Eskiden sitelerimizi barındırmak için basit standart hosting hesapları ihtiyacımızı görürken artık her site için birer sunucu kiralar duruma geldik. Durum böyle olunca temel seviyede sunucu yönetimini öğrenmek de kaçınılmaz oldu. Sunucu güvenliğinin de yönetim başlığı altında en önemli alt başlık olduğunu sanırım hatırlatmama gerek yok. Bu nedenle kendi sunucularınızı yönetirken alabileceğiniz temel güvenlik tedbirlerine bu yazımda kısaca değinmek istedim. İyi okumalar. devamı …
Wikileaks‘in CIA ile ilgili paylaştığı 8000 sayfalık evrakları gördükten sonra güvenlik konusundaki yazılarıma ağırlık vermeye karar verdim. Her ne kadar güvenlik konusunda alınacak tedbirlerin sonu olmasa da kolay lokma olmamalı, alabildiğimiz kadar tedbiri almalıyız.
Web developer olarak öncelikle sunucu güvenliği konusuna değinmek istiyorum. Aklımda şimdiden bir yazı dizisi oluşturdum ve hızlı bir şekilde bu diziyi tamamlamaya çalışacağım. Bu dizinin ilk yazısı yani başlangıcı olarak da sunucuya bağlanmamızı sağlayan SSH konusunda değinmenin doğru olacağını düşündüm. devamı …
Güvenlik artık websitlerimiz ve sunucularımız hakkında ilk düşündüğümüz konu oldu. Bazen de güvenlik mevzusunu o kadar abartıyoruz ki (belki de abartmamız gerekiyordur, orası ayrı) kendimiz bile sunucumuza bağlanamıyoruz. İşte böyle bir sorunun çözümünde kendimizi güvenilir IP olarak sunucumuza tanıtmamız gerekir. Neyse ki CentOS Linux dağıtımlarında kurulu olarak gelen firewall uygulaması firewalld için güvenilir IP olarak atamak oldukça kolay. Tek yapmanız gereken terminalde aşağıdaki komutu çalıştırmak. devamı …
WordPress güvenlik tedbirleri konusu altında dikkat etmemiz gereken hususlardan birisi de dosya izinlerinin doğru ayarlanmasıdır. Gerek tema dosyalarımızın izinleri gerekse wp-content klasörü ve wp-config.php dosyasının izinleri olası tehditlere karşı doğru ayarlanmalıdır. Aksi takdirde bu dosyalara bir şekilde uzaktan erişilerek sitemize zarar verilebilir. devamı …
WordPress bloglarımızda güvenlik kavramı henüz kurulum esnasında dikkat etmemiz gereken bir konu. Mesela yönetici kullanıcı adını kesinlikle “admin” şeklinde girmememiz gerekiyor. Aksi taktirde sitemize girmeye çalışacak kötü niyetli kişilere blogumuzu altın tepside sunmuş oluruz. Bununla birlikte bu kullanıcı adını sonradan veritabanına doğrudan müdahale etmeden değiştirme şansımız blog içerisinden yok malesef. Tabi herkes de yazılımcı olmadığı için veritabanına müdahale vs. çoğu insan için uzak kavramlar ya da en azından uğraştırıcı diyelim. İşte bu sorunu çözmek, yani “admin” ya da herhangi bir kullanıcı adını rahatlıkla değiştirebileceğiniz basit bir araç hazırladım. Umarım ihtiyacınızı görür. devamı …
Yine bir PHP ipucu ile karşınızdayım. PHP uygulamalarımızda ihtiyaçlarımız doğrultusunda verileri depolamak için veritabanı kullanırız. Tabi böyle bir durumda depolanan verilerin güvenliği ayrı bir mesele olarak karşımıza çıkmaktadır. Güvenlik tedbiri olarak pek çok şey söylenebilir ancak olayın başlangıç noktasının girdi kontrolü olduğunu söylemek lazım. Diğer bir deyişle veri filtrelemedir.
Bu yazının bir ipucu olması sebebiyle tüm filtreleme tekniklerini anlatmak yerine sizi sıkmadan basit ve en temel konuya değinmek istiyorum. Bir şekilde kullanıcıdan bir veri girmesini istediniz ya da farklı bir kanaldan uygulamanıza veri çektiniz. Bu veriyi veritabanına girerken sızmaları engelleyecek en temel PHP filtreleme fonksiyonu olan mysql_real_escape_string() kullanmaktan çekinmeyiniz. Kodla anlatmak gerekirse; devamı …