Saldırganlar her zaman savunmasız web sitelerinin peşindedir. İster WordPress, Magento veya Joomla web siteniz olsun, sitenizi ve sunucunuzu güvende tutmak için adımlar atmak isteyeceksiniz. Bugünün gönderisinde, web sitesi sağlamlaştırma sürecini ve ortamınızın güvenliğini artırmak için atabileceğiniz en önemli on iki adımı özetleyeceğiz.
Web Sitesi Sağlamlaştırma Nedir?
Web sitesi sağlamlaştırma, bir web sitesinin saldırı riskini azaltmak için koruma katmanları eklemekle ilgilidir. Bu süreç, “derinlemesine savunma” olarak adlandırılmaktadır. Esasen, web sitenizin güvenliğini artırmaya yardımcı olan teknikleri, ayarları ve yapılandırmaları açıklamak için kullanılan, her şeyi kapsayan bir terimdir.
Web Sitemi Neden Sağlamlaştırmalıyım?
Sitenizi ve ziyaretçilerinizi önemsiyorsanız, web sitenizi saldırılara karşı güçlendirmek için adımlar atmak isteyeceksiniz. Web sitesi güçlendirme teknikleri, otomatik saldırılardan, bilinen güvenlik açıklarından kaynaklanan riskleri azaltmaya ve zayıf erişim noktalarını güçlendirmeye yardımcı olabilir.
Web Sitenizi Nasıl Sağlamlaştırabilirsiniz?
Hadi başlayalım. İşte en iyi 12 web sitesi sağlamlaştırma önerimiz:
- Web sitenizi güncel tutun
- Saldırı yüzeyinizi azaltın
- Gereksiz eklentileri ve temaları kaldırın
- En az ayrıcalık ilkesini uygulayın
- Yönetici panelinize erişimi kısıtlayın
- Çok faktörlü kimlik doğrulamayı kullanın
- Güçlü, benzersiz parolalar kullanın
- HTTPS üzerinden erişim
- Bilgi maruziyetini azaltın
- Web sitenizi izleyin ve günlük etkinliğine ayak uydurun
- Giriş temizleme tekniklerini kullanın
- Bir web uygulaması güvenlik duvarı edinin
1 – Web sitenizi yamalı ve güncel tutun
Web sitenizde çalışan her bir yazılımın en son yamalar ve güvenlik güncellemeleriyle güncel tutulması gerekir. Web sitesi güvenlik açıkları tüm şekil ve boyutlarda olabilir, bu nedenle eklentiler, temalar ve uzantılar gibi üçüncü taraf bileşenlerle birlikte CMS‘nizi güncellemeniz önemlidir.
Sunucunuzu, Apache‘yi veya PHP güncellemelerini de ihmal etmeyin . Bu önemli bileşenlerin de riski azaltmak için en son sürüme yamalanması gerekir.
En son güvenlik sürümleriyle her şeyi güncel tutarak, bilinen güvenlik açıkları nedeniyle saldırganların sitenizi hedefleme olasılığını azaltacaksınız.
2 – Saldırı yüzeyinizi azaltın
Web sitenizin saldırı yüzeyini azaltmanın birkaç yolu vardır.
- Yalnızca uygulamanızın genel alanlarına genel erişime izin verin.
- Diğer her şeyi varsayılan olarak reddedin ve kapatın.
- Web sitenizin tüm erişim noktalarını arayın, güncelleyin ve sağlamlaştırın.
Bunlar, sunucu yapılandırma kuralları, dosya ve klasör izinlerinin ayarlanması ve modern web uygulaması güvenlik duvarlarında bulunan özellikler kullanılarak gerçekleştirilebilir.
3 – Gereksiz eklentileri ve temaları kaldırın
Etkileşimi ve web sitesi deneyimini iyileştiren özellikleri ve işlevleri hepimiz severiz. Ancak ne kadar çok yazılıma (veya üçüncü taraf bileşene) sahipseniz, saldırı riski o kadar artar. Web sitenizdeki her ek kod parçası, saldırı için potansiyel bir ağ geçididir.
