Merhaba arkadaşlar,
Büyük uğraş ve çabalarla emek sarfederek yaptığınız web sitenizi korumak için bir kaç yoldan bahsetmek istiyorum. Hiç birimiz onca emekle yaptığımız sitenin daha sonra hackerler tarafından hacklenmesini istemeyiz. Sonuçta bir site kolay kolay yapılmıyor ve bir amaç doğrultusunda yaptığımız için de bizim için çok önemli bir parça haline geliyor. Peki, nelere dikkat etmeliyiz, bildiğim kadarıyla anlatmaya çalışacağım.
1) Mail Güvenliği
Her şeyden önce mail adreslerinizin güvenliğini sağlamalısınız. Çünkü Hostunuz, domaininizi aldığınız yer bilgilerinizi önce mail adresine yollarlar. Mail şifreniz mutlaka harf ve rakam kombinasyonlarından oluşsun. Asla kişisel bilgilerinizden herhangi birini şifreniz olarak kullanmayınız. Gizli sorunuz ve cevabınız sadece sizin bileceğiniz bir şey olsun. Buraya da özel bilgileriniz girmeyiniz. Ayrıca mailinize gelen bazı mailler fake mail olabilir. Eğer mailinize gelen ya da başka bir yerden indirdiğiniz bir dosya size işlem yapabilmek için mail adresinizin kullanıcı adı ve şifresini girmesini isterse o sayfalara k.a. ve şifrenizi girmeyin. O sayfayı direk kapatıp mailinizi tekrar açarak login olabilirsiniz. Adres çubuğunda yazan isimlere dikkat edin. Eğer mailinizi aldığınız yerle bir alakası yoksa bu bir fake maildir.
2) Hosting Güvenliğiniz
Hostinginizi aldığınız yerde de aynen mailiniz gibi şifrenin karışık olsun ve mailinizle aynı şifreyi kullanmayın. Sadece güvenilir kuruluşlardan ve işine özen gösteren yerlerden hosting almaya çalışın. Çünkü bazı serverlarda hala bir çok açık bulunmakta. Bunun sebebi ise kullandıkları yazılımlarda güncelleme yapmamaları. Sitenizi ele geçirmek isteyen kişiler bu açıkları kullanarak hostinginizi ele geçirebilirler.
3) Domain Güvenliğiniz
Domain adınızı aldığınız yerde de şifreniz farklı ve karışık olsun. (Her şeyin başı şifre). Domain whois bilgilerinde domaini aldığınız yere verdiğiniz mail adresinizi kullanmayın. Çünkü domaininizi ele geçirmek isteyen saldırgan öncelikle sitenize whois çekip mailinizi ve hostinginizi öğrenmek ister. Daha sonra önce mailinizi ele geçirmeye çalışır.
4) Web Programlamasında Güvenlik
İlk üç adımı uygulamanıza rağmen hala sisteminizde programlamadan kaynaklanan açıklar olabilir. Bunlarıda bir kaç başlık altında toplayalım.
a) Hazır Portal ve Forumlarda Güvenlik
Web sitenizde hazır portal veya forum kullanıyorsanız sürekli olarak kullandığınız portalın/forumun sitesini ziyaret edin ve güncellemeleri elinizden geldiğince yapmaya çalışın. Çünkü genelde bir çok versiyonda sitenizin ele geçirilmesini sağlayacak açıklar mevcuttur. Bunların yamalarını ve açıkları yazılımın kendi sitesinden öğrenebilirsiniz. Ayrıca b-2 deki database güvenliğinede bakınız.
b) Kendi Yazdığınız Sistemlerde Güvenlik
1. Kodlama Hataları:
Sisteminizi yazdınız ve sorunsuz çalışıyor. Herşey yolunda ama yaptığınız veya eklemeyi unuttuğunuz bir kaç kod yüzünden sitenizde bazı açıklar mevcuttur. Ve malesef saldırganlar bu açıkları kullanarak sisteminize girebilirler ve zarar verebilirler. Peki bunlar nelerdir?
– Login Panelleri: Saldırgan öncelikle login panellerinde bir kaç kod deneyerek database’inizin yonu bulabilir ve sızıntılarla datebase’den sizin veya üyelerinizin bilgilerini ele geçirebilir. Genelde or 1=1 tarzında kodlamaları bu panellerde deneyerek SQL injection yapmaya çalışırlar. O yüzden bu tür kodları kabul etmeyen ayıklan bir sistem yazmalısınız. Bu tarz kodlamaları girince sisteminizin iç hata vermemesi lazım. Ayrıca login panellerinde deneme yanılma yöntemleriyle kullanıcı adı ve şifrenizi ele geçeribilirler. Bunu önlemek için mümkünse güvenlik kodu uygulaması yapmanız iyi olacaktır. Ayrıca birkaç yanlış denemeden sonra ip adresini banlarsanız buda işe yarar.
– Haber/Yorum Ekleme: Login panellerinde olduğu gibi haber ve yorum ekleme scriptlerinde sızıntıları önlemeniz gerekir. Asla bu bölümler kod kabul etmemelidir. Yoksa kullanıcı yorum ya da haber olarak bir kod ekleyerek sitenizin o sayfasını başka bir sayfaya yönlendirebilir. Burdada yapmanız gereken bu tür kodları kabul etmeyen bir sistem yazmaktır.
2. Database Güvenliği
Database’iniz mutlaka şifre korumalı olsun. Eğer access veritabanı kullanıyorsanız, veritabanınızı hostinginizde bulunan db klasörü içine koyun. Bu klasörden database’inizi indiremezler. Hazır kullandığınız scriptlerdeki dblerin adlarını ve yollarını mutlaka değiştirin. Bu saldırganın db yolunuzu öğrenmesini ve sızmasını engeller.
- emresupcin
- Güvenlik
- 24 Ağustos 2013 - 15:12
- Yorum Yok
- 759 Görüntülenme
database güvenliği domain güvenliği forum güvenliği hazır portal güvenliği hosting güvenliği kodlama güvenliği login paneli güvenliği mail güvenliği sistem güvenliği site güvenliği veri tabanı güvenliği web güvenliği web programlaması güvenliği web site güvenliği
