Web sitesi güvenliğini artırmak için uygun çözümler
Web sitesi güvenliğinde en önemli çözümler nelerdir ?
Web sitenizin güvenliği için en basit ve en hızlı çözümler şunlardır:
- Bir web uygulaması güvenlik platformu kullanın (örneğin: WebARX).
- İyi ve güvenilir bir ana bilgisayar seçin.
- Bileşenlerinizi/eklentilerinizi/temalarınızı düzenli olarak güncelleyin.
Web uygulamanızın güvenliğini ne zaman sağlamalısınız?
Pek çok geliştirici web sitesi güvenliğinin sonradan akla gelen bir düşünce olduğunu belirtiyor. Aslında web sitesi güvenliğini artırmak, bir web uygulamasının geliştirilmesinde erken bir aşama olmalıdır.
- Güvenliğin, bir web uygulamasının kamuya açık hale getirilmesinden önce düşünülmesi gereken bir konu olduğunu her zaman unutmayın.
- Pek çok kişi, web sitelerini oluştururken web uygulaması geliştirmenin ana unsurlarından biri olarak web sitesi güvenliğini göz ardı ediyor.
- Kod geliştirme, uygulama yönetimi ve görsel tasarım arasında web uygulamalarının güvenlik riskleri genellikle gözden kaçırılıyor veya gerektiği gibi odaklanılmıyor.
Ancak web sitenizde iş yapmayı planlıyorsanız, web sitesi güvenliği en önemli önceliklerinizden biri haline gelmelidir. Neyse ki web sitesi güvenliğini kolaylıkla artırmanın birçok yolu var.
İnternet web sitelerinin güvenliğini arttırmanın temel yöntemleri
Profesyonellerden sitenize “saldırmasını” isteyin:
İnanın bana, web sitenizin güvenlik risklerini ve yazılım hatalarını öğrenmenin daha iyi bir yolu yoktur! Bu, web sitenizin güvenliğini artırmak için en iyi web uygulaması güvenlik uygulamalarından biridir.
Saldırganların web uygulamanıza sızma tekniklerini anlayarak giriş noktalarını etkili bir şekilde koruyabilirsiniz.
Bunu kendiniz yapacaksanız, otomatik taramayla hiçbir şeyi berbat etmediğinizden emin olmanız önemlidir. Ayrıca sitenize saldırırken hostinginizin (web host) IP’nizi yasaklaması gibi sorunlar da yaşanabilir. Elbette her deney izole bir ortamda yapılmalıdır.
Web sitesi güvenliğini doğru bir şekilde test etmek, aşağıdakiler hakkında daha fazla bilgi edinmeyi gerektirir:
- SQL enjeksiyon saldırıları
- Çapraz programlama
- Güvensiz güvensizlik
- Kimlik doğrulama bağlantı noktası hatası
- Sahte saldırılara karşı dava
- Hassas verilere maruz kalma
Son olarak bilgisayar korsanları bu açıkları bulur ve bunlar üzerinden saldırılar düzenler.
Web uygulaması güvenliği bloglarını takip edin ve okuyun
Nispeten küçük bir ekibiniz varsa veya yalnızca uygulamanızı geliştirmeye çalışıyorsanız, güvenlik taktiklerinin haritasını çıkarmanız gerekir. Bunun zaten farkındasınız ve bu nedenle web sitesini geliştirmeden önce her şeyi doğru yaptığınızdan emin olabilirsiniz. Ancak sektördeki değişiklikler ve yeni teknolojiler konusunda güncel kalmak için çeşitli saygın web uygulaması güvenliği bloglarına göz atın.
Bilgisayar korsanları sizden ve ekibinizden bir adım öndedir. Güvenlik açıklarıyla baş etmenin en iyi yolu, zamanla ortaya çıkan yeni güvensizliklerin farkında olmaktır.
Verilerinizi her zaman yedekleyin:
Bir güvenlik ihlali veya kötü amaçlı yazılım olması durumunda ve web sitenizi geri yüklemeniz gerektiğinde, web sitenizin yeni bir sürümünü kaydetmemeniz felaketle sonuçlanacaktır. Bu yüzden bilgilerinizi mümkün olduğunca düzenleyin.
Çoğu barındırma sağlayıcısının, böyle bir şeyin olması durumunda sunucularını yedeklediğini belirtmekte fayda var.
Web sitenizi güvenlik açıklarına karşı sık sık tarayın
Web sitesi güvenliği açısından her zaman hazırlıklı olmanız için güvenlik kontrolleri ve taramaları düzenli olarak yapılmalıdır. Web sitelerinizde en az haftada bir kez güvenlik taraması yapmak akıllıca olacaktır.
Uygulamanızda herhangi bir değişiklik yaptıktan sonra da tarama yapmalısınız.
