Web Sitenizin Müşteriler İçin Güvenli Olduğundan Emin Olmanın 6 Yolu

Yayınlanan: 2021-05-19
web sitenizin müşteriler için güvenli olduğundan emin olmanın 6 yolu için resim

Her web sitesi güvenlik ihlallerine maruz kalabilir ve sitenizde değerli bir şey olduğunu düşünmeseniz de bu, güvenliğinin ihlal edilmesi için bir fırsat olmadığı anlamına gelmez. Unutulmaması gereken bir şey, web sitesi güvenlik ihlallerinin çoğunun, sunucunuzu spam için bir e-posta geçişi olarak kullanma girişimleri olduğudur, bu nedenle web sitenizin güvenli olduğundan emin olmak önemlidir.

Güvenli bir web sitesi olmadan, fidye yazılımları tarafından vurulabilir, sunucunuz bir botnet'in parçası olabilir veya yasa dışı nitelikte dosyalar sunabilirsiniz. Gerçekleşen bilgisayar korsanlığının çoğu, güvenlik açıklarından yararlanmak için interneti tarayan otomatik komut dosyaları tarafından gerçekleştirilir. Web sitenizin müşteriler için güvenli olduğundan emin olmanın 6 yolu.

1. XSS Saldırılarına Karşı Koruyun

XSS saldırıları veya siteler arası komut dosyası oluşturma, sayfalarınıza JavaScript, yani kötü amaçlı kod enjekte eder. Bunlar daha sonra kullanıcılarınızın tarayıcılarına girer ve sayfa içeriğini değiştirebilir ve bilgisayar korsanlarına geri göndermek için bilgileri çalabilir.

Bunun olmasının bir yolu, herhangi bir doğrulama olmadan bir sayfada yorumları göstermenizdir. Saldırgan bunu görebilir ve ardından her kullanıcının tarayıcısında çalışabilen ve oturum açma çerezlerini çalabilen komut dosyası etiketleri ve JavaScript içeren yorumlar gönderebilir. Bu daha sonra saldırganın yorumu görüntüleyen her kullanıcının hesabını kontrol etmesine izin verir.

Bunun olmasını önlemek için, kullanıcıların sayfalarınıza etkin JavaScript içeriği ekleyemediğinden emin olmalısınız. Sayfalar artık öncelikle Angular ve Ember gibi ön uç çerçeveler tarafından yorumlanabilen HTML üreten kullanıcı içeriğinden oluşturuluyor. Bu çerçeveler birçok XSS koruması sağlayabilir, ancak her zaman değil.

Sunucu ve istemci oluşturmayı karıştırırsanız, bilgisayar korsanları için yeni ve karmaşık saldırı yolları oluşturabilirsiniz. Odaklanmanız gereken şey, kullanıcı tarafından oluşturulan içeriğin beklediğiniz sınırları aşabileceği ve bir tarayıcı tarafından istemediğiniz şekilde yorumlanabileceğidir.

Dinamik olarak HTML oluştururken bu saldırılara karşı korunmak için, açıkça aradığınız değişiklikleri yapan işlevleri kullanın veya şablonlama aracınızda ham HTML içeriğini ayarlamak yerine otomatik olarak uygun çıkış yapan işlevleri kullanın.

Dikkate alınması gereken güçlü araçlardan biri de İçerik Güvenliği Politikası veya CSP'dir. CSP, sunucunuzun döndürebileceği ve bir sayfada hangi JavaScript'in yürütüleceğini sınırlamak için tarayıcınızı uyaran bir başlıktır. Bu, alanınızla ilişkili olmayan komut dosyalarının çalıştırılmasını reddetme gibi şeyleri içerebilir veya satır içi JavaScript'e izin vermeyebilir.

karşılaşabileceğiniz sorunları ve web güvenliğinin neden gerekli olduğunu gösteren infografik
CSP, sunucunuzun döndürebileceği ve bir sayfada hangi JavaScript'in yürütüleceğini sınırlamak için tarayıcınızı uyaran bir başlıktır. (Resim Kredisi: Hız Danışmanlığı)

2. Parolalarınızı Kontrol Edin

Her internet kullanıcısının aşina olduğu bir şey, şifreleri kolayca tehlikeye atılabilecek bir şey olduğu için sürekli olarak yenileme ihtiyacıdır. Özellikle sunucu ve web sitesi yönetici alanında güçlü şifrelerin kullanılması tüm internet kullanımlarının ayrılmaz bir parçasıdır.

Parola gereksinimlerinin zorunlu kılınması, kullanıcılar için bir zorunluluktur ve bazı en iyi uygulamalar, bir sayı veya özel karakterin yanı sıra bir büyük harf içeren en az sekiz karaktere sahip olmayı içerir. Bu, müşterinizin bilgilerinin uzun vadede korunmasını sağlar.

Burada önemli olan bir diğer nokta da, parolaların SHA gibi tek yönlü bir hash algoritması kullanılarak şifrelenmiş değerler olarak saklanmasıdır. Bu, kullanıcılarınızın kimliğini doğruladığınızda yalnızca şifrelenmiş değerleri karşılaştırdığınız anlamına gelir.

