7 Adımda Web Sitesi Güvenliği Nasıl Sağlanır?

Siber saldırıların gittikçe karmaşıklaşması, tüm web sitelerini güvenlik ve gizlilik ihlallerine açık hale getiriyor. Bu saldırılara karşı site güvenliğini nasıl sağlayacağınızı bilmek, hem kendi verilerinizi hem de kullanıcılarınızın verilerini korumak açısından çok önemli.

Bu makalede web sitesi güvenliğini derinlemesine ele alarak siber güvenliği sağlamanın yollarını inceleyeceğiz. Doğru web sitesi kurma aracını seçmek, web sitesi güvenliğini artırmak ve işletmenizi korumak için atabileceğiniz adımlar bunlardan bazıları.

1. Web sitesi güvenliği nedir?

2. Web sitesi güvenliği neden önemlidir?

3. Web sitesi saldırısı örnekleri

4. Web sitesi güvenlik ihlallerinin etkisi

5. Web sitesi güvenliğini artırmak için 7 adım

6. Sonuç

Web Sitesi Güvenliği Nedir?

Web sitesi güvenliği, sitenizin içeriğine ve verilerine ulaşabilen, bunları değiştirebilen ve çalabilen kötü amaçlı online saldırılardan korunmaktır. Aynı zamanda kişisel verileri ve site kullanıcılarının gizliliğini de korumanız gerekir.

Web sitesi sahibi her birey veya işletme, saldırılardan korunmak için siber güvenliğin temellerini kapsamlı bir şekilde anlamalıdır. Doğru web sitesi oluşturma araçları, güvenliği önceliklendirerek işletmenize odaklanmanıza yardımcı olabilir.

Web Sitesi Güvenliği Neden Önemlidir?

1,9 milyar gibi rekor bir rakama ulaşan küresel web sitesi sayısı artmaya devam ederken siber saldırı sayıları da aynı oranda artıyor. Saldırılar artmakla kalmıyor, ayrıca gitgide daha karmaşık hale de geliyor. Bu durum bırakın web sitesi oluşturanları, güvenlik uzmanlarının bile saldırıları tespit etmesini zorlaştırıyor.

• ABD'de yaşanan web sitesi saldırısı sayısı 2020'den bu yana neredeyse %400 arttı. FBI günde 4.000'e kadar siber saldırı olduğunu bildiriyor.

• Türkiye’de ise 2020 yılında Covid-19 salgınıyla siber saldırı sayısı da artarken 2021 yılındaki toplam siber saldırı sayısının 1 milyon 757 bin olduğu bildirildi.

• Cisco'ya göre 2023 yılına kadar dünya çapında toplam DDoS (dağıtık hizmet engelleme) saldırısı sayısının 15,4 milyonu aşacağı tahmin ediliyor.

Web Sitesi Saldırısı Örnekleri

Site güvenliği, çeşitli yollarla ihlal edilebilir. Bu bölümde en sık görülen ihlal çeşitlerinden bazılarını ve bunların sitenizde yarattığı potansiyel tehditleri açıklayacağız:

SQL Ekleme (SQL injections)

SQL ekleme saldırılarında veritabanının kontrolünü ele geçirmek ve hassas bilgileri çıkarmak için bir tür bilgisayar kodu olan yapılandırılmış sorgu dili kullanılır. Bu tür bir saldırı veritabanındaki bilgileri düzenlemek, değiştirmek veya silmek için, hatta parola veya kullanıcı bilgilerini elde etmek için kullanılabilir. Akamai'nin İnternet Durumu/Güvenlik Raporu'na göre Ocak 2020 ile Haziran 2021 arasında 6,2 milyar SQL ekleme saldırısı girişiminde bulunuldu. Bu durum, SQL ekleme saldırısını en yaygın web saldırıları arasında birinci sıraya yerleştiriyor.

SQL saldırıları hem sitenizi hem de site verilerini güvende tutmanın karşısında gerçek bir tehdit unsuru oluşturuyor. Bu tür siber saldırılar sitenizin işlevlerini etkileyebilir ve hassas kullanıcı verilerinin kaybolmasına neden olabilir. Örneğin, sitenizden alınan parolalar birden çok online platformda kullanıcılarınızın hesaplarını hacklemek için kullanılabilir.