Bu nedenle, bir eklenti, tema veya üçüncü taraf bileşeni kullanmıyorsanız kaldırın. Yalnızca web sitenizde aktif olarak kullandıklarınızı saklayın. Ve unutmayın: Bir eklentiyi veya temayı devre dışı bırakmak, onu kaldırmakla aynı şey değildir.
4 – En az ayrıcalık ilkesini uygulayın
Kalabalık bir ekibe sahipseniz ayrıcalıkları belirlemelisiniz. Ekibinizin her üyesinin yapabileceklerini sınırlayın ve gereğinden fazla ayrıcalığa sahip olmadıklarından emin olun. Bu, en az ayrıcalık ilkesi uygulanarak başarılabilir.
Her kullanıcıya yönetici erişimi vermek bir güvenlik tehlikesidir. Uygun izinleri kullanarak riski azaltabilirsiniz. Bu nedenle, CMS rollerinden yararlanın ve siteniz için erişim kontrolünü tanımlayın.
Örneğin: Web sitenize katkıda bulunan bir yazarınız veya editörünüz varsa, bunların yönetici ayrıcalıklarına ihtiyacı olmamalıdır.
Birisine işini yapması için gereken tam erişim miktarını verin. Artık ihtiyaç duymadıklarında kullanıcıları kaldırdığınızdan ve erişimi iptal ettiğinizden emin olun.
Varsayılan WordPress kullanıcı rolleri
Hiçbir sistem tamamen yenilmez olmasa da, PoLP ( en az ayrıcalık ilkesi ), güvenlik açıklarından yararlanmak için daha yüksek ayrıcalıklar gerektirerek yetkisiz eylemlerin gerçekleştirilmesini daha zor hale getirir. Bu uygulama, saldırı yüzeyinizi etkili bir şekilde daraltır ve web sitesi güvenliğine yönelik derinlemesine savunma yaklaşımınızın temel bir parçasını oluşturur.
WordPress’te varsayılan olarak aşağıdaki roller mevcuttur:
| Rol | Slug | Tanım |
| Süper Yönetici | — | Site ağı yönetici özelliklerine erişim dahil tüm yetenekler. |
| Yönetici | yönetici | Tek bir site üzerinden tüm yönetim özelliklerine erişim. |
| Editör | editör | Diğer web sitesi kullanıcılarının gönderileri de dahil olmak üzere gönderileri yayınlayabilir ve yönetebilirsiniz. |
| Yazar | yazar | Kendi gönderilerini yayınlayabilir ve yönetebilirler. |
| Katkıda bulunan | katkıda bulunan | Kendi yazılarını yazabilir ve yönetebilirler ancak yayınlayamazlar. |
| Abone | abone | Sadece kendi profillerini yönetebilirler. |
WordPress için önerilen dosya izinleri (en yaygın sunucu yapılandırmaları için):
| Dizin – Altdizin | Dosya İzinleri |
| Root directory (usually public_html) | 755 |
| wp-admin | 755 |
| wp-includes | 755 |
| wp-content | 755 |
| wp-content/themes | 755 |
| wp-content/plugins | 755 |
| wp-content/uploads | 755 |
| .htaccess | 644 |
| index.php | 644 |
| wp-config.php | 640 |
5 – Yönetici panelinize erişimi kısıtlayın
Yönetici paneli ihlalleri, WordPress kullanıcılarının karşılaştığı en yaygın saldırılardan bazılarıdır.
Varsayılan olarak, WordPress yönetici paneli oturum açma ekranlarına herkes erişebilir. Bu onları kaba kuvvet (brute force) saldırılarına karşı savunmasız hale getirir. Ancak, kullandığınız CMS’den bağımsız olarak, yönetici veya oturum açma panelinize erişimi kısıtlamak, web sitenizin güvenliğini önemli ölçüde artırabilir.
