Sitenize Kötü Niyetli Yazılım Bulaşmasını Önleme

Bu site bilgisayarınıza zarar verebilir yazısını sitemiz üzerinde görmek istemiyorsak önceden önlemlerimizi almak zorundayız. Kötü niyetli yazılımlar başkaları tarafından biz farkında olmadan sistemimize girmekte ve sitelerimize bulaşarak daha sonrada o siteye giren başka kullanıcıların sistemlerine girerek bu şekilde ilerlemektedirler. İşte bu kötü niyetli yazılımlara karşı yapılması gerekenler;

Reklamlar

Kötü niyetli yazılımdan kurtulmanın bedeli, sürekli olarak tedbirli olmaktır. Bu makale, kötü niyetli yazılımın bulaşmasını engellemek için ipuçları ve bilgiler içerir. Ancak, bu makale kesinlikle çok ayrıntılı değildir ve Google, web yöneticilerine daha kapsamlı araştırma yapmalarını önerir.
Sitenizin sağlıklı olup olmadığını izleme

Web Yöneticisi Araçları’ndaki birçok özellik, potansiyel sorunları tespit etmenize yardımcı olabilir. Örneğin:
# Dizine eklenenleri görmek için bir Google site: araması yapmayı deneyin. Sağlık denetimi yapmak ve her şeyin normal göründüğünden emin olmak her zaman iyi bir fikirdir. site: search (site:arama) operatörüne henüz aşina değilseniz, aramanızı belirli bir site ile sınırlandırmanın bir yolu vardır. Örneğin, site:googleblog.blogspot.com araması, yalnızca Resmi Google Blogu’ndan sonuçlar döndürür.

# En Sık Yapılan Arama Sorguları sayfası, Google’ın sitenizde bulduğu önemli anahtar kelimeleri listeler. Listede beklenmedik (“Viagra” gibi) anahtar kelimelerin görüntülenmesi, sayfalarınızın saldırıya uğramış olabileceğine dair bir göstergedir.

# Kötü Niyetli Yazılım Ayrıntıları sayfası, sitenizde kötü niyetli kod içerdiği tespit edilen örnek URL’leri listeler. Söz konusu sayfa, mümkün olduğunda, sorun kodunun örneklerini de içerir.

# Googlebot gibi Getir aracı, bir sayfayı Google’ın tarayıcılarının gördüğü şekilde görmenize olanak sağlar. Bir sayfaya kötü niyetli yazılım bulaştığından şüphelenirseniz, Googlebot’un ne göreceğini tespit etmek üzere bu aracı kullanabilirsiniz.

# Google, sitenizde kötü niyetli yazılım tespit ederse, bu durumu size Web Yöneticisi Araçları ana sayfasında bildiririz ve İleti Merkezi’nize bir ileti göndeririz. (Bildirimin bir an önce size ulaştığından emin olmak için, İleti Merkezi iletilerinizin e-posta hesabınıza yönlendirilmesini sağlayabilirsiniz)
Güvenlik kontrol listesi

Sitenizi düzenli olarak izlemenin yanı sıra aşağıdaki işlemleri de öneririz:
Tüm web yöneticileri

* Güçlü şifreler seçin. Gmail kuralları faydalıdır.

* Üçüncü taraf içerik sağlayıcılarını çok dikkatli bir şekilde seçin. Widget, sayaç veya reklam ağı gibi üçüncü tarafça sağlanan bir uygulama yüklemeyi düşünüyorsanız, gerekli tedbirleri aldığınızdan emin olun. Reklam alanı genellikle web sitesi sahibinin tanımadığı diğer tarafların ortak kullanımına sunulur. Web’de çok sayıda harikulade üçüncü taraf içeriği bulunsa da sağlayıcıların bu uygulamaları ziyaretçilerinize tehlikeli komut dosyaları göndermek gibi kötü amaçlarla kullanmaları da olasıdır. Uygulamanın tanınmış bir kaynaktan geldiğinden emin olun. Destek ve iletişim bilgileri olan yasal bir web sitesine sahipler mi? Başka web yöneticileri bu hizmeti kullanmış mı?

* Destek için barındırma şirketinizle veya yayın platformunuzla iletişim kurun. Çoğu şirketin yardımsever ve yanıt vermekten kaçınmayan destek grupları ve/veya güvenlik sayfaları vardır. Bir güvenlik sayfasının veya sitesinin RSS yayını varsa, güncel kaldığınızdan emin olmak için bu yayına abone olun.

