WordPress ve diğer altyapılardan örnekler vererek, web site güvenliğini sağlamanın yollarına yüzeysel olarak değindim. Sizden de ricam, konuma "yapıcı eleştiriler" yapmanızdır. Ayrıca bir düşünceniz veya anlamadığınız yer olursa konu altından belirtin lütfen. Alan adı ve hosting güvenliğine dikkat çekmek istememin sebebi bir web sitesini oluşturmak için ilk gerekli olan şeyler olmalarıdır.
Domain (Alan adı) Güvenliği
Alan adı güvenliğini sağlamanın ilk basamağı hesap güvenliği olmalıdır. Bir bilgisayar korsanı mail adresinizi çaldığı zaman her türlü bilgiye erişebilir. Alan adınız bu mail adresine bağlı olursa, doğal olarak alan adınızda tehlikeye girer. Bu sebeplerden dolayı önceliğiniz mail ayarlarınızdan iki adımlı doğrulamayı etkinleştirmek ve şifrenizi güçlü seçmek olsun. Daha sonra domain alacağınız firmada hesap oluştururken kendi bilgilerinizi kullanmak olsun. Kendi mail adresinizi, adınızı, soyadınızı ve diğer bilgilerinizi kullanın. Bu bilgiler, birçok firmada sonradan değiştirilmemektedir. Değiştirilmediği için hesabınız çalınsa bile geri alma aşamasında büyük yardımcısı olacaktır. Ayrıca firmada açtığınız hesabınızda da "iki faktörlü doğrulama" ayarını açmayı ihmal etmeyiniz. Bunları yaptıktan sonra yapacağımız şey, whois ve mail gizliliği. İlk olarak whois gizliliğinden başlayalım. Neden böyle bir gizliliğe ihtiyaç duyuyoruz? Hesap oluştururken ve domain alırken verdiğimiz bilgiler alan adı satın alımında kaydedilir. Whois gizliliği açık olmazsa, kötü niyetli bir kişi whois sorguladığı zaman direkt olarak bilgilerimiz ile karşılaşır. Örneğin aşağıdaki görselde turkhackteam.org'un bilgileri yer alıyor. Whois gizliliğini kullandığı için bilgiler gözükmüyor.
Whois bilgisinin gizlenmesinin neden önemli olduğunu anladık. Şimdi gelelim e-posta gizliliğine. Mail gizliliğini ilk olarak whois hizmetiyle sağladık ama burada dikkat etmemiz gereken bir nokta var. Bazı insanlar, normal bir blog kurduğu zaman iletişim sayfası mutlaka oluşturur. Aslında forum kuranlarda, en aşağıda bir yerde buradan ulaşabilirsiniz gibi bir sayfa oluşturur. Bloglar da normal bir iletişim formu hazırlandığı zaman farklı bir e-posta kullanılması gerekir. Çünkü burada ayarladığımız e-posta, web sitemizde bulunan admin hesabımız için ayarladığımız e-posta olursa ve bunu kötü niyetli kişi çalarsa, olacakları biliyorsunuz. Siteye erişir ve index atar. Bu erişme olayında e-postamıza brute force atakları veya oltalama saldırıları gerçekleştirebilir. Her ne kadar ben kanmam vs. Deseniz bile dalgın ve meşgul olduğunuz vakit maili kontrol edebilirsiniz. Bu sebepten dolayı e-postamızı açık bir şekilde web sitemizin herhangi bir yerine koymamalıyız.
Hosting Güvenliği
Hosting hizmetimizde web sitemizin bütün dosyaları barınır ve web sitemize gelen ziyaretçiler direkt olarak burada bulunan dosyaları görürler. Dolayısıyla hosting hizmetinin güvenliği bizim için çok önemlidir. Domain güvenliğinde olduğu gibi ilk dikkat etmemiz şey hesabımızdır. Ayrıca güvenlik konusundan bahsederken değineyim; Bilgisayarımıza veya telefonumuza indirdiğimiz dosyalarda dikkatli olmalıyız. Çünkü istediğiniz kadar full + full güvenlik önlemi alın, o indirdiğiniz dosyada trojan veya Keylogger olduğu zaman bitmişsiniz demektir. Bu güvenlik önlemlerini gözden geçirdikten sonra hizmet alacağınız firmayı seçmeye gelelim. Bazen saçma sapan yeni yerlere denk geliyorum ve bunların birçoğu 18 yaşından küçüklerin "bayi hosting" alarak oluşturduğu siteler oluyor. Gidiyorlar ve bir adet bayi hosting hizmetini satın alıyorlar. Daha sonra tüm güvenlik önlemlerinden mahrum olarak web site barındırıyorlar. Alacağınız firmayı seçerken bilinmedik firmalardan uzak durunuz. Çünkü bu şekilde hizmet sağlayan kişilerin ne yapıp yapmayacağı belirsizdir. Siteniz aniden kapanabilir, projeniz yarım kalabilir veya bir sabah uyandığınızda sitenizde "hacked!!" yazısını görebilirsiniz.
