Sitenizin güvenliğini tehdit eden unsurların farkında mısınız?

Sitenizin güvenliğini tehdit eden unsurların farkında mısınız?

Aralık 5, 2013
Kategori: Joomla
1 7896 6
Sitenizin güvenliğini tehdit eden unsurların farkında mısınız?

Bir website yöneticisinin görmeyi arzu etmediği olayların başında hiç şüphesiz sitesinin hack’lenniş olduğunu görmek gelir. Gerek kullanılan sunucudaki açıklar, gerek kullanılan web yazılımı, gerekse de kişisel zaafiyetlerin sonucunda websitenize izinsiz erişim sağlayan hacker’lar geri dönülemez sorunlara yol açabilirler. %100 güvenliğin söz konusu olmadığı web ortamında bir takım ayrıntılara dikkat ederek maksimum güvenlik sağlayabilmeniz de mümkün.

Bu makalemizde sizlere bu ayrıntılardan ve yapmanız gerekenlere dair bazı ipuçlarını paylaşmaya çalışacağım. Çoğu website yöneticisi site üzerinden kredi kartı işlemi yapılmamasını yahut çok yüksek ziyaretçi trafiği olmayan bir site sahibi olmasını hesap ederek hacker’ların kendisini hedef almayacağını düşünebilir. Ancak bu algının yanlış olduğunu, her websitenin bir amaç uğruna hacker’lar tarafından hedef alınmasını sağlayabildiği gerçeğine bir çoğumuz vakıftır. Yine de “neden benim sitem seçildi ki?” diye soranlara muhtemel bir kaç sebep sayabiliriz;

website güvenliği

  • Bir çok hacker siyasi, dini vb. mesajlarını geniş kitlelere ulaştırmak adına büyük küçük ayırt etmeksizin olabildiğince çok siteyi hacklemek ister.
  • Kullanıcı şifreleri ve diğer kişisel verilerin peşinde olan hacker’lar geliştirilmiş özel yazılımları sitenize yükleyerek bu verileri elde etmek isteyebilir.
  • Günümüzün en büyük dertlerinden birisi olan “İstenmeyen postalar” konusunda site sahiplerinin zaafiyetleri sonucunda bir çok insan farkında olmadan imkan sağlıyor. Sitenize sızan hacker’lar sizin haberiniz olmadan spam epostalar göndermek amacı ile sunucunuzu kullanabilir.
  • Virüsler ve Truva Atları olarak adlandırılan zararlıların yaygınlaşmasındaki en etkili yol websiteleri kullanmak ve tarayıcılar üzerinden olabildiğince fazla bilgisayara bulaşmasını sağlamaktır. Websiteniz bu amaçlara hizmet eden bir araç olarak kullanılabilir.

Bu ve benzeri bir çok amacı güden hacker’lar sitenizde yetkisiz kullanım sahibi olmak için sitenizin büyük veya küçük olmasına aldırış etmez. Her amaç için uygunsiteler ve bu sitelerin açıklarını kollayan hacker’lar bulmak mümkün. Bilgisayarınız veya sunucunuz küresel büyük bir hacker grubunun kontrolüne geçip çeşitli saldırılara araç yapılabilmesi (DDOS Atak vb.)ise sanırım hepimizin hiç arzu etmediği bir sonuç olsa gerek.

Peki,” daha güvenli bir sistem sahibi olmak için nelere dikkat etmeliyiz?” sorusunun cevabını aramaya çalışırsak eğer;

