9 Yaygın Web Sitesi Güvenliği Tehdidi (Ve Bunlarla Nasıl Mücadele Edilir)
Yayınlanan: 2023-10-25Böldüğüm için üzgünüm ama web siteniz güvenli değil. Bunun nedeni mutlaka yaptığınız bir şey değil, yalnızca İnternet'teki hiçbir şeyin tamamen güvenli olmamasıdır. Her bir web sitesi, onları çökertebilecek, onlara zarar verebilecek veya daha kötüsüne neden olabilecek güvenlik tehditleriyle karşı karşıyadır.
Kötü haber bu. İşin güzel tarafı, bu tehditlerle mücadele etmek için yapabileceğiniz pek çok şey var ve ilk adım, bunların varlığının farkında olmaktır. Sonuçta kendinizi ancak risk oluşturabileceğini bildiğiniz bir şeyden koruyabilirsiniz.
Tam olarak bunu yapmanıza yardımcı olmak için bu makale, WordPress ve ötesi için yaygın web sitesi güvenlik tehditlerini ele alacaktır. Tehditlerin neler olduğu, nasıl çalıştıkları ve bunların olmasını önlemek için neler yapabileceğiniz hakkında konuşacağız. Okumayı bitirdiğinizde, WordPress web sitenizi güvende ve zarardan uzak tutabileceğinizi hissetmenizi istiyoruz, böylece gerçekten önemli olana odaklanabilirsiniz.
Web Sitesi Güvenliği Tehditlerini Neden Önemsemeliyiz?
Verebileceğiniz ilk tepki, bunun sizinle alakalı olup olmadığını kendinize sormak olacaktır. Elbette bu büyük veri ihlallerini ve saldırılarını sık sık duyuyorsunuz, ancak bu tür şeyler genellikle yalnızca büyük şirketlerin başına gelmez mi? Bilirsiniz, Facebook'larınız, Twitter'larınız, Equifax'larınız ve Yahoo'larınız, çalınmaya değer bilgilere sahip şirketler.
Balonunuzu patlattığım için üzgünüm, ancak milyon dolarlık bir şirket olmadığınız için hâlâ web sitenizi çökertmek veya ihlal etmekle ilgilenen birçok kişi var.
Küresel siber saldırılar yalnızca 2022'de %38 arttı ve 2019 Verizon raporuna göre, tüm veri ihlallerinin %43'ünü temsil eden küçük işletmeler bir numaralı hedef oldu. Bir siber saldırının kurbanı olduklarında bu işletmelere ortalama 25.000 dolara mal oluyor. Aslında FBI'a göre 2022'de yalnızca ABD'de siber suçlardan kaynaklanan zararlar 10,2 milyar doları buldu.
Ancak mesele yalnızca bir saldırıyla başa çıkmanın ve onu temizlemenin doğrudan maliyetleriyle ilgili değil. Ayrıca müşteri kaybı, kesinti, iş kesintileri, müşteriler arasındaki güven kaybı, arama motorları tarafından engellenme ve daha fazlasının bedelini de ödersiniz.
Yani küçük bir web sitesi olarak bile hedef olabilirsiniz. Bunun nedeni, çoğu saldırının, bir şey bulana kadar web'i güvenlik açıklarına karşı tarayan programlar tarafından otomatik olarak başlatılmasıdır. Yani onlara bir açık bırakırsanız birileri bundan yararlanmaya çalışacaktır.
Kendinizi nasıl koruyacağınızı bilmek ister misiniz? En yaygın güvenlik tehditlerinden bazılarını gözden geçirelim.
Web Sitesi Güvenliği Tehdidi #1: Kimlik Avı
Kaynak: Andrew Levine
Kimlik avı, bilgisayar korsanlarının sizi kötü amaçlı bir web sitesini ziyaret etmeye, tehlikeli bir bağlantıya tıklamaya, bozuk bir ek indirmeye veya web sitesi giriş bilgileriniz gibi hassas bilgileri vermeye çalışmasıdır. Bunların çoğu meşru kaynaklardan geliyormuş gibi görünen e-postalar şeklinde gerçekleşir ancak kimlik avı mesajlarını kısa mesaj, mesajlaşma uygulamaları veya sahte sosyal giriş sayfaları aracılığıyla da alabilirsiniz.
