S.A Arkadaşlar bu yazı dizisinde Web Siteniz neden hacklenir, nasıl hacklenir bunlara bakıp güvenliğini nasıl sağlayacağımızı öğreneceğiz.
1. Domain Güvenliği ( Alan Adı Güvenliği );
Öncelikle dikkat etmemiz gereken husus, güvenli bir web sitesi istiyorsanız kaliteli bir yerden domain almanız gerekmektedir. Örneğin MSNden satış yapan bir kişiden domain aldığınızı düşünün veya bir arkadaşınızdan veya hostcunuzdan yani kısacası domain yönetim panelinizin sizde olmadığını düşünün. Daha sonraki günlerde o kişi ile ters düşerseniz domaininizi unutabilirsiniz. Hem domain aldığınız kişinin hacklediğini düşünsenize, sizin hatanız yok burada ve kurban sizsiniz. Böyle bir olay yaşanmasını istemiyorsanız Alan Adınızı güvenli yerlerden ve kendinize ait bir panelden almalısınız
1.1 Domain Firmaları Ne kadar güvenli?
Güvenliğinizin sizin elinizde olmadığı bir durum daha; domain firmanız ne kadar güvenli? Üzülerek söylüyorum ki ben Türk domain firmalarına güvenmiyorum! Firmaların sistemlerindeki açıkları bir yana bırakalım basit bir sosyal mühendislik ile domainlerinizi başkaları ele geçirebiliyor. Firmalardaki sistem açıkları dedik, peki bunlar nelerdir. Örnek verecek olursak, en basitinden Onlinenic ve ResellerClub firmalarındaki CSRF açıkları; bunları kullanarak size tıklattıkları bir link sayesinde bile domainlerinizi kaybedebilirsiniz. Durumun ciddiyetini görebildiniz mi? Güvenli firmalardan birkaç öneride bulunayım
www.godaddy.com
www.gandi.net
1.2 Domainlerizin güvenliği için size düşenler;
Alan Adınızın hangi maille alındığını ve bunların dışında birkaç bilginizi daha gösteren bazı whois siteleri vardır, bu bilgiler herkes tarafından görülebilmektedir. Öncelikle, mailinizin hacklenmesi ile domainlerinizinde hacklenebileceğini bilmenizi isterim. Kısa bir açıklama ile anlatayım, mailiniz başkasının elinde ve o kişide domain aldığınız firmanın sitesine girerek Parolamı Unuttum özelliğini kullanıyor ve sizin mailinizi yazarak parola sıfırlama isteğinde bulunuyor, son olaraktan maile girip şifrenizi görebiliyor. O halde ne yapmalıyız? Whois bilgilerini doğru olarak vermemiz pek sağlıklı değil. Domain alacağınız hesabın maili daha önce kullanmadığınız bir mail olmalı, kimse bilmemeleri, görememeli ve o maili başka hiçbir işlemde kullanmamalısınız. Alan adlarıyla ilgili bir işlemde kullanılması gerekirse de güvenliğinden emin olduğunuz bir bilgisayarda açmalısınız. Mailiniz hacklenmesi ile domainlerinizin hackleneceğini de söylemiştik, bu durumda bilgisayarınızın güvenliğinide sağlamalısın. Trojan, keylogger gibi yazılımlara karşı Firewall ( Güvenlik Duvarı ) ve Anti-Virüs kullanmalısınız
2. Hosting Güvenliği ( Alan Güvenliği );
Domain Güvenliği kısmında anlattığımız olayların birçoğu Hosting Güvenliği için de geçerlidir. Nerelerden host almalıyız? Hosting Firmamız kaç yıldır ayakta? Serverları lisanslımı? Serverlar ne kadar güvenli?
Son sorudan başlayalım arkadaşlar. Örnek vererek açıklayayım, bazı Hacker özentisi kişiler yeni öğrendikleri Server Rooting işlemini uygulaması sırasında, kobay olarak sizin serverınızı seçebilirler. Sizin suçunuz, hatanız olmadığı halde aynı makinede bulunduğunuz başka bir siteden bu işlem gerçekleştirilebilir. Daha önce yayınlanmış exploitler ile serverdaki tüm siteler üzerinde söz sahibi olabilir, index atabilirler. Bunlara karşılık host alıcağınız firmadan serverları hakkında bilgi isteyiniz, güncelleme aralıkları, kullandıkları sürüm vs. Zaten sürümü öğrendiğiniz de google amca sayesinde o sürüme ait exploitlerin olup olmadığını öğrenebilirsiniz.
