramış birçok siteden sorumlu olan en temel güvenlik düzeyini anlamamız gerekiyor.
- En iyi web barındırma hizmetlerini burada seçtik
- Bunlar, çevredeki en iyi ücretsiz web barındırma (yeni sekmede açılır) şirketleridir.
- Ve bunlar şu anda en iyi web sitesi kurucularıdır (yeni sekmede açılır)
İlk savunma hattı
Bazı şirketler kendi web sitelerini barındırmak konusunda ısrarcı olsalar da, çoğu ticari alan adı, bu amaçla sözleşmeli güvenli sunucularda bulunur.
Barındırmayı seçtiğinizde, sistemin hangi işletim sistemini çalıştırdığını (Windows Server, Linux veya Unix) tanımlarsınız ve bu, gerekli güvenlik protokollerini belirler.
Siteyi yönetme sorumluluğuna sahip kişi veya kişiler, sitedeki dosya yapılarını değiştirmek için yönetici haklarına sahiptir ve başka hiç kimse yoktur.
Çok fazla kişinin yönetici hesabı ayrıntılarını bilmesi ve parolanın düzenli olarak değiştirilmemesi, bunun baştan yanlış gidebileceği noktadır. Ve yönetici yapmak için kullanılan makinelerden birine bir keylogger'ın kurulması yeterlidir ve şifre, tam olarak sahip olmasını en az isteyeceğiniz türden insanlara açıklanır.
Ama dürüst olmak gerekirse, post-it notlarla şifrelerin düzenli olarak hatırlandığı bir ofiste kaç kişi çalışıyor? Şüphesiz birkaç kişi oraya gitti.
Bu parolaları güvence altına almak ilk savunma hattıdır ve bu olmadan yaptığınız her şey kolayca geri alınabilir.
Bu nedenle, web sitesi güvenliği hakkında öğrenilmesi gereken iki başlangıç dersi vardır, yani:
- Yalnızca web sitesinin oluşturulduğu ağ kadar iyidir
- Parolaları not ederek ve onları oldukça görünür bir konuma yerleştirerek güvenlik nadiren daha iyi hale getirilir.
Güvenlik denetimi
Bir sitede güvenlik denetimi gerçekleştirmek, BT personeli tarafından çeşitli yazılım araçları kullanılarak yapılabilecek nispeten basit bir uygulamadır. Ya da alternatif olarak, taramayı sizin yerinize gerçekleştirmesi için bir üçüncü tarafla sözleşme yapabilir ve desteklenecek olası zayıflıkların bir listesini sağlayabilirsiniz.
Bir web barındırma hizmeti satın alıyorsanız, sağlayıcı, başlangıçtan itibaren makul ölçüde güvende olmanızı sağlamak için bir güvenlik aracı da paketleyebilir - ancak genellikle sürekli olarak değil.
Bunun ötesinde, birçok sağlayıcı, tehditlere hızlı yanıt verme ve hizmet reddi saldırılarını azaltma sözü verdikleri bir web sitesi güvenlik paketi de sunar. Yalnızca küçük bir kişisel blogunuz yoksa, bunlar sağlam bir yatırımdır.
Bir siteyi herhangi bir süre çevrimdışı tutmanın ne kadar maliyetli olabileceğini düşündüğünüzde, özellikle e-ticaret sunanlar için bu hizmetlerin fiyatı çok fazla değil.
Hangi yaklaşımı benimserseniz benimseyin, ortaya çıkan olası yeni tehditleri tespit etmek ve bunları hemen ele almak için güvenlik taramalarının düzenli olarak gerçekleştirilmesi önemlidir.
Ortak endişeler
Web sitelerinin karşılaştığı en yaygın saldırı biçimleri şunlardır:
- Dağıtılmış Hizmet Reddi (DDoS) – Genellikle bir Truva Atı bulaşmış birçok uzak bilgisayar, sunucuların istek miktarını işleyemeyeceği noktaya kadar tekrar tekrar talep eden web sayfalarını birlikte hareket eder.
- Kötü amaçlı yazılım bulaşması – Her nasılsa, siteyi ziyaret eden herkese yüklemek amacıyla bazı hain kodlar içeren dosyalar siteye yerleştirilir.
