MakaleCMS Güvenliği: Web Sitenizi Nasıl Güvende Tutabilirsiniz?

Yayınlanan: 2022-08-12

Web'deki sitelerin sayısı ve her yıl saldırıya uğrayan sitelerin yüzdesi artıyor. Bilinen bir güvenlik açığından yararlanmaya çalışan bir bot veya kuruluşunuza doğrudan, hedefli bir saldırı olabilir. Her iki durumda da, saldırıya uğrayacağınız zihniyetini benimsemeniz gerekir. Bu şekilde düşünmek, proaktif davranışı ve daha iyi uygulamaları teşvik edecektir.

Birinin web sitenizi hacklemek isteyeceğinden şüpheleniyorsanız, bir ara web günlüklerinize bir göz atın. Muhtemelen birinin veya bir botun web sunucunuzu hacklemeye çalıştığına dair kanıt bulacaksınız. Kuruluşunuz yüksek profilliyse, bunun her gün olduğunu görebilirsiniz. Hack'lerin nasıl olabileceğini, etkisinin ne olabileceğini ve hasarın nasıl azaltılacağını önceden bilmek zorunludur. Nasıl olduklarına bir göz atalım.

Kod Güvenlik Açıkları

Web'i vurmak için en rezil istismarlardan biri, Heartbleed olarak bilinen OpenSSL'deki bir güvenlik açığıydı. OpenSSL, güvenli veri işlemleri için sunucuda şifrelemeyi yöneten yazılım katmanıdır. OpenSSL, web sunucusu yazılımıyla uyum içinde daha düşük bir seviyede çalıştığı için Heartbleed, hangi içerik yönetim sistemini (CMS) kullandığınızı umursamadı. Çok kalifiye bir programcı tarafından getirilen basit bir hataydı ve herkesin yapabileceği türden bir hataydı.

Bu hatayı bu kadar dikkate değer kılan şey, tüm güvenli web sitelerinin üçte ikisinden fazlasının etkilenmiş olmasıdır. OpenSSL'ye 100'den fazla katkıda bulunana ve 21.000'den fazla farklı kod katkısına rağmen, bu basit güvenlik açığı yaklaşık üç yıldır yakalanmadı ve düzeltilmedi.

En son iki yüksek profilli istismar, Spectre ve Meltdown, çoğu modern bilgisayar işlemcisinde bulunan güvenlik açıklarından yararlandı. Paylaşılan bilgisayarların (web sunucuları gibi) kullanıcılarının, ortamlarını aynı donanım üzerinde çalışan diğer sitelerden ayıran sanal duvarın üzerinden göz atmalarına izin verir.

Çoğu web sitesi düzinelerce farklı uygulamaya, milyonlarca kod satırına ve binlerce bireysel geliştiriciye (web sitenizin kodunu saymazsak) bağlıyken, her işletim sisteminde, web sunucusunda, CMS'de güvenlik açıkları olduğunu varsayabiliriz. ve İnternet sitesi.

Yanlış Yapılandırma

Bir sitenin saldırıya uğramasının en yaygın nedeni, başlangıçtaki zayıf yapılandırmadır. Birçok web sitesi yöneticisi çok deneyimli değildir ve bilinmesi gereken çok şey vardır. Kullanıcıları hem işletim sisteminde hem de CMS'de yapılandırmak, bu kullanıcıların izinlerini yönetmek, güvenlik duvarı kurallarını yönetmek, web sunucusu yapılandırması – liste uzayıp gidiyor. Ancak tüm bu faktörler güvenlik için kritik öneme sahiptir.

Birçok makale ve nasıl yapılır kılavuzu, yeni kullanıcılar için işleri basit tutmak için yalnızca minimum düzeydedir. Bu, bir birey veya anne-baba işletmesi için iyi olabilir, ancak büyük, halka açık bir şirket için kabul edilemez. Bu seviyede, hack'ler sadece bir rahatsızlık değildir; bir iş üzerinde ciddi etkileri olabilir.

Bakım eksikliği

Kod açıkları tespit edildiğinde, yamalar oluşturulur ve kullanıcılara açık duyurulmadan önce sistemlerini yükseltmeleri için zaman verilir. Ne yazık ki, birçok web sitesi düzenli olarak yamalanmamaktadır. Heartbleed örneğimize geri dönersek, yamanın yayınlanmasından üç yıldan fazla bir süre sonra, OpenSSL'nin eski, savunmasız sürümünü çalıştıran hala 200.000'den fazla web sunucusu vardı.

