Artık bir işletmeniz varsa bir web sitesine de ihtiyacınız var. Neyse ki, güncel teknolojiler sayesinde web sitesi kurmak çok kolaylaştı. Web sitesi, marka varlığınızın size ait olan (kapanma olasılığı bulunan bir Facebook sayfasının aksine) bir parçasıdır ve müşterilerin sorularına cevap bulabilecekleri (gerektiğinde işletmenizin lokasyonu dahil) bir kanaldır. Ve bir işletme web siteniz varsa güvenlik açıkları ve web sitesi bakımı gibi internet güvenliği konuları hakkında da bilgi sahibi olmanız gerekiyor.
Web sitesi bakımı, sitenizin güncel ve çalışır durumda olmasını sağlamak için yapılan her şeyi kapsar. Web sitesi güvenliği ise, çoğu kişinin yeterince önem göstermediği bir web sitesi bakımı unsurudur.
KOBİ’lerin siber saldırılar yüzünden kayıp yaşama riski iki kat daha fazla ve 2016 yılında ABD’de yapılan bir araştırmaya göre, siber saldırıya uğrayan küçük işletmelerin yüzde 60’ı saldırıdan sonraki 6 ay içinde kapanıyor. Bunun sebebini anlamak zor değil: Diğer olumsuz etkilerin yanı sıra, hassas verilerin sızdırılması müşterilerin işletmeye olan güvenini de sarsıyor.
Ancak internet güvenliği konusunda iyi bir haberimiz var: Web sitenizi tehdit eden güvenlik açıklarını gidermek ve sitenizi düzgün bir şekilde korumak için çok büyük bütçelere ihtiyacınız yok. Ama gerekli güvenlik önlemlerini aldığınız proaktif bir yaklaşım benimsemeniz gerekiyor.
7 yaygın web sitesi güvenlik açığı
Web sitesi güvenliği çeşitli saldırıları ve çözümleri içeren geniş bir konudur, bu yüzden kafa karıştırıcı olabilir. Ama internet güvenliği için tehdit oluşturan en yaygın 7 güvenlik açığını şöyle sıralayabiliriz:
- Zararlı yazılım
- SQL enjeksiyonu
- Siteler arası komut dosyası çalıştırma (XSS)
- Ortadaki adam saldırısı
- Şifre saldırıları
- DDoS saldırısı
- Güvenlik sisteminin yanlış yapılandırılması
Başka web sitesi güvenlik açıkları olsa da, sitenizi bu yedi güvenlik tehdidinden korumak, sitenizin güvenliğini sağlamaya yardımcı olacaktır.
1.Zararlı yazılım
Zararlı yazılımlar bir sisteme bulaşmak ve hasar vermek için tasarlanmış kötü amaçlı yazılımlardır. Bu geniş bir terim olduğu için, virüslerden reklam yazılımlarına kadar hem bilgisayarlara hem web sitelerine bulaşabilen tüm güvenlik açıklarını kapsar. Zararlı yazılım tarafından saldırıya uğrayan bir web sitesi müşteri bilgileri de dahil olmak üzere hassas verilerin açığa çıkmasına sebep olur.
Zararlı yazılım saldırıları, işletmeleri çok zor durumda bırakabilir.
2018’in ilk çeyreğinde, siber saldırı mağdurlarının yüzde 60’ına zararlı yazılım bulaştığı tespit edildi. En yaygın zararlı yazılım türlerinden ikisi şunlardır:
- İçerik bozma: Bu türden zararlı yazlımlar web sitesinin görünüşünü değiştirir. Genellikle web sitesinde hacker’ın adının belirtildiği bir mesaj görünür.
- Kötü amaçlı yönlendirme: Böyle durumlarda kullanıcılar web sitenize girdiğinde kötü amaçlı başka bir siteye yönlendirilir. Bu kullanıcıların bazı sayfalara, hatta bazen tüm web sitesine erişmesini engelleyebilir.
GoDaddy Web Sitesi Güvenliği ile internet güvenliği
GoDaddy Web Sitesi Güvenliği’nde kötü amaçlı yazılım taraması, temizlenmesi ve önlenmesi gibi web sitenizin güvenliği sağlayacak çeşitli araçlar bulunuyor. Bu araçlar, web sitelerini güvenlik açıklarına karşı korumak için zamanı ya da teknoloji bilgisi olmayan küçük işletme sahipleri için ideal.
