Bir çevrimiçi mağaza işletiyorsanız, tatil sezonunda trafikte büyük bir artış görmeniz olasıdır. Web sitenize ödeme bilgilerini ve kişisel adreslerini giren yeni müşterilerle birlikte, tatile hazırlanırken çevrimiçi mağazanızın güvenliğini sağlamak her zamankinden daha önemli.

Kasım ve Aralık, yılın en yoğun alışveriş aylarıdır ve bu, bir bilgisayar korsanlığı veya güvenlik ihlaliyle ilgili kesintileri yılın diğer zamanlarından daha pahalı hale getirir. Web sitenizin çalışma süresi hiç bu kadar değerli olmamıştı ve bu nedenle çevrimiçi mağazanızda güvenlik denetimi yapmak için mükemmel bir zaman.

Web Sitenizin Güvenliği İçin Önemli Sorular

Web sitesi güvenlik denetiminizin sonunda, şu 10 soruyu yanıtlayabilmelisiniz:

• 1. Mağazam doğru platformda mı?
• 2. Mağazam doğru web barındırıcısında mı?
• 3. Mağazam PCI-DSS uyumlu mu?
• 4. Müşterilerim hakkında çok fazla veri mi topluyorum?
• 5. Müşterilerim ve mağazam arasındaki iletişimi şifreliyor muyum?
• 6. Müşteri hesaplarım güvende mi?
• 7. Çevrimiçi mağazamı çalıştıran yazılım güncel mi?
• 8. Sitemin ön ucunu düzenli olarak ziyaret ediyor muyum?
• 9. CDN ve WAF kullanıyor muyum?
• 10. Kamusal alanlarda çalışırken bağlantımı koruyor muyum?

10 Noktalı Web Sitesi Güvenliği Denetimi

Bu soruların bazılarına veya tümüne nasıl cevap vereceğinizi bilmiyorsanız endişelenmeyin. Tüm bu soruları nasıl cevaplayacağınızı bu yazının sonunda öğreneceksiniz.

Bu yazının geri kalanını incelerken, denetiminizin sonuçları ve yapılacak işlemler hakkında notlar almak isteyebilirsiniz. Bu denetim aynı zamanda web tasarım müşterilerinize (yılın herhangi bir zamanında) sağlamak için mükemmel bir hizmettir.

Tatil sezonuna hazırlık aşamasında web sitenizin güvenlik denetimine başlayalım.

1. Mağazam doğru platformda mı?

Shopify, Magento ve WordPress, insanların mağazalarını oluşturmak için kullandıkları en popüler platformlardan üçüdür. Güvenli olmasaydı bu platformların hiçbiri popüler e-ticaret çözümleri olmazdı. Her üç platformun da güçlü ve zayıf yönleri vardır, bu nedenle hangisinin ihtiyaçlarınıza en uygun olduğunu bulmak için biraz araştırma yapmalısınız.

Mevcut platformunuzun hızlı bir denetimi aşağıdaki soruları içerebilir:

• 1. Platform, güvenlik açıklarını gidermek için sık sık güncellemeler gönderiyor mu?
• 2. Platform, güvenlik standartlarının karşılanmasını sağlamaya kendini adamış bir ekip kullanıyor/kullanıyor mu?
• 3. Platformun açık bırakılmış büyük ölçekli veri ihlalleri veya güvenlik açıkları geçmişi var mı?
• 4. Güvenli olarak platformun itibarı nedir?

Akılda tutulması gereken bir şey, mağazanızı başka bir platforma veya ana bilgisayara taşımanın ne kadar kolay olacağıdır. Shopify'dan uzaklaşmanız gerekiyorsa Shopify'ı WooCommerce'e taşıyabilirsiniz. Ancak, bir WordPress mağazasını yeni bir web barındırıcısına taşımak kadar kolay olmayacaktır. WordPress ayrıca, kullanabileceğiniz araçlar için daha fazla özelleştirme ve esneklik sağlar.

