Web Sitenizi Güvende Tutuyormusunuz?

Web Sitenizi Güvende Tutuyormusunuz? Merhaba arkadaşlar, Büyük iş ve çabalarla emek sarfederek yaptığınız web sitenizi korumak için bir kaç yoldan bahsetmek istiyorum. Hiç birimiz onca emekle yaptığımız sitenin daha sonra hackerler anlamında hacklenmesini istemeyiz. Sonuçta bir site kolay pratik yapılmıyor ve bir erek doğrultusunda yaptığımız için de bizim için çok fazla önemli bir parça durumuna geliyor. Peki, nelere dikkat etmeliyiz, bildiğim kadarıyla anlatmaya çalışacağım.     1) Mail Güvenliği Her şeyden herşeyden önce mail adreslerinizin güvenliğini sağlamalısınız. Çünkü Hostunuz, domaininizi aldığınız yer bilgilerinizi evvela mail adresine yollarlar. Mail şifreniz her zaman harf ve rakam kombinasyonlarından oluşsun. Asla şahsi bilgilerinizden herhangi birisini şifreniz şekilde kullanmayınız. Gizli sorunuz ve cevabınız yalnızca sizin bileceğiniz bir şey olsun. Buraya da özel bilgileriniz girmeyiniz. Ayrıca mailinize gelen bazı mailler fake mail olabilir. Eğer mailinize gelen ya da öbür bir yerden indirdiğiniz bir dosya size işlem yapabilmek için mail adresinizin kullanıcı ismi ve şifresini girmesini isterse o sayfalara k.a. ve şifrenizi girmeyin. O sayfayı doğrudan kapatıp mailinizi tekrardan açarak login olabilirsiniz. Adres çubuğunda yazan isimlere dikkat edin. Eğer mailinizi aldığınız yerle bir alakası olmadan bu bir fake maildir.   2) Hosting Güvenliğiniz  Hostinginizi aldığınız yerde de aynen mailiniz benzeri şifrenin karışık olsun ve mailinizle tıpkı şifreyi kullanmayın. Sadece güvenilir kuruluşlardan ve işine İtina işaret eden yerlerden hosting almaya çalışın. Çünkü bazı serverlarda hala bir aşırı açık bulunmakta. Bunun sebebi ise kullandıkları yazılımlarda güncelleme yapmamaları. Sitenizi ele geçirmek arzulayan kişiler bu açıkları kullanarak hostinginizi ele geçirebilirler.   3) Domain Güvenliğiniz Domain adınızı aldığınız yerde de şifreniz muhtelif ve karışık olsun. (Her şeyin başı şifre). Domain whois bilgilerinde domaini aldığınız yere verdiğiniz mail adresinizi kullanmayın. Çünkü domaininizi ele geçirmek arzulayan saldırgan önce sitenize whois çekip mailinizi ve hostinginizi öğrenmek ister. Daha sonra herşeyden önce mailinizi ele geçirmeye çalışır.   4) Web Programlamasında Güvenlik İlk 3 adımı uygulamanıza karşın hala sisteminizde programlamadan kaynaklanan açıklar olabilir. Bunlarıda bir kaç başlık altında toplayalım.   a) Hazır Portal ve Forumlarda Güvenlik Web sitenizde hazır portal ve ya forum kullanıyorsanız devamlı şekilde kullandığınız portalın/forumun sitesini ziyaret edin ve güncellemeleri elinizden geldiğince yapmaya çalışın. Çünkü genel anlamda bir aşırı versiyonda sitenizin ele geçirilmesini sağlayacak açıklar mevcuttur. Bunların yamalarını ve açıkları yazılımın kendi sitesinden öğrenebilirsiniz. Ayrıca b-2 deki database güvenliğinede bakınız.   b) Kendi Yazdığınız Sistemlerde Güvenlik   1. Kodlama Hataları:  Sisteminizi yazdınız ve sorunsuzca çalışıyor. Herşey yolunda ama yaptığınız ve ya eklemeyi unuttuğunuz bir kaç kod yüzünden sitenizde bazı açıklar mevcuttur. Ve malesef saldırganlar bu açıkları kullanarak sisteminize girebilirler ve ziyan verebilirler. Peki bunlar nelerdir?   – Login Panelleri: Saldırgan evvela login panellerinde bir kaç kod test ederek database’inizin yonu bulabilir ve sızıntılarla datebase’den sizin ve ya üyelerinizin bilgilerini ele geçirebilir. Genelde or 1=1 tarzı ile kodlamaları bu panellerde test ederek SQL injection yapmaya çalışırlar. O sebepten dolayı bu tür kodları kabul etmeyen ayıklan bir sistem yazmalısınız. Bu tarz kodlamaları girince sisteminizin iç hata vermemesi lazım. Ayrıca login panellerinde tecrübe yanılma yöntemleriyle kullanıcı ismi ve şifrenizi ele geçeribilirler. Bunu önlemek için mümkünse güvenlik kodu uygulaması yapmanız iyi olacaktır. Ayrıca birkaç hatalı denemeden sonra ip adresini banlarsanız buda işe yarar.   – Haber/Yorum Ekleme: Login panellerinde bulunduğu bunun gibi haber ve yorum ekleme scriptlerinde sızıntıları önlemeniz gerekir. Asla bu bölümler kod kabul etmemelidir. Yoksa kullanıcı yorum ya da haber şekilde bir kod ekleyerek sitenizin o sayfasını başka bir sayfaya yönlendirebilir. Burdada yapmanız gereken bu tür kodları kabul etmeyen bir sistem yazmaktır.   2. Database Güvenliği Database’iniz her zaman şifre korumalı olsun. Eğer access veritabanı kullanıyorsanız, veritabanınızı hostinginizde bulunan db klasörü içine koyun. Bu klasörden database’inizi indiremezler. Hazır kullandığınız scriptlerdeki dblerin adlarını ve yollarını her zaman değiştirin. Bu saldırganın db yolunuzu öğrenmesini ve sızmasını engeller.


Yapılan Yorumlar
Erdem OFLAZ

Bir mum, diğer mumu tutuşturmakla ışığından bir şey kaybetmez.
 Kategoriler
 Popüler yazılar