Kimlik Avının Potansiyel Tehlikeleri
Kimlik avı yoluyla oturum açma bilgilerinizi elde etmek, saldırganlara çok zaman kazandırır. Sitenize titizlikle tahmin etmeye ve kaba kuvvetle girmeye çalışmak yerine, kesinlikle işe yarayan kimlik bilgilerini kullanabilirler.
Bununla birlikte, özellikle de kimlik bilgileri yüksek kullanıcı ayrıcalıklarıyla birlikte geliyorsa, web sitenizde özgürce hüküm sürebilirler. Yeni kullanıcılar oluşturabilir, içerik ve bağlantılar ekleyebilir, dosyaları değiştirebilir, arka kapılar oluşturabilir ve hatta kod çalıştırabilirler. Ayrıca, sitenizde çevrimiçi bir mağazadaki müşteri verileri gibi hassas bilgileriniz varsa, bir bilgisayar korsanı da bunlara erişebilir.
Tabii ki, eğer bu gerçekleşirse ve kamuya açıklanırsa, bu itibarınıza gerçek bir darbe indirecektir. Ayrıca, faaliyet gösterdiğiniz gizlilik yasalarına bağlı olarak ek cezalar da söz konusu olabilir.
Nasıl başa çıkılır bununla
Kimlik avı saldırılarını önlemenin en iyi yolu onlara karşı farkındalık geliştirmektir. Sizden hassas bilgiler isteyen herhangi bir mesaj alırsanız, bu sizi hemen duraklatmalıdır. Hiçbir şeyi geri göndermeyin, herhangi bir bağlantıya tıklamayın veya ekleri indirip çalıştırmayın. En azından gönderenin e-posta adresinin yasal olup olmadığını kontrol edin. Ayrıca kendinizi kimlik avı taktikleri konusunda eğitin ve aynı şeyi şirketinizdeki diğer kişilerle de yapın.
Kaynak: Techopedia
Web Sitesi Güvenliği Tehdidi #2: (D)DoS Saldırıları
DoS, "hizmet reddi" anlamına gelir; bu, birisinin web sitenizi yasadışı trafikle doldurarak kapatmaya çalışması anlamına gelir. Amaç, sunucunuzu isteklerle boğmak, böylece sunucunuzun artık başa çıkamaması ve çalışmayı durdurmasıdır.
DoS saldırıları genellikle botnet'ler aracılığıyla gerçekleştirilir; bu, bir virüs veya truva atının sızdığı ve bilgisayar korsanlarının uzaktan komut verebileceği bilgisayarlara anlamına gelir. Bu durumda aynı zamanda “dağıtılmış hizmet reddi” veya DDoS'tan da bahsediyorsunuz.
Kaynak: Everaldo Coelho ve YellowIcon / LGPL
Bu tür saldırıların amacı bir işletmeye veya web sitesine zarar vermek veya onlara para karşılığında şantaj yapmaktır. Saldırganın söz konusu web sitesinin neyi temsil ettiğini kabul etmemesi veya bir işletmenin kamuoyuna yaptığı bir açıklama nedeniyle ideolojik nedenlerle de gerçekleştirilmektedir. Ancak diğer durumlarda DDoS saldırıları, bilgisayar korsanları sitenize girmeye çalışırken dikkatinizi dağıtmak için de kullanılabilir.
Sonuçlar Nelerdir?
DDoS saldırısının etkisi, söz konusu web sitesinin gerçek müşteriler ve ziyaretçiler için yanıt vermemesi ve erişilemez hale gelmesidir. Sunucunun, meşru ziyaretçiler için ziyaretleri düzgün bir şekilde işlemek ve yüklemeleri çok yavaş yapmak veya hiç yapmamak için yapması gereken çok şey var.
Elbette çoğu işletme için web sitesi ana varlıklarından biridir. Ulaşılamaz hale geldiğinde iş ve gelir kaybına neden olur. DDoS saldırıları itibarınıza da zarar verebilir çünkü bazı ziyaretçiler web sitenizin kalitesinin iyi olmadığını düşünecektir.