Hosting firmamız kaç yıldır hizmet veriyor? Burası önemli arkadaşlar. Çünkü host alıyorsunuz, aldığınız yer kalitesiz bir yer çıkıyor ve 3-5 ay sonra kapanıyor, ücretler ise yıllık alınıyor. Bu durumda yılın birçok ayı hizmet alamayıp başka bir yere tekrar para ödeyip hizmet almanız gerekiyor.
Hosting önerilerimiz;
www.anatoliabilisim.com
www.megatrhost.com
www.internetsahibi.net
3. Script Güvenliği;
Bu bölümde Web Sitemize kurduğumuz scriptlerin güvenliği hakkında konuşacağız. Amatör, bir şey bilemeyen, hacker özentisi kişiler yani lamerler tarafından hacklenmek istemiyorsanız, sitemize kurduğumuz scriptlerin güvenli olduğundan emin olmalıyız. Peki, bu nasıl olacak? Çok basit yollar var. İlki, scripti yayınlayan firmanın sitesini düzenli olarak kontrol etmeliyiz, güncel sürümler çıktığında sitemizdeki scripti yenisi ile değiştirmeliyiz. İkinci ise, sürümünüzün adını googleda aratırsanız örneğin xxx 1.1 açığı gibi bulunan sayfaları biraz incelerseniz zaten anlarsınız
Kullandığınız scriptlerde size ait bir Admin paneli olur, kısacası orada tüm yetkiler olduğu için yukarıda belirttiğimiz gibi bilgisayarınızın güvenliğinide öncelikli olarak sağlamalısınız.
( Yukarıdaki yazıda yeni başlayanlar için basit bir dil kullanılmaya özen gösterilmiştir. )
Bekir DURSUN
www.bekirdursun.com.tr
1. Domain Güvenliği ( Alan Adı Güvenliği );
Öncelikle dikkat etmemiz gereken husus, güvenli bir web sitesi istiyorsanız kaliteli bir yerden domain almanız gerekmektedir. Örneğin MSNden satış yapan bir kişiden domain aldığınızı düşünün veya bir arkadaşınızdan veya hostcunuzdan yani kısacası domain yönetim panelinizin sizde olmadığını düşünün. Daha sonraki günlerde o kişi ile ters düşerseniz domaininizi unutabilirsiniz. Hem domain aldığınız kişinin hacklediğini düşünsenize, sizin hatanız yok burada ve kurban sizsiniz. Böyle bir olay yaşanmasını istemiyorsanız Alan Adınızı güvenli yerlerden ve kendinize ait bir panelden almalısınız