Çok iyi güvenlik tarayıcılarının her şeyi tespit edemeyeceğini belirtmekte fayda var. Tarayıcılar sezgisel veya kalıp tabanlıdır ve kötü amaçlı yazılımlar her zaman tarayıcılara görünmez olacak şekilde tasarlanmıştır.
Bazı tarayıcılar kötü amaçlı yazılımları daha iyi tespit eder, bazıları yanlış pozitiflerle mücadele eder ve çoğu da hiç çalışmaz. Sonuç olarak, web sitesinin güvenliğindeki kusurların ve güvenlik açıklarının her zaman farkında olmalısınız.
Güvenlik uzmanlarına yatırım yapın
Bilgi ve bilgisayar bilimi konusunda uzman olmadığınız sürece, en yüksek düzeyde web sitesi güvenliğini kendi başınıza elde etmek çok zor bir iştir. Yukarıdaki ipuçlarının tamamını uygulamak kesinlikle yararlı olsa da, yeni güvenlik açıklarıyla başa çıkmada etkili değildir.
Bir güvenlik uzmanı veya güvenlik hizmeti şirketi, güvenlik taramaları ve denetimleri gerçekleştirebilir ve web sitenizi yeni ve tehlikeli güvenlik açıklarına karşı izleyebilir. Herhangi bir şirkete veya serbest çalışana yatırım yapmadan önce ne kadar verimli ve güvenilir olduklarına dair kapsamlı bir araştırma yaptığınızdan emin olun.
Çıktınızın tamamen güvenli olduğundan emin olun
Daha önce de söylediğimiz gibi, birçok geliştirici güvenlikten sonradan akla gelen bir düşünce olarak bahsediyor. Bu bir web sitesinin geliştirilmesinin ilk aşamalarından biri olmalıdır.
Diyelim ki web uygulamanız için kullanıcı dostu özellikler almaya çalışıyorsunuz ve web sitesi güvenliğine yatırım yapacak zamanınız veya kaynağınız olmayabilir. Ancak bu büyük bir hatadır. Güvenlik, web uygulamasının kamuya sunulmasından önce üzerinde düşünülmesi gereken bir konu olmalıdır.
Her şeyi güncel tutun
Projenizdeki tüm işletim sistemlerini ve scriptleri güncellemeniz çok önemlidir. Bunu yapmak şirketiniz için büyük bir risktir. Bilgisayar korsanları her gün güvenlik açıklarını ve olası açıkları arıyor. Popüler web yazılımlarında bulunup açıkları bulduktan sonra hedef alabilirler.
Sahip olduğunuz her eklentiye ve ne zaman kullanılabilir olduğuna dikkat edin. Bu zaman alıcı bir görevdir ancak web sitelerinin güvenliğini artırmaya çalışan her geliştiricinin atması gereken ilk adımdır.
WebARX gibi bir web uygulaması güvenlik platformu kullanın
WebARX, özellikle geliştiriciler için mükemmel bir koruma ve izleme aracıdır. Çünkü WebARX ile tüm müşteri portföyünüzü güvence altına alabilir ve dilediğiniz kadar siteden korunabilirsiniz.
Böylece web uygulamalarınızı koruyabilir, zamandan ve paradan tasarruf edebilir ve sanal dünyada rekabet gücünüzü koruyabilirsiniz (sitenize “WebARX Koruma Programı” eklemek harika bir şeydir).
WebARX platformu neler içerir:
WebARX Uygulama Güvenlik Duvarı (WAF), aşağıdakiler de dahil olmak üzere birçok premium özelliğe sahiptir:
- Temel kurallar (OWASP (Açık Web Uygulama Güvenliği), siteye giriş yapıldığı günden itibaren bile siteyi korur.
- Alan adınızdaki tüm tehdit kimliklerini bilgisayar korsanı forumlarında, hedef listelerinde ve kötü amaçlı yazılım veritabanlarında izler.
Engelleme, genel istismar saldırıları, kötü amaçlı trafik ve kaba kuvvet saldırıları gibi otomatik saldırılara karşı koruma sağlar.
- Düzenli incelemeye dayalı olarak raporlar ve istatistikler toplar.
- Kara liste izleme, Çalışma süresi botları, Varsayılan
- Son teknoloji ürünü yazılım güvenlik açığı izleme
- Her siteye ilişkin güvenlik raporları ve iki adımlı kimlik doğrulama
- Slack ve posta için uyarı entegrasyonu
WebARX’i PHP tabanlı tüm web uygulamalarında kullanabilirsiniz ve elbette bu programın satın alma fiyatları da makuldür. Web sitenizin güvenliğini yönetmeye ayıracak çok fazla zamanınız yoksa WebARX harika bir önerilen seçenektir. Bu uygulamanın 7 günlük deneme sürümünü deneyebilirsiniz.
Web uygulamanızda çok güçlü bir şifre politikanız olsun
Kimse şifrelerden hoşlanmaz ve kimse yeni şifreler oluşturmaktan hoşlanmaz. Bu yüzden şifre yönetimi araçlarını kullanıyoruz.