DDoS Saldırıları Nasıl Önlenir?
Bu tür web sitesi tehditlerine karşı koymanın en iyi yollarından biri, güvenlik duvarı veya web uygulaması güvenlik duvarı biçiminde başka bir güvenlik katmanı eklemektir. Bunlar, kötü amaçlı trafiği sitenize ulaşmadan önce filtrelemek için tasarlanmıştır. Bu sayede saldırı web sitenize bile ulaşmaz ve zarar veremez. Ayrıca, eğer DDoS saldırısı sadece bir izinsiz giriş için dikkat dağıtıcıysa, güvenlik duvarları da bunun için koruma sağlar. Buradaki iyi sağlayıcılar Sucuri ve Cloudflare'dir.
Kaynak: Cloudflare
Kendinizi bu web sitesi güvenlik tehdidinden korumak için bir başka iyi yatırım da içerik dağıtım ağı veya CDN'dir. Sitenizin kopyalarını farklı sunuculara yerleştirir, bu da sitenizin tamamen web'den çıkarılmasını zorlaştırır. Ayrıca saldırıyı ana sunucunuzdan uzak tutabilir. Birçok CDN, DDoS koruması içerir.
Web sitenizi WP Engine'de barındırıyorsanız Global Edge Security'yi kullanarak bu yöntemlerin her ikisinden de aynı anda yararlanabilirsiniz. Yönetilen bir web uygulaması güvenlik duvarı, gelişmiş DDoS koruması ve küresel bir CDN içeren kurumsal düzeyde bir performans ve güvenlik eklentisidir. Kısacası dış güvenlik tehditlerini uzak tutmak için ihtiyacınız olan her şey.
Üstelik oldukça kullanışlı. Siz sadece planınıza ekleyin, DNS kayıtlarınızı doğru sunucuya yönlendirin, gerisini sizin adınıza halledin. Basit. Son olarak, örneğin UptimeRobot ile çalışma süresi izlemeyi ayarlamak iyi bir fikirdir. Bu şekilde, sitenize artık ulaşılamadığında hızlı bir şekilde uyarı alırsınız ve hemen harekete geçebilirsiniz.
Web Sitesi Güvenliği Tehdidi #3: Kaba Kuvvet Saldırıları ve Kimlik Bilgisi Doldurma
Kaba kuvvet saldırıları, sitenizin bir bölümüne otomatik olarak saldırmaları açısından DDoS saldırılarına biraz benzer. Ancak trafiği engellemek yerine giriş sayfanızı hedef alırlar ve giriş bilgilerinizi tahmin ederek siteye erişim sağlamaya çalışırlar. Bu tür programlar içeri girene kadar saniyede birçok farklı ortak şifre ve kullanıcı adı kombinasyonunu dener.
Biraz daha karmaşık bir çeşit, kimlik bilgisi doldurma olarak adlandırılır. Burada saldırganlar, rastgele giriş bilgileri yerine, diğer veri ihlallerinden zaten bilinen e-posta/şifre kombinasyonlarını kullanıyor. Bu saldırılar, birçok kişinin oturum açma bilgilerini yeniden kullandığı gerçeğine dayanmaktadır.
Bir saldırgan oturum açma bilgilerinizi başarıyla tahmin ederse, sonuç "kimlik avı" bölümünde tartışılanla hemen hemen aynıdır.
