Bu İçerikte Bahsedilen Konular
Web geliştirme beceriniz ne denli güçlü olursa olsun, her zaman bir web güvenliği kontrol listesine sahip olmanız önemlidir. Web profesyoneli olarak tasarım, işlevsellik ve diğer işlere fazlasıyla hâkim olsanız da üst düzey çözümleriniz güvenlikle ilgili değilse, maalesef müşterinizi tutmakta zorlanabilirsiniz.
Web Geliştirmede Güvenlik Neden Önemli?
Günümüzde çevrimiçi bilgisayar korsanlarının artan tehdidi, web güvenliği açısından her zamankinden çok daha tehlikeli bir hale geldi. Bu sebeple, güvenli kimlik doğrulamalarının muhafaza edilmesi ve web geliştirme projesinin her aşamasındaki bağlantıların şifrelenmesi önemli bir hâl aldı. Her 39 saniyede bir internet ortamında yeni bir siber saldırı meydana geldiği düşünülürse, şirketler de dahil olmak üzere pek çok sektörün yüzde 68’inin siber risk taşıdığı bir gerçek.
Çünkü kötü amaçlı bir yazılım herhangi bir web sitesine bulaştığı anda, anında veri toplayabilir ve hatta çok kısa sürede tüm bilgisayar kaynaklarını ele geçirerek etkisiz hale getirebilir. Başka bir deyişle, saldırganlar hem var olan hem de site ziyaretçilerinin gizli bilgilerine erişebilir. Bu nedenle hemen her gün oluşturulan binlerce yeni kötü amaçlı yazılıma karşı sitenizi ve müşterilerinizi korumak adına her zamankinden daha güçlü olmanız gerekir.
Siber saldırı sonrası veri ihlallerinin tam olarak düzeltilebilmesi ortalama 314 gün sürer. Bu zaman aralığında siteniz çökebilir. Bu da müşteri güvenirliliğiniz ve sadakatiniz için önemli bir darbe demektir. Sektördeki pek çok kuruluş sırf bu yüzden müşterilerinin yüzde 20’sini kaybetmiştir.
Tüm bu risk faktörleri göz önüne alındığında, projelerinizi yakından incelemek ve korumak zorunlu hale gelir. Bu nedenle çalışmalarınızı korumak için mutlaka bir web güvenliği kontrol listesi oluşturmanız gerekir.
Web Geliştiricileri İçin Güvenlik Kontrol Listesi
Müşterilerinizin web sitelerini yeniden inşa ederken, en baştan önlemlerinizi almanız, sonradan ortaya çıkacak olan aksaklıkları düzeltmeye göre çok daha avantajlıdır. İşte, projelerinizi güvende tutmanız için yardımcı olabilecek web güvenliği kontrol listesi:
1. Güvenli Bir Barındırma Servisi Seçin
Web sitelerinizin ve uygulamalarınızın güvenliği, seçtiğiniz web sunucunuz ile başlar. Servis sağlayıcınızın sunucuları ve hizmetleri düzgün şekilde yönetilemiyorsa, güvenli bir web sitesine sahip olmak neredeyse imkânsız hale gelir. Bu nedenle güvenli bir web barındırma seçerken, yüzde 100 güvenlik olanaksız olsa da şu genel özellikleri göz önünde bulundurabilirsiniz:
- Güvenli İşletim Sistemi (OS)
- Güvenlik Protokolü (SSL)
- Güvenilir yedekleme ve geri yükleme işlevselliği
- Endüstri standardı çalışma (Uptime) süresi
- Kötü amaçlı yazılım tarama ve koruma
- Dağıtılmış hizmet reddi (DDoS)
- Güvenlik duvarı uygulaması
2. Tüm Bağlantıları Şifreleyin ve Kullanıcı Oturumlarını Güvenli Hale Getirin
Güvenli bir web barındırma servisi seçtikten sonra, göz önünde tutmanız gereken diğer bir konu ise tüm bağlantılarınızı şifrelemektir. Bu işlem, herhangi bir kayıt ve işlem gerektiren tüm web siteleri için önemli bir konudur. Bunun için SSL sertifikası kullanmak en iyi çözümlerden biridir. Öte yandan Güvenli Hiper Metin Aktarım İletişim Protokolü (HTTPS) uygulayarak da sitenizi güvenli hale getirebilirsiniz.