Modern içerik yönetim sistemleri, uygulama katmanları üzerine katmanlara sahiptir. Tipik bir WordPress kurulumunda bir Linux işletim sistemi, web sunucusu yazılımı, PHP, MySQL ve herhangi bir sayıda eklenti bulunur. Bütün bunlar sürekli olarak izlenmeli ve korunmalıdır. Birçok servis sağlayıcının buna ayak uyduramadığı bir gerçektir.

İnsan İnsan Olmak

Kod güvenlik açıkları ve bakım eksikliği korkutucu görünebilir, ancak insanların CMS'nizi kullanmasına izin vermenin getirdiği risklere kıyasla sönük kalabilir. Biz insanlar hedefli bir saldırıda her zaman en zayıf halka ve ana ajandır.

Herkes yardımcı olmak ve akıllı görünmek ister, bu da bizi doğal olarak sosyal mühendisliğe duyarlı kılar. Bazı istekler alarm zillerinin çalmasına neden olmalıdır, örneğin:

  • "Merhaba, ben BT'den Bob. Makinenizden gelen bazı anormal trafikler alıyoruz..."
  • "Yolunuza bazı teşhis araçları göndereceğim ve..."
  • "Bizim uzman kullanıcılarımızdan birisin, bu yüzden bana yardım edebilir misin..."

Ne yazık ki, bu teknikler genellikle savunmasız insanlar üzerinde çalışır.

Diğer bir yaygın tuzak, zayıf parola uygulamalarıdır. Bu yaygın şifreler listesine hızlı bir göz atın. Bir şey tanıdık geliyor mu? Bunlardan herhangi biri şifrenizin köküne benziyor mu veya benzer bir teknik kullanıyor mu?

Eğer öyleyse, çözümünüz benzersiz veya akıllı değil ve şimdi gidip şifrelerinizi değiştirmelisiniz! Bir kaba kuvvet saldırısı, bunun gibi bir listeyle başlayacak, varyasyonları tanıtacak ve muhtemelen şifrenizi dakikalar içinde bulacaktır.

Yoksulların yanında şifre seçim, aynı siteyi birden çok sitede yeniden kullanmaktır. Parolanız bir sitede ele geçirildiyse ve bu parolayı başka yerlerde kullandıysanız, başınız belada demektir.

Sitenizi Nasıl Güvende Tutabilirsiniz?

"Hacklenemeyiz" diyen herkes kaderi cezbeder, ancak riskleri önemli ölçüde en aza indirebilirsiniz. Siteleri kötü niyetli kişilerden korumak için uygulayabileceğiniz bazı temel önlemler ve süreçler.

İyi Güvenlik Alışkanlıkları

Kullanıcılarınızın kimlik bilgilerinin tehlikeye girmesi riskini önemli ölçüde azaltmak için yapabilecekleri birkaç basit şey vardır:

  • "Sözcük" parolaları kullanın. Ulusal Standartlar ve Teknolojiler Enstitüsü'ne göre, parolalar daha akılda kalıcı ve güvenlidir. Özel karakter ve sayılarla şifre gereksinimleri o kadar etkili değildir.
  • Bir şifre yöneticisi kullanın. Bir şifre yöneticisi, her sitede benzersiz şifreler kullandığınızdan emin olmanıza yardımcı olacaktır. Ayrıca kendi parola yönergelerinizi oluşturabilir ve uygulayabilirsiniz.
  • Sosyal mühendislik sanatını öğretin. Kullanıcılara, meydana gelirken tanımaları için bilgi ve başarılı olmadan önce onu kapatma güveni verin.

Düzenli bakım

Güvenlik yamaları ve yeni sürümlerle yazılımı her zaman güncel tutun. Web sunucunuzun bakımından sorumlu değilseniz, teknoloji yığınınızın en son kritik yamaları çalıştırmasını sağlayan süreçleri hakkında ayrıntılar için tüm hizmet sağlayıcılarınıza basın.

Buna işletim sistemleri, web hizmetleri, sunucu tarafı ayrıştırıcılar, içerik yönetim sistemleri, veritabanları ve tüm eklentiler.

İyi bakım uygulamaları, web'inizin ötesindeki donanıma uzanır sunucular anahtarlar ve güvenlik duvarları gibi. Bu cihazlar, web sunucunuza gösterdiğiniz aynı dikkat ve dikkatle korunmalıdır.

