E-ticaret siteleri için web güvenliği ipuçları

GenelKategori
Okuma süresi: 17 dk
Jayson DeMers

E-ticaret siteleri işletmek hem kârlı hem de çekici olabilir ancak, bu sektöre yeni adım atan birçok kişi web sitelerinin yapısal bütünlüğüne ve kârlılığına karşı oluşabilecek en büyük tehditlerden birini göz ardı edebiliyor: e-ticaret web sitesi güvenliği.

Girişimcilerin e-ticaret güvenliğini görmezden gelmelerinin üç temel sebebi var:

  • Oluşturduğu riskleri anlamıyorlar.
  • Bu konuda ne yapacaklarını bilmiyorlar.
  • Girişimlerinin bir hedef olamayacak kadar küçük olduklarını düşünüyorlar.

Bununla birlikte, tüm siber saldırıların yaklaşık yüzde 43’ü küçük işletmeleri hedefliyor.

Bu, tehdidi anlamanıza yardımcı olmak için yeterli değilse, Türkiye’de ortalama bir veri ihlalinin maliyetinin 12,3 milyon TL’ye yükseldiğini ve yakın gelecekte muhtemelen artacağını düşünün.

Neyse ki, çoğu siber saldırı, en temel e-ticaret güvenlik stratejileriyle bile önlenebilir.

Bu yazıda, e-ticaret siteleri için dikkat etmeniz gereken en önemli güvenlik tehditlerinden bazılarını ele alacağız ve bunları önlemek için hangi adımları atabileceğinizden bahsedeceğiz.

E-ticaret siteleri için 7 güvenlik tehdidi ve sitenizi korumanın 10 yolu

Popüler kültür sayesinde, web sitenize girmek için klavyesinde çılgınca işlem yapan bir bilgisayar korsanını hayal etmek çok da zor değil. Gerçekte ise e-ticaret güvenlik tehditleri çok daha çeşitli. Siber suçluların sitenize erişmesi ve/veya çalışmasını engellemesi için birkaç yol var.

Bunlar, e-ticaret siteleri için en yaygın yedi güvenlik tehdididir:

  1. Kötü amaçlı yazılım.
  2. Dağıtılmış hizmet reddi (DDoS) saldırıları.
  3. Kaba kuvvet saldırıları.
  4. Enjeksiyon.
  5. Siteler arası komut dosyası çalıştırma (XSS).
  6. Sıfır gün açıkları.
  7. Müşteri taraflı güvenlik açıkları.

Ve işte e-ticaret sitenizi bu siber tehditlerin birinden veya daha fazlasından korumak için atabileceğiniz adımlar:

  1. Doğru e-ticaret web sitesi platformunu seçin.
  2. SSL şifreleme kullanın.
  3. Müşteri bilgilerini toplarken seçici olun (ve sitenizde saklamayın).
  4. Düzenli olarak kötü amaçlı yazılım tarayıcısı kullanın (ve otomatik uyarılar alın).
  5. Müşterilerinizden e-ticaret güvenliği için en iyi uygulamaları takip etmelerini isteyin.
  6. Çalışanlarınızdan e-ticaret güvenliği için en iyi uygulamaları takip etmelerini isteyin.
  7. Web sitenizin etkinliğini proaktif olarak izleyin.
  8. Sistemlerinizi yamalı ve güncel tutun.
  9. Verilerinizi düzenli olarak yedekleyin.
  10. Ne indirip entegre ettiğinize dikkat edin.

Şimdi hepsine daha yakından bakalım.

İlgili yazı: Güvenlik: Web sitenizi korumak için bilmeniz gerekenler 

E-ticaret siteleri için yaygın güvenlik tehditleri

1. Kötü amaçlı yazılım

Bir e-ticaret web sitesine erişim sağlamanın en kolay yolu kötü amaçlı yazılım kullanmaktır. Kötü amaçlı yazılım terimi; virüsler, solucanlar, Truva atları, fidye yazılım, casus yazılım ve daha fazlası gibi çok çeşitli yazılım türlerini içerir.

Kötü amaçlı yazılım, kötü haberdir.

