GÜNCELLEME: Bu yazı orijinal olarak 15 Aralık 2017’de yayınlanmış, 15 Ağustos 2019’da yeni içeriklerle tekrar düzenlenmiştir.
2015 yılında katıldığım siber güvenlik konferansında bu alandaki uzmanlar ve FBI’dan kötü adamların şirketlerin ağlarına sızmak için kullandığı farklı yöntemleri dinledim. Bu yöntemleri kullanarak şirket verilerini nasıl çaldıklarını, şirket web sitelerini başka şeyler için kullandıklarını ve özetle şirketleri nasıl batırdıklarını anlattılar. Siber güvenlik, son zamanlarda hakkında daha fazla konuşulan bir konu olurken, web sitenizin güvenli olup olmadığını kontrol etmenin tam zamanı.
İnanın bunları dinlemek hiç eğlenceli değildi. Ancak bana kalan önemli bir bulgu oldu: “Sorun web sitenizin hack’lenip hack’lenmeyeceği değil; ne zaman hack’leneceği.”
Evet, bu bulgu için cidden çok teşekkürler. Artık önümüzdeki üç hafta stresten ölmeye yaklaşıp, beden öğretmeni olmayı tercih etmediğim için kendimi yerden yere vurabilirim.
Birine en kötü senaryoları sıralayarak, onları korkutup aksiyon almaya teşvik etmek oldukça etkili bir yöntem. Konferans sonrası ben de şirketimin web sitesini korumaya yönelik adımlar attım. Siber güvenlik, web sitesi güvenliği gibi konularda kendimi eğittim ve müşterilerimi bahsi geçen ‘kötü adamlar’dan nasıl koruyabileceğime odaklandım.
Siber güvenlik göz ardı edilemez!
Bilgimi ve araştırmalarımdan öğrendiklerimi temel alarak, size web sitenizde olabilecek güvenlik açıklarını nasıl önleyebileceğiniz ve kontrol edebileceğiniz konusunda 8 maddelik bir kılavuz hazırladım. Bu maddeler şöyle:
- HTTPS’ye geçin
- Eklenti ve diğer yazılımları güncelleyin
- Gereksiz eklentileri kaldırın
- Yedekleme yapın
- Dosyaların sağlamlığını gözden geçirin
- Kaba kuvvet saldırılara karşı önlem alın
- Kullanıcı adınızı değiştirin
- Şifrelerinizi otomatik oluşturun
Şimdi bunları biraz daha ayrıntılı açıklayacağım. Sonra da mevcut web sitenizin güvenlik düzeyini nasıl kontrol edebileceğinizden ve hack’lenmiş bir siteyi nasıl temizleyip yeniden güvenli bir hale getirebileceğinizden bahsedeceğim. Hadi başlayalım…
1. https:// protokolünüz olduğundan emin olun
Siber güvenlik konusunda atılması gereken ilk adımlardan biri HTTPS protokolüne geçiş yapmak. Bunun için sitenize bir SSL/TLS sertifikası yüklemeniz gerekiyor. HTTPS kullanan sitelerde, kullanıcıyla sunucu arasındaki veri akışı şifreleniyor. Dolayısıyla, aktarım sırasında verilerinizin çalınması zorlaşıyor. Google bile artık SEO formülüne SSL sertifikalarını da dâhil ediyor ve güvenli olmama riski olan sayfaları kullanıcılara bildiriyor. Bu gelişmeye uyum sağlayarak sizin de web siteniz için bir SSL sertifikası almanız önemli.
2. Eklentiler de dâhil olmak üzere yazılımlarınızı güncelleyin
Eğer web siteniz için WordPress.com, Blogger.com veya GoDaddy’nin Hazır Web Sitesi gibi bir platform tercih ettiyseniz, bu maddeyle ilgilenmenize gerek yok çünkü gerekli güncellemeler otomatik olarak yapılıyor. Ancak web sitenizi kendi sunucularınızda, kendiniz barındırıyorsanız veya üçüncü tarafların hosting hizmetlerinden faydalanıyorsanız, web sitenizin güvenliğini kontrol etmek size düşüyor.
Bu da WordPress gibi içerik yönetim sistemlerinin yanı sıra ilgili eklentileri de güncel tutmak anlamına geliyor. Aksi halde hacker’ların keşfettikleri son güvenlik açıklarına karşı savunmasız kalabiliyorsunuz. Pek çok eklenti için yapılan güncellemeler, hacker’ların kullandığı yeni yöntemleri de göz önünde bulundurarak yapılıyor.
