Hosting Güvenliği Nasıl Sağlanır?

Web güvenliği nedir

Bir web sitesinin en önemli unsuru güvenliktir. Güvenli olmayan hostingler hem yayıncı hemde son kullanıcı için çok tehlikelidir. Güvenlik kontrolü olmayan hostinglerden alışveriş yapıldığında sizin kredi kartı bilgileri, adres bilgileriniz ve bir çok kişisel bilgileriniz ele geçirilebilir ve verileriniz kullanılabilir.


Hosting alırken nelere dikkat edilmesi gerekmektedir ?

Hosting alırken dikkat edilmesi gerekenler, ilk olarak hosting firmasının alt yapısı ve güvenlik algoritmaları üstünlüğü sorgulanmalıdır. Yapılacak işlem e-ticaret gibi önemli bir işlemse kesinlikle güvenli kurumsal ve tamamen kendi alt yapısına sahip şirketlerden temin edilmelidir.  Bu şartlarda sizlere isimkayit.com hosting şirketini önerebiliriz. Körfez IKVM konumunda tamamen yedekli metro fiber alt yapısıyla verilerinizi hızlı ve güvenli bir şekilde son kullanıcılarınıza ulaştırıyoruz. Web sitelerinizin protokol güvenliği için SSL Sertifikası hizmeti de sunmaktayız. Tamamen SSD alt yapısıyla size sunduğumuz hosting paketlerimizi ve dünya markalarıyla teminatlanmış SSL sertifikalarını incelemek için isimkayit.com adresini ziyaret edebilirsiniz.

Sunucu platformu

Hosting hizmetlerinin güvenliği için hizmetin barındığı sunucunun donanım ve güncellemeleri en büyük güvenlik etkenleridir. Sunucularda kullanılan donanımlar her zaman son teknoloji ve enterprise donanımlar olmalıdır. Kişisel kullanım için üretilen donanımlarda barınan hostingler hem performans hemde güvenlik olarak çok büyük güvenlik açıkları ortaya çıkarmaktadır.  Enterprise donanımlarının üretim amacı tamamen barındırma olduğu için yapılan güvenlik güncelleştirmeleri ve iyileştirmeler kişisel kullanım amacıyla üretilmiş donanımlara göre daha fazladır. Sunucularda kullanılan işletim sistemleri de enterprise donanımlarla daha uyumlu ve performanslı çalışmaktadır. Bu sebepten dolayı kişisel kullanım için üretilen donanımlardan daha fazla performans, uyum ve güvenlik düzeyine sahip olacaktır. Yazılımsal olarak sunucularda kullanılan işletim sisteminin her zaman güncel ve içerisindeki paketlerin kontrollü ve uyumlu olarak sürekli olarak güncellenmesi gerekmektedir.

Network ve Saldırı Önleme

Sitelerinize gelen trafikler BGP tarafında özel filtre ve donanımsal firewallerden geçtikten sonra Layer3 katmanına aktarılır. Bu trafik  Layer3 katmanında özel yapılandırılmış firewall donanımlar ve switchlerden geçerek temizlendikten sonra Layer3,Layer3+4,Layer4 ve Layer5 katmanına aktarılır. Layer5 katmanında sunucularımız da bulunan CSF yazılımıyla bağlantılar sürekli analiz edilerek daha güvenli bir erişim sağlanmaktadır.  Yazılımsal olarak yapılandırdığımız güvenlik duvarlarında sitelerinize, mail adreslerinize yapılacak Brute Force saldırıları analiz edilerek gerçek ve bot istekler ayırt edilir gereken tüm aksiyonun sağlanması için apilerle yazılımsal olarak CSF donanımsal olarak switch ve firewall cihazlarına gerekli komutlar gönderilir. Layer 7 katmanında ise hosting dosyalarınız ClamAv, Maldet ve Malware detect yazılımlarıyla taranarak bilginiz dahilinde olmayan olası virüslü dosyalar karantina altına alınarak veri dosyalarınızda güvenlik elde edilmektedir. Bu sayede verileriniz güvenli bir şekilde depolanmaktadır. Yazılımınız tarafında injection ve diğer açıkları 100000+ adet CWAF kurallarıyla aktif olarak koruyan ModSecurity yazılımıyla önlemekteyiz.