Fidye Yazılımı (Ransomware)

Fidye yazılımı bilgisayarlara bulaşan kötü amaçlı bir yazılım türüdür. Bu yazılım yüklendiğinde dosyalara, sistemlere, yazılımlara ve uygulamalara erişim engellenebilir. Ardından hackerlar etkilenen kullanıcı için fidye ister. Fidye ödendiğinde bilgisayarın ve ilgili dosyaların şifresi çözülür ve fidye yazılımı kaldırılır.

2021 yılında devlet hastanelerinden devlet kurumlarına ve büyük şirketlere kadar birçok kuruluş fidye yazılımı saldırısına uğradı. Bu saldırıların çoğu kimlik avı sonucunda yaşandı. Çalışanlar aldıkları kimlik avı e-postalarındaki kötü amaçlı bağlantılara tıkladığında yazılım, bilgisayarları ve sistemleri etkiledi.

Fidye yazılımı saldırıları artmaya devam ediyor. Kurumsal şirketlerin %37'sinin fidye yazılımı saldırısına uğradığı bildirilen 2021 yılı, bu konuda özellikle yoğun bir yıldı. ABD'li bankalar ve finans kurumları 2021 yılında fidye yazılımıyla ilgili 1,2 milyar dolarlık bildirimde bulundu. Bu rakamda önceki yıla kıyasla %188 bir artış olduğu bildiriliyor.

Siteler Arası Betik Çalıştırma (XSS)

Siteler arası betik çalıştırma saldırısında kötü amaçlı javascript kodu, güvenilen bir web site aracılığıyla kullanıcının tarayıcısına eklenir. Bu tür saldırılar SQL ekleme saldırılarına benzer şekilde çalışır ve tarayıcıların kötü amaçlı işaretleme metinlerini zararsız metinlerden ayıramamasından kaynaklanır. Buradaki açık, tarayıcıların amaca bakmaksızın her türlü metni işlemesi.

Siteler arası betik çalıştırma, genellikle kullanıcıların çerezlerini (kayıtlı bilgileri) çalıp internette bu kullanıcılar gibi davranmak için kullanılır. Bu saldırı, web sitelerini düzenlemek ve parola ya da kredi kartı numarası gibi güvenli kullanıcı giriş bilgilerini toplamak için de kullanılabilir. Ocak 2020 ile Haziran 2021 arasında bu türde 1.019 milyar saldırı olduğu tahmin ediliyor. Yani siteler arası betik çalıştırmaya karşı korumanın, web sitesi güvenliğinin önemli bir parçası olduğunu rahatlıkla söyleyebiliriz.

Kimlik Bilgilerinin Yeniden Kullanımı

Kimlik bilgilerinin yeniden kullanımı, site güvenliğine karşı en yaygın tehditlerden biridir. Bunun bir nedeni de kullanıcıların genellikle birden çok sitede ve online platformda kimlik bilgilerini tekrar tekrar girmesidir. Böylece site veya platformlardan yalnızca biri hacklendiğinde sadece bilgilerin çalındığı siteye değil, daha başka birçok siteye de erişim sağlanır.

DoS/DDoS Saldırısı

DoS (hizmet reddi) saldırıları bir web sitesinin işlevini ve kullanımını engellemeyi amaçlar. En yaygın saldırı biçimlerinden biri "dağıtılmış hizmet engelleme" (DDoS) saldırısıdır. Bu saldırıda bir bot, sunucuya aşırı yükleme yapmak için bir web sitesine birden çok kaynaktan büyük miktarda sahte trafik yönlendirir.

DoS saldırıları sunucuda zaman aşımına neden olur ve saldırılan web sitesini erişilemez hale getirir. Bu durum her boyutta web sitesine büyük ölçüde zarar verir ve web site performansını olumsuz etkiler.

Web Sitesi Güvenlik İhlallerinin Etkisi

Siber saldırılar, sitenizin işlevi ve performansı üzerinde önemli ve kalıcı etkiler bırakabilir. Kısa vadede bu saldırılar trafiğin büyümesini ve dönüşümleri sınırlayabilir. Uzun vadede ise marka kimliğinize ve işletmenizin itibarına zarar verebilir. Güvenlik ihlallerinin en önemli etkilerinden bazıları şunlardır:

Müşteri Kaybı

Kullanıcıların web sitenize güvenmesi, siteyi kullanması ve devamlı müşteri olarak siteye geri dönmesi için verilerinin güvende olduğunu bilmesi gerekir. Örneğin bir e-ticaret sitesi işletiyorsanız varsa kullanıcılar ancak sitenizin güvenli olduğuna emin olduklarında Eylem Çağrılarına (CTA) tıklar veya alışveriş yapar.

