Sitenizi gelecekteki saldırılardan korumak için sitenizin güvenliğinin nasıl ihlal edildiğini anlamanız önemlidir. Bu belgede, sitenizin güvenliğinin ihlal edilmesine neden olabilecek bazı güvenlik açıkları ele alınmaktadır.
Aşağıdaki videoda, saldırı türleri ve bilgisayar korsanlarının sitenizin kontrolünü nasıl ele geçirdiği açıklanmaktadır.
Güvenliği ihlal edilen şifreler
Saldırganlar, doğru şifreyi tahmin edene kadar farklı şifreler deneyerek şifrenizi ele geçirebilir. Şifre tahmin etme saldırılarında, örneğin yaygın şifreleri deneme veya harf ve rakamların rastgele kombinasyonlarını tarama gibi yöntemler kullanılır. Bunu önlemek için güçlü ve tahmin edilmesi zor bir şifre oluşturun. Güçlü şifre oluşturmayla ilgili ipuçlarını Google Yardım Merkezi makalesinde bulabilirsiniz.
İki noktayı unutmayın.
- Şifreleri hizmetler arasında yeniden kullanmaktan kaçının. Saldırganlar, çalışan bir kullanıcı adı ve şifre kombinasyonu belirledikten sonra bu kimlik bilgilerini mümkün olduğunca çok hizmette kullanmayı dener. Diğer hesapların güvenliğinin ihlal edilmesini önlemek için benzersiz bir şifre kullanın.
- Google 2 Adımlı Doğrulama gibi iki faktörlü kimlik doğrulama (2FA) kullanın. 2FA, saldırganların hesabınıza erişmesini önlemek için kısa mesaj kodu veya dinamik olarak oluşturulan PIN aracılığıyla ikinci bir kimlik bilgisi katmanı ekler. Bazı CMS sağlayıcıları, 2FA'yı yapılandırma konusunda rehberlik sunar:
Güvenlik güncellemeleri eksik
Eski yazılım sürümlerinde, saldırganların bir sitenin tamamını tehlikeye atmasına olanak tanıyan yüksek riskli güvenlik açıkları olabilir. Saldırganlar, güvenlik açıkları olan eski yazılımları aktif olarak arar. Güvenlik açıklarını göz ardı etmek saldırı riskini artırır.
Örneğin:
- Web sunucusu yazılımı (kendi sunucularınızı barındırıyorsanız).
- İçerik yönetim sisteminiz (İYS) Örneğin, Wordpress, Drupal ve Joomla!'nın güvenlik sürümleri.
- Sitenizde kullandığınız tüm eklentiler.
Güvenli olmayan temalar ve eklentiler
İçerik yönetim sistemi eklentileri ve temaları değerli özellikler ekler. Ancak güncel olmayan veya yamalanmamış temalar ve eklentiler, güvenlik açıklarının önemli bir kaynağıdır. Temaları ve eklentileri güncel tutun. Artık desteklenmeyen temaları veya eklentileri kaldırın.
Güvenilmeyen siteler tarafından sunulan ücretsiz eklentiler veya temalar konusunda son derece dikkatli olun. Saldırganlar, ücretli eklentilerin veya temaların ücretsiz sürümlerine kötü amaçlı kod eklemek için yaygın olarak bu taktiği kullanır. Bir eklentiyi kaldırırken devre dışı bırakmak yerine tüm dosyalarını sunucunuzdan kaldırdığınızdan emin olun.
Sosyal mühendislik
Sosyal mühendislik, güvenlik önlemlerini atlatmak için insan doğasını kullanır. Bu saldırılar, kullanıcıları kandırarak şifre gibi gizli bilgilerini vermelerini sağlar. Sosyal mühendisliğin yaygın bir biçimi kimlik avıdır. Kimlik avı girişiminde saldırgan, gizli bilgileri istemek için meşru bir kuruluş gibi davranarak e-posta gönderir.
İstekte bulunan kişinin kimliğinden emin olmadığınız sürece hassas bilgileri (ör. şifreler, kredi kartı numaraları, bankacılık bilgileri veya doğum tarihiniz) asla paylaşmayın. Sitenizi birden fazla kişi yönetiyorsa sosyal mühendislik konusunda farkındalık oluşturmak için eğitim verin. Temel kimlik avı koruması ipuçları için Gmail Yardım Merkezi'ne bakın.
Güvenlik politikası delikleri
Sistem yöneticisiyseniz veya kendi sitenizi barındırıyorsanız kötü güvenlik politikaları, saldırganların sitenizi tehlikeye atmasına neden olabilir. Örnekler:
- Kullanıcıların zayıf şifreler oluşturmasına izin veriliyor.
- İhtiyacı olmayan kullanıcılara yönetim erişimi verme
- HTTPS'nin etkinleştirilmemesi ve kullanıcıların HTTP kullanarak oturum açmasına izin verilmesi.
- Dosyaların, tür kontrolü yapılmadan kimliği doğrulanmamış kullanıcılar tarafından yüklenmesine izin verilir.
Sitenizi korumak için bazı ipuçlarını aşağıda bulabilirsiniz:
- Gereksiz hizmetleri devre dışı bırakarak web sitenizi yüksek güvenlik denetimleriyle yapılandırın.
- Erişim denetimlerini ve kullanıcı ayrıcalıklarını test edin.
- Giriş sayfaları gibi hassas bilgileri işleyen sayfalar için şifreleme kullanın.
- Günlüklerinizi düzenli olarak kontrol ederek şüpheli etkinlik olup olmadığını inceleyin.
Veri sızıntıları
Veri sızıntıları, gizli veriler yüklendiğinde ve herkese açık olacak şekilde yanlış yapılandırıldığında meydana gelir. Örneğin, web uygulaması hata mesajları yapılandırma bilgilerinin sızmasına neden olabilir. Kötü niyetli kişiler, "dorking" olarak bilinen bir yöntem kullanarak bu verileri bulmak için arama motoru işlevlerinden yararlanabilir.
Periyodik kontroller yaparak ve gizli verileri kısıtlayarak sitenizin hassas bilgileri açığa çıkarmadığından emin olun. Sitenizde Google Arama'dan acilen kaldırılması gereken hassas bilgiler olduğunu fark ederseniz URL kaldırma aracını kullanın.