  • Tüm web yazılımlarının hatalar içermesi çoğunlukla mümkündür ve bugün dünya lideri olan özel websiteler bile bu açıklar sebebi ile yetkisiz erişime araç olabilmekte ve her zaman güncellenme ihtiyacı görmekte. İster özel kodlanmış bir yazılım  kullanın, ister Joomla, WordPress gibi yaygın kullanılan açık kaynak yazılım olsun bu hatalardan beri değildirler. Bu nedenle yayınlanan güncellemeleri takip etmek ve buna göre sistemin güncellenmesi alınabilecek önlemlerin başında gelir. Hele hele 3. parti olarak adlandırılan eklentilerin güncelliği ana script’in güncelliğinden daha fazla önem arzeder.
  • Özellikle Joomla, WordPress gibi açık kaynak yazılımı kullananlar için 3. parti eklentilerinde bir diğer tehlike de kullanılacak eklentilerin internette bilinmeyen bir kaynaktan indirilmesidir. Yahut ücretli olan eklenti ve temaları bedava yayınlayan sitelerden indirilen ve siteye yüklenen eklentiler güvenlik zaafiyetinin temellerinden bir tanesini oluşturur. Bu nedenle indireceğiniz eklentinin yazılımınıza ait özel depolardan yahut güvenilir olarak bilinen sitelerden yapılmasına dikkat etmelisiniz.
  • Hizmet sağlayıcınız tarafından otomatik olarak alınan yedekler çok önemli olduğu gibi bu yedeklerin bilgisayarınızda olmasını sağlamak çok daha önemli olabilir. Profesyonel bir hizmet sağlayıcınız olmayabilir, yahut firmanın iflas ettiğini duymak hiç arzu etmediğiniz bir sonuç olsa gerek… Bu durumda servis sağlayıcınız dışında edineceğiniz sistem yedeklerinin bilgisayarınızda olması olası bir saldırı ve yaşanabilecek bir çok sorunda sitenizin teminatı olacaktır.
  • İyi bir website yöneticisi hizmet alacağı firmayı seçerken çok özenli davranır. Onun için önemli olan güvenlik ve hizmet kalitesidir, fiyat ise sonra düşünülecek bir ayrıntıdır. Şimdi hayatta olmayan önemli bir iş adamının sözü her zaman aklımın bir köşesinde durur: “Ucuz ayakkabı alacak kadar zengin değilim” diyerek ucuzun aslında ne kadar da pahalıya mal olabileceğini özetler.
  • Sitenize yüklemiş olduğunuz 3. parti yazılımlarından çok gerekmeyenleri veya pek kullanmadığınızı düşündüklerini kaldırmak hem performans hem de güvenlik riskini en aza indirmenizi sağlar.
  • Sisteminize yükleyeceğiniz 3. parti yazılımlarını öncelikle bilgisayarınızda kuracağınız sanal bir sunucu (Mamp, Xampp, EasyPHP vb.) üzerine kuracağınız sistem üzerinden test edin. Kullanım sorunu olmadığını düşündüğünüz noktada da wende yer alan sitenize kurmak iyi bir alışkanlık olacaktır. Bazen kestirme yollar sizi çıkmaz sokağa iletebilir…
  • Dosya ve klasör izinleri olarak adlandırılan “Permission / Chmod” değerlerinin; dosyalar için 644, klasörler için 755 olmasına özen gösterin. Sunucunuzun durumuna bağlı olarak bu vasrayılan olarak atanan bir değer olmakla beraber üzerinde işlem gereken dosya değerinin bazı durumlarda “777” olması istenebilir. Geçici olarak bu değeri verseniz bile yine eski değerine döndürmeyi unutmayın.
  • Farklı siteler için farklı giriş bilgilerini kullanmak bir çoğumuzun artık uyguladığı bir durumdur. Ancak bilgisayarlarımızda kullandığımız ve sitemize dosya transferini sağlayan bir çok FTP uygulaması içinde şifrelerimiz kayıtlı durur. Çoğunlukla da bu şifreler yazılım tarafından düz metin dosyası yani okunabilir bir dosyalama şeklinde tutulur. Bilgisayarınızda olası bir Virüs veya Truva Atı zaafiyetinde bu verilere de ulaşılabileceği düşünülmeli. Mümkün olduğunca şifrenizi her defasında girin ve programın saklamasını istediğinizde -yapılan bu kaydın yazılım tarafından şifrelendiği bilinmiyorsa- alışkanlığınız haline gelsin.
  • Kullandığınız WiFi ağlarının (telefon, tablet veya bilgisayarlar üzerinden) güvenliği belki de tartışılması gereken en önemli açıkları barındırabilecek alandır. Güvenli olarak adlandırılan bağlantılar, şifrelenmiş ağ protokolü de dahil olmak üzere aslında o kadar da güvenli değildir. Bunu düşünerek mümkün olduğu sürece ( tarayıcılar için ) HTTPS , ( FTP ) SFTP ve TLS ( e – posta için) ve SSH kullanmaya özen gösterin. Wifi ağınız bir çok meraklı gözün takibi altında olabileceğini aklınızdan çıkarmayın.

Aslında bu ve benzeri maddeler kullanım alanı, kullanıcı faktörü ve bir çok etken baz alındığında daha da uzatılabilir. Ancak güvenlik konusunda yazdığım ve değişik sitelerde yayınladığım yazıların tekrarı olmaması adına bu makaleyi olabildiğince kısa tutup farklı ayrıntıları paylaşmaya çalıştım. Umarım faydalandığınız bir yazı olur, güvenli günler dilerim…

, , , , ,
Mehmet Yazıcı

Joomla! içerik yönetim sistemi üzerine uzun yıllar çeşitli sitelerden destek verdi. Joomla Kitabı'nı çıkaran ekibin içindeydi. Türkiyede Byte dergisinde Joomla hakkında yazılar yazdı. Yine aynı derginin özel Joomla 1.5 sayısını hazırlayarak Joomla adına bir ilki gerçekleştirdi. Çeşitli seminerlerde Joomla üzerine konuşmacı olarak katıldı. Halen Joomla resmi sitesi magazine.joomla.org'da editörlük yapmakta. Apple ve ürünlerine özel merakı var.

Diğer yazılarımı görüntüle

1 yorum

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir