Anasayfa
Simdi sizlere Binbir ugRasla yAptiginIz web siteNizi korumak için bir kaç yoldan bahsedecegim. Hiç birimiz onca emekle yaptigimiz sitenin daha sonra lamerler tarafindan hacklenmesini(!) istemeyiz. Peki nelere dikkat etmeyiz, bildigim kadariyla anlatmaya çalisacagim.
1)Mail Güvenligi
Her seyden önce mail adreslerinizin günvenligini saglamalisiniz. Çünkü Hostunuz, domaininizi aldiginiz yer bilgilerinizi önce mail adresine yollarlar.
Mail sifreniz mutlaka harf ve rakam kombinasyonlarindan olussun. gibi. Asla kisisel bilgilerinizden herhangi birini sifreniz olarak kullanmayiniz. Gizli sorunuz ve cevabiniz sadece sizin bileceginiz bir sey olsun. Burayada özel bilgileriniz girmeyiniz. Ayrica mailinize gelen bazi mailler fake mail olabilir. Eger mailinize gelen yada baska bir yerden indirdiginiz bir dosya size islem yapabilmek için mail adresinizin kullanici adi ve sifresini girmesini isterse o sayfalara k.a. ve sifrenizi girmeyin. O sayfayi direk kapatip mailinizi tekrar açarak login olabilirsiniz. Adres çubugunda yazan isimlere dikkat edin. Eger mailinizi aldiginiz yerle bir alakasi yoksa bu bir fake maildir.
2)Hosting Güvenliginiz
Hostinginizi aldiginiz yerdede aynen mailiniz gibi sifrenin karisik olsun ve mailinizle ayni sifreyi kullanmayin. Sadece güvenilir kuruluslardan ve isine özen gösteren yerlerden hosting almaya çalisin. Çünkü bazi serverlarda hala bir çok açik bulunmakta. Bunun sebebi ise kullandiklari yazilimlarda güncelleme yapmamalari. Sitenizi ele geçirmek isteyen kisiler bu açiklari kullanarak hostinginizi elegeçirebilirler.
3)Domain Güvenliginiz
Domain adinizi aldiginiz yerdede sifreniz farkli ve karisik olsun. (Her seyin basi sifre). Domain whois bilgilerinde domaini aldiginiz yere verdiginiz mail adresinizi kullanmayin. Çünkü domaininizi ele geçirmek isteyen saldirgan öncelikle sitenize whois çekip mailinizi ve hostinginizi ögrenmek ister. Daha sonra önce mailinizi ele geçirmeye çalisir.
4)Web Programlamasinda Güvenlik
Ilk üç adimi uygulamaniza ragmen hala sisteminizde programlamadan kaynaklanan açiklar olabilir. Bunlarida bir kaç baslik altinda toplayalim.
a)Hazir portal ve forumlarda güvenlik
Web sitenizde hazir portal veya forum kullaniyorsaniz sürekli olarak kullandiginiz portalin/forumun sitesini ziyaret edin ve güncellemeleri elinizden geldigince yapmaya çalisin. Çünkü genelde bir çok versiyonda sitenizin ele geçirilmesini saglayacak açiklar mevcuttur. Bunlarin yamalarini ve açiklari yazilimin kendi sitesinden ögrenebilirsiniz. Ayrica b-2 deki database güvenliginede bakiniz.
b)Kendi Yazdiginiz Sistemlerde Güvenlik
b-1) Kodlama Hatalari
Sisteminizi yazdiniz ve sorunsuz çalisiyor. Hersey yolunda ama yaptiginiz veya eklemeyi unuttugunuz bir kaç kod yüzünden sitenizde bazi açiklar mevcuttur. Ve malesef saldirganlar bu açiklari kullanarak sisteminize girebilirler ve zarar verebilirler. Peki bunlar nelerdir?