Unutmayın, ne zaman yeni bir istismar keşfedilse, kendinizi istemeden de olsa kötü adamlarla bir yarışta bulacaksınız. Onlar seni bulmadan önce yamaları yerine koymalısın. Yapılması gereken birçok eylem ve izlenmesi gereken öğeler vardır, bu nedenle web sunucularının bakımı tam zamanlı bir iştir.

Yetkili kullanıcılar listenizi güncel tutun ve her zaman kuruluşunuzdan ayrılanları kesin. Hoşnutsuz işçiler kısa sürede çok fazla zarar verebileceğinden, işten çıkarmaları ele almak için bir plan koordine edin.

Saldırı Vektörlerini Ortadan Kaldırın

Web sitenize kod ve karmaşıklık ekleyen her katman, potansiyel güvenlik açıklarını da beraberinde getirir, bu nedenle teknoloji yığınınızı olabildiğince yalın ve basit tutun. Gerekli olmayan tüm uygulamaları ve hizmetleri kaldırın. Yalnızca web sitenizin ve CMS'nizin çalışması için gerekli olan hizmetleri çalıştırın.

Yalnızca web siteniz, CMS veya diğer gerekli hizmetler için gerekli olan bağlantı noktalarında web sunucunuza gelen trafiğe izin verin. Kullanmadığınız hizmetleri ifşa etmenin bir anlamı yok.

CMS'nize erişimi ağınızdaki veya VPN'deki kullanıcılarla sınırlayın. Bu, içerik yöneticilerinizi etkileyebilir, bu nedenle bu takası dikkatlice düşünün.

Yedeklemeleri Döndürmeye Devam Edin

Daha önceki bir noktaya atıfta bulunarak, en güvenli zihniyet, saldırıya uğrayacağınızı varsaymaktır. İyi yedeklemeler tutmanın değerini vurgular. Kapsamlı bir yedekleme planı, altı adet dönüşümlü günlük yedekleme, dört haftalık, altı aylık ve yıllık yedekleme tutmayı içerebilir.

Hack'ler her zaman hemen keşfedilmediği için, ne kadar geriye gitmeniz gerekebileceğini asla bilemezsiniz. Tek bir günlük yedekleme risklidir.

Ayrıca, yalnızca yedekleme planını ayarlamanın yeterli olmadığını unutmayın. Tüm yedeklemelerin çalıştığını ve bu yedeklemelerin herhangi birinden zamanında kurtarabileceğinizi düzenli olarak doğrulamanız gerekir. Yedeklerinizin yalnızca siz saldırıya uğradıktan sonra çalışmadığını keşfettiğinizi hayal edin… Bu, insanların kendilerini içinde bulmak isteyeceği bir senaryo değil.

Peki ya SAM?

SAM'ın, bu araçla oluşturulmuş siteleri hacklemeyi diğer içerik yönetim sistemleriyle oluşturulmuş sitelere göre daha zor hale getiren bazı benzersiz özellikleri vardır.

SAM, eklentileri olmadığı ve yalnızca Windows Server işletim sisteminin temel bileşenleri olan temel hizmetleri gerektirdiği için güncel tutulması gereken tek bir uygulamadır. Microsoft'un Otomatik Güncelleştirmelerine güveniyorsanız, sunucunuz her zaman yamalanır.

Daha da önemlisi, SAM statik bir site oluşturucudur. Çoğu içerik yönetim sistemi, bir kullanıcı talep ettiğinde talep üzerine sayfalar oluşturur, ancak statik bir site oluşturucu, içerikte bir değişiklik olduğunda sayfalar oluşturarak ve bunları dosya sisteminde yayınlayarak çalışır.

Kullanıcıların canlı web sitesini görüntülemesi için CMS gerekli değildir ve SAM ağınızın içinde gizlenebilir. Başka bir deyişle, hacklenecek, herkesin görebileceği bir CMS yok! Müşterilerimizin çoğu bu ayrımın hiçbir zaman farkında değildir, ancak bu, SAM'ı diğerlerinden gerçekten farklı kılan bir kalitedir.

Referanslar ve Kaynaklar

  • Web Sitesi Hacked Trend Raporu
  • NoHacked: İncelemede bir yıl
  • Web Sitesi Güvenliği: Web Siteleri Nasıl Hacklenir?
  • Web Sitenizi Nasıl Hackerler: Genel Tekniklere Genel Bakış
  • Kasım 2017 Web Sunucusu Anketi
  • Kalp Kanaması Böceği
  • Erime ve Spectre
  • NIST Dijital Kimlik Yönergeleri
  • 2016'nın En Kötü Şifreleri