Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Spam yapanların web sitelerine saldırmak için en çok kullandığı yöntemler

Sitenizin güvenliğinin nasıl ihlal edildiğini anlamak, sitenizi saldırılara karşı korumak için önemlidir. Bu makalede, sitenizin güvenliğinin ihlal edilmesine neden olabilecek bazı güvenlik açıklarını ele alacağız.

Güvenliği ihlal edilen şifreler

Saldırganlar, doğru şifreyi bulana kadar farklı şifrelerin denendiği şifre tahmin teknikleri kullanabilirler. Şifre tahmin saldırılarında çeşitli yöntemler kullanılabilir. Örneğin şifre bulunana kadar sık kullanılan şifreler denenebilir veya harf ve rakamların rastgele kombinasyonları taranabilir. Bunu önlemek için tahmin edilmesi zor olan güçlü bir şifre oluşturun. Güçlü bir şifre oluşturmak için gerekli ipuçlarını Google'ın yardım merkezi makalesinde bulabilirsiniz.

İki önemli noktayı unutmamak gerekir. Öncelikle, aynı şifreyi farklı hizmetlerde kullanmamak önemlidir. Saldırganlar, işe yarayan bir kullanıcı adı ve şifre kombinasyonunu belirledikten sonra, aynı bilgileri mümkün olduğunca çok sayıda hizmette kullanmaya çalışacaklardır. Bu nedenle, farklı hizmetlerde farklı şifreler kullanmak, diğer hizmetlerdeki hesapların güvenliğinin ihlal edilmesini önleyebilir.

İkinci olarak, mümkünse Google 2 Adımlı Doğrulama gibi iki faktörlü kimlik doğrulama (2FA) kullanın. 2FA, genellikle kısa mesaj kodu ya da diğer dinamik oluşturulmuş pin ile giriş kimlik bilgilerinin iki katmanlı olarak kullanılmasına olanak sağlar. Bu da saldırganın sadece çalınan bir şifre ile hesabınıza erişebilme becerisini azaltır. Bazı CMS sağlayıcıları 2FA yapılandırması için yardımcı olacak bilgiler sağlar: Joomla! , WordPress veya Drupal dokümanlarına bakın.

Eksik güvenlik güncellemeleri

Eski yazılım sürümleri saldırganların tüm sitenin güvenliğini ihlal etmesine izin veren yüksek riskli güvenlik açıklarından etkilenebilir. Saldırganlar, güvenlik açıkları olan eski yazılımları bulmaya çalışırlar. Sitenizdeki bir güvenlik açığını görmezden gelirseniz sitenin saldırıya uğrama olasılığı artar.

Not: Güvenlik açıklarını düzeltmek için sitenizin yazılım güncellemelerini düzenli olarak kontrol etmeniz çok önemlidir. Daha da iyisi, mümkünse yazılımların otomatik olarak güncellenmesini sağlayın ve etkin bir şekilde çalışan tüm yazılımlarınız için güvenlik duyurularına kaydolun.

Güncel kalmasını isteyeceğiniz yazılımlar arasında şunlar bulunur:

  • Web sunucusu yazılımı (kendi sunucularınızı çalıştırıyorsanız)
  • İçerik Yönetim Sistemi. Örnek: Wordpress, Drupal ve Joomla! tarafından sağlanan güvenlik yazılımları.
  • Sitenizde kullandığınız tüm eklentiler ve ek yazılımlar

Güvenli Olmayan Temalar ve Eklentiler

CMS'deki eklentiler ve temalar değerlidir ve gelişmiş işlevsellik sağlar. Bununla birlikte, güncellenmemiş veya yama uygulanmamış temalar ve eklentiler, web sitelerindeki güvenlik açıklarının en önemli nedenlerindendir. Sitenizde tema veya eklentiler kullanıyorsanız, bunları güncel tutmaya dikkat edin. Geliştiricileri tarafından artık desteklenmeyen temaları veya eklentileri kaldırın.

