Web Sitenizin Güvenliği Nasıl Sağlanır?

Web sitenizde kullandığınız bir scriptin kod açığından faydalanılarak dosyalarınızın olduğu alana erişilebilir ve siz gerekli önlemleri almadıysanız dosyalarınızda değişiklik yapılabilir.

web-sitesi-guvenligi

Bu tür problemleri önlemeye yönelik aşağıdaki adımları incelemenizi tavsiye ediyoruz.

1) Dosyalarınızın chmod değerlerini gereksiz yere yükseltmeyin;

Tüm dosyaların chmod değerini 404
Tüm klasörlerin chmod değerini 505 yapmanız yeterlidir.

Sunucu tarafından üzerine veri girilmesi gereken bir dosya için chmod değerini 604, klasörler için chmod değerini 705 yapmanız yeterlidir.

Birçok kullanıcı tarafından verilen 777 değeri güvenlik açısından çok riskli ve gereksizdir. Chmod değeri 777 olan dosya yada klasör sunucu üzerindeki tüm istemciler tarafından yazma, okuma ve değiştirme yetkisine sahiptir.

Config ve .htaccess dosyalarınızın chmod değerinin 404 olması yeterlidir.

Avantajları: Kimse sizin dosyalarınızı değiştiremez
Dezavantajları: Dosyalarınızı düzenlemek istediğinizde chmod değerlerini değiştirmeniz gerekir. Değişiklik tamamlandıktan sonra tekrar eski halinize getirebilirsiniz. Bu işlem en fazla 5 dakikanızı alacaktır. Fakat güvenlik çok daha önemlidir.

Chmod neden çok önemlidir: Hackerlar sitenizin kontrolünü eline geçirmek için bazı dosyalar yüklemek ister (spam göndermek yada dosyalarınızı değiştirmek v.b.). Sitenize bir dosya göndermek için güvenlik açığı yakalamak isterler. Eğer sitenizde bir güvenlik açığı var ise hacker sitenize ulaşabilir fakat dosya ve klasörlere yazma hakkı olmadığı için hiçbir işlem yapamaz. Saldırısı gerçekleşmez.

2) Şifrelerinizin güvenliğini sağlayın;

İyi bir şifre, harf ve rakam kombinasyonlarından oluşmalıdır. Büyük küçük harf kullanımı şifrenizin gücünü artıracaktır.

Özellikle tek bir şifreyi birçok yerde kullanmamaya özen gösterin. FTP, MySQL ve Kontrol Paneli şifrelerinizin aynı olmamasına özen gösterin. Herhangi bir nedenle MySQL şifreniz ele geçirilir ise Kontrol Panelinize giriş yapılmasını engellemiş olursunuz.

3) Sitenizin ana dizini altına (directadmin kontrol paneli olan sunucularda public_html) bir .htaccess dosyası oluşturun. Bu dosya ile bir çok yasaklama işlemini gerçekleştirebiliriz;

** Önemli Not: Bu işlemleri yaparken aşama aşama gitmenizi önermekteyiz. Bir kodu .htaccess dosyanıza ekleyin, sitenize girmeye çalışın ve bir problem yok ise diğer aşamalara geçin. Hata veren kod satırını kaldırın ve diğer satırlardan eklemeye devam edin. Bu işlemlerin hepsi tavsiye niteliğindedir. Kodlar nedeni ile sitenizde meydana gelecek stabilite sorunları için bir sorumluluğumuz bulunmamaktadır.

* Register global değerinin “on” olmasını isteyen scriptler kullanmayın. Sitenizin bulunduğu alan için register global değerini kapatın;

.htaccess dosyanıza eklemeniz gereken satır;

php_flag register_globals 0
php_flag register_globals off

* Hackerlar taradından sitenizin içeriğini tarayan otomatik örümcekleri engelleyin. Böylece 350 ye yakın zararlı örümceğin sitenizi taramasını engellemiş olursunuz;

.htaccess dosyanıza aşağıdaki içeriği eklemeniz yeterlidir.