3. Gereksiz eklentileri kaldırın
Siber güvenlik ve eklentiler ne alaka demeyin. Yüklediğiniz her eklenti, hacker’ların saldırabileceği yeni bir potansiyel hedef demek. O yüzden de artık kullanmadığınız eklentileri ve yazılımların eski sürümlerini sitenizden kaldırmanızda fayda var. Kullanılmayan eklentileri devre dışı bırakmak ama kaldırmamak da sıkça yapılan bir hata. Eski yazılımları yedeklemek amacıyla başka bir klasöre taşımak da oldukça riskli. Bunları yaptığınızda güvenlik açığı taşıyan dosyalar sitenizde durmaya devam ediyor ve hacker’lar otomatik araçlarla bu dosyaları tespit edebiliyor. En iyi çözüm, artık ihtiyacınız olmayan yazılımları, eklentileri ve dosyaları sitenizden tamamen silmek.
4. Her şeyi yedekleyin
Kötü adamların şirketlerin verilerini ele geçirdiği ve ilgili şirketin onları bir daha göremediği çok fazla senaryo duydum. Yedekleme siber güvenlik açısından basit bir işlem gibi görünse de aslında oldukça önemli: yıllar boyunca yazıp yayınladığınız blog yazılarınız ve değerli içerikleriniz bir anda yok olabilir. Düzenli bir şekilde yedekleme yaparak, kendinizi bu duruma karşı korumaya alabilirsiniz.
Yedekleme hizmetleri için web sitenizinkinden farklı bir hosting sağlayıcı ile çalışarak web, şirket ve finansal verilerinizi web sitenizden uzak bir yerde barındırmanız iyi olabilir.
5. Dosyaların bütünlüğünü gözden geçirin
Dosya bütünlüğü derken, dosyanın ilk oluşturulduğu andaki haliyle kalması ve sonradan değişmemesinden bahsediyorum. Siteniz saldırıya uğradığında hacker’lar bazı dosyalarınızı kötü amaçlı kodlar içeren dosyalarla değiştirebilir, bu durumda dosya bütünlüğü bozulmuş olur.
Web sitenize yüklediğiniz ancak kullanmadığınız dosyaları da gözden geçirin; siber güvenlik için gerekli kontrolleri yaparken Excel, Word ve hatta PDF gibi basit görünen dosyaların da sağlam olduğundan emin olmanız gerekiyor. Ancak tüm dosyalarınız için bu kontrolü manuel olarak yapmanız çok zor olabilir. GoDaddy’nin Sucuri tarafından sağlanan Web Sitesi Güvenliği ürünü gibi bir kötü amaçlı yazılım kontrol ürünü kullanmanız işinizi kolaylaştırabilir.
6. Kaba kuvvet saldırılarına karşı önlem alın
Hacker’lar parolalarınızı kırmak için art arda binlerce kombinasyonu hızlı bir şekilde deneyebilirler. Buna da kaba kuvvet (brute force) saldırısı denir. Hacker’ların oyunlarına, kurnazlıklarına karşı alabileceğiniz bazı önlemler şöyle:
- Öncelikle, komplike şifreler kullanın: içinde rastgele rakam ve harfler yer alsın; hatta rastgele rakam ve kelime öbeklerinden oluşsun.
- Eğer WordPress kullanıyorsanız Limit Login Attempts gibi eklentiler kullanarak kaba kuvvet saldırı riski azaltın ve bunların kaynağı olan IP adreslerini engelleyin.
7. Kullanıcı adınızı değiştirin
Siber güvenlik alanında uzman biri olarak önüme ne zaman bir saldırı raporu gelse, hacker’ların özellikle ‘admin’ hesabını hedeflediklerini görüyorum. Bu nedenle, ne zaman yeni bir web sitesi kursam admin hesabına farklı bir isim vererek, ‘admin’ isimli kullanıcı hesabını siliyorum. Bu sayede admin’i hedef alan hacker’lar, böyle bir kullanıcı bulamayacaklar.
8. Şifrelerinizi otomatik oluşturun
Siber güvenlik deyince en önemli konulardan biri gerçekten de güçlü bir şifrenizin olması. Akıllıca olduğunu düşündüğünüz bazı şifreler, riskin artmasına neden olabilir.
Oğlumun göbek adını ve doğduğu yılı kullanacağım! Ahmet1998 kimsenin aklına gelmez!
Yüksek güvenlik standartlarında bir parola oluşturmak için Strong Password Generator’ı, WordPress’in bütünleşik parola oluşturma özelliğini veya 1Password ve LastPass gibi parola yöneticilerini kullanabilirsiniz.
Siber güvenlik: Web sitenizin güvenli olup olmadığını nasıl anlayabilirsiniz?