Yönetici panelinizin güvenliğini artırmanın bazı yolları şunlardır:
- Belirli IP adresleri haricine erişimi kısıtlayın
- CAPTCHA benzeri doğrulma yöntemleri kullan
- Giriş denemelerini sınırla
- Standart olmayan bir URL kullanın
Bu teknikleri yönetici sayfalarınıza uygulamak, kaba kuvvet ve parola tahmin etme girişimlerini caydırabilir ve kötü aktörlerin erişimini sınırlayabilir.
6 – Çok faktörlü kimlik doğrulama kullanın
Çok faktörlü kimlik doğrulama, bir kullanıcının kimliğini doğrulamak için farklı kimlik bilgisi kategorilerinden birden fazla kimlik doğrulama yöntemi ister. Temel olarak iki veya daha fazla bağımsız kimlik doğrulama biçimini birleştirir.
Örneğin:
- Kullanıcının bildikleri (şifre)
- Kullanıcının sahip olduğu şey (bir güvenlik belirteci)
- Kullanıcı nedir (biyometri)
Bu kimlik doğrulama biçimlerinden iki veya daha fazlasının birleştirilmesi, yetkisiz bir saldırganın ihlal yapmasını önemli ölçüde zorlaştıran katmanlı bir savunma oluşturur.
WordPress kullanıcıları, bunu sitenizde gerçekleştirmenize yardımcı olacak çeşitli eklentilerden yararlanabilir. Sağlam incelemeleri olan birini seçin ve geliştirme ekibi tarafından düzenli olarak bakımının yapıldığından ve yama uygulandığından emin olun.
Sucuri benzeri uygulamalar, web sitelerinde Google kimlik doğrulayıcı ile iki faktörlü kimlik doğrulama kullanabilir.
7 – Güçlü, benzersiz parolalar kullanın
Parolalar, hesaplarda oturum açmak için standarttır. Buna sunucunuz, veritabanınız, FTP’niz ve yönetici panelleriniz dahildir.
Tüm hesaplarınız için güçlü ve benzersiz şifreler kullanarak web sitenizi de sağlamlaştırıyorsunuz. Bu nedenle, web siteniz için güvenli şifrelerin kullanılmasını zorunlu kılın.
Kaba kuvvet saldırılarının nasıl çalıştığına dair bu hızlı demoya hızlıca göz atın:
Gördüğünüz gibi, otomatik saldırılar bilgisayar korsanlarının web sitenize yetkisiz erişim sağlamasını çok daha kolay hale getiriyor. Bu nedenle, tüm hesaplarınız için güvenli parolalar kullandığınızdan emin olun.
Güçlü, benzersiz parolalar oluşturmak ve sürdürmek sizin için zorlu bir görevse, bunları siteniz için depolamak, şifrelemek ve yönetmek için bir parola yöneticisi kullanın.
8 – HTTPS üzerinden erişim
Web sitesi sağlamlaştırma için en önemli adımlardan birisi sitenize HTTPS üzerinden erişilmesidir. Yalnızca VPN veya proxy gibi güvenli bir kanal kullanırken kısıtlı alanlara erişime izin vererek halka açık erişim noktalarından doğrudan erişimi önleyin. Tüm yöneticilerin güvenli cihazlardan erişim sağladığından emin olun.
Tüm web sitelerine HTTPS üzerinden erişilmelidir. Bu şekilde, A noktasından B noktasına geçiş sırasında tüm verilerin güvenli bir şekilde şifrelenmesini sağlar.
SSL sertifikaları, web sitenizde aktarılan verilerin güvenliğini sağlama söz konusu olduğunda statükodur. Kredi kartı bilgileri, oturum açma kimlik bilgileri, adlar, adresler veya diğer herhangi bir Kişisel Olarak Tanımlanabilir Bilgi (PII) türü dahil olmak üzere her türlü veriyi toplayan siteler için özellikle önemlidirler.
