Siber saldırılar ve siber guvenlik onlemleri her gecen gun onemini daha da artırmaktadır. IDC ’nin araştırma ve tahminlerine gore 2017 yılında bu alandaki harcamaların 2016 ’ya gore % 8.2 artış ile 81.7 milyar dolara ulaşması beklenirken, 2020 yılında bu harcamaların 105 milyar dolara ulaşması bekleniyor. Bir diğer acıdan bakıldığında ise siber saldırılar dunya ekonomisinde her yıl ortalama 3 trilyon dolar zarar meydana getiriyor.


Siber saldırı ve siber guvenlik kavramları onemini bu kadar artırırken, sizin de pek cok emek harcayarak sahip olduğunuz web sitenizin ve verilerinizin guvenliğini sağlamak icin almanız gereken bazı onlemler bulunuyor. Bu yazımızda siber guvenliğiniz icin dikkat etmeniz gereken bazı noktaları sizlerle paylaşacağız.

1.Karmaşık Şifreler​Web sitenizin guvenliğinin sağlamanın yollarından birisi şifre guvenliğinizi sağlamanızdır. Sistemlerinize ulaşmak icin tanımladığınız şifrelerinizde mumkun olduğunca karmaşık kombinasyonlara sahip şifreleri tercih edin. Buyuk harf, kucuk harf, rakam ve ozel karakter kullanacağınız ve minimum 10 karakterden oluşan şifreler ile calışmanız guvenliğinizi artıracak adımlardan birisidir.

Gunumuzde 7/24 ip adresleri uzerinden basit şifre kombinasyonları ile uzak masaustu ve SSH erişimi denemesi yapan botların varlıkları sayesinde 123456 gibi şifreli sistemler dakikalar icerisinde kırılarak usitimale uğramaktadır.

Karmaşık bir şifre oluşturmanın yanı sıra, oluşturduğunuz şifrenizi farklı hesaplar icin kullanmamanız ve her bir erişiminiz icin ayrı şifre tanımlamanız da aynı şekilde onemli noktalardan birisidir.

Bu aşamada her bir şifreyi nasıl aklınızda tutacağınızı duşunuyorsanız, bu konuda şifre yonetimi yazılımlarından yardım alabilirsiniz. Bu yazılımlar aracılığıyla şifrelerinizin yonetimini kolaylıkla yapabilir ve dilerseniz yuksek standartta şifreler uretebilirsiniz. Keepass bu tur programlar icin iyi bir ornektir.

2.Yazılım Guncelliği​Guncel olmayan işletim sistemleri ve kullandığınız diğer yazılımlarınız siber guvenliğiniz acısından onemli acıklar oluşturmaktadır. Bu sebeple işletim sisteminizin ve web sitenizde kullandığınız WordPress, Joomla gibi icerik yonetim sistemlerinin, Cpanel, Plesk, Maestropanel gibi kontrol panellerinin her daim guncel olduğundan emin olunuz.

Benzer şekilde ozellikle icerik yonetim sistemlerine yuklediğiniz tema ve eklentilere de cok dikkat edin. Genellikle ucretsiz olarak sunulan bu eklentiler web sitelerinizin birer zombie ’ye donuşmesine ve DDoS saldırılarda kullanılmasına neden olabilir. Guvenilirliğine inandığınız tema ve eklentilerinizin ise guncellemelerini surekli takip ederek, en guncel surumun yuklu olduğundan mutlaka emin olun.

Eğer bulut (cloud) sunucu altyapısı uzerinde calışıyorsanız guncelleme işlemleriniz oncesi tum sunucunuzun snapshot ’ını almanız faydalı olacaktır.

3.SQL Injection​Web sitelerinizde kullandığınız formlar uzerinden GET ve POST ile sunucunuza gelen değişkenlere dikkat etmeniz de guvenliğiniz acısından oldukca onemlidir.
Bu aşamada Captcha turu kontroller ile formlarınız uzerinde guvenlik almanız hem cok kolay, hem de koruyucu bir cozum olacaktır.

4.Port Yonetimi ve Firewall​Eğer paylaşımlı hosting dışında cloud veya dedicated sunucu yonetiyorsanız tum portlarınızın acık durumda olduğunu bilmeli ve bu konuda onlemler almalısınız. Bu surecte bir firewall ile kullanılmayan tum portların ve protokollerin (UDP gibi) kapatılması oldukca faydalı bir cozum olacaktır. Eğer sunucunuzu web sitelerinin barındırılması icin kullanıyorsanız, HTTP 80 ve varsa SSL 443 portu dışında tum portları kapatabilirsiniz. (Lutfen eposta ve DNS servislerinizin durumunu gozden geciriniz.)

