Teknolojinin güven dolu omuzlarına başımızı yasladığımızdan beri eşeğimizi sağlam kazığa bağlama politikasının ipini salmış durumdayız. Ne yani, onca internet sitesi içinden sizin internet sitenizi mi ele geçirecekler? Hem belki internet siteniz gerçekten güvenli bile olabilir. Yine de tüm bunlar her gün sizin gibi düşünen yaklaşık 37 bin internet sitesinin hacklendiği gerçeğini değiştirmiyor. Evet, belki henüz 37 binlik dilime dahil olmamış olabilirsiniz. Fakat saldım çayıra politikasının devamında bir gün istatistik verisine dönüşebilirsiniz.

2017 yılında teknoloji devlerinin ardı ardına yaşadığı Hacking ve veri sızdırılması skandallarından sonra, sağlam kazık politikamızın “genelde başarısız” olduğu resmen ayyuka çıktı. İnterneti daha güvenli hale getirmek isteyen Google, tüm sitelerin tası tarağı toplayıp HTTPS protokolüne geçmesi için ciddi adımlar attı. HTTPS, ziyaretçilerinin verilerini toplayan ve işleyen internet siteleri için harika bir önlem. Ancak o da tek başına yetersiz.

Çözüm eşeği sağlam kazığa bağlamak adına yapabileceğimiz her şeyi yapmak ve başarılı bir güvenlik duvarı yazılımına sırtımızı yaslamaktan geçiyor. Neden mi?

01. CMS Sistemleri Sandığımız Kadar Güvenli Değil
Arkasında onlarca gönüllü ve profesyonel geliştiricilerin bulunduğu sistemlere sorgusuz sualsiz güvenmeyi seviyoruz. Dünyaca popüler bir sistemde açık olabileceği gerçeğine inanmayı ise şiddetle reddediyoruz. Peki, hiç WordPress güvenliği için geliştiricilerin her güncellemede onlarca açığı kapattıkları dikkatinizi çekmiş miydi?

Başta WordPress olmak üzere en güvenilir CMS sistemleri bile potansiyel risklere sahiptir. Sadece bu risklerin bir kısmı henüz ortaya çıkmamış ya da resmen geliştirici ekiplerine bildirilmemiştir. Tüm CMS sistemleri için yüzlerce ücretli güvenlik eklentisinin mağazalarda yer almasının iyi bir nedeni var; CMS sistemleri sandığımız kadar güvenli değiller.

02. HTTPS Sihirli Değnek Değil
HTTPS’nin web site güvenliği için önemli bir güvenlik katmanı olduğu tartışılmaz bir gerçek. Bu sayede sunucu ve istemci bağlantısı arasında nisbeten güvenli bir köprü kurulmuş oluyor. Ne var ki bu köprünün yetersiz kaldığı durumlar her zaman olmuştur ve olmaya devam edecektir.

Yahoo 3 milyar kullanıcısının bilgilerini kaptırırken, Equifax ABD vatandaşların yarsının kimlik sahteciliği kurbanı olmasının yolunu açarken tahmin edin hangi protokolü kullanıyorlardı?

SSL siteniz için güvenli bir katman oluşturmasına rağmen sisteminize yapılan yetkisiz erişimler, SQL Injection ve diğer Malware saldırılar karşısında çaresizdir. En basitinden sitenize yapılacak DDoS ve benzeri basit temelli saldırılarda bile SSL’in size hiçbir faydası yoktur. Uzun lafın kısası HTTPS protokolü tek başına yeterli değildir, ziyaretçilerinizin verilerini hiç toplamıyor olsanız bile…

03. Öz Evlat Olsa Sevilmeyecek “İstenmeyen Trafik”
İstenmeyen trafik ve trafik saldırıları web teknolojileri kökten değişmediği sürece aramızda elini kolunu sallaya sallaya sıkıntı çıkarmaya devam edecektir. Bu tip saldırıları bertaraf etmenin en kolay yolu, sırtınızı güvenle yaslayabileceğiniz kontrollü bir güvenlik duvarına sahip olmaktan geçiyor.

İstenmeyen trafiği engelleyerek sitenizin fazladan trafik tüketmesini engeller, sunucu tarafındaki işlem gücünü gerçek kullanıcılara aktarma şansına sahip olursunuz. Trafik saldırılarıyla tükettiğiniz trafik, arabanızın motorunu durdurmadan çalıştırmaya benzer. Yanan yakıtın ne size, ne aracınıza ne de atmosfere faydası vardır.

04. Potansiyel Güvenlik Riskleri
Site güvenliği oldukça kapsamlı bir konu. İnternette yayın yaptığınız sürece Brute Force saldırıları, Cross-Site Scripting, SQL injection ve Zero-day exploit’ler daima yol arkadaşınız olacaktır. Güvenlik duvarınız sayesinde malware yazılımlara ve yetkisiz girişimlere karşı ayakta durabilir, riskleri henüz oluşmadan engelleyebilirsiniz.

Hepsi bu kadarla sınırlı değil. Başarılı güvenlik uygulamaları “Virtual Patching” yöntemi sayesinde WordPress, Drupal, Magento ve vBulletin gibi sistemlerde oluşan kritik sistem açıklarının resmi güncelleme yayınlanana kadar sizi güvende tutmasına yardımcı olur.

05. Esaretin Bedeli
İnternet korsanları sadece dev internet sitelerini hedef almıyor. Bazı korsanlar en güncel açıklardan faydalanarak kendilerine link ağı oluşturmak ve oluşturdukları ağı hacklink gibi yöntemlerle nakite çevirmek istiyor. Bazıları ise doğrudan sisteminizdeki verilerinizi hedef alıyor.

Google’ın artık hack’lenen sitelere ilişkin tavrını biliyor olmalısınız. Her şey yolunda giderken bir gün Search Console panelinizde sitenizin hack’lendiği uyarsını görebilirsiniz. Tabii bu felaket senaryosundan sadece sizin haberiniz olmayacak. Sitenizin tüm index’li sayfaları arama motorunun sonuç sayfalarında “Bu site hacklenmiş olabilir” veya “Bu site güvenli değil” şeklinde sansürlenmesine neden olacak.

Kaybedecekleriniz bunlarla sınırlı değil:

• Kaybolan veya yok edilen veriler
• Müşteriler ve potansiyel müşterilerin güven kaybı
• Hassas bilgilerin ve verilerinizin sızdırılması
• Sitenizin e-posta adreslerinin kara listeye düşmesi
• Arama motoru üzerindeki otoritenizi kaybetmeniz
• Doğrudan ve dolaylı olarak gelir kaybı
• Gibi ödemeniz gereken ciddi bir bedel var. Bu felaketlerden sonra kendinizi hayatınızın yeni favori filmi “Hack’lenmenin Bedeli”ini yaşarken bulmanız oldukça olası.

Kaynak: wmaraci.com