Güvenilmeyen siteler tarafından sunulan ücretsiz eklentiler veya temalar konusunda son derece dikkatli olun. Saldırganların, ücretli eklenti veya temaların ücretsiz sürümlerine zararlı kod eklemeleri sık başvurulan bir yöntemdir. Bir eklentiyi kaldırırken, yalnızca devre dışı bırakmak yerine tüm dosyalarını sunucunuzdan silmeyi unutmayın.

Sosyal mühendislik

Sosyal mühendislik, gelişmiş güvenlik altyapısını atlatmak için insanların zayıf noktalarını bulmaya çalışmakla ilgilidir. Bu tür saldırılar yetkili kullanıcıları, şifre gibi gizli bilgileri vermeye yönlendirir. Örneğin, sosyal mühendisliğin sık kullandığı bir yöntem kimlik avıdır. Saldırganlar kimlik avını denerken meşru bir kuruluşu taklit ederek e-posta gönderir ve gizli bilgileri vermenizi isterler.

Not: Google'ın sosyal mühendislikle ilgili bir araştırmasına göre, bazı en etkili kimlik avı kampanyaları %45 başarılı olmuştur!

İsteği gönderenin kimliğinden emin olmadığınız sürece hassas bilgileri (ör. şifreler, kredi kartı numaraları, bankacılık bilgileri veya doğum tarihinizi) asla vermeyin. Siteniz birden fazla kişi tarafından yönetiliyorsa, sosyal mühendislik saldırılarına karşı güvenlikle ilgili farkındalığı artırmak için eğitim vermeyi düşünebilirsiniz. Gmail Yardım Merkezi'ndeki kimlik avına karşı korunmayla ilgili temel ipuçlarına bakabilirsiniz.

Güvenlik politikası delikleri

Sistem yöneticiyseniz veya kendi sitenizi çalıştırıyorsanız, zayıf güvenlik politikaları nedeniyle saldırganların sitenizin güvenliğini ihlal edebileceğini unutmayın. Bazı örnekler aşağıda verilmiştir:

  • Kullanıcıların zayıf şifreler oluşturmalarına izin verme
  • İhtiyacı olmayan kullanıcılara yönetim erişimi verme
  • Sitenizde HTTPS'yi etkinleştirmeyip kullanıcıların HTTP üzerinden oturum açmalarına izin verme
  • Kimliği doğrulanmamış kullanıcılardan gelen veya tür denetimi yapılmayan dosyaların yüklenmesine izin verme

Sitenizi korumak birkaç temel ipucu:

  • Gereksiz hizmetleri devre dışı bırakarak web sitenizin yüksek güvenlik kontrolleriyle yapılandırıldığından emin olun
  • Erişim denetimlerini ve kullanıcı ayrıcalıklarını test edin
  • Giriş sayfaları gibi hassas bilgileri işleyen sayfalarda şifreleme kullanın
  • Şüpheli etkinlikler olup olmadığını görmek günlüklerinizi düzenli olarak kontrol edin.

Veri sızıntıları

Gizli veriler yüklendiğinde, yanlış yapılandırma nedeniyle bu gizli bilgilerin herkese açık hale gelmesi durumunda veri sızıntısı olabilir. Örneğin, bir web uygulamasındaki hata işleme ve mesajlaşma işlevleri, işlenmeyen bir hata mesajıyla birlikte yapılandırma bilgilerini sızdırabilir. Kötü amaçlı kişiler "dork yapma" olarak bilinen bir yöntemle, bu tür verileri bulmak için arama motoru işlevlerini kullanabilirler.

Sitenizin hassas bilgileri yetkisiz kullanıcılara vermediğinden emin olun. Bunun için düzenli kontroller gerçekleştirin ve güvenlik politikaları aracılığıyla gizli bilgilere yalnızca güvenilen tarafların erişmesine izin verin. Sitenizde Google Arama sonuçlarından acil olarak kaldırılması gereken hassas bilgiler olduğunu görürseniz, URL'leri bağımsız olarak Google Arama'dan kaldırmak için URL kaldırma aracı'nı kullanabilirsiniz.