9 – Bilgilerin maruz kalmasını azaltın
“Parolanız yanlış” yerine, başarısız parola girişimi mesajlarını “Giriş kimlik bilgileri geçersiz” gibi bir şeyle değiştirin.
Neden? Niye? İlk örnekte, saldırgana açıkça kullanıcı adının doğru olduğunu, ancak parolanın doğru olmadığını söylüyorsunuz. Ancak ikinci örnekte, saldırgan kullanıcı adının, parolanın veya her ikisinin yanlış olup olmadığından emin olamaz.
Bu tür azaltılmış ayrıntı, başarılı bir kaba kuvvet saldırısı (Brute force attack) şansını azaltabilir .
Ayrıca, hassas web sitesi verilerinin herhangi bir web sitesine veya sunucu günlüğüne yazılmadığından ve bu günlüklerin herkesin erişimine kapalı olduğundan emin olun. Dahili bir hata kodu kullanmak, kolay hata ayıklamaya izin verirken görüntülenen bilgi miktarını azaltabilir.
10 – Web sitenizi izleyin ve günlük etkinliğine ayak uydurun
Günlükler, web sitesi izleme için son derece değerlidir. Teknik sorunları gidermeniz veya kullanıcı hesap verebilirliğini sağlamanız gerektiğinde de çok yardımcı olurlar.
Ayrıca, bir e-ticaret web siteniz varsa, PCI DSS (Ödeme Kartı Sektörü Veri Güvenliği Standardı) uyumluluğu için günlükler zorunludur. Gelecekteki analizler için günlüklerin saklanması da GDPR, CIPA ve diğer düzenlemeler için kritik bir parçadır.
Bu nedenle, yanlış yapılandırmalar, arızalar, saldırı girişimleri ve diğer önemli durum bilgileriyle ilgili önemli bilgileri tespit etmek için web sitenizin günlüklerindeki anormallikleri kontrol ettiğinizden emin olun.
11 – Giriş temizleme tekniklerini kullanın
Giriş temizleme, web sitenize girilen verileri kontrol etmek için kullanılır. Ardından, potansiyel olarak tehlikeli olabilecek her şeyi “sterilize eder” veya kaldırır.
Girdi temizlemenin mükemmel bir örneği, SQL enjeksiyon saldırılarını önlemek için girdileri temizleyen web sitesi formlarında bulunabilir.
Giriş temizleme tekniklerini kullanırken, kullanıcıdan tam olarak ne tür veriler beklediğinizi belirtmeniz gerekir:
- Özel karakterleri kabul etmeli misiniz?
- Maksimum uzunluk veya boyut nedir?
- Yalnızca sayılara mı yoksa harflere de izin mi vermelisiniz?
Web sitenize gelen herhangi bir ziyaretçi saldırgan olabilir. Bu nedenle dikkatli olmak ve web sitesi alanlarına girilen bilgilere asla güvenmemek önemlidir.
Bu nedenle, web sitenize veya uygulamanıza gönderilenleri doğru bir şekilde filtrelediğinizden emin olun. Bu, güvenliğinizi artırmanıza, SQL enjeksiyonlarını önlemenize ve web sitenizi sağlamlaştırmanıza yardımcı olacaktır. Ve unutmayın: Kazara verilen hasar, kasıtlı verilen hasar kadar zararlı olabilir.
12 – Bir web uygulaması güvenlik duvarı edinin
Web sitenizi varsayılan olarak sağlamlaştırmanıza yardımcı olabilecek bir web uygulaması güvenlik duvarı hizmeti edinin.
Güvenlik duvarını etkinleştirmek, web sitenizin ve sunucunuzun güvenliğini artırmanıza, kaba kuvvete ve kötü botlara karşı savunma yapmanıza ve DDoS saldırılarına karşı korunmanıza yardımcı olacaktır. Ancak yine de parolalar ve ayrıcalıklar gibi iyi güvenlik alışkanlıkları edinmeniz gerekecek.
kaynak: sucuri https://blog.sucuri.net/2022/11/top-12-website-hardening-tips.html
Yorumlar