Loglama ve Trafik İzleme

Siteleriniz de yapılan işlemleri izlemek ve loglamak hosting güvenliği için çok önemlidir. Sitelerde yapılan işlemlerin loglanması ve izlenmesi sitelerinize yapılacak olası bir kötü amaçlı girişimde size yön gösterecektir. Sitenize yapılan her trafiğin düzenli olarak izlenerek monitör edilmesi gerekmektedir. Bu sebepten dolayı kullanacağınız hosting yapısında access logların tutulduğuna emin olunuz. Bu sayede hostinginize giren tüm trafiğin ip adresini, user agent bilgilerini ve hangi bağlantıya geldiği gibi tüm bilgileri aktif olarak takip edebilir ve izleyebilirsiniz.


Eklentiler, Temalar ve Yazılımlar 

Hosting de kullandığınız yazılımlar, eklentiler ve temaların tamamen lisanslı ve official olarak indirildiğine emin olun. Günümüzde lisanslı olarak sunulan yazılım, eklenti ve tema paketlerinin %90'dan fazlası internet'te illegal yollarla paylaşılmaktadır. Dünya çapında en yaygın olarak bu paketlerin içerisindeki yazılım dosyalarına yerleştirilen zararlı kodlarla site dosyalarınız kötü amaçlı kullanıcılar tarafından ele geçirilerek sitelerinizin belli kısımlarına reklam koymak, sitelerinizi reklam sitelerine yönlendirmek, sitelerinize backlink koymak, kullanıcı verilerinizi çalmak, phishing yapmak gibi bir çok aksiyon gerçekleştirilmektedir. Yazılımda bir satır kod ile tüm dosyalarınıza zararlı yazılım bulaştırılabilir ve verileriniz ele geçirilebilir. Kullanılan paketler binlerce yazılım dosyası ve milyonlarca satır kod oluğunu düşünürsek bulaşan bir zararlı kodu tespit etmek ve temizlemek çok zahmetli bir işlem olacaktır. Çoğu illegal yazılımlarda bu kodlar tespit edilip temizlense bile kullanılan paket kendini imha ediyor ve kullanılmaz hale geliyor bu sebepten dolayı ilgili paketlerin zararlı yazılımla birlikte kullanılması zorunlu kılınıyor . Sitelerinizin güvenliği için her zaman lisanslı ve official 3. parti yazılımlar kullanılmasını önermekteyiz.
 

Chmod Değeri

Chmod değerleri dosyaların okuma, yazma ve çalıştırma izinlerini yönetmektedir, Hostinge atılan dosyaların chmod değerlerine dikkat edilmesi gerekmektedir. 777 verilen dosya ve klasörlerin sunucu tarafında gerekli güvenlik düzenlemeleri yapılmamışsa okunabilir, yazılabilir ve çalıştırılabilir. Global olarak hostinglerin güvenli olarak çalışabilmesi için klasörlere 755 dosyalara da 644 izni verilmesi gerekmektedir.  

Kullanıcı Şifreleri

Hostingler'in giriş esnasında oluşturacağınız şifreler çok önemlidir. İnternet üzerinde sürekli aktif olarak çalışan zararlı botlar HTTP, HTTPS, FTP, SFTP, IMAP, POP3 ve SMTP protokollerine sürekli olarak deneme yanılma yöntemiyle dakikada binlerce istek göndererek kullanıcı bilgileriniz ele geçirilmeye çalışır. Bu isteklere genel olarak Brute Force ismi verilir.  Kullanıcılarınız'a atanan şifrelerin her zaman büyük harf, küçük harf, rakam ve özel karakter içerdiğine ve en az 10 karakter olduğuna emin olunuz. Brute Force botlarının yaptığı isteklerde ilk denemeler 12345, 1q2w3e, qweasd gibi basit şifrelerdir.  Eğer kullandığınız sunucuda Brute Force engellemesi için herhangi bir aksiyon alınmadıysa kullanıcılarınız ve şifreleriniz ne kadar güvenli olursa olsun tespit edilerek ele geçirilir. Bu durumda kullandığınız hosting yapısında Brute Force ile ilgili gerekli aksiyonların alınmış olduğuna emin olunması gerekmektedir.

