Webmaster

Site virüslerden nasıl korunur

Bu bölümde sitenize virüs bulaşmasını engellemeniz için uygulanabilir öneriler verilmektedir.

Kötü niyetli kişilerin siteye zararlı nitelikte kod yerleştirmesi nasıl engellenir

  1. Güvenilir bakım programları kullanın.

    • Web uygulaması dağıtıcıları ve denetlenen kaynaklardan CMS için eklenti/plug-in yükleyin.

    • Düzenli olarak CMS'yi veya sunucu PO'sunu güncelleyin. CMS kullanımındaki hassasiyetlere ilişkin haberleri takip edin.

    • Düzenli olarak sunucuda güvenlik denetimi yapın.

    • CMS kurulduktan sonra kurulum ve komut ayıklama programlarını silin.

  2. Web sunucusu PO'su (FTP, SSH, barındırıcı yönetim paneli ve CMS) için karmaşık parolalar seçin.

    • Karmaşık bir parola en az 11 karakter içermeli ve farklı boyutlarda harfler, rakamlar ve özel semboller içermelidir.

    • Farklı sunuculara erişim için aynı parolaları kullanmayın.

    • Güvenliği artırmak amacıyla en güvenilir parolaların dahi üç ayda bir değiştirilmesi önerilir.

    • Önemli parolaları web tarayıcılarında, dosya yöneticilerinde, FTP, SSH ve diğer istemcilerde saklamayın.

  3. Çalışma bilgisayarınızın güvenliğini koruyun.

    Sunucuyla çalışan tüm bilgisayarlarda (webmaster'ın, yöneticinin, içerik yöneticisinin, satış müdürünün bilgisayarında vb.) düzenli güncellenen bir antivirüs yazılımı yüklü olmalıdır. Ayrıca işletim sistemini ve kullanılan yazılımları zamanında güncellemek gereklidir.

  4. Kullanıcıların girdiği bilgileri kontrol edin.

    • Kullanıcıların girdiği verilerde sayfa içeriği koduna yerleşebilecek HTML biçimlendirmesini filtreleyin.

    • Kullanıcıdan aldığınız verilerin boyutlarının uygun olup olmadığı veya bağlantı ve zaman aralıklarındaki değerlerin aktarılabilir olup olmadığını kontrol edin.

    • Kullanıcılardan aldığınız verileri asla doğrudan eval() çağrılarına, SQL sorgularına veya yeniden biçimlendirme türlerine koymayın. Olası tehlikeli öğelerden alınan bilgileri her zaman kontrol edin ve temizleyin.

    • Hata ayıklamak için ayrılan, yeni veya kapatılan işlevlerden aldığınızın deneyimlerin ayarların çalışır sürümdeki kodlarını bırakmayın.

    • WAF (Web Application Firewall) kullanın.

  5. Kullanıcıların erişim ayarlarını kontrol edin; özellikle siteler arası paylaşılan sorguların (CSRF) korunma düzeyini gözden geçirin.

    Yönetici panelleri CMS ve BD'ye (örneğin, phpMyAdmin) erişimi sınırlayın, ayrıca:

    • kodların yedek kopyalarına:

    • yapılandırma dosyalarına;

    • kontrol sürümlerinin metadata sistemlerine .svn veya .git).

  6. İmkanlarınıza göre sunucu PO'sunun sürümünü (CMS, web sunucusu, senaryo yorumlayıcısı, SUBD) gizleyin.

  7. Güvenlik duvarlarınızı ve ağ altyapısını yalnızca çalışma için gerekli bağlantılara izin verecek şekilde yapılandırın.

  8. Tıklama korsanlığından uzak durmaya çalışın. Şunun için belirlenmiş asıl kontroller:

    • X-FRAME-OPTIONS SAMEORIGIN veya X-FRAME-OPTIONS DENY HTTP başlığı girişi.

    • Javascript-yapısında görünüm

      (top.location != window.location) top.location = window.location
      veya
      top.location = 'http://example.com'

  9. Barındırıcıların düzenli olarak desteklenen listeleri kontrol etmesini öneririz. Örneğin, Yandex Safe Browsing API veya Yandex.Webmaster API yardımıyla.