2. Mağazam doğru web barındırıcısında mı?

Web sitenizi arkadaşınızın bloguyla aynı paylaşılan barındırmaya koymak kötü bir fikirdir. Niye ya? Bir e-ticaret web sitesi, düzgün bir şekilde güvenliğini sağlamak için daha yüksek uzmanlık gerektiren çok fazla karmaşıklık ekler. Bir siber güvenlik uzmanı olmayı hayal ettiğiniz için bir mağaza yaratmadınız, bu yüzden bu sorumluluğu sunucunuza yüklemelisiniz.

Liquid Web'in Yönetilen WooCommerce Barındırma veya Yönetilen WordPress barındırma gibi e-ticaret odaklı bir barındırma çözümüne yatırım yapmak, gitmenin yoludur. Tam açıklama, Liquid Web bizim ana şirketimizdir, ancak sizin için gerçekten harika bir barındırmadır. Fiyat mağazasına gidin ve o fiyata bu değerle rekabet eden başka bir barındırma şirketi bulun. Yönetilen bir e-ticaret barındırıcısına sahip olmak, sitenizi yönetme konusunda size çok zaman kazandıracak ve bunun yerine işinizi büyütmek için kullanabileceğiniz zaman kazandıracaktır.

3. Mağazam PCI-DSS uyumlu mu?

Kredi kartı ödemelerini kabul ediyorsanız, Payment Card Industry Veri Güvenliği Standartlarını (PCI-DSS) karşılamanız gerekir. Resmi PCI Güvenlik Standartları Konseyi'ne göre, “ Ödeme kartlarını kabul ederseniz veya işleme koyarsanız, PCI Veri Güvenliği Standartları sizin için geçerlidir.” Bu standartlar 300'den fazla farklı güvenlik gereksinimini içerir, ancak burada PCI-DSS en iyi uygulamalarına genel bir bakış:

PCI Veri Güvenliği Standardı

İnsanların banka kartı numaralarını almayı seçtiğinizde, bu gereksinimleri karşılamak, kötü niyetli bir saldırganın banka hesaplarını boşaltmasını önlemede uzun bir yol kat edecektir. PCI-DSS gereksinimlerini karşıladığınızdan emin olmak için bazı uzman tavsiyeleri almanızı şiddetle tavsiye ederim.

4. Müşterilerim hakkında çok fazla veri mi topluyorum?

Müşterileriniz hakkında ne kadar fazla bilgi toplarsanız, bir ihlal sırasında tehlikeye atılabilecek o kadar fazla bilgi olur. Bu günlerde, bir şirketin müşteri verilerini açığa çıkaran bir veri ihlalinin kurbanı olduğunu duymadan bir hafta bile geçiremeyiz. Örneğin, Doordash ihlalinde müşterinin telefon numaraları, e-posta adresleri, ev adresleri ve şifreli şifreleri ele geçirildi. Bu bilgi kombinasyonu, hileli bir kredi almak için gereken tek şey olabilir.

Müşterileriniz hakkında asla ihtiyacınız olandan daha fazla bilgi toplamamalısınız. Otomatik olarak yenilenmeyen dijital ürünler satıyorsanız, neden posta adresini toplayıp saklayasınız?

Ayrıca Stripe gibi bir ödeme ağ geçidi kullanmayı da düşünmelisiniz. Ödeme ağ geçitleri, kredi kartı ödemelerini boşaltmanıza olanak tanır, böylece mağazanız kredi kartı numaralarını işlemeden veya saklamadan çevrimiçi ödemeleri kabul edebilir. Stripe, PCI-DDS uyumlu olmanıza da yardımcı olacaktır.

Ne yazık ki, her zaman çevrimiçi olarak saldırganlar olacak ve güvenliği ihlal edilen sitelerin raporları eksik olmayacak. Müşterileriniz hakkında topladığınız bilgileri sınırlandırmak, bir ihlal sırasında açığa çıkan bilgi miktarını sınırlayacaktır. Sahip olmadığınız hassas müşteri verilerini kaybedemezsiniz.

5. Müşterilerim ve mağazam arasındaki iletişimi şifreliyor muyum?

SSL, müşterilerinizin tarayıcılarına girip sitenize gönderdikleri iletişimi şifreler. SLL ile, birisi hesap adını ve şifresini girdiğinde, bu bilgiler onay için sitenizin sunucusuna gönderildiğinde korunacaktır. Kullanıcı adını ve parolayı şifrelemek, bir saldırganın tarayıcısından sunucunuza geçiş sırasında kullanıcı adını ve parolayı ele geçirmesini zorlaştıracaktır.