Giriş Saldırılarını Caydırmak
Giriş sayfanızdaki saldırılara karşı kendinizi korumanın birkaç yolu vardır:
- Oturum açma denemelerini sınırlayın ve çok sık başarısız olan kullanıcıları kilitleyin; örneğin Yeniden Yüklenen Oturum Açma Denemelerini Sınırlandır yoluyla
- Kimlik bilgilerinizi tekrar kullanmayın, sahip olduğunuz her hesap için ayrı şifreler kullanın
- WordPress sitenizdeki kullanıcı sayısını sınırlayın ve onlara yalnızca işleri için ihtiyaç duydukları kadar özellik verin
- Örneğin Parola Politikası Yöneticisi aracılığıyla güçlü parolaları zorunlu kılın
- Daha da iyisi, çok faktörlü kimlik doğrulamayı kullanın
- Saldırganların WordPress kontrol panelinden dosyalarınızı değiştirememesi için temayı ve eklenti düzenleyiciyi kapatın
Web Sitesi Güvenliği Tehdidi #4: Siteler Arası Komut Dosyası Çalıştırma (XSS)
Siteler arası komut dosyası çalıştırmada, bir bilgisayar korsanı bir web sitesini kandırarak kurbanın tarayıcısına kötü amaçlı komut dosyaları göndermesini sağlar. Kaynak nedeniyle tarayıcı betiğe güvenir ve onu çalıştırır. Bu genellikle iletişim formu gibi giriş alanları aracılığıyla gerçekleşir. Ancak saldırı, güvenliği ihlal edilmiş bir web sitesinin veritabanından da gelebilir.
Olası sonuçlar
Başarılı olduğunda bir saldırgan, oturum açma verilerini çalmak, kötü amaçlı yazılım yüklemek, kullanıcıyı başka bir siteye yönlendirmek ve hatta görüntüledikleri sayfayı değiştirmek için siteler arası komut dosyası çalıştırmayı kullanabilir. Ayrıca söz konusu web sitesine başka bir kullanıcı olarak erişebilir ve verilerini okuyabilirler. Ayrıca kurbanın bilgisayarına yazılım da yükleyebilirler.
Kredi bilgileri: Michel Bakni
Genel olarak, siteler arası komut dosyası çalıştırma, ziyaretçileriniz için sitenin kendisinden daha fazla tehlike oluşturur. Ancak internetteki varlığınızdan kaynaklanıyorsa doğal olarak bu size pek iyi bir ışık tutmayacaktır. Bu nedenle sitenizi güvenli hale getirmeyi kendinize ve ziyaretçilerinize borçlusunuz.
XSS Saldırıları Nasıl Önlenir?
Teknik düzeyde, siteler arası komut dosyası çalıştırmayı önlemenin en önemli adımı veri girişlerinizi temizlemek ve doğrulamaktır. Bu, kod enjeksiyonunu önlemek için özel karakterlerin ve simgelerin reddedilmesi anlamına gelir; örneğin, girdinin komut dosyası, nesne veya bağlantı gibi şeyler içermediğinden emin olun. PHP ve JavaScript gibi programlama dilleri bunun için standart işlevler sunar ve WordPress'in de bu amaç için kendi işaretlemesi vardır.
Geliştirici değilseniz göreviniz sağduyulu davranarak bu kurallara uymayan kodları sitenizden uzak tutmaktır. Bu, saygın kaynaklardan temalar ve eklentiler almanız ve bunların iyi bir şekilde desteklendiğinden ve korunduğundan emin olmanız anlamına gelir. Ayrıca sitenize anlamadığınız kod parçacıkları yüklemeyin.
Web Sitesi Güvenliği Tehdidi #5: SQL Enjeksiyonları
SQL enjeksiyonları siteler arası komut dosyası çalıştırmaya benzer. Ayrıca web sitenizde kötü amaçlı SQL kodu çalıştırmak ve veritabanına erişim sağlamak için giriş alanlarını kullanarak da çalışırlar.
Web siteniz SQL enjeksiyonlarına karşı savunmasızsa, bir saldırgan bu tekniği kullanarak web sitenize çeşitli şekillerde zarar verebilir:
- Yönetici haklarına sahip yeni kimlikler oluşturun ve sitenize erişim sağlayın
- Sunucudaki tüm verilere doğrudan erişin
- Kullanılamaz hale getirmek için veritabanını yok edin/değiştirin
Elbette bunların hiçbiri iyi haber değil.
SQL Enjeksiyonlarını Engellemek
Bu web sitesi güvenlik tehdidi, siteler arası komut dosyası çalıştırmaya benzer bir dikkat gerektirir. Veri girişini temizleyin, filtreleyin, kaçış yapın ve doğrulayın ve gizli bilgileri şifrelediğinizden emin olun. Birçok web çerçevesi bunu otomatik olarak yapar.