Tüm verilerinizi silebilir, müşteri bilgilerinizi çalabilir, site ziyaretçilerinize de bulaşabilir ve hatta sitenizi bir “fidye yazılım” saldırısına maruz bırakabilir.

Kötü amaçlı yazılım birçok farklı kaynaktan gelebilir. Manuel olarak web sitenize de yüklenebilir ama genellikle virüslü bir dosyayı indirdikten sonra ortaya çıkar.

İlgili yazı: Zararlı yazılım nedir? Web sitenizi zararlı yazılımlardan nasıl temizlersiniz? 

2. Dağıtılmış hizmet reddi (DDoS) saldırıları

DDoS saldırısının e-ticaret sitelerini otomatikleştirilmiş trafik saldırısına boğarak çökertme potansiyeli vardır. Bu da kötü bir haber, çünkü web siteniz kapalı kaldığı her saniye para kaybeder.

Temelde, bir bilgisayara korsanı binlerce (veya on binlerce) bağımsız birimi, sitenizi tek seferde ziyaret etmeleri için ayarlar. Bu, e-ticaret sunucularınızı tüm talepleri karşılayamaz hale getirebilir ve sitenize erişmeye çalışan gerçek müşterileri dışarıda tutar.

3. Kaba kuvvet saldırıları

e ticaret siteleri bilgisayar korsanı matrix kodu

Çok yaygın olmasa da bazı bilgisayar korsanları kaba kuvvet saldırıları kullanır. Kaba kuvvet saldırısında suçlu, web sitenize erişmek için kullanılabilecek bir kombinasyon bulana kadar birden fazla şifre kombinasyonu arasında geçiş yapmak için bir yazılım uygulaması kullanır.

Şifreniz “1234” ise bu yöntem ile web sitenize erişim sağlanması pek uzun sürmez.

Bu erişim izni verildiğinde bir bilgisayar korsanı, içeriğinizi değiştirmek, kullanıcı bilgilerini çalmak ve daha fazlası gibi istediği her şeyi yapabilir.

İlgili yazı: Brute force, kaba kuvvet saldırısı nedir?

4. Enjeksiyon

Bir siber suçlu, enjeksiyonla, kötü amaçlı bir kod parçacığını bir komut veya sorgunun içinde kullanarak bir web sitesini yapmaması gereken bir şeyi yapması için kandırabilir. Örneğin, bu yöntemle e-ticaret siteleri müşterilerin kişisel bilgilerinin bulunduğu bir veri tabanını kötü amaçlar için bilgisayar korsanına aktarabilir.

5. Siteler arası komut dosyası çalıştırma (XSS)

Siteler arası komut dosyası çalıştırma saldırıları durumunda saldırgan, kullanıcı tarafından sağlanan verileri doğrulamadan önce bir web tarayıcısına gönderir. Bilgisayar korsanları bu kusurları, gerçek müşterileri bir siteden uzaklaştırmak için kullanır ve bu da e-ticaret siteleri için işlerine mal olması anlamına gelir.

6. Sıfır gün açıkları

Yazılım geliştiricileri, bir bilgisayar korsanının belirli bir sisteme arka kapı girişi sağlamak için kullanabileceği olası açıkları bulmaya çalışırlar. Bir güvenlik açığı keşfettiklerinde, kullanıcıları mümkün olan en kısa sürede korumak için bir yama oluşturur ve yayınlarlar.

Bazen siber suçlular, bir yama yayınlanmadan önce güvenlik açığını keşfeder ve örneğin e-ticaret sitelerine girerek onlardan faydalanmaya çalışırlar.

Bu, sıfır gün açığı veya sıfır gün saldırısı olarak bilinir.

7. Müşteri taraflı güvenlik açıkları

Bu, teknik olarak e-ticaret siteleri için doğrudan bir tehdit değildir, ancak müşterilerinizi etkileyebilir (onlar da haksız olarak sizi suçlayabilirler). Bir müşteri şifresini unutursa veya kolaylıkla tahmin edilebilir bir şifre kullanıyorsa bir siber suçlu hesabına kolaylıkla giriş yapabilir ve kendi adına alışveriş yapabilir.

