Chrome: Sitenize kötü amaçlı yazılımların bulaşmasını engelleme

Kötü niyetli yazılımdan kurtulmanın bedeli, sürekli olarak tedbirli olmaktır. Bu makale, kötü niyetli yazılımın bulaşmasını engellemek için ipuçları ve bilgiler içerir. Ancak, bu makale kesinlikle çok ayrıntılı değildir ve Google, web yöneticilerine daha kapsamlı araştırma yapmalarını önerir.

Sitenizin sağlıklı olup olmadığını izleme

Search Console’un özelliklerinin birçoğu olası sorunları tanımlamanıza yardımcı olabilir. Örneğin:

    • Dizine eklenenleri görmek için bir Google site: araması yapmayı deneyin. Sağlık denetimi yapmak ve her şeyin normal göründüğünden emin olmak her zaman iyi bir fikirdir. site: search (site:arama) operatörüne henüz aşina değilseniz, aramanızı belirli bir site ile sınırlandırmanın bir yolu vardır. Örneğin, site:googleblog.blogspot.com araması, yalnızca Resmi Google Blogu’ndan sonuçlar döndürür.

 

    • Arama Sorguları sayfası, Google’ın sitenizde bulduğu önemli anahtar kelimeleri listeler. Listede beklenmedik (“Viagra” gibi) anahtar kelimelerin görüntülenmesi, sayfalarınızın saldırıya uğramış olabileceğine dair bir göstergedir.

 

    • Kötü Amaçlı Yazılım sayfası, (Sağlık Durumu‘nun altında) kötü amaçlı kod içerdiği tespit edilen sitenize ait örnek URL’leri listeler. Söz konusu sayfa, mümkün olduğunda, sorun kodunun örneklerini de içerir.

 

    • Google gibi Getir aracı, bir sayfayı Google’ın tarayıcılarının gördüğü şekilde görmenize olanak sağlar. Bir sayfaya kötü niyetli yazılım bulaştığından şüphelenirseniz, Googlebot’un ne göreceğini tespit etmek üzere bu aracı kullanabilirsiniz.

 

  • Google sitenizde kötü amaçlı yazılım algılarsa Search Console ana sayfasından size bilgi veririz ve İleti Merkezinize bir ileti göndeririz. (Bildirimin bir an önce size ulaştığından emin olmak için, İleti Merkezi iletilerinizin e-posta hesabınıza yönlendirilmesini sağlayabilirsiniz)

Güvenlik kontrol listesi

Sitenizi düzenli olarak izlemenin yanı sıra aşağıdaki işlemleri de öneririz:

Tüm web yöneticileri

 

    • Üçüncü taraf içerik sağlayıcılarını çok dikkatli bir şekilde seçin. Widget, sayaç veya reklam ağı gibi üçüncü tarafça sağlanan bir uygulama yüklemeyi düşünüyorsanız, gerekli tedbirleri aldığınızdan emin olun. Reklam alanı genellikle web sitesi sahibinin tanımadığı diğer tarafların ortak kullanımına sunulur. Web’de çok sayıda harikulade üçüncü taraf içeriği bulunsa da sağlayıcıların bu uygulamaları ziyaretçilerinize tehlikeli komut dosyaları göndermek gibi kötü amaçlarla kullanmaları da olasıdır. Uygulamanın tanınmış bir kaynaktan geldiğinden emin olun. Destek ve iletişim bilgileri olan yasal bir web sitesine sahipler mi? Başka web yöneticileri bu hizmeti kullanmış mı?

 

    • Destek için barındırma şirketinizle veya yayın platformunuzla iletişim kurun. Çoğu şirketin yardımsever ve yanıt vermekten kaçınmayan destek grupları ve/veya güvenlik sayfaları vardır. Bir güvenlik sayfasının veya sitesinin RSS yayını varsa, güncel kaldığınızdan emin olmak için bu yayına abone olun.

 

    • Tüm bilgisayarlarınızı güvenli hale getirin. Özellikle bir web sitesinde çalışıyorsanız, yerel iş istasyonunuzun güncel yazılımlara sahip olduğundan, virüs, truva atı veya benzeri kötü niyetli yazılımları barındırmadığından ve yakın zamanda güncellenmiş bir virüsten koruma yazılımının yüklenmiş olduğundan emin olun.

