Sitenizin güvenliğinin nasıl ihlal edildiğini anlamak, sitenizi saldırılara karşı korumanın önemli bir parçasıdır. Bu sayfada, sitenizin güvenliğinin ihlal edilmesine neden olabilecek bazı güvenlik açıkları ele alınmaktadır.
Aşağıdaki videoda farklı saldırı türleri ve bilgisayar korsanlarının sitenizin kontrolünü ele geçirme yöntemleri özetlenmektedir.
Güvenliği ihlal edilen şifreler
Saldırganlar doğru şifreyi bulana kadar farklı şifrelerin denendiği şifre tahmin teknikleri kullanabilirler. Şifre tahmin saldırıları, yaygın şifreleri denemek veya şifre bulunana kadar rastgele harf ve rakam kombinasyonlarını taramak gibi çeşitli yöntemler kullanılarak gerçekleştirilebilir. Bunu önlemek için tahmin edilmesi zor olan güçlü bir şifre oluşturun. Güçlü bir şifre oluşturmayla ilgili ipuçlarını Google'ın yardım merkezi makalesinde bulabilirsiniz.
İki önemli noktayı unutmamak gerekir. Öncelikle, aynı şifreyi farklı hizmetlerde kullanmamak önemlidir. Saldırganlar çalışan bir kullanıcı adı ve şifre kombinasyonunu belirledikten sonra, aynı kullanıcı adı ve şifre kombinasyonunu mümkün olduğunca çok sayıda hizmette kullanmaya çalışırlar. Bu nedenle, farklı hizmetlerde farklı şifreler kullanmak diğer hizmetlerdeki hesapların güvenliğinin ihlal edilmesini önleyebilir.
İkinci olarak, mümkünse Google 2 Adımlı Doğrulama gibi iki faktörlü kimlik doğrulama (2FA) kullanın. 2FA, genellikle bir kısa mesaj kodu veya dinamik olarak oluşturulmuş diğer PIN kodları aracılığıyla ikinci bir giriş kimlik bilgisi katmanına olanak tanır. Bu da saldırganın sadece çalınan bir şifreyle hesabınıza erişebilme becerisini azaltır. Bazı CMS sağlayıcıları 2FA yapılandırması için yardımcı olacak bilgiler sağlar: Joomla!, WordPress veya Drupal dokümanlarına bakın.
Kaçırılan güvenlik güncellemeleri
Yazılımların önceki sürümleri, saldırganların tüm sitenin güvenliğini ihlal etmesine imkan tanıyan yüksek riskli güvenlik açıklarından etkilenebilir. Saldırganlar, güvenlik açıkları olan eski yazılımları bulmaya çalışırlar. Sitenizdeki bir güvenlik açığını görmezden gelirseniz sitenin saldırıya uğrama olasılığı artar.
Güncel kalmasını isteyeceğiniz yazılımlar arasında şunlar yer alır:
- Web sunucusu yazılımı (kendi sunucularınızı çalıştırıyorsanız).
- İçerik Yönetim Sisteminiz (CMS). Örnek: Wordpress, Drupal ve Joomla! tarafından sağlanan güvenlik sürümleri.
- Sitenizde kullandığınız tüm eklentiler ve eklentiler.
Güvenli olmayan temalar ve eklentiler
CMS'deki eklentiler ve temalar değerli ve gelişmiş özellikler ekler. Bununla birlikte, eski veya yama uygulanmamış temalar ve eklentiler, web sitelerindeki güvenlik açıklarının başlıca kaynaklarından biridir. Sitenizde temalar veya eklentiler kullanıyorsanız, bunları güncel tuttuğunuzdan emin olun. Geliştiricileri tarafından artık desteklenmeyen temaları veya eklentileri kaldırın.
Güvenilmeyen siteler tarafından sunulan ücretsiz eklentiler veya temalar konusunda son derece dikkatli olun. Saldırganların, ücretli eklentilerin veya temaların ücretsiz sürümlerine kötü amaçlı kod eklemeleri sık başvurulan bir taktiktir. Bir eklentiyi kaldırırken yalnızca devre dışı bırakmak yerine tüm dosyalarını sunucunuzdan kaldırdığınızdan emin olun.
Sosyal mühendislik
Sosyal mühendislik, gelişmiş güvenlik altyapısını atlatmak için insanların zayıf noktalarını bulmaya çalışmakla ilgilidir. Bu tür saldırılar yetkili kullanıcıları, şifre gibi gizli bilgileri vermeleri için kandırır. Sosyal mühendisliğin yaygın bir biçimi kimlik avıdır. Saldırganlar kimlik avı girişimi sırasında meşru bir kuruluşun kimliğine bürünerek e-posta gönderir ve gizli bilgileri ister.
İstekte bulunan kişinin kimliğinden emin olmadığınız sürece hassas bilgileri (örneğin, şifreler, kredi kartı numaraları, banka bilgileri, hatta doğum tarihiniz) asla vermeyin. Siteniz birkaç kişi tarafından yönetiliyorsa, sosyal mühendislik saldırılarına karşı güvenlik farkındalığını artırmak için eğitim vermeyi düşünebilirsiniz. Kimlik avından korunmayla ilgili temel ipuçları için Gmail Yardım Merkezi'ne bakın.
Güvenlik politikası delikleri
Sistem yöneticisiyseniz veya kendi sitenizi çalıştırıyorsanız, zayıf güvenlik politikaları nedeniyle saldırganların sitenizin güvenliğini ihlal edebileceğini unutmayın. Buna örnek olarak aşağıdakiler verilebilir:
- Kullanıcıların zayıf şifreler oluşturmasına izin verme.
- İhtiyacı olmayan kullanıcılara yönetim erişimi verme.
- Sitenizde HTTPS'yi etkinleştirmeme ve kullanıcıların HTTP kullanarak oturum açmalarına izin verme.
- Kimliği doğrulanmamış kullanıcılardan gelen veya tür denetimi yapılmayan dosyaların yüklenmesine izin verme.
Sitenizi korumak birkaç temel ipucu:
- Gereksiz hizmetleri devre dışı bırakarak web sitenizin yüksek güvenlik kontrolleriyle yapılandırıldığından emin olun.
- Erişim denetimlerini ve kullanıcı ayrıcalıklarını test edin.
- Giriş sayfaları gibi hassas bilgileri işleyen sayfalarda şifreleme kullanın.
- Şüpheli etkinlikler olup olmadığını görmek için günlüklerinizi düzenli olarak kontrol edin.
Veri sızıntıları
Gizli veriler yüklendiğinde, yanlış yapılandırma nedeniyle bu gizli bilgilerin herkese açık hale getirilmesiyle veri sızıntısı meydana gelebilir. Örneğin, bir web uygulamasındaki hata işleme ve mesajlaşma, işlenmemiş bir hata mesajıyla birlikte yapılandırma bilgilerini sızdırabilir. Kötü amaçlı kişiler "dork yapma" olarak bilinen bir yöntemle, bu verileri bulmak için arama motoru işlevlerini kullanabilirler.
Sitenizin hassas bilgileri yetkisiz kullanıcılara vermediğinden emin olun. Bunun için düzenli kontroller gerçekleştirin ve güvenlik politikaları aracılığıyla gizli verileri güvenilir taraflarla kısıtlayın. Sitenizde Google Arama sonuçlarından acil olarak kaldırılması gereken hassas bilgiler olduğunu görürseniz, URL'leri tek tek Google Arama'dan kaldırmak için URL kaldırma aracını kullanabilirsiniz.