E-ticaret siteleri için daha güçlü güvenlik sağlanmasına yardımcı olacak 10 adım

Neyse ki, e-ticaret web sitenizi güvende tutmak için atabileceğiniz adımlar var. Bunların çoğu hem ucuz hem uygulaması kolaydır ve teknik bilgisi olmayanlar tarafından bile kullanılabilirler.

1. E-ticaret siteleri için doğru platformu seçin

Web sitenizi kurmak için bir web sitesi oluşturucu kullanıyorsanız, ihtiyacınız olan e-ticaret siteleri için gerekli olan güvenlik özelliklerinin çoğu yerleşik olacaktır. Ancak, tüm platformlar aynı değildir. Bazıları güçlü kapasiteye sahip özel sunucular sunar, böylece DDoS saldırıları gibi tehditlere karşı daha iyi korunursunuz. Bazıları diğerlerinden daha iyi yapılmıştır, kötüye kullanım için daha az olası güvenlik açığı sunar ve yamaları daha düzenli olarak yayınlarlar.

Bu nedenle, hangi güvenlik düzeylerini sunduklarını görmek için farklı sağlayıcıları araştırmak sizin yararınıza olabilir.

Hangi tehditleri durdurabilir?

E-ticaret siteleri için doğru bir platform, kötü amaçlı yazılım, DDoS saldırıları, enjeksiyonlar, siteler arası komut dosyası çalıştırma ve sıfır gün açıkları dahil olmak üzere sizi çoğu tehditten korumaya yardımcı olur.

Ne yapmalı?

E-ticaret web sitenizi güvende tutmak için çeşitli yerleşik özelliklere sahip bir web sitesi oluşturucu ve/veya hosting sağlayıcısı arayın.

E-ticaret mağazanızı bilgisayar korsanlarına karşı korumak için hosting süresi boyunca ücretsiz SSL sertifikası, otomatik günlük kötü amaçlı yazılım taramaları, tek tıkla geri yükleme yoluyla web sitesi yedekleme koruması, sınırsız kötü amaçlı yazılım temizleme ve saldırı onarımı gibi özelliklerle birlikte gelen GoDaddy WordPress Hosting E-Ticaret çözümünü düşünebilirsiniz.

2. E-ticaret siteleri için SSL şifreleme kullanın

e-ticaret siteleri https

Müşterileriniz ürünleri doğrudan sizden satın alıyorsa satın alma işleminizin SSL ile şifrelenmiş olduğundan emin olmanız gerekir. SSL şifreleme, e-ticaret web sitenize “HTTP” yerine “HTTPS” protokolünü verir ve müşterilerinizin web tarayıcısının URL alanında yeşil bir kilit simgesinin görüntülenmesini sağlar.

En önemlisi, SSL şifreleme, bir müşterinin web tarayıcısı ile web sunucunuz arasında aktarılan tüm bilgileri korur.

Diğer bir deyişle, bilgisayar korsanlarının ve siber suçluların kredi kartı numaraları gibi kişisel bilgileri ele geçirmesi daha zorlaşır.

Hangi tehditleri durdurabilir?

Bu güvenlik önlemi web sitenizden çok müşterilerinizi korumakla ilgilidir, ancak siteler arası komut dosyası çalıştırma gibi bazı doğrudan tehditleri azaltabilir.

Ne yapmalı?

GoDaddy üzerinden bir SSL sertifikası satın alabilirsiniz. Sitenize bu sertifikayı kurmak çok da zor değildir, ancak SSL yönetimini de satın alarak yerinize bir profesyonelin bu kurulumla ilgilenmesini sağlayabilirsiniz.

3. Müşteri bilgilerini toplarken seçici olun (ve sunucularınızda saklamayın)

Bilgisayar korsanları ve kimlik hırsızları sizin olmayan bir şeyi çalamaz. E-ticaret çözümünüz aracılığıyla herhangi bir özel müşteri verisini toplamaz veya kaydetmezseniz (işletmeniz için gerekli olmayanları) hiçbir siber suçlu bunlardan yararlanamaz.

