E-Ticaret Sitesi Güvenliği Nasıl Sağlanır
E-Ticaret sitesi güvenliği nasıl sağlanır. Eticaret siteniz güvendemi? Eticaret sitelerine yapılan siber saldırılara her geçen gün bir yenisi eklenmektedir. E-Ticaretin büyümesi ile birlikte siber saldırılarda beraberinde geliyor.
Bir çoğu saldırı haberlerinden ve saldırı sonucu oluşan sorunlardan dolayı kendi e-ticaret sitesini açma konusunda endişe ediyor. Bu sorunlar beraberinde internetten alışveriş yapan kişileride endişelendiriyor. Mevcut e-ticaret sitesi olupta satış yapan kişileride oldukça rahatsız etmektedir.
Ancak e-ticaret yapıyorsanız yada e-ticaret sitesi kuracaksanız siber olayların herzaman olabileceğini anlamamız gereklidir. Bu aynı fiziksel bir mağazanızın herzaman soyulma yada mağazanızdan birşeylerin çalınması gibi risklerin olduğu gibi bir durumdur.
Fiziksel mağazalarda bu durumlara göre bir takım önlemler alınır. Örneğin kapı kilitleri en iyisini seçilir, güvenlik kamerası, alarm, güvenlik görevlisi vb gibi önlemler ile fiziksel mağazalar korunur.
E-Ticaret sitenizdede durum farklı değildir. Fiziksel mağazanızda olduğu gibi bu gibi riskler e-ticaret sitenizdede mevcuttur. Bu nedenle endişelenmek yerine gerekli önlemleri alıp endişe duyduğunuz siber saldırıların ne olduğunu anlamanız gereklidir. Siber saldırılar hakkında ne kadar bilgili olursanız alacağınız önlemlerde okadar bilinçli olacaktır.
E-Ticaret Siteleri İçin En Yaygın Güvenlik Tehditleri
- Kötü amaçlı yazılım.
- DDoS saldırıları.
- Kaba kuvvet saldırıları.
- Sıfır gün açıkları.
- Müşteri taraflı güvenlik açıkları.
E-Ticaret Sitenizi Siber Tehditlerden Koruma Yöntemleri
- Doğru e-ticaret web sitesi platformunu seçin.
- SSL şifreleme kullanın.
- Müşteri bilgilerini toplarken seçici olun (ve sitenizde saklamayın).
- Web sitenizin etkinliğini sürekli olarak izleyin.
- Sistemlerinizi güncel tutun.
- Verilerinizi düzenli olarak yedekleyin.
- Ne indirip entegre ettiğinize dikkat edin.
Şimdi siber saldırı çeşitlerini bir inceleyelim. Ne tür saldırılar oluyor ve nasıl önleyebiliriz.
Ddos Saldırısı Nedir?
Çağımızdaki en yaygın saldırılardan birisi ddos saldırısıdır. Denial of Service (Dos saldırısı), internete bağlı bir hostun hizmetlerini geçici veya süresiz olarak durdurmayı amaçlayan bir siber saldırı türüdür.
Dos genellikle hedef host (Sitenizin barındırıldığı alan) yada bir siteye binlerce sorgu göndererek örneğin sitenizin üye giriş bölümünde binlerce giriş denemesi yaparak işlemcinin haddinden fazla yük nedeni ile yavaşlatılması ve hatta çökmesini hedeflemektedir. Bunu bir grup insanın, bir dükkân veya işyerindeki kapıları zorlayıp, ziyaretçilerinizin mağazaya veya işletmeye girmesine izin vermeyerek işlerin aksaması şeklinde örnekleyebiliriz.
Saldırıların failleri genellikle bankalar veya kredi kartı ödeme sistemleri gibi yüksek profilli web sunucularında barındırılan siteleri veya hizmetleri hedef alır. Yani tüm amaç sitenizin bulunduğu sunucuyu yavaşlatmak yada çökertmektir.
Bu konuda alabileceğiniz önlemleri opencart güvenlik klavuzu konumuzu inceleyerek öğrenebilirsiniz.
E-Posta Dolandırıcılığı
Kimlik avı, çevrimiçi kullanıcıları kullanıcı adı, şifre ve kredi kartı bilgileri gibi hassas bilgilerini ele geçirmeyi hedefleyen bir saldırıdır. Kimlik avı, saldırganın e-posta veya web sayfası aracılığıyla güvenilir bir varlık gibi davranmasıyla gerçekleşir.
Kurbanlar, sahte e-postalar, anlık mesajlaşma, sosyal medya veya diğer yollar aracılığıyla meşru görünecek şekilde tasarlanmış sahte web sayfalarına yönlendirilir. Buradaki amaç e-ticaret sitenizin bilgilerine erişip müşteri kayıtlarına yada sisteminize kayıt oluyorsa kredi kart bilgilerine ulaşmaktır.
Bu konuda alabileceğiniz önlemleri sosyal mühendisliğe dikkat konumuzu inceleyerek öğrenebilirsiniz.
Kötü Amaçlı Yazılım
Kötü amaçlı yazılım bir e-ticaret sitesine ulaşmanın en kolay yollarından birisidir. Bu yazılımlara: virüsler, solucanlar, Truva atları, fidye yazılım, casus yazılım vb çok çeşitli yazılım türlerini içerir.
Nasıl Önlem Alınır?