RewriteEngine On
### ZARARLI ORUMCEKLER SADECE ASAGIDAKI DOSYALARA ERISEBILSIN
RewriteCond %{REQUEST_URI} !^/robots.txt
RewriteCond %{REQUEST_URI} !^/sitemap.xml
## ROBOT VE ORUMCEKLERI ENGELLEMEYE BASLAYALIM
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{8,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,} [OR]
RewriteCond %{HTTP_USER_AGENT} Extractor|almaden|anonymous|autoemailspider|blogsearchbot-martin|CherryPicker|Digger|DirectUpdate|Download\ Accelerator|echo\ extense|Collector|EmailWolf|flashget|frontpage|Go!Zilla|grub\ crawler|HTTPConnect|httplib|HttpProxy|HTTP\ agent|HTTrack|Indy\ Library|Jakarta\ Commons|libWeb|libwww|Microsoft\ Data|Microsoft\ URL|MJ12bot|Movable\ Type|NICErsPRO|NutchCVS|Nutscrape/|OmniExplorer|psycheclone|PussyCat|PycURL|python|QuepasaCreep|SiteMapper|Download|sucker|SurveyBot|Teleport\ Pro|Telesoft|TrackBack|Turing|TurnitinBot|vobsub|webbandit|WebCapture|webcollage|WebCopier|WebDAV|WebEmailExtractor|WebReaper|WEBsaver|WebStripper|WebZIP|widows|Wysigot|Zeus|Zeus.*Webster [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^
Sitenizde sadece istediğiniz dosya uzantılarının çalışmasını sağlayabilirsiniz. Aşağıdaki sadece bir örnektir. İçeriğini kendi isteğiniz doğrultusunda yapmanız gerekmektedir.

### SADECE INDEX.PHP DOSYASI VARSAYILAN DOSYADIR. DIGER DOSYALARI VARSAYILAN OLARAK ACMA
DirectoryIndex index.php

### DIGER DOSYA UZANTILARINA IZIN VERME

order allow,deny
deny from all

### DIGER DOSYA UZANTILARINA IZIN VERME

deny from all

### DIGER DOSYA UZANTILARINA IZIN VERME

order allow,deny
deny from all

4) Bir çok hacker aşağıdaki yöntemleri sitenizdeki açıkları tespit edebilmek için kullanacaktır.

### XSS FILTRELEMESI, HTTP YONLENDIRME ISTEKLERI, base64_encode DENEMELERI, PHO DEGISKENLERININ DENENMESI, SQL ENJEKSIYON DENEMELERI
RewriteEngine On
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)http(%3A|:)(/|%2F){2}(.*)$ [NC,OR] ## BU KURALA DIKKAT EDIN. GERCEK YONLENDIRMELERINIZI BOZABILIR. http://www.siteadi.com/index.php?r=http://www.google.com.tr
RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(SELECT|INSERT|DELETE|CHAR\(|UPDATE|REPLACE|LIMIT)(.*)$

5) Bir hacker sitenizin bulunduğu alana girmiş ise sitenize müdahale edebilmek için bir script kullanmak isteyecektir. Aşağıdaki işlemler güvenlik seviyenizi üst düzeye çıkaracaktır. Fakat bu işlem blog, forum, cms, galeri ve wiki tarzı sitelerin çalışmasını engelleyebilmektedir. – 5. satırdaki “loginftp” değerini ftp kullanıcı adınız ile değiştiriniz. –