Kredi kartlarının işlenmesi söz konusu olduğunda, kendi sunucularınızın müşterilerinizin kredi kartı verilerini görme ihtiyacını ortadan kaldırmak için şifreli bir ödeme tüneli kullanın. Bu, müşterileriniz için ödeme sırasında zahmetli gelebilir, ancak faydaları kredi kartı numaralarını tehlikeye atmaktan daha ağır basar.

Ayrıca, bilgisayar korsanlarının sakladığınız özel verilere uzaktan erişemeyeceğini de unutmayın. E-ticaret siteleri için buradaki en iyi stratejilerden biri, müşteri verilerini depolamak için güvenli bir üçüncü tarafa güvenmektir.

Hangi tehditleri durdurabilir?

Hassas müşteri verilerinin toplanması ve depolanmasından kaçınmak, işletmenizin herhangi bir saldırının hedefi olma olasılığını azaltır. Tehditleri tamamen durduramasa bile kaybedecek müşteri veriniz olmadığından herhangi bir ihlal anında daha az zarar görürsünüz.

Ne yapmalı?

Gerçekten ihtiyacınız olan müşteri verilerini toplayın ve ileride kullanmak üzere ödeme bilgilerini saklamak için güvenilir bir üçüncü taraf ile çalışın.

4. Düzenli olarak kötü amaçlı yazılım tarayıcısı kullanın (ve otomatik uyarılar alın)

Çoğu kötü amaçlı yazılım, sinsi olacak şekilde tasarlanmıştır. Fark edilmeden sitenize sızarlar ve kullanıcı davranışını kontrol etmeye veya ileride kullanmak üzere kullanıcı verilerini toplamaya başlarlar.

Kötü amaçlı yazılım tarayıcısı, bilgisayarınıza kötü amaçlı yazılım bulaştığında sizi düzenli olarak uyarabilir.

Hatta daha fazla zarar verememesi için bu kötü amaçlı yazılımların nasıl kaldırılabileceği hakkında basit talimatlar da verebilir.

E-ticaret siteleri için bir başka güvenlik yöntemi ise sitenizde sizi şüpheli etkinliklere karşı uyarmak için otomatik bildirimler oluşturmaktır.

CAPTCHA gibi basit eklemeler bile gerçek, meşru kullanıcılarınızla sitenizden yararlanmaya çalışan kişiler arasında hızlı bir şekilde ayrım yapmanıza yardımcı olabilir.

Hangi tehditleri durdurabilir?

Sitenize yönelik herhangi bir kötü amaçlı yazılım veya komut dosyası tabanlı saldırılar bu stratejilerle önlenebilir veya fark edilebilir ve giderilebilir.

Ne yapmalı?

E-ticaret sitelerini kötü amaçlı yazılım gibi güvenlik tehditlerinden korumayı amaçlayan GoDaddy Web Sitesi Güvenliği gibi bir güvenlik aracına yatırım yapın.

5. E-ticaret siteleri müşterilerinin güvenlik için en iyi yöntemleri uygulamalarını isteyin

E-ticaret web sitenizi ne kadar iyi korursanız koruyun, müşterileriniz yine de fırsatçı bir siber suçlunun kurbanı olabilir. Bu güvenlik açığından tamamen korunamazsınız, ancak müşterilerinizin güçlü şifreler seçmesini sağlayarak ve onları en iyi güvenlik uygulamaları hakkında bilgilendirerek etkisini en aza indirebilirsiniz.

Hangi tehditleri durdurabilir?

Bu strateji tamamen müşteri tarafıyla ilgilidir. Müşterilerinizin bundan sonra güvende olacaklarını garanti edemezsiniz, ancak bu alana olan dikkatlerini büyük ölçüde artıracaksınız.

Ne yapmalı?

Tüm kullanıcı şifreleri için minimum bir uzunluk belirleyin ve bu şifrelerin nasıl daha güçlü hale getirilebileceğine dair önerilerde bulunun.