2.SQL enjeksiyonu
Web sitesi güvenlik açıkları, web sitesinin kodunda kötü amaçlı hacker’ların saldırısına ya da kontrolü ele geçirmesine izin verecek bir zayıf nokta bulunduğunda oluşur. Bu, genellikle web sitenizde kullandığınız güncel olmayan (sık güncelleştirilmeyen) WordPress eklentileri veya diğer yazılım araçlarınızdaki sorunlardan kaynaklanır.
SQL enjeksiyonu, kullanıcı giriş alanlarına kötü amaçlı SQL yazı dizilerinin ya da uygulama kodlarının eklendiği bir tür web sitesi güvenlik açığıdır. Bu süreç, saldıranların web sitesinin arka uç veritabanına erişebilmesine ya da veritabanı içeriklerini bozabilmesine olanak sağlar.
Saldırı başarılı olursa, sonuçlar müşteri bilgilerini çalmak, verileri değiştirmek ya da silmek veya web sitesinin kontrolünü ele geçirmek için kullanılabilir.
Bu, internet güvenliği konusunu tehdit eden en yaygın web sitesi güvenlik açıklarından biridir.
GoDaddy’nin Web Sitesi Güvenliği paketinin de bir parçası olan, bir web uygulaması güvenlik duvarı (WAF) web sitesinizi SQL enjeksiyonu saldırılarına karşı koruyabilir. WAF, web sitenizin gerçek zamanlı trafiğini SQL enjeksiyon saldırıları ve spam yorumlar gibi tehditlerden koruyan ve aynı zamanda DDoS saldırılarını engelleyen bulut tabanlı bir güvenlik hizmetidir. WAF seçimi hakkında daha fazla bilgi sahibi olmak için bu yazımıza göz atabilirsiniz.
3.Siteler arası komut dosyası çalıştırma (XSS)
Siteler arası komut dosyası çalıştırma (XSS) internet güvenliği konusunu tehdit eden başka bir yaygın web sitesi güvenlik açığıdır. SQL enjeksiyonundan farklı olarak, XSS, web sitesinin kullanıcıları hedeflenerek, müşteri tarafındaki komut dosyalarını manipüle etmek için bir web sayfasına kötü amaçlı JavaScript kodlarının eklenmesiyle ortaya çıkar.
Bu komut dosyaları, kullanıcı oturumlarını web sitesinin arama çubuğu ya da yorumları aracılığıyla (web sitesinin arka ucundan) ele geçirir. Bu, web sitesinin içeriğini bozabilir ve kullanıcıları normal görünen ama bilgilerini çalma potansiyeli olan kötü amaçlı web sitelerine yönlendirebilir.
4.Ortadaki adam saldırısı
Ortadaki adam saldırısı, hacker'ların kullanıcıların bir web sitesine gönderdikleri herhangi bir tür veriyi ele geçirmelerine ve kendi çıkarları için kullanmalarına denir. Bu veriler basit bir iletişim bilgisi de olabilir, kredi kartı bilgileri gibi daha hassas veriler de olabilir. Siber suçlular daha sonra bu verileri satarlar ya da kendi çıkarları için kullanırlar.
Örneğin, 2015 yılında Belçika’daki bir siber suçlu grubu, hassas finansal bilgilere erişmek için Avrupa’daki bir dizi orta ve büyük ölçekli şirkete saldırdı. Ve bu suç faaliyetlerinin sonucunda 6 milyon avro çaldılar.
Hassas verileri korumak için web sitenizi bir SSL sertifikası ile güvenceye almak çok önemlidir.
SSL, güvenli bir oturum sağlamak için ziyaretçinin web tarayıcısı ve web sunucusu arasında güvenli ve şifreli bir bağlantı kurar. Bu, alıcıları ortadaki adam saldırısı gibi siber saldırılardan korur.
Peki, web sitenizin SSL sertifikasına ihtiyacı var mı? Bir e-ticaret siteniz olmasa bile, cevap evet.
5.Şifre saldırıları
Bazı hacker'lar giriş sağlayana kadar şifreleri tahmin eder ya da farklı kombinasyonları denemek için araçlar ve sözlük programları kullanır.