Kimlik doğrulama gerektiren sayfaların korunması öncelikli hedefiniz olmalıdır. Kullanıcıların güvenli kimlik bilgileri ile kaydolmasını sağlayan son derece koruyucu bir şifre standardı ekleyebilirsiniz. Güçlü şifreleme kullanılması, sitenizde bu şifreleri saklamak açısından da önemlidir. Örneğin, “Bcrypt” gibi teknolojiler, herhangi bir veri ihlali durumunda şifrelere ulaşılmasını imkânsız hale getirir.
3. Güvenlik Duvarı (WAF) Kullanın
Güvenlik duvarı (WAF), hem web sitenizi hem de kullanıcı bilgilerini koruma konusunda son derece güçlü bir araçtır. Özellikle otomatik botlardan gelen saldırıları tespit etmek ve önlemek konusunda çok faydalıdır. Güvenlik duvarının birincil kullanımı, HTTPS trafiğinden çok, güvenlik açıklarına karşı önemli ölçüde duyarlı olan HTTP trafiğini izlemektir. ModSecurity güvenlik duvarı ve benzeri araçlar, SQL enjeksiyonları, siteler arası komut dosyası (XSS) ve siteler arası sahtecilik gibi yaygın saldırıları etkili şekilde azaltır.
Özetle, güvenlik duvarı kullandığınızda web siteniz ile internet arasında âdeta bir kalkan oluşur. Her web istemcisi, sunucuya ulaşmadan önce bu duvarı geçmek zorundadır.
4. Veri Tabanınızı Güvende Tutun
Bilgisayar korsanlarının kolayca ulaşabildiği bir başka güvenlik açığı da web sitesi veri tabanıdır. Genellikle web uygulamasının sunucusunda çok fazla bilgi (işletme ve müşteriler hakkında) saklamanız gerekir. Ancak bu bilgiler arasından gerçekten saklamanız gereken bilgileri filtrelemeniz önemlidir.
Kredi kartı bilgileri, e-posta adresleri ve diğer tanımlayıcı bilgiler gibi hassas verileri çok daha dikkatli şekilde ele almanız gerekir. Bu tür bilgiler yanlış şekilde yönetilirse sonuç pahalıya patlayabilir. Bu nedenle genel bir kural olarak, kullanıcı bilgilerini tanımlayan tüm verileri şifrelemeniz önemlidir.
5. Kendinize Siber Saldırı Düzenleyin
Web güvenliği kontrol listesinde ele almanız gereken son konu ise kendi projenize saldırı düzenlemeye çalışmanızdır. Saldırganların ve botların da yapmayı hedefledikleri şey tam olarak bu olduğundan, onlardan önce davranmak her zaman en iyi yoldur. Kendi projenize saldırı düzenlemek, projenizin yaygın siber saldırılara karşı nasıl tepki verdiğini ölçmek için denetleme yapmanın en uygun yoludur. Penetrasyon testi olarak da bilinen bu uygulama tüm sistemlerinizin (API’ler, sunucular vb.) açıklarını görmeniz açısından önemlidir.
Sonuç olarak her işletmenin tüm çevrim içi platformlarda gerçekten kâr edebilmesi için web sitelerinin birinci sınıf güvenliğe sahip olması gerekir. Aslında bir web geliştirici olarak bu güvenliği tüm projelerinizde sağlamak birincil göreviniz olmalıdır.
İstatistiklere göre; crack yazılım, ters proxy, lisanssız yazılım kullanan web siteleri, diğer web sitelerine kıyasla daha fazla risk altındadır. Ayrıca lisanssız panel kullanımı hukuki sonuçlar doğurur. Verilerinizi güvenle korumak için orijinal lisanslı yazılım kullanın ve hizmet aldığınız firmadan orijinal lisans kullandıklarına dair mutlaka kanıtlar isteyin.