## PHP ILE DERLENMIS SHELLERIN CALISMASINI ENGELLEYELIM
RewriteEngine On
RewriteCond %{REQUEST_URI} .*((php|my)?shell|remview.*|phpremoteview.*|sshphp.*|pcom|nstview.*|c99|r57|webadmin.*|phpget.*|phpwriter.*|fileditor.*|locus7.*|storm7.*)\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml) [NC,OR]
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)=/home(.+)?/loginftp/(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^work_dir=.*$ [OR]
RewriteCond %{QUERY_STRING} ^command=.*&output.*$ [OR]
RewriteCond %{QUERY_STRING} ^nts_[a-z0-9_]{0,10}=.*$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=.*$ [OR] ## BU KURALA DIKKAT EDIN SITENIZIN CALISMASINI ENGELLEYEBILIR##
RewriteCond %{QUERY_STRING} ^c=(t|setup|codes)$ [OR]
RewriteCond %{QUERY_STRING} ^act=((about|cmd|selfremove|chbd|trojan|backc|massbrowsersploit|exploits|grablogins|upload.*)|((chmod|f)&f=.*))$ [OR]
RewriteCond %{QUERY_STRING} ^act=(ls|search|fsbuff|encoder|tools|processes|ftpquickbrute|security|sql|eval|update|feedback|cmd|gofile|mkfile)&d=.*$ [OR]
RewriteCond %{QUERY_STRING} ^&?c=(l?v?i?&d=|v&fnot=|setup&ref=|l&r=|d&d=|tree&d|t&d=|e&d=|i&d=|codes|md5crack).*$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)([-_a-z]{1,15})=(ls|cd|cat|rm|mv|vim|chmod|chdir|mkdir|rmdir|pwd|clear|whoami|uname|tar|zip|unzip|tar|gzip|gunzip|grep|more|ln|umask|telnet|ssh|ftp|head|tail|which|mkmode|touch|logname|edit_file|search_text|find_text|php_eval|download_file|ftp_file_down|ftp_file_up|ftp_brute|mail_file|mysql|mysql_dump|db_query)([^a-zA-Z0-9].+)*$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(wget|shell_exec|passthru|system|exec|popen|proc_open)(.*)$

6) Şifreli kodlar kullanmanız en güvenli yöntemdir. Önemli dosyalarınızı yada şifrelerinizin bulunduğu dosyaları şifreleyebilirsiniz. Tüm sunucularımızda Zend ve Ioncube encoder kuruludur. Şifreli dosyalarınız sunucularımızda problemsiz olarak çalışacaktır.

Örneğin configuration.php dosyanızda mysql bilgilerinizin bulunduğunu düşünelim;

//** MySQL settings **// / / MySQL settings ** ** / /
$db_server = “mysql5*” ; $ db_server = “mysql5*”;
$db_name = “nombasesql” ; $ db_name = “veritabani_adi”;
$db_username = “loginsql” ; $ db_username = “kullanici_adi”;
$db_password = “motdepasse” ; $ db_password = “sifre”;
?>

Burada dikkat etmeniz gereken arasında kalan içeriği seçip şifrelemenizdir. Buradaki içeriği http://www.btt-scripts.com/demo/encrypt/ adresindeki online script sayesinde şifreleyebilirsiniz.

Şifreleme işlemi bittikten sonra tırnak işaretleri ” arasında kalan alana şifrelenmiş içeriğinizi yazın;

eval( gzuncompress ( gzinflate ( base64_decode ( ‘AXEAjv942tPX19JS8K0MDvRRKE4tKcnMSy9W0NLS1+flUklJii9OLSpLLVJQULBVUMqtLC7MMdU1VLKGyOUl5qYqKEDk8vJzkxKLU4EKYLKlQK1gFUDZnPz0zDwkuYLE4uLy/KIUsKn5JSmpIIFUkCwAmYgq2g==’ ))));
?>

Bu sayede bir hacker dosyanıza ulaşsa bile içeriği şifrelenmiş olduğu için şifrelerinizi çalamayacaktır.

configuration.php dosyanızın chmod değerini 404 yapabileceğinizi bir kez daha hatırlatmak istiyoruz.

Doğru Hosting Seçimi Nasıl Yapılmalı

Websitenizi barındırmanız için gerekli olan hosting seçimini yaparken bazı özelliklere bilhassa dikkat etmenizde fayda var.Başlangıç aşamasında detaylı bir araştırma yapılmadan gerçekleştirilen hosting firması tercihleri sonucunda ilerleyen zamanlarda problemler yaşayabilirsiniz.