Güvenli Giriş 

Sitelerinizin ve bağlantınızın güvenliğini sağlayan TLS(Transport Layer Socket)  ve SSL(Secure Socket Layer)  ismiyle  tanınan iki farklı protokol mevcuttur. Bu protokollerden TLS olan sadece hosting taraflı trafiği şifreleyerek sızmayı önlemektedir. SSL olan protokol ise uç dan uca şifreleme olarak tanınmaktadır. Sunucuya tanımlanan anahtar ve sertifika koduyla client tarafından doğrulanmaktadır. Bu sebepten dolayı sunucu ve son kullanıcı tarafında sağlanan veri akışı şifrelenerek ağa yaşanan olası bir sızmada veriler şifreli olduğu için görüntülenmesi için anahtar koduna ihtiyaç duyulmaktadır. Bu anahtar kodu sunucu tarafında tanımlı olduğu için yayıncı sunucu çözümleyebilmektedir. Bu protokol sayesinde veri trafiğinde uçtan uca şifreleme ve güvenlik sağlanmaktadır. 

Panel Erişim İzinleri

Hostinginizde kullandığınız yazılımın yönetim paneli sitenizin tüm dinamiklik yönetimine erişim sağlamaktadır. Bu paneller sayesinde yazılımınızın yapısına göre internet sitenize ekleme çıkarma yapabilir ve verileriniz yönetilebilir. Bir e-ticaret siteniz varsa bu panel sayesinde siparişler yönetilebilir ve müşterilerinizin kişisel bilgileri ele geçirilebilir. Bu durumda kullandığınız yazılımın elbette şifreli girişle güvenlik önlemi vardır ancak şifreniz ele geçirildiğinde ya da yazılımsal bir injection açığı tespiti ile panelinize giriş yapılabilir. Bu tür durumları önlemek için panelleriniz'e her zaman two factor( iki faktör ) doğrulamasıyla erişim sağlayabilirsiniz. Eğer maliyet probleminiz yoksa her girişte yazılımsal olarak ilgili yöneticinin telefonuna SMS olarak kod gönderebilir ya da her girişte mail olarak kod gönderebilir ve giriş esnasında bu kod ile doğrulama yapabilirsiniz. Ancak yazılımda herhangi bir session veya injection açığı varsa bu yöntemlerde işe yaramayabilir. En etkili güvenlik yöntemi IP adresiyle erişim izni vermektir. Paneliniz de yazılımsal olarak ya da htaccess ile engelleme gibi çeşitli yöntemlerle belirli IP adreslerine erişim izni verebilirsiniz. Ancak eğer kullandığınız bağlantının yapısında IP adresi sabit değilse her bağlantı kopmasında veya yenilenmesinde IP adresiniz değişecek ve erişiminiz de kısıtlama yaşanacaktır ve yazılımsal olarak her seferinde yeni IP adresinize izin vermeniz gerekecektir. Bu durumda eğer panelinizi tek bir ağda  yönetiyorsanız internet servis sağlayıcınızdan IP adresinizi sabitlenmesini talep edebilirsiniz ya da VPN hizmeti kullanarak farklı lokasyonlarda ve ağlarda IP adresinizi sabitleyip erişim sağlayabilirsiniz. Böylece panelinize farklı ağdan bilginiz dahilinde olmayan hiç bir kullanıcı erişim sağlayamayacaktır.


Yazılımsal Güvenlik

Bir hostingin sunucu tarafında ve donanımsal olarak alınacak güvenlikler %50 kısımdır. Geri kalan %50 lik kısmın tamamını yazılımsal güvenlik sağlamaktadır. Hosting içerisinde kullanılan yazılım hostinginizin tüm verilerini yönetebilir ve erişebilir bu sayede eğer kullandığınız yazılımda açık mevcutsa ve kötü amaçlı son kullanıcılar bu açıkları tespit ederse sitenizin verilerine ulaşabilir ve yönetim sağlayabilir. Dünya üzerinde en yaygın açık injection açığıdır. İyi niyetli olarak kullanıcılarınız için yazılan kodların yapısını farklı amaçlarla verilerinizi yöneterek kullanılmasına injection açığı denir. Bu açığı önlemek için çeşitli methodlarla internet sitenizden gelen verileri filtreleyerek zararlı içerikleri silip verileri işleyebilirsiniz. Yazılımsal olarak injection açığı gibi bir çok yazılımsal açık mevcuttur. Bu sebepten dolayı yazılımınız da ki tüm veri işlemlerini ve requestleri güvenli bir şekilde yapılandırıldığından emin olmanız gerekmektedir.