9 Yolu Kullanarak Web Sitenizi Hacklenmekten Nasıl Korursunuz?

Web sitesi korsanlığı, günümüzün internet çağında büyük bir endişe haline geliyor. Web sitesi korsanlarının veritabanlarına girmesini ve para için veri sızdırmasını içeren Siber Suçlar artıyor ve yerleşik firmaların çoğu bu acıyla karşı karşıya kaldı. Bu blogda, web sitenizi bilgisayar korsanlığından korumak için yapabileceğiniz birkaç şeyi tartışacağız.

Yazılımı Güncelle

Web sitenizi bilgisayar korsanlığından korumak için aklınızda bulundurmanız gereken ilk şey, yazılımlarınızı güncel tutmaktır. Sunucu işletim sisteminin ve CMS veya forum gibi web sitenizi çalıştırdığınız herhangi bir yazılımın yeterince güvenli olduğundan ve zamanında güncellendiğinden emin olun.

Yazılım yükseltme, yazılımdaki web sitesi güvenlik açıklarını ortadan kaldırır. Bu güvenlik açıkları, bilgisayar korsanlarının web sitesi güvenliğine girme ve web sitenize zarar verme fırsatıdır. Bu nedenle, barındırma şirketinin işletim sisteminize güvenlik güncellemeleri uygulamakla ilgileneceği yönetilen barındırma çözümünü kullanmanız her zaman tavsiye edilir.

Web sitenizi bilgisayar korsanlığından korumak için kullanılabilecek üçüncü taraf uygulamalar vardır, ancak bunları yüklerseniz, güvenlik düzeltme eklerini zamanında uyguladığınızdan emin olun. Web sitesi güvenliğini artırmak için yazılım bağımlılıklarınızı yönetmek için Composer, npm veya RubyGems gibi yazılımları da kullanabilirsiniz.

Sql Enjeksiyonuna Dikkat Edin

Bunu anlamak için önce SQL enjeksiyonunun ne olduğunu bilmemiz gerekiyor? SQL enjeksiyonu, bir saldırganın bir uygulamanın veritabanına yaptığı sorgulara müdahale etmesine olanak tanıyan bir web güvenlik açığıdır. Genellikle bir saldırganın normalde alamadıkları verileri görüntülemesine izin verir.

Bu, diğer kullanıcılara ait verileri veya uygulamanın kendisinin erişebildiği diğer verileri içerebilir. Çoğu durumda, bir saldırgan bu verileri değiştirebilir veya silebilir ve uygulamanın içeriğinde veya davranışında kalıcı değişikliklere neden olabilir.

SQL enjeksiyon saldırıları, bir saldırgan veritabanınıza erişmek veya veritabanınızı değiştirmek için bir web form alanı veya URL parametresi kullandığında gerçekleşir. Standart Transact SQL kullandığınızda, sorgunuza bilmeden, tabloları değiştirmek, bilgi almak ve verileri silmek için kullanılabilecek hileli kod eklemek kolaydır.

Bunun olmasını önlemek için her zaman parametreli sorgular kullanın, çoğu web dilinde bu özellik bulunur ve uygulanması kolaydır.

Kendinizi Xss Saldırılarından Koruyun

Web sitenizi bilgisayar korsanlığından korumanın başka bir yolu da Siteler arası komut dosyası çalıştırmadır (XSS). Siteler arası komut dosyası çalıştırma (XSS) saldırıları, sayfalarınıza kötü amaçlı JavaScript enjekte eder, böylece kullanıcılar web sitenize göz atarken verileri sızdırılır ve saldırgan tarafından alınır.

Bu bir örnekle açıklanabilir, bir sayfadaki yorumları doğrulama olmadan gösterirseniz, o zaman bir saldırgan komut dosyası etiketleri ve JavaScript içeren yorumlar gönderebilir, bu da diğer her kullanıcının tarayıcısında çalışabilir ve giriş çerezlerini çalarak saldırının kontrolü ele geçirmesine izin verebilir. Yorumu görüntüleyen her kullanıcının hesabının.

Bu durumu önlemek için, kullanıcıların sayfalarınıza aktif JavaScript içeriği ekleyemediğinden emin olmanız gerekir.
İçerik Güvenliği Politikası (CSP) gibi güçlü araçları kullanabilirsiniz. CSP, sunucunuzun döndürebileceği ve tarayıcıya sayfada JavaScript'in nasıl ve hangi JavaScript'in yürütüldüğünü sınırlamasını söyleyen bir başlıktır.

Bu, saldırganın komut dosyalarının sayfanıza girebilseler bile çalışmasına izin vermez.

Hata Mesajlarına Dikkat Edin

Bazen istemeden hata mesajlarınızda gerekenden daha fazla veri açığa çıkarırsınız ve ciddi hasarlara yol açabileceğinden bu konuda dikkatli olmanız gerekir. Bir hata varsa, onu ayrıntılı bir şekilde sunmanız veya tüm istisna ayrıntılarını sağlamanız gerekmez... çünkü bu, SQL enjeksiyonunu saldırganlar için daha kolay hale getirebilir.

Bu durumu önlemek için - kullanıcılarınıza yalnızca minimum düzeyde hata sağlayın, sunucu günlüklerinizde ayrıntılı hatalar tutun ve kullanıcılara yalnızca ihtiyaç duydukları bilgileri gösterin.
Bu, web sitenizi bilgisayar korsanlığından korumanın yollarından biridir.