Bunun için çok fazla zaman harcamayacağız çünkü herkesin kendi sitesinde zaten bir SSL sertifikası kullandığını varsayacağız. SSL hakkında bilginiz yoksa WordPress https eğitimimize göz atabilirsiniz. Özel bir e-ticaret ana bilgisayarı kullanıyorsanız, siteniz muhtemelen zaten güvenli bir şekilde SSL kullanıyordur.

6. Müşteri hesaplarım güvende mi?

Kaba kuvvet saldırısı, müşteri hesaplarınıza yapılan en yaygın saldırı türüdür. Kaba kuvvet, bir bilgisayar korsanının doğru olanı bulana kadar rastgele bir kullanıcı adı ve şifre kombinasyonunu tahmin etmeye çalıştığı bir saldırı türüdür. Kaba kuvvet saldırılarının bu kadar popüler olmasının nedeni, giriş beceri bariyerinin çok düşük olmasıdır. Hızlı bir Google aramasıyla birçok ücretsiz şifre kırma aracı bulabilirsiniz.

Harika haber şu ki, WordPress sitenizde iThemes Security Pro gibi bir WordPress güvenlik eklentisi kullanmak, müşterinizin girişine yönelik saldırıların başarılı olmasını önlemeyi kolaylaştırıyor.

Google güvenlik blogu tarafından yapılan araştırmaya göre, kaba kuvvet saldırılarının %100'ünü durdurmak için şu 5 kuralı izlemelisiniz:

Müşterilerinizin giriş yapmasını asla zorlaştırmayacağınızı düşünüyor olabilirsiniz. Nereden geldiğinizi gerçekten anlıyorum, ancak fikrinizi değiştirebilecek kısa bir hikaye paylaşmama izin verin.

Hesaplarından birinin saldırıya uğradığı bir aile üyem vardı. Bilgisayar korsanının yalnızca aile üyesinin ücretsiz olarak satın aldığı ürünleri indirebildiğini unutmayın. Kişisel bilgilerinin hiçbiri saklanmadı (bkz. #4), bu yüzden hiçbir şey çıkmadı. Ancak, bu aile üyesi hala üzgündü. Hesabın ihlal edildiği şirket, onlara tam bir geri ödeme yaptı ve şifrelerini güncellediklerinde hesaplarının güvende olacağına dair güvence verdi.

Bunu duyunca en iyi Sherlock Holmes izlenimimi vermeye ve bir soruşturma başlatmaya karar verdim. Bilgisayar korsanının, aile üyesinin e-posta adresini ve şifresini, çoklu veri ihlali dökümlerinden birinde muhtemelen bulduğunu belirleyebildim. Aile üyem yıllardır aynı şifre ve kullanıcı adı kombinasyonunu kullanıyordu. Haveibeenpwned.com'da e-posta adreslerinin bir parçası olduğu tüm veritabanı ihlallerini gösterdim ve bu hesaplar da saldırıya uğramadan önce tüm hesaplarındaki şifrelerini güncellemeleri için onları teşvik ettim.

Parolalarının herkesin kullanabileceği bir yerde olduğunu öğrendikten sonra, zayıf parola seçimlerini mi yoksa şirket hesabını mı tehlikeye attılar? Firmayı suçlarsanız haklısınız. Saldırı hikayesini anlattıklarında, şirket veya zayıf parola uygulamaları hakkında olumsuz konuşma olasılıklarının daha yüksek olduğunu düşünüyor musunuz? Hata tamamen kendilerine ait olsa da, hesaplarını koruma sorumluluğunun yine de şirkette olduğunu düşünüyorlardı.

Peki bundan ne öğrenebiliriz? Müşteri hesaplarının güvenliğini sağlamak için güçlü parolalar ve iki faktörlü kimlik doğrulaması istemek mağaza sahipleri olarak bize bağlıdır. Çünkü bir müşterinin hesabı saldırıya uğradığında, suçu mağaza sahipleri üstlenir.