Genel olarak hosting güvenliğine değindim. Şimdi gelelim içerisine. Bu aşamada kullandığımız altyapıların büyük bir önemi var çünkü hosting hizmetimize yüklediğimiz her bir dosya o sunucu içerisinde bulunur. Kötü niyetli bir kişi tarama yaparak açıklı dosyaya ulaşabilir ve sitemizi hackleyebilir. Mesela geçtiğimiz zamanda WordPress'de bulunan bir "file upload" eklentisinde açık bulunmuştu. Buna uygun bir exploit geliştiren kişi admin paneline giriş yapmadan web sitenin barındığı sunucuya istediği dosyayı upload edebiliyordu. Uzun lafın kısası, mümkün olduğunca az eklenti kullanın, bir altyapıyı tercih etmeden 2 kere düşünün, tema seçmeden güvenlik önlemlerine göz atın ve SEO uyumlu tema seçin. Güvenlik konusunda SEO'ya geldik ama ne yapayım, elimde değil. SEO bizim için olmazsa olmazımız. Arama sonuçlarında üst sıralarda çıkmamızı sağlar. Ayrıca bazı temaların ve scriptlerin içerisinde base64 ile şifrelenmiş shell'ler yer alıyor veye SEO amacıyla içerisine site adresleri, kelimeler yerleştiriliyor. Bu da güvenlik açıklarına yol açabiliyor. Yani bir temayı yüklemeden önce kodlarını araştırınız.
Diğer yapmanız veya yapmamanız gerekenler:
>> Chmod izinleri
Normal bir dosyanın Chmod değerinin "644" olması gereklidir. Bazı altyapı kurulumlarında bu değer kurulum işlemi nedeniyle yükseltidir. Mesela vBulletin kurulumda kurulum yapan "/install/" klasörünün değerini 777 yapmaız gerekir. Chmod 777 demek, bu dosya üzerinden tüm diğer dosyalara erişimin sağlanması demektir. Bu sebepten dolayı kurulumdan sonra bu dosyanın değerini düşürmek gerekir. Çünkü kötü niyetli kişiye yani bilgisayar korsanına, bir nevi bu dosya üzerinden diğer dosyalara müdahale etme imkanı sağlamış oluruz.
Yukarıdaki görselde WordPress klasörlerinden olan wp-content'in dosya izinlerini değiştirmeyi görmekteyiz. Bu işlem Filezilla programı üzerinden yapılmaktadır ama siz C-panel veya Directadmin'den de yapabilirsiniz tabii ki.
>> Profesyonel Destek Almak
Çoğu kişi bu aşamada profesyonel bir destek almak istemez. Çünkü çoğu şeyi bildiğini umar ve o şekilde devam eder ama profesyonel bir kişiden destek almak sizin görmediğiniz şeyleri görmede yardımcı olacaktır.
>> Altyapı, tema ve eklenti
Bilindik altyapıları, temaları ve eklentileri kullanın. Mesela blog kullanacaksanız Wordpress. Forum kuracaksanız size tavsiyem XenForo. Tabii ki bu altyapılarda da açıklar bulunabilir veya oluşabilir. Bu açık oluşma durumu birazda size bağlı diyebiliriz. Konu içerisinde bahsettiğim gibi yüklenilen temalar ve eklentiler web site şablonlarda vs. Değişiklik yaptığından bir açık oluşturabiliyor. File upload eklentisinin admin panele giriş yapmadan dosya yükleme zaafiyetini ortaya çıkardığı gibi.
Bu konuyla yüzeysel olarak, detaylara girmeden domain ve hosting güvenliğine dikkat çekmek istedim. Konunun başında söylediğim gibi herhangi bir sorunuz veya eleştiriniz olursa konu altından yazabilirsiniz.
İyi forumlar dilerim.