Geliştirici olmayan biri olarak WordPress'i ve bileşenlerini güncel tutun ve bir WordPress güvenlik eklentisi kullanın. Birçoğu SQL enjeksiyonlarını önleyecek işlevlerle birlikte gelir. Bu konuyla ilgili daha ayrıntılı bilgiyi özel bir WP Engine makalesinde bulabilirsiniz.
Web Sitesi Güvenliği Tehdidi #6: Fidye Yazılımı/Tahribat
Fidye yazılımı, web sitenize veya diğer işletme varlıklarınıza erişimi engelleyen ve yalnızca saldırgana para ödemeniz durumunda kilidi tekrar açan, hatta bazen o zaman bile açmayan bir yazılım türüdür.
Tahrifat, web sitenizin tasarımını veya içeriğini bozması veya başarılı bir hackleme mesajı bırakması bakımından benzerdir.
Her durumda, birisi bir şekilde sitenize erişim sağlamıştır ve bu durum birçok olumsuz sonuca yol açabilir:
- Fidyenin maliyeti (eğer öderseniz, bu pahalı olabilir)
- Temizlik ücretleri
- Satış kaybı ve itibar kaybı
- Personelin işlerini yapamamasından kaynaklanan üretkenlik kayıpları
- Engellenenler listesine alınması nedeniyle azaltılmış arama motoru sıralamaları
Kendinizi Nasıl Korursunuz?
Fidye yazılımı ve tahrifat saldırılarını önlemenin yolu, web sitenize ve sunucunuza erişimi kilitlemek için bu kılavuzda bahsedilen diğer en iyi uygulamaları takip etmektir. Giriş bilgilerinizi güvende tutun, sitenizi güncel tutun ve sitenizin önceki bir sürümüne geri dönebilmeniz için bir yedekleme çözümü kullanın.
Web Sitesi Güvenliği Tehdidi #7: Kötü Amaçlı Yazılım ve Casus Yazılım
Bu, web sitelerinin kendileri için bir tehlike değil, sitenizin başına gelebilecek bir şeydir. Bir saldırgan buna eriştiğinde, ziyaretçilerinizin bilgisayarlarına bulaşan kötü amaçlı yazılım ve casus yazılımlar yükleyebilir. Güvenliği ihlal edilmiş web siteniz, bilgisayar korsanının gündemini ilerletmek için bir araç görevi görür.
Ne olabilir?
Kötü amaçlı yazılım itibarınız için büyük bir tehlikedir. Bir tarayıcı veya antivirüs programı bunu tespit ettiğinde ziyaretçilerin sitenize erişmesini engeller.
Üstelik arama motorları, kullanıcılarını kendilerine zarar veren web sitelerine göndermek istemedikleri için sizi engelleyebilir ve indekslerinden çıkarabilirler.
Elbette her ikisi de büyük trafik kaybına neden olabilir ve bazen sorunu çözmüş olsanız bile kendinizi engellenenler listesinden çıkarmak zordur. Trafik olmadan gelir olmaz, potansiyel müşteri olmaz, müşteri olmaz, iş olmaz.
Kötü Amaçlı Yazılım Bulaşmalarını Önleme
Diğer web sitesi güvenliği tehditlerini sitenizden uzak tutmak için yine bu kılavuzda belirtilen uygulamaları izleyin. Özellikle güçlü kimlik bilgileri ve çok faktörlü kimlik doğrulama kullanın, web sitesi bileşenlerini güncel tutun ve sitenize yüklediğiniz şeyler konusunda dikkatli olun.
Ayrıca, antivirüs yazılımı kullanarak kendi bilgisayarınızı temiz tutun ve örneğin Sucuri Sitecheck aracılığıyla web sitenizi Kötü Amaçlı Yazılımlara karşı düzenli olarak tarayın.
Web Sitesi Güvenliği Tehdidi #8: Ortadaki Adam Saldırısı
Bu tür saldırılar, trafiği için şifreleme kullanmayan web sitelerinde yaygındır. Burada saldırgan korumasız verileri ele geçirir ve böylece oturum açma, ödeme veya diğer hassas bilgilere erişim sağlayabilir. Ortadaki adam saldırıları güvenli olmayan Wi-Fi ağlarında da meydana gelir.
