website güvenliği

Web Sitelerin Güvenliği Nasıl Sağlanır | Merhaba arkadaşlar bu yazımda sizlere web site güvenliği nedir, nasıl web sitenizi güvenli hale getirebilirsiniz ve güvenlik konusunda nelere dikkat etmeniz gerekir gibi sorulara yanıt vereceğim. Ayrıca temel düzeyde web sitenizin kurgusundan kodlamasına, tasarımından yayınlanmasına kadar uzun bir süreçte güvenlik için yapmanız gerekenleri de yine bu yazımda anlatacağım.

İlk olarak bir web sitesinin güvenliği neden gereklidir bu soruya cevap bulalım. Kurumsal yada kişisel bir site açtığınızı varsayalım. Bu sitenin sizin için bir amaca hizmet etmesi söz konusu. Aksi halde neden bu kadar zahmete giresiniz ? Sitenizin amacına ulaşması yada bu amaca hizmet etmeye devam etmesi için pürüzleri ortadan kaldırmanız gerekir.

Güvenlik önlemleri de bu pürüz gidermeye örnektir. Sitenize yapılabilecek en ufak bir saldırı bile sitenizin yayınını durdurabilir yada itibarınızı zedeleyecek saldırılara maruz kalabilir. Tüm bunların önüne geçmek için güvenliğiniz önceliğiniz olmalı. Nasıl ki sosyal medya hesapları, banka kart ve hesap bilgileriniz ya da telefonunuzdaki nesnelerin güvenliğini önemsiyor iseniz, sitenizin de güvenliğini düşünmek zorundasınız.

Güvenlik önlemini site fikrinizi hayata geçirme aşamasında devreye sokmalısınız. Yani güvenlik işlemine ilk başta başlamanız size fayda sağlayacaktır. Güvenliğiniz için kullanacağınız yazılım dili, hazır scriptler, grafik nesneleri, sunucu özellikleri ve durumu hakkında biraz bilgi vereyim :

Öncelikle sitenizi oluşturmak istediğiniz yazılım dilini oldukça iyi seçmelisiniz. Her programlama dilinin kendine göre güvenlik zaafiyetleri ve güvenlik önlemleri vardır. Kullanacağınız yazılım dilinin ya da kullanacağınız script dilinin mutlaka PHP, Asp ve dotnet gibi  güçlü bir zemine sahip olmasına dikkat edin.

Sitenizdeki yazılımsal olarak tüm güvenlik önlemlerini penetrasyon testleri yaparak alabilirsiniz. Penetrasyon testlerini yapmak için ortada bir sitenizin olması gerektiği için bu adımı daha sonraya saklamanız gerekecektir. Sitenizi oluşturduktan sonra size en uygun hosting / sunucu ya bakınmaya başlayabilirsiniz.

Ayrıca daha önce yazmış olduğum Hosting seçerken nelere dikkat edilmeli ? yazımı okuyarak bu konuda daha fazla bilgi alabilirsiniz. Sitenizde barındıracağınız sunucu herkes tarafından erişilebilen bir sunucu olmamalı. Ortak kullanılan sunucularda genellikle güvenlik açıkları bulunur. Sisteminizi ortak kullandığınız birisi zararlı bir dosya yüklediğinde saldırganlar bunu fırsat bilip tüm sisteme girebilir ve sizin siteniz de bundan olumsuz etkilenebilir.

Bu yüzden sunucu ve hosting seçimini oldukça dikkatli yapmalısınız. Sunucu seçildi ve sitenin kurulma zamanı geldi. Elinizdeki scriptin kesinlikle ve kesinlikle warez olmamasına dikkat etmelisiniz. Cracklenmiş web scriptlerinin içine gömülen Shell adlı zararlı kod bütünleri kesinlikle kısa yada uzun vadede size zarar verecektir. Tamamen lisanslı ve güvenilir kaynaklardan yazılım paketleri almaya özen göstermelisiniz.

Sitenizi yayınladıktan sonra veritabanı bağlantılarınızı ve config dosyalarınızı güvende tutmak için dosya izinlerini ve dizin erişimlerini bir kez daha gözden geçirip her şeyin yolunda olduğundan emin olun. Ufak bir dikkat dağınıklığı başınıza iş açabilir. Veritabanınızda mutlaka sha1 yada md5 gibi şifrelemeler kullanarak verileri güvene almayı da ihmal etmeyin.