İyi haber şu ki, iThemes Security Pro eklentisi, kullanıcıların bir parola veya fazladan bir kimlik doğrulama kodu girmeden güçlü parolalar ve iki faktörlü kimlik doğrulama kullanmasını zorunlu kılmanıza olanak tanıyan yeni bir WordPress parolasız oturum açma özelliğine sahip. Artık kullanılabilirlikten ödün vermeden tüm güvenliği sunabilirsiniz.

7. Çevrimiçi mağazamı çalıştıran yazılım güncel mi?

Yazılım güncellemeleri yalnızca yeni özellikler veya hata düzeltmeleri için değildir. Güncellemeler, bilinen güvenlik açıkları için güvenlik yamalarını da içerebilir. Bilinen açıklardan yararlanan eski yazılımları çalıştırmak, web sitelerinin saldırıya uğramasının en yaygın nedenlerinden biridir. Bir güncelleme rutininizin olması WordPress sitenizin güvenliği için çok önemlidir. Güncellemeleri gerçekleştirmek için sitelerinize en az haftada bir kez giriş yapmalısınız.

iThemes Security Pro eklentisinin Sürüm Yönetimi özelliğini kullanarak, en son güvenlik yamalarını aldığınızdan emin olmak için otomatik WordPress güncellemelerini etkinleştirebilirsiniz. Yazılımınızı güncellemek, çevrimiçi mağazanızı korumaya yardımcı olmak için yapabileceğiniz en kolay şeydir.

8. Sitemin ön ucunu düzenli olarak ziyaret ediyor muyum?

En son ne zaman sitenizin ön ucundan geçtiniz veya ana sayfanıza baktınız? Meşgul site sahipleri olarak, yeni ürünler, içerik eklemek ve site güncellemeleri yapmak için genellikle sitelerimizin arka ucuna doğrudan giriş yaparız. Sitenizin sayfaları ve ürünleri arasında gezinmek, enfeksiyon belirtileri bulmanıza yardımcı olabilir. Sitenizin ön ucunu incelerken veya WordPress sitemin saldırıya uğradığını sorarken bu 3 enfeksiyon belirtisine bakmalısınız.

1. Değişiklikler için ana sayfanızı kontrol edin –Bazı bilgisayar korsanlarının birincil amacı, bir web sitesini trollemek veya kötü şöhret kazanmaktır. Bu nedenle, ana sayfanızı yalnızca komik buldukları bir şeyle değiştirirler veya arama kartıyla saldırıya uğramış bir şekilde bırakırlar.
2. Kötü amaçlı açılır pencereleri veya istenmeyen postaları arayın – Sitenizde reklamı yapılan ve satmadığınız herhangi bir ürün var mı?
3. Beklenmeyen yönlendirmeleri bulun – Müşterinizin verilerini toplamaya çalışan kötü niyetli bir mağazaya yönlendirilmek için yalnızca ürün bağlantılarınızdan birine mi tıklıyorsunuz?

iThemes Security Pro'nun Dosya Değişikliği Algılama özelliğini kullanmak, sitenizde yapılan beklenmedik değişikliklerden haberdar olmanıza yardımcı olabilir. Sitenize yapılan başarılı bir saldırıdan haberdar olmak çok önemlidir, ihlal ne kadar erken tespit edilirse verilen hasarı o kadar azaltabilirsiniz.

9. CDN ve WAF kullanıyor muyum?

Cloudflare CDN gibi bir içerik dağıtım ağı (CDN) kullanmak, mağazanızı DDoS saldırılarından korumaya yardımcı olabilir. CDN, sitenizden farklı bir sunucudadır ve sitenize gelen istekleri sitenize ulaşmadan önce inceleyebilir. Hizmet Reddi Saldırısı (DDos), bir saldırganın bir internet trafiği akışıyla sitenizi bozmaya veya çökertmeye çalışmasıdır. Barındırma planınıza bağlı olarak, sitenizi çökertmek için fazladan trafik gerekmeyebilir.

