Siber güvenlik: web sitenizin güvenli olup olmadığını kontrol edin

Kötü adamları alt edin

2015 yılında katıldığım siber güvenlik konferansında bu alandaki uzmanlar ve FBI’dan kötü adamların şirketlerin ağlarına sızmak için kullandığı farklı yöntemleri dinledim. Bu yöntemleri kullanarak şirket verilerini nasıl çaldıklarını, şirket web sitelerini başka şeyler için kullandıklarını ve özetle şirketleri nasıl batırdıklarını anlattılar. Siber güvenlik, son zamanlarda hakkında daha fazla konuşulan bir konu olurken, web sitenizin güvenli olup olmadığını kontrol etmenin tam zamanı.

İnanın bunları dinlemek hiç eğlenceli değildi. Ancak bana kalan önemli bir bulgu oldu: “Sorun web sitenizin hack’lenip hack’lenmeyeceği değil; ne zaman hack’leneceği.”

Evet, bu bulgu için cidden çok teşekkürler. Artık önümüzdeki üç hafta stresten ölmeye yaklaşıp, beden öğretmeni olmayı tercih etmediğim için kendimi yerden yere vurabilirim.

Birine en kötü senaryoları sıralayarak, onları korkutup aksiyon almaya teşvik etmek oldukça etkili bir yöntem. Konferans sonrası ben de şirketimin web sitesini korumaya yönelik adımlar attım. Siber güvenlik, web sitesi güvenliği gibi konularda kendimi eğittim ve müşterilerimi bahsi geçen ‘kötü adamlar’dan nasıl koruyabileceğime odaklandım.

Siber güvenlik göz ardı edilemez!

Bilgimi ve araştırmalarımdan öğrendiklerimi temel alarak, size web sitenizin güvenliğini nasıl kontrol edebileceğiniz konusunda 10 maddelik bir kılavuz hazırladım. Bu maddeler şöyle:

  1. HTTPS’ye geçin
  2. Eklenti ve diğer yazılımları güncelleyin
  3. Gereksiz eklentileri kaldırın
  4. Yedekleme yapın
  5. Dosyaların sağlamlığını gözden geçirin
  6. Kaba kuvvet saldırılara karşı önlem alın
  7. Kullanıcı adınızı değiştirin
  8. Şifrelerinizi otomatik oluşturun
  9. DNS ve WHOIS taraması yapın
  10. Online web güvenliği taraması yapın

Şimdi bunları biraz daha açalım…

1. https:// protokolünüz olduğundan emin olun

Siber güvenliği sağlamak söz konusu olunca atılması gereken ilk adımlardan biri Güvenli Soket Katmanı, yani https:// protokolüne geçiş yapmak. Google bile artık SEO formülüne SSL sertifikalarını da dâhil ediyor ve güvenli olmama riski olan sayfaları kullanıcılara bildiriyor. Bu gelişmeye uyum sağlayarak sizin de web siteniz için bir SSL sertifikası almanız önemli.

2. Eklentiler de dâhil olmak üzere yazılımlarınızı güncelleyin

Eğer web siteniz için WordPress.com, Blogger.com veya GoDaddy’nin Web Sitesi Mimarı gibi bir platform tercih ettiyseniz, bu maddeyle ilgilenmenize gerek yok çünkü gerekli güncellemeler otomatik olarak yapılıyor. Ancak web sitenizi kendi sunucularınızda, kendiniz barındırıyorsanız veya üçüncü tarafların hosting hizmetlerinden faydalanıyorsanız, web sitenizin güvenliğini kontrol etmek size düşüyor.

Bu da WordPress gibi içerik yönetim sistemlerinin yanı sıra ilgili eklentileri de güncel tutmak anlamına geliyor. Pek çok eklenti için yapılan güncellemeler, hacker’ların kullandığı yeni yöntemleri de göz önünde bulundurarak yapılıyor.

3. Gereksiz eklentileri kaldırın

Siber güvenlik ve eklentiler ne alaka demeyin, kullanmadığınız tüm eklentileri silin; özellikle de geliştiricileri birkaç ay boyunca güncelleme sunmamışsa. Buradaki risk, kötü adamların tarihi geçmiş eklentiyi ele geçirmeleri ve kendi kötü kodlarını içine koyarak güncelleme yayınlamaları. Bu da web siteniz için hiç ama hiç iyi olmaz!

siber güvenlik yedekleme

4. Her şeyi yedekleyin

Kötü adamların şirketlerin verilerini ele geçirdiği ve ilgili şirketin onları bir daha göremediği çok fazla senaryo duydum. Yedekleme siber güvenlik açısından basit bir işlem gibi görünse de aslında oldukça önemli: yıllar boyunca yazıp yayınladığınız blog yazılarınız ve değerli içerikleriniz bir anda yok olabilir. Düzenli bir şekilde yedekleme yaparak, kendinizi bu duruma karşı korumaya alabilirsiniz.