Sunucunuza girmeyi başaran ve şifrelerinize erişimi olan bir bilgisayar korsanına sahip olduğunuz en kötü durum senaryosunda, karma şifreler, şifrelerini çözemeyeceğiniz için hasar sınırlamasına yardımcı olabilir. Bir bilgisayar korsanının bu durumda yapabileceği tek şey, bir eşleşme bulana kadar her kombinasyonu tahmin ettikleri bir sözlük saldırısı kullanmaktır.

Modern web geliştirmede, neredeyse tüm CMS'ler, kullanıcı yönetimine bu güvenlik özelliklerinin birçoğunu yerleşik olarak sağlar.

web güvenliğinin temellerini gösteren bir infografik
Parola gereksinimlerinin uygulanması, kullanıcılar için bir zorunluluktur ve en iyi uygulamalardan bazıları, minimum sekiz karaktere sahip olmayı içerir. (Resim Kredisi: Sucuri)

3. Yazılımınızı Güncel Tutun

Yazılım güncelleme tarihleri, sitenizi güvende tutmak için kritik öneme sahiptir. Bu, yalnızca yazılımınız için değil, aynı zamanda sunucu işletim sisteminiz için de geçerlidir – ister bir forumda isterse bir CMS olsun, web sitenizi çalıştırdığınız her şey için geçerlidir.

Yönetilen bir barındırma çözümü kullanmanın bir yararı, web sitenize düzenli olarak güvenlik güncellemeleri uygulamalarıdır. Ancak, üçüncü taraf yazılımı kullanıyorsanız, herhangi bir güvenlik düzeltme ekini hızlı bir şekilde uyguladığınızdan emin olmanız önerilir. WordPress gibi çoğu büyük CMS, oturum açar açmaz güncellemeleri size bildirecektir.

Bağımlılıklarınızı her zaman güncel tutmalısınız ve Gemnasium gibi araçlar, bileşenlerinizden herhangi birinde bir güvenlik açığı bildirildiğinde size otomatik güncellemeler veya bildirimler verebilir.

4. Tarayıcı ve Sunucu Tarafında Doğrulama

Yalnızca tarayıcı tarafında değil, aynı zamanda sunucu tarafında da doğrulama yapmanız bir bütündür. Bu, tarayıcınızın zorunlu alanlardaki basit hataları yakalamasını sağlar. Bunlar atlanabilir, bu nedenle doğrulama ve daha derin doğrulama sunucusu tarafını kontrol etmeniz ayrılmazdır.

Bunu yapmazsanız, sitenizde sorunlara neden olabilecek ve kötü sonuçlar üretebilecek kötü amaçlı veya komut dosyasıyla oluşturulmuş kodun veritabanınıza eklenmesi riskiyle karşı karşıya kalırsınız.

bir web sitesindeki bir güvenlik düğmesine tıklayan bir ok
Yalnızca tarayıcı tarafında değil, sunucu tarafında da doğrulama yapmanız ayrılmaz bir bütündür. (Resim Kredisi: MW.com)

5. Hata Mesajlarına Dikkat Edin

Hata mesajları her zaman göründükleri kadar masum değildir. Veritabanı parolalarından API anahtarlarına kadar herhangi bir şey olabilecek sunucunuzdaki sorunları istemeden sızdırmamalarını sağlamak için kullanıcılarınıza yalnızca minimum düzeyde hata sağlayın.

Unutulmaması gereken başka bir şey de, SQL enjeksiyonu gibi şeylerden karmaşık saldırıları çok daha kolay hale getirebilecekleri için tam istisna ayrıntılarını vermemektir. Sunucu günlüklerinizde ayrıntılı hatalar tuttuğunuzdan ve kullanıcılara yalnızca ihtiyaç duydukları bilgileri gösterdiğinizden emin olun.

6. HTTPS'yi kullanın

HTTPS, İnternet üzerinden güvenlik sağlamak için kullanılan bir protokoldür. Kullanıcıların bekledikleri sunucuyla konuştuklarını ve gördükleri içeriği başka hiç kimsenin engelleyemediğini garanti eder. Kullanıcılarınızın gizli isteyebileceği herhangi bir şeye sahipseniz, bunu iletmek için yalnızca HTTPS kullanmanız şiddetle tavsiye edilir.

Özellikle, Google, HTTPS kullanırsanız sizi arama sıralamasında yükselteceklerini ve buna da bir SEO avantajı sağlayacağını duyurdu. Güvensiz HTTP çıkış yolunda ve şimdi yükseltme zamanı.

bir url'de https güvenliğini gösteren bir resim
HTTPS, İnternet üzerinden güvenlik sağlamak için kullanılan bir protokoldür. Kullanıcıların bekledikleri sunucuyla konuştuklarını ve gördükleri içeriği başka hiç kimsenin engelleyemediğini garanti eder. (Resim Kredisi: Crucial.com.au)

Müşterilerinizi Koruyun

Web sitenizin güvenli ve emniyetli olmasını sağlamak için çok sayıda yöntem vardır. Bu, müşterilerinizin sitenize ve deneyimlerine zarar verebilecek hoş olmayan herhangi bir şeye maruz bırakmadan web sitenize göz atabilmelerini garanti altına almak için gereklidir.

Web sitenizde ek güvenliğe ihtiyacınız var ve bunu nasıl uygulayacağınızdan emin değil misiniz? ProfileTree'de, web sitenizde size yardımcı olmak için bekleyen sayısız web geliştirme uzmanımız var. Bugün bize ulaşın.