Yukarıda, web sitesi güvenlik açıklarını önleyebilmek için uygulayabileceğiniz yöntemlerden bahsettik. Peki, hâlihazırda sahip olduğunuz bir web sitesinin güvenli olup olmadığını nasıl anlayabilirsiniz? Kısaca, güvenli siteler nasıl anlaşılır? Bunun için yapabileceğiniz birkaç kontrol var.
1. DNS ve WHOIS taraması yapın
Bir hacker’ın e-posta adresini tersten kullanarak, “Şifremi Unuttum” özelliği ile alan adını çaldığı bir arkadaşım var. Arkadaşımın, alan adının çalındığını fark etmesi üç hafta, onu geri alabilmemiz ise iki hafta sürdü. Böyle durumlarla karşılaşmamak için DNS ve WHOIS sonuçlarınızı düzenli olarak gözlemleyin. Bunu manual olarak yapabilir veya Sucuri gibi bir eklenti kullanabilirsiniz.
2. Online güvenlik taraması yapın
Sitenizi ele geçiren hacker’lar dosyalarınızı veya kodlarınızı değiştirerek sitenizi kötü amaçlı yazılım (malware) dağıtmak, ziyaretçilerinizi dolandırıcılık veya reklam amaçlı sitelere yönlendirmek için kullanabilirler. Ayrıca siteniz hack’lenmese bile kullanıcıların yorum yazabildiği alanlarda spam ve SEO amaçlı linkler birikebilir.
Aşağıda sıralayacağım online güvenlik tarayıcıları, sitenizde bu tarz kötü amaçlı dosyalar ve yönlendirmeler bulunup bulunmadığını test ediyor. Bu araçları kullanmak için herhangi bir şey yüklemeniz gerekmiyor. Sitenizin adresini vermeniz yeterli.
Web sitesi güvenlik testi denince akla gelen ilk araçlardan olan Sucuri SiteCheck ücretsiz bir tarayıcı. Sitenizi hızlıca kötü amaçlı yazılım, şüpheli link, kara liste, spam ve hack taramasından geçiriyor. Taramanın sonunda, sitenizin güvenliğini artıracak çeşitli önerilerde bulunuyor.
Quttera Website Malware Scanner
Quttera’nın ücretsiz tarayıcısı sitenizde zararlı ve şüpheli dosya taraması yapıyor, sitenizden dışarı giden linklerin kötü amaçlı sitelere gidip gitmediğini analiz ediyor, ayrıca sitenizin kara listelere girip girmediğini kontrol ediyor.
Bu araç yalnızca sitenizin SSL/TLS sertifikasını test ediyor ve oldukça ayrıntılı bir analiz ortaya koyuyor, ayrıca sitenize bir harf notu veriyor. Böylece sertifikanızın düzgün çalışıp çalışmadığını anlayabiliyorsunuz.
UpGuard Cloud Scanner, sitenizde ve sunucunuzdaki olası güvenlik açıklarının yanı sıra SSL, DNS ve e-posta güvenliğini artırmaya yönelik öneriler de sunuyor. Ancak bu önerilerden bazılarını yalnızca sunucu yöneticinizin (hosting firmanızın) uygulayabileceğini hatırlatmam lazım.
3. WordPress güvenlik kontrolü
Siteniz WordPress tabanlıysa WordPress’e özel olarak geliştirilen aşağıdaki tarayıcılarla daha detaylı raporlar alabilirsiniz:
Yukarıda bahsettiğim araçlar yalnızca web sitenizin “görünen yüzünü” tarayabildikleri için tüm dosyalarınıza ulaşmaları mümkün değil. Aşağıdaki WordPress eklentilerini kurarak dosyalarınızın doğrudan sunucu üzerinde tarayıp daha kesin sonuçlara ulaşabilirsiniz.
• Security Ninja
• MalCare
• Quttera Web Malware Scanner
Hack’lenmiş bir web sitesi nasıl temizlenir?
Gerekli siber güvenlik önlemlerini baştan almadıysanız – hatta almış olsanız bile – siteniz kararlı bir hacker’ın saldırısına uğrayabilir. Aşağıdaki durumlar sitenizin hack’lendiğinin göstergeleri olabilir:
- Mevcut parolanızla yönetici paneline giremiyorsanız
- Siteniz başka sitelere yönleniyorsa
- Sitenizde sizin yerleştirmediğiniz reklamlar veya bağlantılar görünüyorsa
- Google, sitenizi “güvenli değil” olarak işaretlediyse
Şüphesiz ki sitenizin hack’lenmesi stres yaratan bir olay ama temizlik sürecinde hata yapmamak için sakin kalmaya çalışmanız önemli. Peki, sitenizi kurtarmak için neler yapabilirsiniz?