 

Sunucu erişimine sahip olan web yöneticileri

    • Sunucu yapılandırmanızı kontrol edin. Apache sitesinde birkaç güvenlik yapılandırma ipucu ve Microsoft sitesinde birkaç IIS için teknoloji merkezi kaynağı vardır. Bu ipuçlarından bazıları dizin izinleri, sunucu tarafı içermeleri, kimlik doğrulama ve şifreleme hakkında bilgiler içerir.

 

    • .htaccess dosyanızın (veya web sitenizin platformuna bağlı olarak diğer erişim kontrol mekanizmalarının) yedek kopyasını alın. Aşağıdaki işe yaramazsa kurtarmak için yedek dosyanızı kullanın. Bitirdikten sonra yedek dosyanızı sildiğinizden emin olun.

 

    • En yeni yazılım güncellemeleriyle ve yamalarla güncelliğinizi koruyun. Bir web sitesi oluşturmayı kolaylaştıran pek çok araç vardır, ancak bu araçların her biri kötüye kullanma riskini de beraberinde getirir. Birçok web yöneticisinin düştüğü genel tuzak, web sitelerine bir forum veya blog yüklemek ve daha sonra bunu unutmaktır. Otomobilinizin motor ayarını yaptırmak ne kadar önemliyse, yüklemiş olduğunuz her türlü yazılım programı için en son güncellemelere sahip olduğunuzdan emin olmak da o derecede önemlidir. Web siteniz için kullanılan tüm yazılımların ve eklentilerin bir listesini yapın, sürüm numaralarını ve güncellemelerini takip edin. Tüm web sitesi bileşenlerinizi titizlikle güncel tutsanız bile, web barındırıcınız en yeni işletim sistemi yamasını yüklememişse yine tehlike altında olabilirsiniz. Bu, yalnızca daha küçük sitelerin sorunu değildir. Bankaların, spor takımlarının, şirketlerin ve hükümetlerin web sitelerinde de uyarılar olmuştur.

 

    • Gözünüz günlük dosyalarınızın üzerinde olsun. Bunu alışkanlık haline getirmenin birçok faydası vardır ve bunlardan biri de daha fazla güvenliktir. Örneğin, bilinmeyen URL parametreleri (“=http:” veya “=//” gibi) veya sitenizdeki URL’lere yönlendirme trafiğinde görülen ani yükselişler bir bilgisayar korsanının açık yönlendirmelerden yararlandığını gösterebilir. Saldırganların genellikle günlük dosyalarını değiştirmeye çalıştığını da aklınızda bulundurun. Bu dosyaları saldırıdan korumak için önlemler alın. Örneğin, bu dosyaları varsayılan konumlarından taşıyarak saldırganların söz konusu dosyaları bulmasını zorlaştırabilirsiniz.

 

    • Sitenizi yaygın güvenlik açıkları konusunda denetleyin. Açık izinlere sahip dizinler bulundurmaktan kaçının. Bu, evinizin giriş kapısını ardına kadar açık bırakmaya benzer.XSS (siteler arası komut dizisi) ve SQL eklemesiyle ilgili güvenlik açıklarını da kontrol edin.

 

    • Güvenli protokoller kullanın. Google, veri aktarımı için telnet veya FTP gibi düz metin protokolleri yerine SSH ve SFTP kullanılmasını önerir. SSH ve SFTP şifreleme kullanır ve çok daha güvenlidir. Bunun ve diğer birçok faydalı ipucu için StopBadware.org’un Web Sitenizi Temizlemek ve Korumak için İpuçları sayfasına göz atın.

 

  • En son güvenlik haberlerini takip ederek güncelliğinizi koruyun. Google Çevrimiçi Güvenlik Blogu, diğer kaynakları işaret eden bilgilerin yanı sıra çevrimiçi emniyet ve güvenlik hakkında yararlı bilgiler sağlar. US-CERT (Amerika Birleşik Devletleri Acil Durum Hazırlık Ekibi) hükümet sitesi, teknik güvenlik uyarıları ve ipuçları sağlar.

 

Kodlama ve diğer güvenlik araçlarıyla ilgili yakında çok daha kapsamlı yazılarımız paylaşılacaktır.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.