Çevrim içi dünya ile birlikte internet sitesi güvenlik standartları da sürekli değişiyor. Gelişmeleri takip ederek web sitenizi nasıl güncel tutabilirsiniz? Peki internet sitenizi güncellemek söz konusu olduğunda nelere dikkat etmelisiniz? Neden sistematik olarak güncellemelisiniz? ESET Küresel İnternet Geliştirme Yöneticisi Martin Cambal’dan, gelişmeleri takip edip şirketinizin çevrim içi varlığını güncel tutmanıza yardımcı olacak birkaç öneriye dikkat edin.
İnternet sitenizin mevcut durumunu kontrol edin
Security Headers isimli internet sitesini daha önce hiç duymuş muydunuz? İnternet sayfanızın hem temel hem de gelişmiş güvenlik standartlarını karşılayıp karşılamadığını kontrol etmek isterseniz bu platform sizin için faydalı olabilir. Cambal bu siteyi şöyle açıklıyor: “İlgili internet sitesi, aynı okullarda yapıldığı gibi internet sitenize A’dan F’ye kadar bir puan verir ve sitenizin güvenliğini nasıl arttırabileceğinize yönelik tavsiyeler sunar. Bu araç, her internet geliştirme ekibi için faydalı olabilir.”
Güvenli bir mikro hizmet altyapısı oluşturun
İnternet sitenizi oluştururken altyapı güvenliğinin temel ilkelerinden biri olan, tekil bir “süper sistem” yerine birden çok bağımsız sistemler oluşturmayı göz önünde bulundurun. Cambal bu durumu şöyle açıklıyor: “Örneğin, internette satış yaptığınızda e-mağazanızı bir alana, alışveriş sepetinizi de shop.domain.com gibi başka bir alana koyun. Aynı zamanda faturalandırma sisteminiz de ayrı bir alan adında bulunmalı ve herkesin erişimine kapalı olmalıdır.” Tek bir sisteme kıyasla birkaç bağımsız mikro sistemin ele geçirilmesinin zor olması bu yaklaşımın öne çıkan faydalarından biridir. Ayrıca, insanların kredi kartlarını kullandıkları alışveriş sepeti için daha katı güvenlik standartları ve kullanıcıların sayfanızı sosyal medyada paylaşmalarını istediğiniz e-mağaza için daha gevşek önlemler uygulayabilirsiniz. Cambal sözlerine şöyle devam ediyor: “Web sitenizi yeniden oluşturmaya karar verdiğinizde, hepsini birden yapmanıza gerek yok.. İş önceliklerinize bağlı olarak sistemlerinizi adım adım kurmanızı tavsiye ederim.”
Tek parça internet sitesi sistemi nedir? Bir mikro hizmet altyapısı anlamına mı gelir?
Tek parça bir internet sitesi; faturalandırma, e-mağaza ve alışveriş sepeti gibi tüm içerik ve özellikleri tek bir alan adında toplar. Alt alan adlarını ayrı ayrı güncellemenize izin vermez; her şey ana alanda değiştirilmelidir. Aynı zamanda internet sitesi saldırıya uğrarsa bütün sistem ve sistemin özellikleri ile tüm içerik çökebilir. Bu yüzden bir yönetici sisteminin diğer sisteme erişiminin olmadığı üç ve daha fazla sayıda alan adı ve mikro siteden oluşan bir mikro hizmet altyapısı kurulması tavsiye edilir. Ayrıca ana sayfa da saldırıya uğradığında ve/veya kullanılamadığında e-mağaza kendi alan adı üzerinden çalışmaya devam edebilir ve kullanıcılar, doğrudan e-postanızdaki alışveriş sepeti bağlantısı üzerinden e-mağazaya halen erişim sağlayabilir.
Tek parça internet siteleri çalışanlar için de bir sorun olabilir: Cambal bu durumu şöyle açıklıyor: “Tek parça sisteminiz tek bir tür teknoloji kullanılarak geliştirildiyse gelecekte yapılacak tüm internet geliştirmeleri de aynı tür teknoloji kullanılarak yapılmalıdır. İşiniz büyürse, söz konusu teknoloji için daha fazla uzman bulup işe almanız gerekecek ki bu çok zorlayıcı olabilir. Ancak mikro hizmetler ve çeşitli teknolojiler kullanarak insan kaynakları ile ilgili sorunların üstesinden gelebilirsiniz. İş gücü piyasasında tek bir tür teknolojide uzmanlaşmış çok sayıda profesyonel bulmaktansa birden çok teknolojide uzmanlaşmış az sayıda profesyonel bulmak daha kolaydır.”
Arada bir değil, düzenli güncellemelerin etkisine inanın
Düzenli güncellemelerle ilgili bir başka konu daha var. Bu güncellemeler beş yılda bir değil de ayda bir yapıldığında şirket sürekliliğini etkilemez ya da pek yavaşlatmaz. Cambal bununla ilgili şunları ifade ediyor: “Bazı geliştirme ekipleri güncellemeleri erteleme eğilimindedir. Sonunda internet sitesini güncellemeye karar verdiklerinde ise bu onların birkaç ayını alır, bu da BT ekibinin kapasitelerini tamamen (aşırı) kullanarak tüm işletmeyi olumsuz etkileyebilir.”