Yedekten geri yükleme
Siteniz düzenli olarak yedekleniyorsa şanslısınız: Son yedeklemeden bu yana sitenize eklenen her şeyi kaybetmeye razıysanız yedeğinizi geri yükleyebilirsiniz. Yedeğinizi nasıl geri yükleyeceğiniz kullandığınız servise göre değişiyor ama genellikle tek bir düğmeye tıklamak yeterli oluyor. Ancak sitenizin düzgün çalıştığı bir tarihe dönmeniz asıl sorunu çözmüyor: Büyük ihtimalle hacker’ın kullandığı güvenlik açığı hâlâ mevcut oluyor. O yüzden ilk iş olarak yönetici parolanızı değiştirmeli, sonra da bu yazıda anlattığım tüm güvenlik önlemlerini gözden geçirmeli ve sitenizde mutlaka güvenlik taraması yapmalısınız. Aksi halde siteniz yeniden hack’lenebilir.
Eklentiler yardımıyla temizlik
Hacker’lar genellikle sitenizi kontrol altında tutmak için WordPress’in çekirdek dosyalarına, eklenti ve tema dosyalarınıza “arka kapı” (backdoor) denen kodlar ekler. Siteniz WordPress tabanlıysa Sucuri ve Wordfence gibi güvenlik eklentileri, sitenizi oluşturan dosyaların bütünlüğünü kontrol ederek orijinalleriyle uyuşmayan dosyaları ve siteye sonradan eklenen dosyaları bulmanızı sağlar. Güvenlik eklentinizin tespit ettiği şüpheli dosyaları dikkatle incelemeli, orijinallerini geri yüklemeli ve sitenize ait olmayanları silmelisiniz.
Kullandığınız güvenlik eklentisinde “hack sonrası işlemler” gibi bir bölüm de olabilir. Örneğin Sucuri’de Settings > Post-Hack sayfasına girerseniz güvenlik anahtarlarını güncelleme, kullanıcı parolalarını sıfırlama, yüklü eklentileri sıfırlama işlevlerini bulabilirsiniz.
Hosting sağlayıcınızdan destek alma
İyi bir hosting firması bu durumda sizi yönlendirecek ve elinden geldiğince yardımcı olmaya çalışacaktır. Belki sadece sizin siteniz değil, hosting firmanızın sunucusu hack’lenmiştir ve firma bir çözüm üzerinde çalışıyordur (yine de bunun düşük bir olasılık olduğunu göz önünde bulundurun). Belki de siteniz hack’lenmemiş ve başka bir sebepten dolayı kapanmıştır. Ayrıca hosting firmanız son yedeğinizi geri yüklemeyi veya ücretli bir temizlik hizmeti vermeyi de teklif edebilir.
Profesyonel destek alma
Kabul etmek gerekir ki hack’lenen bir siteyi onarmak teknik bilgi ve deneyim gerektiren bir iş. Bu konuda yeterince donanımlı olmadığınızı düşünüyorsanız en iyisi bir profesyonelden yardım almak.
Bu alanda uzmanlaşmış firmalara başvurmanızda fayda var. Örneğin GoDaddy Express Kötü Amaçlı Yazılım Temizleme, web sitenizi tarar, potansiyel bir tehdit tespit ettiğinde size bir uyarı gönderir, kötü amaçlı yazılım kaldırma isteğini aldıktan sonra 30 dakika içinde çalışmaya başlar, sitenizi kara listelerden çıkarır ve güvenlik duvarı (WAF) sayesinde çoğu tehdidin sitenize ulaşmasını engeller.
WordPress hack temizleme alanında benzer bir hizmeti Wordfence de sunuyor. Siteniz temizlendikten sonra Wordfence güvenlik analistleri sitenizi inceleyip hacker’ların nasıl sitenize eriştiğini rapor halinde size sunuyor.
Siber güvenlik hakkında son sözler
Web sitenizi hacker’lardan korumak için yapmanız gereken çok fazla şey var. Ancak unutmayın ki bunların çoğu GoDaddy’nin Web Hosting ürünleri gibi hizmetler kapsamında zaten kullanımınıza sunuluyor.
İster kendi sunucunuzu kullanıyor olun, ister üçüncü taraflardan hizmet alıyor olun, hangi yazılımları, vs. kullandığınız fark etmeksizin siber güvenlik alanında herkesin atması gereken adımlar var.
Kısacası, eğer bir web siteniz varsa saldırılara açıksınız demektir. Değerli bilgilerinizin ele geçirilip, geçirilemeyeceği de size bağlı. Bu yazıda bahsettiğim adımları atabilir veya bir siber güvenlik uzmanıyla çalışmayı tercih edebilirsiniz.