1.1 Domain Firmaları Ne kadar güvenli?
Güvenliğinizin sizin elinizde olmadığı bir durum daha; domain firmanız ne kadar güvenli? Üzülerek söylüyorum ki ben Türk domain firmalarına güvenmiyorum! Firmaların sistemlerindeki açıkları bir yana bırakalım basit bir sosyal mühendislik ile domainlerinizi başkaları ele geçirebiliyor. Firmalardaki sistem açıkları dedik, peki bunlar nelerdir. Örnek verecek olursak, en basitinden Onlinenic ve ResellerClub firmalarındaki CSRF açıkları; bunları kullanarak size tıklattıkları bir link sayesinde bile domainlerinizi kaybedebilirsiniz. Durumun ciddiyetini görebildiniz mi? Güvenli firmalardan birkaç öneride bulunayım
www.godaddy.com
www.gandi.net
1.2 Domainlerizin güvenliği için size düşenler;
Alan Adınızın hangi maille alındığını ve bunların dışında birkaç bilginizi daha gösteren bazı whois siteleri vardır, bu bilgiler herkes tarafından görülebilmektedir. Öncelikle, mailinizin hacklenmesi ile domainlerinizinde hacklenebileceğini bilmenizi isterim. Kısa bir açıklama ile anlatayım, mailiniz başkasının elinde ve o kişide domain aldığınız firmanın sitesine girerek Parolamı Unuttum özelliğini kullanıyor ve sizin mailinizi yazarak parola sıfırlama isteğinde bulunuyor, son olaraktan maile girip şifrenizi görebiliyor. O halde ne yapmalıyız? Whois bilgilerini doğru olarak vermemiz pek sağlıklı değil. Domain alacağınız hesabın maili daha önce kullanmadığınız bir mail olmalı, kimse bilmemeleri, görememeli ve o maili başka hiçbir işlemde kullanmamalısınız. Alan adlarıyla ilgili bir işlemde kullanılması gerekirse de güvenliğinden emin olduğunuz bir bilgisayarda açmalısınız. Mailiniz hacklenmesi ile domainlerinizin hackleneceğini de söylemiştik, bu durumda bilgisayarınızın güvenliğinide sağlamalısın. Trojan, keylogger gibi yazılımlara karşı Firewall ( Güvenlik Duvarı ) ve Anti-Virüs kullanmalısınız
2. Hosting Güvenliği ( Alan Güvenliği );
Domain Güvenliği kısmında anlattığımız olayların birçoğu Hosting Güvenliği için de geçerlidir. Nerelerden host almalıyız? Hosting Firmamız kaç yıldır ayakta? Serverları lisanslımı? Serverlar ne kadar güvenli?
Son sorudan başlayalım arkadaşlar. Örnek vererek açıklayayım, bazı Hacker özentisi kişiler yeni öğrendikleri Server Rooting işlemini uygulaması sırasında, kobay olarak sizin serverınızı seçebilirler. Sizin suçunuz, hatanız olmadığı halde aynı makinede bulunduğunuz başka bir siteden bu işlem gerçekleştirilebilir. Daha önce yayınlanmış exploitler ile serverdaki tüm siteler üzerinde söz sahibi olabilir, index atabilirler. Bunlara karşılık host alıcağınız firmadan serverları hakkında bilgi isteyiniz, güncelleme aralıkları, kullandıkları sürüm vs. Zaten sürümü öğrendiğiniz de google amca sayesinde o sürüme ait exploitlerin olup olmadığını öğrenebilirsiniz.
Hosting firmamız kaç yıldır hizmet veriyor? Burası önemli arkadaşlar. Çünkü host alıyorsunuz, aldığınız yer kalitesiz bir yer çıkıyor ve 3-5 ay sonra kapanıyor, ücretler ise yıllık alınıyor. Bu durumda yılın birçok ayı hizmet alamayıp başka bir yere tekrar para ödeyip hizmet almanız gerekiyor.
Hosting önerilerimiz;
www.anatoliabilisim.com
www.megatrhost.com
www.internetsahibi.net
3. Script Güvenliği;
Bu bölümde Web Sitemize kurduğumuz scriptlerin güvenliği hakkında konuşacağız. Amatör, bir şey bilemeyen, hacker özentisi kişiler yani lamerler tarafından hacklenmek istemiyorsanız, sitemize kurduğumuz scriptlerin güvenli olduğundan emin olmalıyız. Peki, bu nasıl olacak? Çok basit yollar var. İlki, scripti yayınlayan firmanın sitesini düzenli olarak kontrol etmeliyiz, güncel sürümler çıktığında sitemizdeki scripti yenisi ile değiştirmeliyiz. İkinci ise, sürümünüzün adını googleda aratırsanız örneğin xxx 1.1 açığı gibi bulunan sayfaları biraz incelerseniz zaten anlarsınız
Kullandığınız scriptlerde size ait bir Admin paneli olur, kısacası orada tüm yetkiler olduğu için yukarıda belirttiğimiz gibi bilgisayarınızın güvenliğinide öncelikli olarak sağlamalısınız.
( Yukarıdaki yazıda yeni başlayanlar için basit bir dil kullanılmaya özen gösterilmiştir. )
Bekir DURSUN
www.bekirdursun.com.tr