Arama Motoru Kara Listeleri

Google bir siteyi tararken kötü amaçlı yazılım veya kod bulursa etkilenen siteyi kara listeye alıp bu sitenin aramalarda bulunmasını zorlaştırabilir. Bunun sonucunda trafikte büyük ölçüde düşüş görülebilir ve sitenizin müşteri edinme ve müşterileri elde tutma kapasitesi olumsuz yönde etkilenebilir.

Aynı şekilde Google bir siteyi tararken sunucu çalışmıyor hatası (genellikle 500 kodlu bir hata) alırsa sayfayı tekrar taramamaya karar verebilir. Bu durum, sitenin aramalardaki görünürlüğünü ve yeni ziyaretçi çekme kapasitesini önemli ölçüde etkiler.

Sitenin Askıya Alınması

Site güvenliği saldırıları siteye giriş, kaydolma ve alışveriş işlevleri gibi önemli site hizmetlerini askıya alabilir. Bunun sonucunda kullanıcıların sitenizle etkileşime geçmesi zorlaşır.

Web Sitesi Güvenliğini Artırmak İçin 7 Adım

Sitenizi korumak için hem sizin hem de web sitesi oluşturma aracınızın dikkate alması gereken bazı adımları aşağıda bulabilirsiniz:

1. Güvenli bir web sitesi platformu seçin

2. SSL protokollerini kullanın

3. Güvenli bir web hosting (ağ sağlayıcısı) edinin

4. Yönetici ayarlarını belirleyin

5. Sitenizi yedekleyin

6. Varsayılan CMS ayarlarını değiştirin

7. Güçlü şifreler seçin

01. Güvenli bir web sitesi platformu seçin

Sitenizin güvenliğini sağlarken atacağınız ilk adım doğru web sitesi oluşturma aracını seçmektir.

Web sitenizi 7/24 izlenen bir platformda oluşturduğunuzda sitenizin ve dolayısıyla işletmenizin güvenliği konusunda içiniz rahat eder. Güvenlik açıklarını tarayan ve bunlar için güncellemeler yapan bir platform, site güvenliği konusunda herkesten bir adım önde olacaktır.

Üçüncü taraf uygulamalar, aynı anda milyonlarca siteye zarar verme potansiyeli taşıdıklarından site güvenliği ihlallerinin en büyük kaynaklarından biridir. Bunu önlemek için işletmenizde ihtiyacınız olan yerleşik özelliklerin mümkünse tamamını içeren bir web sitesi oluşturma aracı seçmenizi öneririz.

02. SSL protokollerini kullanın

Güvenli bir web sitesinde SSL (Güvenli Yuva Katmanı) protokolü bulunur. Bunu, site url'sinin içinde alan adının önündeki https ifadesinden anlayabilirsiniz. SSL protokolü, web sitesi ile sunucu arasındaki iletişimi şifreleyerek korur. Bu sayede hackerlar bu iletişimi okuyamaz veya bu ikisi arasında paylaşılan bilgilere müdahale edemez.

SSL protokolü yeni oluşturulan tüm sitelerde standart olarak bulunmalıdır. Fakat online işlem ve satış yapan sitelerde bulunması özellikle önemlidir. Yakın zamanda SSL protokolleri, şifrelemedeki daha karmaşık güvenlik ihlali denemelerini önleyecek şekilde güncellendi.

Wix gibi bir web sitesi oluşturma aracı seçtiğinizde sitenizi, otomatik olarak ek koruma katmanları bulunan, daha güncel ve güvenli bir protokol olan TLS 1.2 ile yaratırsınız. Wix'in sitenizi nasıl koruduğunu daha ayrıntılı öğrenmek için Güvenlik Merkezi'ni ziyaret edin.

03. Güvenli bir web hosting (ağ sağlayıcısı) edinin

Bir sitenin güvenliğini sağlamak için gerekli birçok güvenlik katmanı vardır. Güvenilir web hosting ise bunun ayrılmaz bir parçası. Web hosting, web sitenize yapılan saldırıları sunucunuz üzerinden önler. Sitenizin DDoS dahil karşılaşabileceği tehditlere hazır olması için hosting'in düzenli olarak taranması da önemlidir.