Sunucunuzun uzak masaustu veya SSH erişimini ise ofis sabit IP ’nizle ya da VPN uzerinden olacak şekilde planlamak gayet makul bir cozum olacaktır. Bu şekilde sunucunuz uzerinde sadece sizin izin verdiğiniz servisler dunyaya acık şekilde calışacaktır.

5.Kullanmadığınız Site ve Veri Tabanları​Uzun suredir kullanımda olmayan, guncelliğini yitirmiş web sitelerinizi, veri tabanlarınızı ve uygulamalarınız da sizin icin guvenlik zafiyeti yaratacaktır. Bu sebeple kullanmadığınız bu yazılımları silmeniz guvenliğiniz acısından faydalı olacaktır.

6.Kullanıcı Erişimi​Kullanıcı erişim izinlerinizi mutlaka duzenleyin ve her bir hesap icin gercekleştirilecek işin niteliğine uygun olacak şekilde farklı izinler tanımlayın. Aynı şekilde her bir erişim icin ayrı kullanıcı adı ve şifre ile girişlerinizi farklılaştırın.

7.Dosya ve Klasor İzinleri​Hosting ya da sunucu hesabınızda barındırılan dosya ve klasorleriniz uzerindeki izinler de guvenlik acıklarına neden olan etkenlerden bir başkasıdır. Bu izinler ile dosya ve klasorlerin her birinde, kullanıcıların ait olduğu gruba gore okuma, yazma ve calıştırma haklarını denetleyen izinler grubu atanır. Bu sebeple dosya ve klasorlerinizdeki izinleri mutlaka kontrol etmeli ve gerekli duzenlemeleri gercekleştirmelisiniz.

Linux işletim sisteminde izinler, her basamağın 0-7 arasında bir tamsayı olduğu uc basamaklı bir kod olarak goruntulenir. İlk rakam dosya sahibinin izinlerini, ikinci rakam dosya sahibi olan gruba atanmış kullanıcılarını izinlerini, ucuncu rakam ise diğer herkes icin olan izinleri temsil eder. Bu kodlamaya mantıksal acıdan baktığımızda rakamlar aşağıdaki izinleri ifade etmektedir;

4: Okuma 2: Yazma 1: Calıştırma 0: Butun izinler kapalı Ornek olarak, “644” izin kodunda, ilk hanede bulunan “6” rakamı “4 + 2” şeklinde iki iznin toplamını ve mantıksal olarak da dosyanın sahibine dosyayı okuma ve yazma hakkı verildiğini ifade eder. İkinci ve ucuncu hanedeki “4” rakamı ise hem grup kullanıcılarının, hem de genel olarak İnternet kullanıcılarının dosyayı yalnızca dosyayı okuyabileceğini ifade eder.

Bu durumda, “777” izin kodu (4 + 2 + 1/4 + 2 + 1/4 + 2 + 1) dosya sahibi, kullanıcı grubu ve diğer butun internet kullanıcılarına okuma, yazma ve calıştırma izinlerinin tamamını sağlayacağından onemli guvenlik acıklarına sebep olacaktır.

Bu nedenle, izinler icin tavsiye edebileceğimiz en iyi kural:

Klasorler ve dizinler icin; 755 Bireysel Dosyalar icin; 644 İzin kodlarının kullanılmasıdır.

8.Guvenli Servis Sağlayıcı​Web sitenizi barındıracağınız hosting ya da sunucu hizmetini guvenilir bir servis sağlayıcıdan almanız da web sitenizin guvenliğini acısından onemli noktalardan birisidir. Doğru planlamalar ile yapılandırılmış, uzman bir teknik ekip tarafından 7/24 takip edilen, yedekli bir altyapı uzerinden servis almanız durumunda barındırma hizmetinizden kaynaklı guvenlik acıklarını ortadan kaldırmış olursunuz.
Guvenli servis sağlayıcılarının ortak noktası muteber kurulumlardan alınmış sertifikalar kadar kuruluş yılları bir kac seneden cok daha fazla olan tecrubeli şirketler olmasıdır.

Bonus Bilgi: Yedekleme​Siber saldırılara karşı onlem alın ya da almayın, kullanıcı hatalarından kaynaklı sorunlar icin dahil yedekleme işlemi gercekleştirmeniz oldukca onemlidir. Duzenli yedekler almanız ve aldığınız yedeklerinizin doğru alındığını periyodik olarak, geri donuş(restore) ederek kontrol etmeniz faydalı olacaktır.

Aldığınız yedekler konusunda bir diğer onemli nokta ise yedeklerinizin sistemleriniz ile aynı ortamda bulunmamasıdır.