- SQL enjeksiyonu – Daha sonra sunucudaki SQL Veritabanı tarafından yürütülen bir forma veya girdiye eklenen kötü amaçlı kod. Bu kod, müşteri verilerine erişilmesini sağlayabilir veya makineyi harici erişime açabilir.
- Kaba kuvvet - Genellikle işletim sistemindeki bir kusur, tekrarlanan bir saldırının, ikincil bir saldırı için bir bağlantı noktasını kısaca açan bir sıfırlamaya neden olmasına izin verir. Modern işletim sistemlerinin karmaşıklığı göz önüne alındığında, düzenli olarak yeni güvenlik açıkları bulunur.
- Siteler arası komut dosyası çalıştırma – Bir tarayıcının başka bir siteye yönlendirilebildiği veya ziyaretçinin haberi olmadan kurban sitesindeki içeriğin değiştirilebildiği bir bilgisayar korsanlığı yöntemi.
- 'Sıfır gün' hack'i – Bunlar yeni ve herkesin bilmediği bir zayıflığı kullanan saldırıları durdurması zor. Güvenlik açığının keşfedilmesi ile yama uygulanması arasındaki süre kritiktir ve bir düzeltme bulunana kadar bazı sunucu özelliklerinin geçici olarak devre dışı bırakılmasını gerektirebilir.
Tasarıma göre zayıflıklar
Pek çok site aşağıdaki özellikler etkinken çalışırken, birçok nedenden dolayı birçok güvenlik sorununun kaynağıdır:
- Formlar – Sunucuda girişi işleyen her şey, kötü amaçlı kod için potansiyel bir giriş noktasıdır ve kullanıcı verilerini ayıklamak için de kullanılabilir.
- Forumlar – Komut dosyaları yerleştirmek ve kullanıcıları kötü amaçlı yazılım dağıtan web sitelerine yönlendirmek, kullanıcı tarafından oluşturulan forumlarla ilgili olası sorunlardan yalnızca birkaçıdır.
- Sosyal medya oturum açma – Bir siteye giriş yapmak için Facebook veya Google hesabınızı kullanmak hızlı ve kolaydır, ancak bu, bu hesapların ele geçirilmesinin bir yolu da olabilir.
- E-ticaret - Suç parayı takip eder ve bilgisayar korsanları bir e-ticaret sitesini hacklemek için çok daha fazla çaba harcar.
- Düzenlemeye tabi olmayan içerik – Başka sitelerden haber ve makaleler alıyorsanız, güvenlik önlemleri ne olursa olsun onlara bağımlısınız demektir.
Açıkçası, bir web sitesinden tüm bu işlevleri kaldırmak, onu ziyaretçiler için çok daha az davetkar bir yer haline getirecektir. Hangi öğeleri kullanmaya hazır olduğunuz ve bunlarla ilişkili olası güvenlik sorunlarını nasıl azaltmayı planladığınız konusunda bir karar verilmesi gerekir.
uygun koruma
Web sitenizin asla saldırıya uğramamasını garanti etmenin tek bir yolu vardır ve o da bir siteye sahip olmamaktır. Sonuç olarak, web sitesi güvenliği, sitenizi hacklemeyi denemeyi çok daha az değerli hale getirmek için yeterince çaba sarf ettiğiniz ve ayrıca herhangi bir olaydan daha hızlı kurtulmanızı sağlayan bir hafifletme alıştırmasıdır.
Gerçekleştirilen güvenlik çabasının tam düzeyi, tüm şirketlerin uğraşması gereken bir seçimdir, ancak çevrimiçi satışla uğraşanlar için, sizinle ticaret yapanların kişisel ve finansal ayrıntılarını güvence altına alma taahhüdü %100 olmalıdır.
Çok sayıda şirket ve kuruluşun tüm müşteri verileri çalındı ve ardından pahalı sonuçlarla sonuçlanan kimlik hırsızlığı dolandırıcılığı için kullanıldı.
Hangi koruma ve izleme seviyesini seçerseniz seçin, amaca uygun olması gerekir. Son olarak, ihtiyaç duyduğunuzdan daha iyi bir güvenliğe sahip olmanın minimum maliyetli olduğunu, ancak daha azına sahip olmanın çok büyük yasal ve ticari sonuçlara yol açabileceğini göz önünde bulundurun.