Sitenizin admin ve kullanıcı bilgilerini herkes ile paylaşmamak ta bu güvenlik aşamalarından elbette bir tanesi. Sitenizi yavaş yavaş yayına ve kullanıma hazırladığınızda dışardan testler yapmalısınız. Kullanıcı girişleri, yorumlar yada mesajlar (Sisteminizdeki kullanıcı etkileşimleri) gibi alanları saldırgan gibi test etmelisiniz. Açık varsa bile bunu kötü niyetli kişilerden önce bulup kapatmalısınız. Bu testlerin genel adına penetrasyon denmekte.

Web Sitelerin Güvenliği Nasıl Sağlanır ?

Bu konu hakkında ilerde birçok içerik girmeyi planlıyorum. Bu konuda siteyi takip etmeniz size fayda sağlayacaktır.

En önemli unsurlardan birisi de sitenize dosya yükleme izinleridir. Eğer sitenize dosya yüklenebiliyor ise sunucunuza virüs atılması ve bu virüsün çalıştırılması kaçınılmaz olur. Bu  yüzden dosya yükleme işlemine pek te sıcak bakmayın.

En azından güvenliğinizi yeni yeni sağlıyor iken. İleri düzey bilgiye sahip olduktan sonra dosyaları güvenli bir şekilde sisteme nasıl yükletebileceğinizi öğrenmiş olursunuz ve bu o zaman sizin için sorun olmaktan çıkacaktır.

Genel anlamda sitenin güvenliği bu ana unsurlardan oluşur. Bunun dışında kalan güvenlik açığı tamamen sizsiniz. Saldırganlar kurbanlardan bilgileri iki şekilde almaktadır. Ya sistemde açık bulur ve bu açığın etki ettiği tüm verileri ele geçirir. Yada sizi ele geçirip tüm sisteme sahip olur.

Web Sitelerin Güvenliği Nasıl Sağlanır ?

Sitenizi sürekli kontrol ettiğiniz bilgisayara bir virüs bulaşması, virüsü hazırlayan kişinin sisteminize sızması için bir davetiyedir. Emin olun bu noktadan sonra şifrelerinizi güvenli bir bilgisayardan değiştirmekten başka bir çareniz kalmaz. Şanslı iseniz sitenize zarar gelmeden bu önlemi alırsınız yoksa kesinlikle canınız sıkılabilir.

Bir diğer konu ise sitenize yapılabilecek şifre denemeleri ile şifre çözme saldırılarıdır. Brute Force olarak adlandırılan bu atak ile saldırgan, sisteminizdeki şifreleri deneme yanılma yolu ile bulmak için çeşitli yazılımlardan yardım alır. Bu yazılımları kullanarak kısa sürede birçok şifre dener ve şifrenizi kırana kadar durmaz. Bu yüzden sitenize iki güvenlik önlemi daha almanız gerekir. Web Sitelerin Güvenliği Nasıl Sağlanır ?

Zaten veritabanına md5 gibi şifreleme türü ile şifrelenip gönderilen şifrenin karmaşık olması birinci önlemdir. Yani şifrelerinizi özel karakterler kullanarak karmaşık hale getirmelisiniz. Örnek verecek olursak ( ‘f83ds+0Qds< ) gibi bir şifrenin kırılması ile ( 123456 ) gibi bir şifrenin kırılması aynı zorlukta değildir. Basit şifreler kullanmaktan kesinlikle kaçının. Karmaşık şifreleri de bu sayede kıramaz  mı ? Elbette kırabilir. Fazla detay vermek istemiyorum ama buna çözüm olarak Google’ın da vermiş olduğu doğrulama hizmetlerinden (Captcha) faydalanmalısınız.

Web Sitelerin Güvenliği Nasıl Sağlanır

İnternette gerekli dökümanlar mevcut ve çokta zor bir işlem değil. Kullanıcı ve admin girişleriniz dahil olmak üzere tüm kullanıcı etkileşimi için doğrulama kodu kullanmanız az önce bahsettiğim saldırıyı yavaşlatacak hatta durduracaktır. Diğer yandan spam yorumlar ve kullanıcı kayıtlarını da engellemek için bu yöntem kullanılır.

Sitelerinizin güvenliğini az da olsa sağlamayı öğrendiyseniz ve bunda emeğim geçtiyse ne mutlu bana. Sorularınız ve görüşleriniz için yorum kısmını kullanabilir veya Soru-Cevap forumu altında konu açabilirsiniz. Bir sonraki bloğumda görüşmek üzere…

Bu içeriği buradan değerlendirebilirsiniz.
[1 kişinin oyu: 5]

BİR CEVAP BIRAK

Lütfen bir yorum yazın!
Lütfen Adınızı Girin!