Yedekleme hizmetleri için web sitenizinkinden farklı bir hosting sağlayıcı ile çalışarak web, şirket ve finansal verilerinizi web sitenizden uzak bir yerde barındırmanız iyi olabilir.

5. Dosyaların sağlamlığını gözden geçirin

Web sitenize yüklediğiniz ancak kullanmadığınız dosyaları da gözden geçirin; siber güvenlik için gerekli kontrolleri yaparken Excel, Word ve hatta PDF gibi basit görünen dosyaların da sağlam olduğundan emin olmanız gerekiyor. Önümüzdeki yıl Türkçe dilinde de kullanıma sunulacak olan, GoDaddy’nin GoDaddy Website Security, powered by Sucuri ürünü gibi bir kötü amaçlı yazılım kontrol ürünü kullanmanız işinizi kolaylaştırabilir.

6. Kaba kuvvet saldırılara karşı önlem alın

Hacker’ların oyunlarına, kurnazlıklarına karşı alabileceğiniz bazı önlemler şöyle:

  • Öncelikle, komplike şifreler kullanın: içinde rastgele rakam ve harfler yer alsın; hatta rastgele rakam ve kelime öbeklerinden oluşsun.
  • Eğer WordPress kullanıyorsanız Limit Login Attempts gibi eklentiler kullanarak kaba kuvvet saldırı riski azaltın ve bunların kaynağı olan IP adreslerini engelleyin.

7. Kullanıcı adınızı değiştirin

Siber güvenlik alanında uzman biri olarak önüme ne zaman bir saldırı raporu gelse, hacker’ların özellikle ‘admin’ hesabını hedeflediklerini görüyorum. Bu nedenle, ne zaman yeni bir web sitesi kursam admin hesabına farklı bir isim vererek, ‘admin’ isimli kullanıcı hesabını siliyorum. Bu sayede admin’i hedef alan hacker’lar, böyle bir kullanıcı bulamayacaklar.

8. Şifrelerinizi otomatik oluşturun

Siber güvenlik deyince en önemli konulardan biri gerçekten de güçlü bir şifrenizin olması. Akıllıca olduğunu düşündüğünüz bazı şifreler, riskin artmasına neden olabilir.

Oğlumun göbek adını ve doğduğu yılı kullanacağım! Ahmet1998 kimsenin aklına gelmez!

1Password ve LastPass gibi uygulamalar, sizin için otomatik olarak şifre üretiyor. Ve en önemli özellikleri de bunu en yüksek güvenlik standartlarında yapmaları.

siber güvenlik şifre

9. DNS ve WHOIS taraması yapın

Bir hacker’ın e-posta adresini tersten kullanarak, “Şifremi Unuttum” özelliği ile alan adını çaldığı bir arkadaşım var. Arkadaşımın, alan adının çalındığını fark etmesi üç hafta, onu geri alabilmemiz ise iki hafta sürdü.

Böyle durumlarla karşılaşmamak için DNS ve WHOIS sonuçlarınızı düzenli olarak gözlemleyin. Bunu manual olarak yapabilir veya Sucuri gibi bir eklenti kullanabilirsiniz.

10. Online web güvenliği taraması yapın

Siber güvenlik alanındaki önlemler kapsamında aralarında çeşitli WordPress eklentilerinin de bulunduğu, web siteleri için tasarlanmış, kötü yazılım tarayıcıları var. Ben bu iş için de Sucuri’yi kullanıyorum. Sucuri ücretsiz ve her taramanın ardından size basit bir rapor veriyor. Eğer daha fazla özelliğe ihtiyacınız olursa, ücretli versiyonundan da faydalanabilirsiniz.

Web sitenizi hacker’lardan korumak için yapmanız gereken çok fazla şey var. Ancak unutmayın ki bunların çoğu GoDaddy’nin Web Hosting ürünleri gibi hizmetler kapsamında zaten kullanımınıza sunuluyor.

İster kendi sunucunuzu kullanıyor olun, ister üçüncü taraflardan hizmet alıyor olun, hangi yazılımları, vs. kullandığınız fark etmeksizin siber güvenlik alanında herkesin atması gereken adımlar var.

Kısacası, eğer bir web siteniz varsa saldırılara açıksınız demektir. Değerli bilgilerinizin ele geçirilip, geçirilemeyeceği de size bağlı. Bu yazıda bahsettiğim adımları atabilir veya bir siber güvenlik uzmanıyla çalışmayı tercih edebilirsiniz.

Fotoğraf Jon Moore, UnSplash aracılığıyla.

Erik Deckers
Erik Deckers is the president of Pro Blog Service, a content marketing agency. He is also the co-author of Branding Yourself, and No Bullshit Social Media. Erik has been blogging since 1997, and has been a newspaper humor columnist for over 20 years. He has written several radio plays and stage plays, and numerous business articles. Erik was recently the Spring 2016 writer-in-residence at the Jack Kerouac House in Orlando, FL.