Örneğin, kullanıcılarınıza küçük, büyük harflerin, sayıların ve özel sembollerin karışımına güvenmelerini önerin. Müşterilerin oluşturduğu yeni şifreler hakkında gerçek zamanlı geri bildirim vererek bunu otomatik hale getirmek en iyisidir. Bunu yaparken, şifrelerini düzenli olarak değiştirmelerini isteyin.

Bu önlemlere ek olarak, müşterilerinizi oturumlarından sonra hesaplarından çıkış yapma, mümkün olduğunda özel ağları kullanma ve ortak çevrimiçi planlardan kaçınma gibi en iyi siber güvenlik uygulamaları konusunda eğitin.

6. Çalışanlarınızdan e-ticaret güvenliği için en iyi yöntemleri uygulamalarını isteyin

Benzer şekilde, kendi çalışanlarınızı da e-ticaret güvenliğine yönelik en iyi uygulamalar konusunda eğitmelisiniz.

Kuruluşunuzdaki her birey, potansiyel bir e-ticaret güvenlik tehdididir.

Kırılması kolay, zayıf bir şifre seçerlerse veya oyuna getirilirlerse sitenizin kapıların bir siber suçluya açabilirler.

Hangi tehditleri durdurabilir?

Çalışanlarınız ayrıntılara mükemmele yakın bir şekilde dikkat ediyorsa kötü amaçlı yazılım indirme veya yükleme risklerinizi, enjeksiyon olasılığını ve hatta bazı kaba kuvvet saldırıları ile sıfır gün saldırılarını da en aza indirebilirsiniz.

Ne yapmalı?

Her hatayı önleyemeyecek olsanız da e-ticaret siteleri için biraz çalışan eğitimi çok yardımcı olabilir. Çalışanlarınızı tek seferde eğitmek için bir atölye çalışması veya seminer düzenleyin ve minimum şifre uzunlukları veya düzenli şifre değişiklikleri gibi belirli protokolleri uygulamaya başlayın.

7. Web sitenizi proaktif olarak kontrol edin

Gerçek zamanlı görsel kullanıcı etkinliği sunan Google Analytics de dahil olmak üzere, kullanıcıların sitenize nasıl eriştiğini izlemek için kullanabileceğiniz çeşitli uygulamalar ve online araçlar mevcuttur. Analiz araçlarının ötesinde, web sitenizi şüpheli etkinlik için günde en az bir kez tarayacak bir güvenlik izleme aracı arayın.

Örneğin GoDaddy’nin Web Güvenliği, kötü amaçlı yazılım, DDoS, siteler arası komut dosyası çalıştırma ve diğerleri dahil olmak üzere tehditler için günlük taramalar sunar.

Web sitenizi sürekli kontrol edebiliyorsanız, birinin bir siber saldırı yapmaya kalkışıp kalkışmadığını veya bir kullanıcının birden çok kez oturum açmaya çalışması gibi şüpheli bir etkinlik olup olmadığını fark edebilirsiniz.

Hangi tehditleri durdurabilir?

Proaktif izleme, bazı tehditleri önlemenize ve ortaya çıktıkça diğerlerine yanıt vermenize yardımcı olabilir. Bir DDoS saldırısının başlangıcını son noktaya ulaşmadan görebilir, kaba kuvvet saldırılarını durdurabilir, siteler arası betik oluşturma ve bazı sıfır gün sızıntıları ile ilgili saldırılara yanıt verebilirsiniz.

Ne yapmalı?

Çoğu web sitesi izleme uygulamasının kurulumu ve anlaşılması kolaydır. Sadece otomatik bildirimlerin açık olduğundan emin olun. Sitenizi 7/24 adeta bir şahin gibi izleyemeyeceksiniz, bu yüzden otomatik hale getirin.

8. E-ticaret siteleri için sistemlerinizi yamalı ve güncel tutun

e-ticaret siteleri sunucular

Uygulamalar ve web sitesi mimarlarının yayınladıkları yeni güncellemeler, genellikle dışarıdan girişe izin veren yazılım hataları gibi belirli bilinen tehditlere karşı koymak için tasarlanırlar.