Site kullanıcılarının zararlı nitelikte kod yerleştirmesi nasıl engellenir

Sitenizin ziyaretçileri sitenize dosya veya metin yükleyebilir ve zararlı nitelikteki kod yüklenen içerikte (bilerek veya tesadüfen) bulunabilir.

  1. Robotlardan korunun.

    Kötü niyetli robotlardan korunmak için CMS için özel plug-inler kullanılabilir veya kara listeden kullanıcı IP adresi araştırılabilir.

  2. Kullanıcıların girebileceği verileri kontrol edin.

    • Etiket veya bağlantıların içine <script> içerisinde JavaScript kodu yerleştirilmesine izin vermeyin.

    • Doğrudan sitenin sayfalarına <iframe>, <object>, <embed> etiketleri içinde kod yerleştirmeyin ve .jar, .swf ve .pdf dosyalarını (bunların yardımıyla bu tür etiketler otomatik yaratılabilir) yüklemeyin.

    • Ekstra çalışmaya gerek kalmadan geri kalanları atmak için izin verilen HTML etiketleri için "beyaz liste" tutun.

    • Yandex Safe Browsing API gibi programlarla kullanıcılar tarafından yerleştirilen bağlantıları kontrol edin.

Tesadüfen zararlı nitelikte kod yerleştirmekten nasıl kaçınılır

  1. Kullanılan PO'yu kontrol edin.

    • CMS widgetı dağıtıcılarını, kitaplıkları yalnızca resmi sitelerden veya kontrol edilen kaynaklardan yükleyin.

    • Herhangi bir dağıtıcı farklı bir siteden veri indiriyorsa mutlaka zararlı nitelikte kod taşıyıp taşımadığını kontrol edin.

    • CMS'ye eklemek istediğiniz her türlü ekstra bileşeni dikkatlice inceleyin.

  2. Reklam sütunlarına ve kodlarına karşı dikkatli olun.

    • Sitenizin sayfalarına yalnızca kontrol edilen reklam sistemlerinin verdiği reklam bloklarını yerleştirin.

    • Yeni bir ortaklık sistemine dahil olmadan önce sistem ve dağıtılan içeriğe ilişkin geri bildirimleri okuyun.

    • "Benzersiz uygulamalar"dan (şüphe uyandıracak kadar yüksek sayaç ve reklam ödemesi, mobil erişimler için ücret ödeme) uzak durun.

    • İmkanınız dahilinde sayfalarınıza istatistiksel içerik koyun (bağlantı ve resim). <script> ve <iframe> öğelerini yüklemekten kaçının. Flash, Java ve ActiveX-bileşenlerini yalnızca kendi imkanınızla kontrol edebileceğiniz ve çalıştırabileceğiniz hallerde kabul edin.

    • Gizli bloklar sunan ortaklık programlarına girmeyin.

  3. Hizmet arayüzlerine erişimi dikkatlice kontrol edin. Siteye erişimi yalnızca yetkili kişiler kontrol etmelidir.

    • Sitenin çalışmasından sorumlu olmayan önceki site sahiplerine, kişilere, farklı çalışmalar yapan uzmanlara geri bildirim verin (örneğin pazarlama ve yönetim uzmanlarına).

    • Sitede üçüncü kişilerin çalışmasına izin verirken öneri almayı deneyin. Çalışma tamamlandıktan sonra hesaplarını kapatın veya parolaları değiştirin.

    • Siteniz istatistiksel ise; bazı ortaklık sistemleri ana başlık değişimi yapabilmek için FTP üzerinden erişim isteyebilir. Bu tür erişim hakkı vermek tehlikelidir: Ortak sistemi veritabanı kırılırsa kötü niyetli kişiler sitenizin dosyalarına doğrudan erişebilir.

  4. Güvenilir ve kaliteli barındırma hizmetleri arayın. Bazı barındırıcılar sunucularının emniyetini kaliteli biçimde sağlarken bazıları da bilinçli olarak müşterilerinin sitesine virüs bulaştırır.

Makaleyi değerlendirin
Geri bildiriminiz için teşekkür ederiz!