ANRGFH

Alacağınız Hosting hizmeti için sunucuların hangi lokasyonda barındırıldığına dikkat etmelisiniz.

Windows / Linux olarak hosting altyapı seçimini websitenizin yazılımına göre belirlemelisiniz. ASP, ASP.NET tabanlı bir siteniz var ise Windows işletim sistemine sahip ASP Hosting seçimi yapmalısınız. Websiteniz PHP ise bu durumda Linux platformlu PHP Hosting kullanmalısınız. ASP&PHP çalıştırılabilen hosting paketleri de mevcuttur fakat ayrı olarak kullanması en sağlıklı sonucu vermektedir.

Alan büyüklüğü ve trafik limitinin sizin ihtiyacınızı karşılayıp karşılamayacağını iyi belirlemelisiniz. Sürekli içerik girdiğiniz özellikle foto, video yüklediğiniz siteniz için yüksek alana sahip bir paket seçmelisiniz. Websitenizin hit oranı yüksek ise bu durumda alacağınız hosting paketinde ki aylık trafiğinde yüksek boyutta olması gerekmektedir.

Hosting hizmeti almak için firma belirlerken kaliteli, ulaşabilirliği olup olmadığına önem vermelisiniz. Firmaya özellikle teknik destek departmanına 7/24 ulaşabilmek önemlidir.Netdirekt’e zaman gözetmeksizin telefon, e-destek, mail, facebook, twitter yolu ile iletişim kurabilirsiniz.

Son olarak hizmetten memnun kalmadığınız durumda geri ödeme garantisi olan firmalar bir diğer seçim kriteriniz olmalıdır. Netdirekt tüm hizmetler için ( Alan adı, SSL sertifikası ve Sunucu hizmetleri hariç ) 7 gün içerisinde sorgusuz olarak geri ödeme yapmaktadır.

MSN Devri Mart’ta Bitiyor

Microsoft’un popüler servisi windows live messenger 15 mart 2013 itibariyle artık kullanılamayacak. Fakat bu gelişme oradaki bağlantılarınızı kaybetmeyeceksiniz. Microsoft tüm MSN kullanıcılarını Skype’a taşıyacağını duyurdu. Bu durum Microsoft’un 2011 yılında 8,5 milyar dolar ödeyerek satın aldığı Skype’ın işine yarayacak.

Skype-vs-MSN1

 

Microsoft’un açıklamasına göre 15 Mart tarihinde Skype’a taşınmak içinse ekstra bir işlem yapmak gerekmeyecek. Tek yapmanız gereken Skype’a, daha önce MSN’e giriş yapmak için kullandığınız kullanıcı adı ve şifrenizle girmek ve böylece tüm MSN bağlantılarınızı karşınızda göreceksiniz. Var olan ayrı bir Skype hesabına sahipseniz Skype size iki hesabı tek bir hesap altında birleştirme seçeneği sunacak. iPhone ve Android’de de kullanılan Skype, Outlook.com desteğinin yanı sıra bu yıl içerisinde Xbox’a da gelmesi gündemde.

Dünya Haritasında Sosyal Ağların Kullanımı?

Sosyal medya stratejisti Vincenzo Cosenza tarafından hazırlanan 137 ülke baz alınarak oluşturulan sosyal ağ dünya haritasında son güncellenmesi olan Aralık 2012 için yapılan haritada en çok kullanılan sosyal ağın Facebook olduğu görülüyor.

WMSN1212_590

 

Facebook 127 ülkede en çok kullanılan sosyal ağ olarak gösteriliyor. Yerel ağların Twiteer, Linkedin gibi isimlerin önüne geçmesi ise şaşırtıcı olarak karşılanıyor.

Parolanız Güven Veriyor mu?