b-1-1) Login Panelleri
Saldirgan öncelikle login panellerinde bir kaç kod deneyerek database’inizin yonu bulabilir ve sizintilarla datebase’den sizin veya üyelerinizin bilgilerini ele geçirebilir. Genelde ‘or 1=1 tarzinda kodlamalari bu panellerde deneyerek SQL injection yapmaya çalisirlar. O yüzden bu tür kodlari kabul etmeyen ayiklan bir sistem yazmalisiniz. Bu tarz kodlamalari girince sisteminizin iç hata vermemesi lazim. Ayrica login panellerinde deneme yanilma yöntemleriyle kullanici adi ve sifrenizi ele geçeribilirler. Bunu önlemek için mümkünse güvenlik kodu uygulamasi yapmaniz iyi olacaktir. Ayrica birkaç yanlis denemeden sonra ip adresini banlarsaniz buda ise yarar.
b-1-2) Haber/Yorum Ekleme
Login panellerinde oldugu gibi haber ve yorum ekleme scriptlerinde sizintilari önlemeniz gerekir. Asla bu bölümler kod kabul etmemelidir.Yoksa kullanici yorum yada haber olarak bir kod ekleyerek sitenizin o sayfasini baska bir sayfaya yönlendirebilir. Burdada yapmaniz gereken bu tür kodlari kabul etmeyen bir sistem yazmaktir.
b-2) Database Güvenligi
Database’iniz mutlaka sifre korumali olsun. Eger access veritabani kullaniyorsaniz. Veritabaninizi hostinginizde bulunan db klasörü içine koyun. Bu klasörden database’inizi indiremezler. Hazir kullandiginiz scriptlerdeki dblerin adlarini ve yollarini mutlaka degistirn. Bu saldirganin db yolunuzu ögrenmesini ve sizmasini engeller.
Evet bu yukarda yazilanlari yaptikdan sonra tahminimce siteniz %90 güvende olur. Ama asla %100 olmaz. Çünkü hack için mutlaka bir yol vardir. Tabi bunu yapabilecek kisilerde sayilidir. Asla bütün üyeliklerinizde ayni sifreyi kullanmayin. Ayrica eger sitenizde sizden baska yönetici / editör varsa onlarida mail güvenligi konusunda uyarin. Ben bu yazilanlarinin bir kismini uygulamiyorum. Kendinize düsman edinmemeye çalisin ve saldirganlara sitenizi ele geçirmek için bir sebeb vermemeye gayret gösterin. Mutlaka bu yazilanlarada eklenmesi gereken seyler vardir.
1)Mail Güvenligi
Her seyden önce mail adreslerinizin günvenligini saglamalisiniz. Çünkü Hostunuz, domaininizi aldiginiz yer bilgilerinizi önce mail adresine yollarlar.
Mail sifreniz mutlaka harf ve rakam kombinasyonlarindan olussun. gibi. Asla kisisel bilgilerinizden herhangi birini sifreniz olarak kullanmayiniz. Gizli sorunuz ve cevabiniz sadece sizin bileceginiz bir sey olsun. Burayada özel bilgileriniz girmeyiniz. Ayrica mailinize gelen bazi mailler fake mail olabilir. Eger mailinize gelen yada baska bir yerden indirdiginiz bir dosya size islem yapabilmek için mail adresinizin kullanici adi ve sifresini girmesini isterse o sayfalara k.a. ve sifrenizi girmeyin. O sayfayi direk kapatip mailinizi tekrar açarak login olabilirsiniz. Adres çubugunda yazan isimlere dikkat edin. Eger mailinizi aldiginiz yerle bir alakasi yoksa bu bir fake maildir.
2)Hosting Güvenliginiz
Hostinginizi aldiginiz yerdede aynen mailiniz gibi sifrenin karisik olsun ve mailinizle ayni sifreyi kullanmayin. Sadece güvenilir kuruluslardan ve isine özen gösteren yerlerden hosting almaya çalisin. Çünkü bazi serverlarda hala bir çok açik bulunmakta. Bunun sebebi ise kullandiklari yazilimlarda güncelleme yapmamalari. Sitenizi ele geçirmek isteyen kisiler bu açiklari kullanarak hostinginizi elegeçirebilirler.