Kendinizi Nasıl Korursunuz?
Web sitelerinde bu tehdide karşı koymanın bir numaralı yöntemi şifreleme kullanmaktır. Sitenize bir TLS/SSL protokolü yükleyin ve onu HTTPS'ye geçirin. Bu, siteniz ile ziyaretçi tarayıcıları arasında gönderilen tüm bilgileri otomatik olarak şifreleyerek ortadaki adam saldırılarının başarılı olmasını engeller.
Ayrıca, güçlü bir şifreyle ve varsayılan kimlik bilgilerini değiştirerek iş ve ev Wi-Fi'nizi koruyun. Ayrıca, halka açık Wi-Fi kullanırken özellikle dikkatli olun. Trafiğinizi korumak için bir VPN kullanın ve sitenize yalnızca kesinlikle gerekli olduğunda halka açık kablosuz bağlantıdan giriş yapın.
Web Sitesi Güvenliği Tehdidi #9: Tedarik Zinciri Saldırıları
Tedarik zinciri saldırısı, bir saldırganın üçüncü taraf yazılım aracılığıyla bir web sitesine sızmasıdır. Örneğin, birisinin birçok web sitesiyle entegre olan bir SaaS ürününe sızması ve ardından bu süreçte bu sitelere erişim sağlaması.
Son yıllarda WordPress'te tedarik zinciri saldırıları gördük. Bir vakada, saldırganlar kasıtlı olarak eklentilere kötü amaçlı kod ekledi. Başka bir sefer, bir WordPress uzantısının aynısını yapması için dağıtım sunucusuna girdiler.
Çoğu durumda bu saldırılar hızla keşfedildi ve söz konusu eklentiler yasaklandı veya yamalar uygulandı. Ama yine de bilinmesi gereken bir şey.
Nasıl Önlenir?
Tedarik zinciri saldırılarını önlemenin en iyi tarifi, web sitenizde eklentilerin ve üçüncü taraf kodlarının kullanımına ilişkin en iyi uygulamaları takip etmektir:
- Eklentiler ve temalar gibi uzantılar için yalnızca saygın kaynakları kullanın
- Entegrasyonlarınızı minimumda tutun, yalnızca gerçekten ihtiyacınız olanı yükleyin
- Tüm üçüncü taraf bilgileri hâlâ alakalıysa sitenizi düzenli olarak denetleyin
- Sitenizde meydana gelen şüpheli davranışları tespit etmek için etkinlik günlüğü kullanın
Web Sitesi Tehditlerini Uzak Tutun
Güvenlik tehditleri her web sitesi sahibinin yüzleşmesi gereken bir şeydir. Bunlar internette çalışmanın talihsiz bir gerçeğidir. Neyse ki, bazı sağduyulu en iyi uygulamaların uygulanmasıyla bunların çoğu önlenebilir:
- Aldığınız mesajlar, tıkladığınız bağlantılar ve indirdiğiniz ekler konusunda dikkatli olun
- Güvenlik duvarına, CDN'ye ve çalışma süresi izlemeye yatırım yapın
- Güçlü parolalar kullanın, kullanıcı yeteneklerini ve oturum açma girişimlerini sınırlayın ve çok faktörlü kimlik doğrulamayı ayarlayın
- Sitenizdeki eklenti ve temaların miktarını en aza indirin ve bunları meşru kaynaklardan aldığınızdan emin olun.
- Bir geliştirici olarak verilerinizi temizleyin ve doğrulayın
- Web sitenizi ve ona ait her şeyi güncel tutun
- Web sitenizin trafiğini şifrelemek için HTTPS kullanın
- Bir şeylerin ters gitmesi durumunda bir yedekleme çözümünüz olsun
- Güvenli olmayan ağlara hassas bilgiler girmeyin
Bunları takip etmek, kendinizi yaygın web sitesi güvenliği tehditlerinin çoğundan korumak için yeterli olacaktır. Dikkatli olun!
Web sitenizi güvenlik tehditlerinden korumanın başka hangi yollarını önerirsiniz? Düşüncelerinizi aşağıdaki yorumlarda paylaşın!