Bazı durumlarda kullanıcı hesaplarına erişmek için keylogging de kullanılır. Keylogging, bir bilgisayar kullanıcısı tarafından yapılan her tuş vuruşunu kaydeder. Sonra da bu kayıtlar, programı bilgisayara yükleyen hacker’lara iletilir.
Buradan çıkarılacak ders: Herkese açık bilgisayarları ya da WiFi bağlantısını kullanırken dikkatli olun!
Çoğu web sitesi, güçlü parola güvenliğinden yoksundur ve bu durum giriş yapma girişimlerini inanılmaz derecede kolaylaştırır. İşte web sitenizi korumanın birkaç yolu:
- Güçlü ve benzersiz bir şifre kombinasyonu gerektirin.
- Kullanıcılardan şifrelerini düzenli olarak değiştirmelerini isteyin.
- Kullanıcı erişimin onaylamak için iki adımlı kimlik doğrulaması isteyin.
Ve lütfen ama lütfen, WordPress kullanıcı adınızı “admin” yapmayın.
6.DDoS saldırısı
Dağıtılmış Hizmet Engelleme (DDoS) saldırısı, bir web sitesinin sunucusunu, sistemi aşırı yükleyen bir trafik akını ile kapatma girişimine denir.
İnternet güvenliği için tehdit oluşturan bu güvenlik açığı, genellikle botnet olarak adlandırılan ve hacker'ların kontrol ettiği bilgisayarlar tarafından web sitesinin sahte trafiğe boğulmasıdır. Botnet, bir veya daha fazla bot çalıştıran internete bağlı bir dizi cihaza denir.
Web sunucusu sahte trafik akını yüzünden aşırı yüklendiğinde, web sitesinin yüklenme hızı da yavaşlar. Bu saldırılar yeterince güçlü uygulandığı takdirde sunucu çökebilir ve web sitesi tamamen çevrimdışı duruma gelebilir.
Arbor Networks’ün Küresel Altyapı Güvenliği raporuna göre, 2017’de internet güvenliği için tehdit oluşturan DDoS saldırıları nedeniyle dünya genelinde internet operatörlerinin yüzde 57’si ve veri merkezlerinin yüzde 45’i bant genişliklerinin dolmasıyla karşı karşıya kaldı. Türkiye özelinde ise günde 475 DDoS saldırısı yaşandı. DDoS saldırısı nedeniyle gelir kaybına uğrayan kuruluşların oranı neredeyse iki katına çıktı.
Yani, DDoS saldırıları yükselişte!
Neyse ki, DDoS saldırılarını engellemek karmaşık olmak zorunda değil. GoDaddy Web Sitesi Güvenliği’nin gelişmiş güvenlik denetleme aracı ve Web Uygulaması Güvenlik Duvarı (WAF) bu tür siber saldırıları önleyebiliyor.
7.Güvenlik sisteminin yanlış yapılandırılması
Bir web sitesinin güvenlik kurulumunda güvenlik açıklarına sebep olabilecek delikler ya da zayıf noktalar varsa, güvenlik sistemi yanlış yapılandırılmış demektir. Bu genellikle web sitesinin bakımı düzgün yapılmadığı ya da web uygulaması doğru ayarlanmadığı için oluşur.
Güvenlik sisteminin yanlış yapılandırılması, hacker’ların sistemi tamamen tehlikeye atabilecek özel verilere veya web sitesi özelliklerine erişebilmelerine yol açar. Ayrıca, bu durumlarda veriler çalınabilir ya da değiştirilebilir.
Web sitesi güvenlik açıkları, varsayılan ayarlar güvenli olmayan bir şekilde yapılandırıldığında oluşur. Ayarlarınızı varsayılan olarak bırakmak, hacker’ların web sitenizin arka ucuna erişmesini kolaylaştırır.
Kısaca, web sitenizi asla varsayılan ayarlarda bırakmayın, ihtiyaçlarınıza uygun olacak şekilde özelleştirerek yapılandırmaya zaman ayırın.
İnternet güvenliği için tehdit oluşturan güvenlik açıkları hakkında son görüşler
En yaygın web sitesi güvenlik açıklarını tanıyabilmek için zaman ayırmak, web sitenizi korumak için atacağınız ilk adım. Bunu takiben, kendinizin ve müşterilerinizin verilerini korumak için harekete geçmeli, değişiklikler yapmalı ve gerekli yazılımları yüklemelisiniz.