Sunucuda ve Tarayıcıda Doğrula

• 

Web sitenizin sorunsuz ve güvenli çalışması için hem tarayıcıda hem de sunucuda geçerli olması gerekir. Bu, web sitenizi bilgisayar korsanlığından korumak için önemli bir ipucudur, çünkü tarayıcı boş olan zorunlu alanlar ve yalnızca bir sayı alanına metin girdiğinizde olduğu gibi basit hataları yakalayabilir.

Ancak bunlar atlanabilir ve bu doğrulamayı ve daha derin doğrulama sunucusu tarafını kontrol ettiğinizden emin olmalısınız. Bunu yapmazsanız, veritabanına kötü amaçlı kod veya komut dosyası kodu eklenmesine veya web sitenizde istenmeyen sonuçlara neden olabilir.

Şifrelerinizi Kontrol Edin

Her zaman güçlü karmaşık şifreler kullanmanız tavsiye edilir...Nedenini biliyor musunuz? Parola ne kadar karmaşıksa, hesabınız o kadar güvenlidir. İyi parola uygulaması, uzun vadede kullanıcı bilgilerinin korunmasına yardımcı olan, bir büyük harf ve sayı dahil olmak üzere en az yaklaşık sekiz karakter gibi parola gereksinimlerini zorunlu kılmaktır.

Web sitenizin hacklenmesini önlemek için, şifreleri şifrelenmiş değerlerde SHA gibi tek yönlü karma algoritması kullanarak saklamanız önerilir.

Dosya Yüklemelerinden Kaçının

Web sitesinin saldırıya uğramasını önlemek için başka bir önlem, kullanıcıların dosya yüklemesini kısıtlamaktır. Kullanıcıların web sitenize dosya yüklemesine izin verdiğinizde, web siteniz web sitesi güvenlik riskine karşı savunmasız hale gelir. Yüklenmekte olan dosya, sunucunuzda çalıştırıldığında web sitenizi tamamen açan bir komut dosyası içerebileceğinden, dosya yüklemeyle ilişkili bir dizi risk vardır.

Herhangi bir dosya yükleme formunuz varsa, tüm dosyalara büyük bir şüpheyle yaklaşmanız gerekir. Görüntüler kolayca taklit edilebilir ve kullanıcıların görüntü yüklemesine izin veriyorsanız, dosyanın bir görüntü olduğunu doğrulamak için yalnızca dosya uzantısına güvenemezsiniz.

Yapmanız gereken, yüklenen dosyalara doğrudan erişimi tamamen engellemektir. Bu çözümle, web sitenize yüklenen tüm dosyalar webroot'un dışındaki bir klasörde veya bir blob olarak veritabanında depolanır. Dosyalarınıza doğrudan erişilemiyorsa, dosyaları özel klasörden (veya .NET'te bir HTTP işleyicisinden) almak ve bunları tarayıcıya teslim etmek için bir komut dosyası oluşturmanız gerekir.

Bu, kötü amaçlı veya sahte dosyaların web sitenize yüklenmemesini sağlar.

HTTPS Güvenliğini Etkinleştir

Web sitenizi güvence altına almanın en önemli yöntemlerinden biri HTTPS'dir. HTTPS, internet üzerinden güvenlik sağlamak ve web sitenizi bilgisayar korsanlarından korumak için kullanılan bir protokoldür.

Basit bir ifadeyle HTTPS, iletişimin yalnızca sunucu ve web sitesini kullanan kullanıcı ile sınırlı olduğunu ve kullanıcının dahil olduğu içeriği veya etkinliği engelleyebilecek veya değiştirebilecek başka kimse olmadığını garanti eder.

Web sitenizin finansal işlemlerle ilgisi varsa, HTTPS zorunludur. Çünkü web sitenizde kredi kartı bilgileri ve giriş sayfaları gibi kullanıcılarınızın gizli tutmak isteyebileceği herhangi bir şey varsa, bu bilgileri güvende tutmak için web sitenizin HTTPS'nin etkin olması önemlidir.

Web Sitesi Güvenlik Araçlarını Kullanın

Web sitenizdeki tüm önerileri uyguladıktan sonra yapmanız gereken bir sonraki şey web sitenizin güvenliğini test etmektir.

Neyse ki, web sitenizi test etmek için birçok web sitesi güvenlik aracı var, ancak aşağıda belirtilen 4 tanesi endüstride ünlüdür.

1. Netsparker - SQL enjeksiyonunu ve XSS'yi test etmek için iyi
2. OpenVAS - En gelişmiş açık kaynaklı güvenlik tarayıcısı olduğunu iddia ediyor. Bilinen güvenlik açıklarını test etmek için iyi, şu anda 25.000'den fazla tarama yapıyor. Bunun kurulumu zor olsa da
3. SecurityHeaders.io - Bir etki alanının hangi güvenlik başlıklarını etkinleştirdiğini ve doğru şekilde yapılandırıldığını hızlı bir şekilde bildirmek için bir araç.
4. Xenotix XSS Exploit Framework - Çok sayıda XSS saldırı örneği içeren bir araç. Sitenizin girişlerinin Chrome, Firefox ve IE gibi tarayıcılarda savunmasız olup olmadığını öğrenmek için çalıştırmanız yeterlidir.