Hayatımızın vazgeçilmez bir parçası olan İnternet, gerçek hayatta gerçekleştirilen birçok aktivitenin kendisi üzerinden de yapılabilmesini sağlayan bir portaldır. Ancak internet, tüm bu avantajlarına rağmen tehdit unsurlarıyla da kullanıcıları fazlasıyla rahatsız edebiliyor. İnternetin ve teknolojinin bu denli hayatımıza girmesi ile kullandığımız şifrelerin sayısıda çok artmıştır.Güvenlik kodları, program şifreleri, kredi kartı şifreleri, pin kodları, e-posta hesabı şifreleri, bankamatik şifreleri gibi artık her yerde şifre kullanılması gerekmektedir.

cracking-password

Şifrenizin hem unutmayacağınız kadar kolay, hem de güvenli olması için izlemeniz gereken basit adımlar vardır.

  1. Size iletilen geçici şifreleri kullanmayın, hemen değiştirin.
  2. En iyi parola oluşturma yöntemleri küçük harf, büyük harf, rakam ve özel karakterlerden oluşan parolalardır.
  3. Size özgü, sizi tanımlayan özel bilgileri kullanmayın. Ad, soyad, telefon numarası, tc kimlik no kredi kartı son dört rakamı gibi.
  4. Kelime kullanacaksanız, kullanacağınız kelimeleri tam olarak kullanmayın, kısaltarak ya da içinden bazı karakterleri atarak kullanın.
  5. Bilgisayarda şifre oluşturuyorsanız bunları sanal klavye kullanarak girin. Klavyeden basılan tuşları alabilen kötü amaçlı yazılımlar çok sayıda bulunmaktadır.

    Not : Korumanız gereken en önemli şey epostanızdır. E-postanız bir kere elinizden alınırsa üye olduğunuz bir çok yere erişilebilir! Web sitelerine üye olurken kullandığınız şifre ile email için kullandığınız şifrenin aynı olmamasına dikkat etmelisiniz.

iPhone 6 Test Ediliyor

iPhone 5 Türkiye’ye yeni giriş yapmışken Apple iPhone 6‘yı test ederek üzerinde denemeler yapmaya başlamış bile.

iphone-6
The Next Web’de gösterilen geliştirici loglarına göre iPhone 6’ya dair çalışmalar tam hızıyla devam ediyor ve Apple içerisinde bir geliştiricinin gösterdiği bilgilere ışığında iPhone 6’nın donanımı üzerinde iOS 7 işletim sistemi ile denemeler gerçekleştiriliyor ve iOS 7’nin 2013 ortalarında yayınlanması bekleniyor. Şu anda piyasada olan iPhone’un geliştirici loglarında iPhone 5,1 ve iPhone 5,2 adlarıyla gösterildiği ve iPhone 6’nın iPhone 6,1 adıyla geçtiği belirtilmekte. Son iki yılda Apple yeni iPhone tanıtımları için sonbahar aylarını tercih etmişti, iPhone 6 için de benzer bir tarihin yer alması muhtemel durumda.

Ubuntu Dokunmatik İşletim Sistemi İçin Geri Sayım

ubuntu_haber1

Ubuntu’nun ana sayfasına yerleştirilmiş olan sayaç 2 Ocak tarihinde duyurusu gerçekleşecek bir yenilik için geri sayımını sürdürmeye devam ediyor.Yazıyı hazırladığımız sürede geriye 10 saatten az bir süre kalmıştı. Uzunca bir süredir konuşulan mobil cihaz odaklı ve dokunmatik ekran dostu arabirimin yer aldığı yeni sürüm ile gelmesi beklenen yeni Ubuntu 13.04 sürümü, akıllı telefonlar ve tablet bilgisayarlar için de yeni bir trendin başlangıcı olma niteliğinde. Sayaç 2 Ocak 2013 tarihinde saat 20:00 itibariyle sonlanacak ve merak sona erecek.

Yeni Bir Yıl

Netdirekt olarak Nisan 2009 yılında başlayan konsorsiyum serüvenimiz, elde ettiğimiz başarılar ve sunduğumuz hizmetler ile 2013 yılında da devam edecektir. Yeni yılın gücümüze güç katacak gelişimlere tanıklık edeceğine inanıyor, siz müşterilerimiz ile olmaktan gurur duyuyoruz.

2013-netdirekt