İdeal olarak güvenli bir hosting'de sürekli test, bug bounty programı ve 7/24 izleme mevcut olmalıdır. Böylece site en ileri düzey siber tehditlerin karşısında bile sağlam durabilir. Ayrıca hosting GDPR uyumlu olmalı, online gizlilik ve güvenlikle ilgili uluslararası standartlara uyum sağlamalıdır.

04. Yönetici ayarlarını belirleyin

Özellikle büyük sitelerin yönetimi için her biri farklı düzeyde erişime sahip bir grup kullanıcı gereklidir. Sitenizde çalışan herkese standart olarak tam erişim vermek, siteyi saldırılara daha açık hale getirir.

Ayrıca tüm site yöneticileri için geçerli bir güvenlik politikası yazmanızı öneririz. Bu politikaya parola seçimi, üçüncü taraf uygulama indirmeleri ve diğer önemli site yönetimi görevlerini dahil ederek tüm ekibin site güvenliğini bir numaralı öncelik haline getirmesini sağlayın.

05. Sitenizi yedekleyin

Site güvenliği için en iyi yöntem saldırıları önlemek olsa da bir güvenlik ihlali yaşandığında bunun hızlıca çözülmesi, sitenizin yedeklenme durumuna bağlıdır. Sitenizin bir sürümünü ayrı bir şekilde kaydetmeniz ve orijinal site herhangi bir şekilde saldırıya uğrarsa geri yüklenebilmesini sağlamanız gerekir.

Wix dahil birçok web sitesi oluşturma aracı, tüm sitelerini otomatik olarak yedekler. Sitenizin otomatik olarak yedeklendiğinden emin değilseniz web sitesi oluşturma aracınızda veya site geliştiricinizle en başından bu konuyu görüşmenizi öneririz.

06. Varsayılan CMS ayarlarını değiştirin

Varsayılan CMS (içerik yönetim sistemi) ayarlarınızı değiştirmediğinizde siteniz daha kolay hacklenir. Sitenizi oluştururken bu ayarları değiştirmenizi öneririz. Örneğin, yorum ve kullanıcı ayarlarınızı değiştirerek başlayabilirsiniz. Bunu yapmanın bir yöntemi de her site yöneticinize farklı ayrıcalık rolleri atamaktır.

Varsayılan ayarları değiştirdiğinizde hackerların sisteminizi anlaması zorlaşır ve siteniz saldırılara karşı daha güçlü hale gelir.

07. Güçlü şifreler seçin

Site parolanızı düzenli olarak değiştirmek sizi giriş bilgisi saldırılarına karşı koruyabilir. Aşağıdaki uygulamaları sıkı bir şekilde takip etmek riski azaltmanıza yardımcı olur:

• Güçlü parolalar seçin ve sayı, harf, karakterlerden bir karışım oluşturun (ne kadar uzun, o kadar güvenli).

• Parolayı hiçbir zaman paylaşmayın ve tarayıcıya kaydetmeyin.

• Farklı sitelerde aynı parolayı kullanmaktan kaçının.

• Sitenize erişimi olan herkesin giriş bilgilerini nasıl güvende tutacağını bildiğinden emin olun.

• Şifrenizi sık sık değiştirin (her üç ayda bir)

Ayrıca çok faktörlü kimlik doğrulaması (MFA) oluşturmanızı şiddetle öneriyoruz. Bu sayede potansiyel hackerların sitenize erişmesi zorlaşır. MFA sayesinde girişteki kimlik doğrulamasına mobil cihazınıza aldığınız bildirim gibi ek bir katman dahil edilir.

Sonuç

İnternetteki varlığımız artık işimiz, sosyal hayatımız, ailemiz, değerlerimiz gibi hayatımızdaki birçok yönle iç içe geçmiş durumda. Bu yüzden de bizim ve sitemizle etkileşime geçen herkesin güvenliği hem maddi hem manevi açıdan eskisinden çok daha önemli hale geldi.

Gittikçe karmaşıklaşan siber saldırılardan yara almadan kurtulmak yalnızca web sitesi güvenliği önlemleri alarak mümkün. Web sitenizi nasıl oluşturacağınızı düşünürken önerilerimizi dikkate almanızı ve Wix gibi güvenilir ortaklarla çalışmanızı umuyoruz.

Yael İba Tepeleni

SEO and Content Marketing Specialist