3)Domain Güvenliginiz
Domain adinizi aldiginiz yerdede sifreniz farkli ve karisik olsun. (Her seyin basi sifre). Domain whois bilgilerinde domaini aldiginiz yere verdiginiz mail adresinizi kullanmayin. Çünkü domaininizi ele geçirmek isteyen saldirgan öncelikle sitenize whois çekip mailinizi ve hostinginizi ögrenmek ister. Daha sonra önce mailinizi ele geçirmeye çalisir.
4)Web Programlamasinda Güvenlik
Ilk üç adimi uygulamaniza ragmen hala sisteminizde programlamadan kaynaklanan açiklar olabilir. Bunlarida bir kaç baslik altinda toplayalim.
a)Hazir portal ve forumlarda güvenlik
Web sitenizde hazir portal veya forum kullaniyorsaniz sürekli olarak kullandiginiz portalin/forumun sitesini ziyaret edin ve güncellemeleri elinizden geldigince yapmaya çalisin. Çünkü genelde bir çok versiyonda sitenizin ele geçirilmesini saglayacak açiklar mevcuttur. Bunlarin yamalarini ve açiklari yazilimin kendi sitesinden ögrenebilirsiniz. Ayrica b-2 deki database güvenliginede bakiniz.
b)Kendi Yazdiginiz Sistemlerde Güvenlik
b-1) Kodlama Hatalari
Sisteminizi yazdiniz ve sorunsuz çalisiyor. Hersey yolunda ama yaptiginiz veya eklemeyi unuttugunuz bir kaç kod yüzünden sitenizde bazi açiklar mevcuttur. Ve malesef saldirganlar bu açiklari kullanarak sisteminize girebilirler ve zarar verebilirler. Peki bunlar nelerdir?
b-1-1) Login Panelleri
Saldirgan öncelikle login panellerinde bir kaç kod deneyerek database’inizin yonu bulabilir ve sizintilarla datebase’den sizin veya üyelerinizin bilgilerini ele geçirebilir. Genelde ‘or 1=1 tarzinda kodlamalari bu panellerde deneyerek SQL injection yapmaya çalisirlar. O yüzden bu tür kodlari kabul etmeyen ayiklan bir sistem yazmalisiniz. Bu tarz kodlamalari girince sisteminizin iç hata vermemesi lazim. Ayrica login panellerinde deneme yanilma yöntemleriyle kullanici adi ve sifrenizi ele geçeribilirler. Bunu önlemek için mümkünse güvenlik kodu uygulamasi yapmaniz iyi olacaktir. Ayrica birkaç yanlis denemeden sonra ip adresini banlarsaniz buda ise yarar.
b-1-2) Haber/Yorum Ekleme
Login panellerinde oldugu gibi haber ve yorum ekleme scriptlerinde sizintilari önlemeniz gerekir. Asla bu bölümler kod kabul etmemelidir.Yoksa kullanici yorum yada haber olarak bir kod ekleyerek sitenizin o sayfasini baska bir sayfaya yönlendirebilir. Burdada yapmaniz gereken bu tür kodlari kabul etmeyen bir sistem yazmaktir.
b-2) Database Güvenligi
Database’iniz mutlaka sifre korumali olsun. Eger access veritabani kullaniyorsaniz. Veritabaninizi hostinginizde bulunan db klasörü içine koyun. Bu klasörden database’inizi indiremezler. Hazir kullandiginiz scriptlerdeki dblerin adlarini ve yollarini mutlaka degistirn. Bu saldirganin db yolunuzu ögrenmesini ve sizmasini engeller.
Evet bu yukarda yazilanlari yaptikdan sonra tahminimce siteniz %90 güvende olur. Ama asla %100 olmaz. Çünkü hack için mutlaka bir yol vardir. Tabi bunu yapabilecek kisilerde sayilidir. Asla bütün üyeliklerinizde ayni sifreyi kullanmayin. Ayrica eger sitenizde sizden baska yönetici / editör varsa onlarida mail güvenligi konusunda uyarin. Ben bu yazilanlarinin bir kismini uygulamiyorum. Kendinize düsman edinmemeye çalisin ve saldirganlara sitenizi ele geçirmek için bir sebeb vermemeye gayret gösterin. Mutlaka bu yazilanlarada eklenmesi gereken seyler vardir.