Şifre yönetimi araçları birkaç nedenden dolayı mükemmeldir:
- Hatırladığınız hiçbir şifreyi unutmayacaksınız. Birden fazla kullanıcı hesabı için aynı şifreyi kullanmak çok büyük bir hatadır. Şifre yönetim araçları sayesinde tüm şifrelerinize tek bir ana anahtar ile tek yerden kolaylıkla ulaşabilirsiniz.
- Bir parola yöneticisi programı aracılığıyla oluşturulan parolaları yalnızca tek bir rastgele anahtarla kullanırsınız.
Tüm şifrelerinizin benzersiz olması önemlidir. İyi bir şifre yöneticisi sizin için rastgele şifreler oluşturacak ve bunları güvenli bir şekilde saklayacaktır.
Şifre yönetimi uygulamaları arasında LastPass ve KeePass’a göz atmanız tavsiye edilir. KeePass ilginç bir uygulama, ancak LastPass yaygın olarak kullanılıyor ve güzel bir kullanıcı arayüzüne sahip. Üçüncü bir seçenek istiyorsanız ve Linux kullanmıyorsanız diğer bir seçenek Dashlane’dir. Bu program da iyi bir seçim olabilir.
Harika bir şifre yönetimi programının ana anahtarı. Bu uygulama yalnızca sayıları kullanmak yerine çok daha uzun bir parola kullanır. Bazı rakamlar ve büyük ve küçük harfler kullanıyor ve elbette bu cümleyi sonsuza kadar saklayacağından emin olun.
Güçlü şifrelere ek olarak 2FA kullanın
Çok faktörlü kimlik doğrulama veya çok adımlı doğrulama olarak da adlandırılan iki faktörlü kimlik doğrulama (2FA), yasal kimliğinizi iki kez kontrol etmeye yönelik bir kimlik doğrulama mekanizmasıdır.
Bu, hesaplarınızı daha güvenli hale getiren ve aslında şifrelere ek olarak size başka bir koruma katmanı sağlayan şeydir. Siber suçluların ikinci faktör kimlik doğrulamasını elde etmesi zordur. Bu, başarı şanslarını önemli ölçüde azaltır.
2FA aşağıdakiler için gereklidir:
- Kişisel e-postanız
- Bulut depolama hesaplarınız (Google Drive, Dropbox)
- Online bankacılık
- Sosyal medya hesapları (Facebook, Twitter, LinkedIn)
- İletişim programları (Slack, Skype)
- Çevrimiçi alışveriş (PayPal, Amazon)
İki faktörlü kimlik doğrulama için kullanılacak bazı mobil uygulamalar şunlardır:
- Google Kimlik Doğrulayıcı (Android, iOS, Blackberry).
- Authy (Android, iOS, masaüstü uygulaması ve tarayıcı uzantısı olarak da mevcuttur).
- (Microsoft Kimlik Doğrulayıcı (Windows Phone 7.
Giriş sayfaları için SSL (HTTPS) şifrelemesi kullanın
SSL şifrelemesini (veya daha doğrusu TLS’yi) kullanmak bir gereklilik ve öncelik olmalıdır. HTTPS, sigorta numaraları ve kredi kartları gibi hassas ancak kişisel bilgileri koruyabilir ve aynı zamanda ekip üyeleri ve kullanıcılar tarafından da kullanılır.
HTTPS ile bir web uygulamasına yerleştirilen bilgiler şifrelenir, bu da bilgisayar korsanlarının bilgileri ele geçirmesini neredeyse işe yaramaz hale getirir. Ayrıca, HTTPS sertifikasının olmaması, Chrome gibi tarayıcılar tarafından genellikle güvensiz olarak kabul edilir ve bu nedenle çok sayıda potansiyel kullanıcı engellenir. HTTPS, özel ve basit verileri korur.
Güvenli bir ana bilgisayar kullanmayın
Web sitesi güvenliği aslında sunucunuzla başlar. Her web geliştiricisi, herhangi bir web uygulamasını barındırmak için güvenilir ve güvenli bir web barındırma şirketi kullanması gerektiğini bilir.
Bir barındırma şirketinin iyi olup olmadığını bilmenin iyi bir yolu mu? Bu şirkete ilişkin incelemeler, ev sahibi şirketin kendisiyle bağlantılı olmayan çeşitli sitelerden alınmıştır.
Varsa ürün sayfalarına ve bloglarına göz atın. Aktif olarak web sitesi güvenliğine yönelik yeni tehditlerden mi bahsediyorlar? Web sitesi güvenliğini artırmak için platformlarını düzenli olarak güncelliyorlar mı? Teknik destekleri iyi mi? Web uygulamanız için bir ana bilgisayar araştırmak için çok fazla zaman harcama konusunda tembel olmayın.