* Tüm bilgisayarlarınızı güvenli hale getirin. Özellikle bir web sitesinde çalışıyorsanız, yerel iş istasyonunuzun güncel yazılımlara sahip olduğundan, virüs, truva atı veya benzeri kötü niyetli yazılımları barındırmadığından ve yakın zamanda güncellenmiş bir virüsten koruma yazılımının yüklenmiş olduğundan emin olun.

Sunucu erişimine sahip olan web yöneticileri

* Sunucu yapılandırmanızı kontrol edin. Apache sitesinde bazı güvenlik yapılandırma ipuçları, Microsoft sitesinde ise IIS için bazı teknoloji merkezi kaynakları bulunmaktadır. Bu ipuçlarından bazıları dizin izinleri, sunucu tarafı içermeleri, kimlik doğrulama ve şifreleme hakkında bilgiler içerir.

* .htaccess dosyanızın (veya web sitenizin platformuna bağlı olarak diğer erişim kontrol mekanizmalarının) bir yedek kopyasını alın. Aşağıdaki işe yaramazsa kurtarmak için yedek dosyanızı kullanın. Bitirdikten sonra yedek dosyanızı sildiğinizden emin olun.

* En yeni yazılım güncellemeleriyle ve yamalarla güncelliğinizi koruyun. Bir web sitesi oluşturmayı kolaylaştıran pek çok araç vardır, ancak bu araçların her biri kötüye kullanma riskini de beraberinde getirir. Birçok web yöneticisinin düştüğü genel tuzak, web sitelerine bir forum veya blog yüklemek ve daha sonra bunu unutmaktır. Otomobilinizin motor ayarını yaptırmak ne kadar önemliyse, yüklemiş olduğunuz her türlü yazılım programı için en son güncellemelere sahip olduğunuzdan emin olmak da o derecede önemlidir. Web siteniz için kullanılan tüm yazılımların ve eklentilerin bir listesini yapın, sürüm numaralarını ve güncellemelerini takip edin. Tüm web sitesi bileşenlerinizi titizlikle güncel tutsanız bile, web barındırıcınız en yeni işletim sistemi yamasını yüklememişse yine tehlike altında olabilirsiniz. Bu, yalnızca daha küçük sitelerin sorunu değildir. Bankaların, spor takımlarının, şirketlerin ve hükümetlerin web sitelerinde de uyarılar olmuştur.

* Gözünüz günlük dosyalarınızın üzerinde olsun. Bunu alışkanlık haline getirmenin birçok faydası vardır ve bunlardan biri de daha fazla güvenliktir. Örneğin, tanıdık olmayan URL parametreleri (“=http:” veya “=//” gibi) veya sitenizde URL’leri yeniden yönlendirmek için yoğunlukta meydana gelen ani değişiklikler, bir saldırganın açık yeniden yönlendirmeleri kötüye kullandığının göstergesi olabilir. Saldırganların genellikle günlük dosyalarını değiştirmeye çalıştığını da aklınızda bulundurun. Bu dosyaları saldırıdan korumak için önlemler alın. Örneğin, bu dosyaları varsayılan konumlarından taşıyarak saldırganların söz konusu dosyaları bulmasını zorlaştırabilirsiniz.

* Sitenizi yaygın güvenlik açıkları konusunda denetleyin. Açık izinlere sahip dizinler bulundurmaktan kaçının. Bu, evinizin giriş kapısını ardına kadar açık bırakmaya benzer.

XSS (siteler arası komut dizisi) ve SQL eklemesiyle ilgili güvenlik açıklarını da kontrol edin.

* Güvenli protokoller kullanın. Google, veri transferi için telnet veya FTP gibi düz metin protokolleri yerine SSH ve SFTP kullanılmasını önerir. SSH ve SFTP şifreleme tekniğini kullanır ve çok daha güvenlidir. Bunun ve diğer birçok faydalı ipucu için StopBadware.org’un Web Sitenizi Temizlemek ve Korumak için İpuçları sayfasına göz atın.

* En son güvenlik haberlerini takip ederek güncelliğinizi koruyun.Google Çevrimiçi Güvenlik Blog’u, çevrimiçi güvenlik ve emniyet hakkında faydalı bilgiler sağlamasının yanı sıra diğer kaynaklara da yönlendirir. US-CERT (Amerika Birleşik Devletleri Acil Durum Hazırlık Ekibi) hükümet sitesi, teknik güvenlik uyarıları ve ipuçları sağlar.

Google

Sponsorlu Bağlantılar

Yorum yapın