E-ticaret siteleri için iyi güvenlik yöntemleri kullanmaz, uygulamaları ve sistemleri güncel tutmazsanız, kendinizi geliştiriciler tarafından zaten etkisiz hale getirilmiş bir tehdide gereksiz yere savunmasız halde bırakabilirsiniz.

Hangi tehditleri durdurabilir?

Site güncellemeleri çoğunlukla sıfır gün saldırılarını ve belirli kötü amaçlı yazılım türlerini durdurmak için tasarlanmıştır, ancak bazen sizi diğer tehditlere karşı da koruyabilirler.

Ne yapmalı?

E-ticaret siteleri için kullandığınız herhangi bir yazılım için gelen yeni güncellemeleri sık sık kontrol edin. İdeal olarak, sürekli kontrol etmek zorunda kalmamak için otomatik güncellemeleri açabilirsiniz. Bu aynı zamanda güncellemeler arası gecikme veya insan hatası olasılığını da azaltır.

9. Verilerinizi düzenli olarak yedekleyin

Kötü amaçlı olsun veya olmasın, sitenizin tüm verilerinizi de beraberinde götürerek çökme ihtimali vardır.

Fidye yazılımı saldırıları, verilerinizi güvenli bir şekilde iade edilmesi karşılığında sitenizi rehin almaya çalışabilir.

Kendinizi bu tür tehditlerden korumanın en iyi yolu, sitenizi düzenli olarak yedeklemektir.

Hangi tehditleri durdurabilir?

Verilerinizi yedeklemek, bir tehdidin sitenize saldırmasını durduramaz, ancak hasarı en aza indirebilir. Bu strateji tamamen bilgilerinizi kaybolmaktan veya rehin tutulmaktan korumakla ilgilidir.

Ne yapmalı?

E-ticaret web sitenizin düzenli aralıklarla bir kopyasını oluşturmak için otomatik yedeklemeleri kullanın. Böylece en son güncellemeden bir veya iki günden fazla uzakta olmazsınız. Birçok modern web sitesi mimarı bunu yerleşik bir özellik olarak içerir.

10. E-ticaret siteleri için ne indirip entegre ettiğinize dikkat edin

Pek çok modern web sitesi mimarı, sitenizle birlikte kullanmak üzere yeni eklentiler ve araçlar indirmenize izin verir, ancak siber suçlular, sitenize kötü amaçlı bir komut dosyası yerleştirmek için bunları yem olarak kullanabilir.

E-posta veya internet yoluyla indirdiğiniz bu güncellemelere ve diğer dosyalara dikkat edin.

Cihazınızdaki kötü amaçlı yazılım, tuş vuruşlarınızı izleyerek sonunda e-ticaret web sitesi şifrenizi elde edebilir.

Hangi tehditleri durdurabilir?

Burada yapılacak dikkatli inceleme, kötü amaçlı yazılımlarla ilişkili ve kaba kuvvet saldırılarının çoğunu önleyebilir.

Ne yapmalı?

Güvenmediğiniz bir kullanıcı veya siteden asla bir ek veya dosya indirmeyin. Her zaman eklenti geliştiricilerinin kimliğini doğrulayın ve yüklemeden önce değerlendirmeleri kontrol edin.

Sonuç: E-ticaret siteleri için güvenliğin önemi

Kusursuz bir e-ticaret güvenlik stratejisi diye bir şey yoktur. Her site saldırıya uğrayabilir. Ancak, çoğu siber suçlu, kolay lokma olarak gördüklerinin peşinden gitmek isteyen fırsatçılardır.

Ortalama bir siber suçlunun kullandığı taktiklerin farkındaysanız ve bu e-ticaret web sitesi güvenlik ipuçlarını takip ederseniz, web sitenize yapılan bilgisayar korsanlığı ve virüs bulaştırma girişimlerinin büyük bir çoğunluğunu önleyebilirsiniz.

E-ticaret siteleri için daha fazla koruma istiyorsanız, bugün GoDaddy'nin Web Güvenliği hizmetlerine göz atmayı unutmayın. Ne kadar erken harekete geçerseniz, e-ticaret web sitenizin güvende olduğunu bilerek o kadar rahat çalışabilirsiniz.