Aynı zamanda internet sitenizin eski bir programlama dili varsa söz konusu hizmet sağlayıcı belirli bir platform sunmayı birden bırakabilir. Sonuç olarak siz de halen belirli dillerle çalışan iş ortakları bulamayabilirsiniz. Cambal sözlerine şöyle devam ediyor: “Söz konusu ürün artık kullanılmayacağı için internet sitesinin sahibi olarak siz de, alternatifleri değerlendirecek yeterli zaman bulamadan bu ürünü hızla yenilemek zorunda kalırsınız.”
En düşük erişim hakkı ilkesine güvenin
Uygulama güncellemeleri söz konusu olduğunda bunu, erişim kurallarını yeniden tanımlamak için bir fırsat olarak görün. Cambal bu konuda şunları belirtiyor: “Tüm uygulamaların sadece gerçekten yapmaları gereken eylemleri yerine getirme yetkisi olmalıdır. Bir uygulamanın çok fazla eylemi yerine getirme yetkisi varsa ve bir bilgisayar korsanı bu uygulamayı ele geçirirse bilgisayar korsanları tüm kullanıcıları silmek gibi bir eylemde bulunabilir.”
Oturum açma sayfasına erişebilen IP adreslerinin bir listesini oluşturun
Açık kaynaklı sistemlerin yönetici bölümleri genellikle ana sayfayla aynı URL adresinde bulunur. Genellikle, bu alt sayfanın tahmin edilmesi kolaydır veya WordPress siteleri için /wp-admin gibi herkes tarafından biliniyor olabilir. Cambal bu konuyu şöyle açıklıyor: “Saldırganlar bu durumun farkındadır. CMS’nize giriş yapmalarını engelleyen tek şey ise kullanıcı adı ile şifrenizi bilmemeleridir.” Tam olarak bu noktada başka bir taktik devreye girer. Saldırgan, gerekli tüm yönetici bilgilerine ulaşmak için bir kimlik avı saldırısı kullanabilir. Cambal sözlerini şöyle sürdürüyor: “Sistem yöneticisi, sahte bir internet sitesine yönlendirip oturum açma bilgilerini girmesini isteyen bir bağlantıya sahip e-posta alabilir. Ancak söz konusu internet sitesinin arka ucuna erişim sağlamalarına izin vermektense bir siber suçlunun avucunun içine düşerler. Böylece internet sayfanızın kapısı açık kalmış olur.” Bu yüzden hassas URL adreslerinizi korumak ve bunların herkese açık hale getirilmesini önlemek her zaman iyi bir fikirdir. Bunu başarmanın en kolay yolu da sadece gerekli IP adreslerini beyaz listeye almaktır.
Piyasadaki iş gücünü dikkate alın
İnternet sitenizi güncel tutmak ve sıkıntısız bir şekilde çalıştırmak, bir başka açıdan da faydalıdır. BT uzmanlarına yönelik ihtiyaç çok fazla olduğu için bu uzmanlar, en son teknolojileri kullanabilecekleri bir işi tercih edecektir. Cambal bu durumu şöyle ifade ediyor: “İnternet sitesi güncel değilse bu uzmanlar, daha önceki ihmallerden dolayı yaşanan sorunlarla uğraşmak zorunda olmayacakları daha ilgi çekici bir projeyi tercih edebilir.”
Arama motorları, güvenli ve düzenli olarak güncellenen internet sitelerini tercih eder.
Yüksek kalite ve güvenli içerik, arama motorlarının tercih ettiği özelliklerdir. Bu yüzden en temel güncellemelerden biri internet sitenize HTTPS (Güvenli Metin Aktarma Protokolü) sağlanmasıdır. Cambal bununla ilgili şunlara dikkat çekiyor: “Bugünlerde ücretsiz ve geçerli bir sertifikaya sahip olmak için kar amacı gütmeyen bir belgelendirme kurumu olan Let’s Encrypt’in hizmetlerinden faydalanabilirsiniz. SSL sertifikalarının maliyetli olduklarına ilişkin tartışmalar artık doğru değil.”
Kısacası internet siteleri de dahil olmak üzere tüm projeler, sadece düzenli aralıklarla güncellendiği zaman sürdürülebilirdir. Geliştirme ekipleri değişse bile yeni gelen uzmanlar için eski sistem ve uygulamalarla çalışmak zor olmamalıdır. Güncellemeleri ciddiye almaya başlamak için asla geç değildir. Güncel olmak her zaman işinize yarar.
Wiper saldırısı hakkında bilmeniz gereken beş konu
Sıfır Güven: Asla güvenme, her zaman doğrula!