Bir CDN, bir DDoS saldırısını birkaç farklı şekilde azaltmaya yardımcı olabilir. Bir CDN'nin yapacağı ilk şey, sitenizin saldırı altında olduğunu aktif olarak izlemek ve belirlemektir ki bu kritiktir. Tespit etmeye hazır olmadığınız bir saldırıyı durduramazsınız. Kötü amaçlı IP'ler belirlendikten sonra CDN, IP'lerden gelen herhangi bir talebin sitenize ulaşmasını engelleyecektir.

Ayrıca bir Web Uygulaması Güvenlik Duvarı (WAF) kullanmayı da düşünmelisiniz. Bir WAF, kötü niyetli trafiği sitenize ulaşmadan önce tanımlayabilir ve filtreleyebilir. PHP Web Uygulaması Güvenlik Duvarından farklı olarak, Cloudflare WAF'ın sağladığı gibi bir WAF, sitenizle aynı sunucuda değildir. Böylece tüm güvenlik filtrelemesi site dışında yapılır ve sitenize ekstra yük getirmez veya sitenizi yavaşlatmaz.

10. Kamusal alanlarda çalışırken bağlantımı koruyor muyum?

Bir çevrimiçi mağaza işletmekle ilgili harika şeylerden biri, her yerde çalışabilmenizdir. Ne yazık ki, halka açık Wi-Fi'nin çok güvensiz olduğu ve halk kütüphanelerini, otelleri, kafeleri ve havaalanlarını bilgisayar korsanlarının iletişimi engellemesi ve şifreleri toplaması için başlıca konumlar haline getirdiği bilinmektedir.

Bir keresinde, parolalarını değiştirdikten sonra bile yönetici hesaplarının nasıl saldırıya uğradığını anlayamayan bir iThemes Security Pro müşterisiyle çalıştım. Bir süre sonra, yerel kitaplıklarından çalışmayı sevdiklerini ve sanal bir özel ağ (VPN) kullanmadan wifi'ye bağlandıklarını öğrendim.

Sanal özel ağ, internet trafiğinizi şifreleyerek bankanız veya çevrimiçi mağazanızla güvenli bir şekilde iletişim kurmanıza olanak tanır. iThemes Security Pro müşterisi bir VPN kullanmadığından, trafiği şifrelenmedi ve şifreleri kötü niyetli bir oyuncu tarafından ele geçirilmeye devam etti. Yerel kütüphanede bir VPN kullanmayı denemelerini önerdikten sonra, VPN kullanmanın hack'leri durdurduğunu bize bildirdiler.

Halka açık kablosuz bağlantının güvensizliği hakkında daha fazla kanıta ihtiyacınız varsa, burada bir gazetecinin uçuş sırasında kablosuz bağlantı kullanırken saldırıya uğrama deneyimi hakkında yazdığı harika bir USA Today makalesi var: Bir Apple-FBI hikayesi yazarken havada hacklendim.

Özet: Çevrimiçi Güvenlik En İyi Uygulamaları

Çevrimiçi mağazanıza yapılan çoğu saldırının başarılı olması, yapacağınız küçük bir işlemle önlenebilir. Şu anda sitenizin tatil sezonu için güvenli olduğundan emin olmak için bir güvenlik denetimi yapmanın tam zamanı!

Bir WordPress Güvenlik Eklentisi, WordPress Web Sitenizin Güvenliğini Sağlayabilir

WordPress güvenlik eklentimiz iThemes Security Pro, web sitenizi yaygın WordPress güvenlik açıklarından korumak ve korumak için 50'den fazla yol sunar. WordPress iki faktörlü kimlik doğrulama, kaba kuvvet koruması, güçlü parola uygulaması ve daha fazlasıyla web sitenize ekstra bir güvenlik katmanı ekleyebilirsiniz.

iThemes Security Pro'yu edinin

Michael Moore

Michael, sitelerinizi güvende tutmanıza yardımcı olmak için her hafta WordPress Güvenlik Açığı Raporunu bir araya getiriyor. iThemes'te Ürün Müdürü olarak, iThemes ürün serisini geliştirmeye devam etmemize yardımcı oluyor. Dev bir inek ve teknik, eski ve yeni her şeyi öğrenmeyi seviyor. Michael'ı karısı ve kızıyla takılırken, çalışmadığı zamanlarda kitap okurken veya müzik dinlerken bulabilirsiniz.