Merhabalar eskisi gibi KNTR ‘de sizleri bilgilendirebilecek bazı özel hususlara ve yazılara yer vermeye başlıyoruz. İlk konumuz sizin gibi tüm site sahiplerini ilgilendiren güvenlik hususudur.
Parça Kontör sektörünün hedef altında olduğu dönemlerde sitelere yapılan saldırılar, sahte işlemler, hacklemeler vb siber saldırılara maruz kalınabilmektedir. Aslında bu tip saldırılardan kurtulmak çok kolaydır. Sadece temel bilgileri yanında bir kaç teknik bilgiyle sizlere bu konuda alabileceğiniz önlemlerden bahsedeceğiz.
1. Sistemi Kullanıcıların Dikkat Edicekleri
2. Sistem Yöneticisinin Dikkat Edicekleri
3. Sunucu Tarafında Dikkat Edilecekler
4 Site tarafında Dikkat Edilecekler
Sistemi Kullanıcıların Dikkat Edicekleri
1) Sitenize üye olan bir müşteri sitenize nasıl giriş yapıyor diye bir soru sorduğumda herkes kullanıcı adı ve şifreyi yazarak diyecektir. Ama sizin siteniz bir blog değil, bir video sitesi değil, bir haber sitesi de değil ne peki içinde bakiyeniz olan ve müşterilerinizin sizden kontör talebi yapabildiği bir platform. Peki bu durumda kullanıcılara düşen görevler nelerdir.
- Güncel Anti Virüs Programı Bulunmalı
- Basit kullanıcı adı ve şifreler kullanılmamalı
- Kullanıcı Adı ve Şifresini başka bilgisayarda kullanmamalı
- Şifrelerini Hafızada Tutmamalı
- Kesinlikle girişlerde Statik IP tanımlatmalı
- Eğer Api desteği kullanıyorsa yine Statik IP tanımlatarak gönderim yapmalı.
- Siteye Google yerine adres çubuğuna yazarak girmeli.
Sistem Yöneticisinin Dikkat Edicekleri
2) Sistemin yönetici olarak sizlere de bir çok görev düşmektedir. Bunların başında yönetici girişlerinizde kullanıcı adı ve şifreleriniz kimseler tarafından bilinmemeli mümkünse girişlerde farklı kullanıcılar ile girişler sağlanmalı. Aşağıda dikkat etmeniz gereken bazı önlemler yer almaktadır.
- Güncel Anti Virüs Programı Bulunmalı
- Basit kullanıcı adı ve şifreler kullanılmamalı
- Kullanıcı Adı ve Şifresini başka bilgisayarda kullanmamalı
- Şifrelerini Hafızada Tutmamalı
- Kesinlikle girişlerde Statik IP tanımlatmalı
- Eğer Api desteği kullanıyorsa yine Statik IP tanımlatarak gönderim yapmalı.
- Siteye Google yerine adres çubuğuna yazarak girmeli.
- Sms Onaylı Giriş Sağlanmalı
- Sisteme Girişler düzenli olarak kontrol edilmeli
Sunucu Tarafında Dikkat Edilecekler
3) Geldik ihmal edilen ve dikkat edilmeyen en önemli noktaya bu zamana kadar görüştüğümüz tüm müşterilerimizin ortak noktası bir kere kesin hosting sıkıntısı çekmesidir. Ne gibi sıkıntılar yaşanmaktadır.
- Hdd yanması veya Sunucu Arızasından dolayı veritabanı kaybı
- Site Çökmesi
- Hosting Hizmet aldığınız sunucudaki açık zararlı fonksiyonlar
- Veritabanı Yedeği Alınmaması
- Sunucu Desteği Sağlanmaması
Her yerde bulabileceğiniz Hosting hizmetlerinde dikkat edilecek husus sizin bulunduğunuz sunucuda farklı türde bir çok sitenin olabileceği ve genel olarak dağıtımı yapılan Joomla, WordPress, Forumlar vb özel scriptlerin kolaylıkla temin edilen açıklarından sizin sitenize zarar verilme olasılığı. Bunun önüne geçmek için eğer siteniz dışarıda bir sunucuda yer almaktaysa VPS yada size özel bir çözümden yararlanmanız.
Eğer bir VDS,VPS veya Sunucu hizmeti alıyorsanız kesinlikle aşağıdaki servislerin kapalı olduğunu SSH,FTP gibi servisleri kapatmanızı ve standart portlarını değiştirmenizi kesinlikle öneriyoruz.
Kapatabileceğiniz Fonksiyonlar
proc_open, exec, glob, posix_getpwuid, array_compare, array_user_key_compare, ini_restore, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual, popen, proc_close, proc_get_status, proc_nice, proc_open, escapeshellcmd, escapeshellarg, show_source, posix_mkfifo, ini_restore, mysql_list_dbs, get_current_user, getmyuid,pconnect, link, symlink, fin, passthruexec, shell_exec, pcntl_exec, ini_alter, parse_ini_file, leak, apache_child_terminate, chown, posix_kill, posix_setpgid, posix_setsid, posix_setuid, proc_terminate, syslog, allow_url_fopen, fpassthru, execute, shell, chgrp, stream_select, passthru, socket_select, socket_create, socket_create_listen, socket_create_pair, socket_listen, socket_accept, socket_bind, socket_strerror, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, openlog, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv
Üsteki fonksiyonlar sitenize veya farklı sitelere atılabilecek hertürlü zararlı dosyanın çalışmasını engelleyecek ve sitenize müdahaleyi büyük oranda bertaraf edebileceksiniz. Bu konularda uzman kişilerden destek almanızı öneriyoruz.
Ayrıca sitenizin nasıl bir sunucuda çalıştığınız ve servisler hakkında bilgi için sitenize <? phpinfo(); ?> kodu ile bir php dosya atarak test edebilirsiniz.