E-Ticaret sitenizin yönetimini yaptığınız bilgisayarda geçerli güncel ve lisanslı bir antivirüs kullanmalısınız. Ücretsiz antivirüslerle pek bir koruma sağlayamayabilirsiniz. Sitenize bulaşan kötü amaçlı yazılım,virüs vb genellikle bu yolla bulaşmaktadır.
Kaba Kuvvet Saldırıları
Günümüzde pek yaygın değildir ancak hiç yok diyemeyiz. Bazı bilgisayar korsanları web sitenize erişmek için kullanılabilecek bir kombinasyon bulana kadar birden fazla şifre kombinasyonu ile yönetim panelinize ulaşmak için bir yazılım uygulaması kullanır.
Kaba Kuvvet Saldırıları Nasıl Önlem Alınır?
Bu yöntem genellikle yönetim panelinizin giriş formuna uygulanır. Bu durumda en sağlıklı çözüm yönetim panelinizin yolunu değiştirmektir. Örneğin: Yaygın olarak kullanılan www.sizinstneniz.com/admin bu veya bilinen eticaret alt yapılarının hepsinde giriş ve admin yolu aynıdır. Bu şekilde bir yönetim paneli kaba kuvvet saldırılarına açıktır. Bu durumda saldırgan bir yazılım aracılığı ile milyonlarca şifre ve kullanıcı kombinasyonu deneyebilir. Bu durumda öncelikle kullanıcı adınız ve parolanız yaygın bir kombinasyon olmamalıdır. Örnek kullanıcı adı: admin parola 1234 bu gibi kolay kombinasyonlar çözülmektedir.
Sıfır Gün Açıkları
Yazılım geliştiricileri, bir bilgisayar korsanının belirli bir sisteme arka kapı girişi sağlamak için kullanabileceği olası açıkları bulmaya çalışırlar. Bir güvenlik açığı keşfettiklerinde, kullanıcıları mümkün olan en kısa sürede korumak için bir yama oluşturur ve yayınlarlar.
Bazen siber suçlular, bir yama yayınlanmadan önce güvenlik açığını keşfeder ve örneğin e-ticaret sitelerine girerek onlardan faydalanmaya çalışırlar.
Sıfır Gün Açıkları Nasıl Önlem Alınır?
Kullandığınız e-ticaret sitesi alt yapısını herzaman güncel ve yazılımın resmi sitesinden indirilip kurulduğuna emin olun. Sitenizde internetten bulduğunuz modül/eklenti türlerini kullanmayın. Yazılımınız için ihtiyacınız olan modül/eklentileri yazılımın kendi sitesinden alın.
Müşteri Taraflı Güvenlik Açıkları
Bu, teknik olarak e-ticaret siteleri için doğrudan bir tehdit değildir, ancak müşterilerinizi etkileyebilir (onlar da haksız olarak sizi suçlayabilirler). Bir müşteri şifresini unutursa, veya kolaylıkla tahmin edilebilir bir şifre kullanıyorsa bir siber suçlu hesabına kolaylıkla giriş yapabilir. Ve kendi adına alışveriş yapabilir.
Müşteri Taraflı Güvenlik Açıkları Nasıl Önelem Alınır?
Müşterilerinizi zor şifre kullanmaya zorlayan modül yada yazılım kullanın. Bu konudaki en önemli unsur ise sisteminizde müşteri kart bilgisini kayıt eden yazılım olup olmadığıdır. Örneğin bazı sitelerde alışveriş yaptığınızda kart bilgileri kayıtlı olduğu için tek tıkla seçip alışveriş tamamlanır. Bu müşteri giriş bilgilerinin ele geçirilmesi durumunda tehlikelidir. Bu nedenle 3d doğrulaması olmayan sanalpos kullanmamalısınız. Daha önemlisi müşteri kredi kart bilgilerini sitenizde barındırmayın.
Spam Saldırıları
Genellikle ticari reklam niteliğinde olup, güvenilmeyen ürünlerin yarı yasal servislerin veya web sitelerinin duyurulması amacına yöneliktir. Spam saldırısı genellikle sitelerde bulunan formlara yöneliktir. Amaç otomatik çalışan bir yazılım ile bu formları doldurup site sahiplerine yada müşterilere reklam yapmaktır. Ayrıca botlar genellikle web sitelerinde gezinmeye ve e-posta ve kullanıcı adları gibi önemli verileri toplamaya çalışır.
Karmaşık isimler ile sitenize kayıt olunuyorsa, ürün sayfalarınıza ürünle alakasız anlamsız yorumlar yapılınıyorsa siteniz spam saldırısına açık demektir. Bu durumda sitenizin trafiği gereksiz şekilde artabilir. Ayrıca ürünlerinize yapılan yorumlarda bir siteye tıklamaya yönlendiriyor olabilir ve bu site yasa dışı ürünler satıyor olabilir. Bu durum ürününüzü inceleyen müşterilerinizde olumsuz bir kullanıcı deneyimi oluşturacaktır.
Spam Saldırıları Nasıl Önlenir?
Saldırıları önlemenin en iyi yolu sitenizin üye giriş, kayıt olma, yorum vb gibi form girişlerine Google reCAPTCHA kullanmaktır.
E-Ticaret Sitesi Güvenliği Nasıl Sağlanır Özet
Alacağınız sunucuya fiyatına göre değil özelliklerine göre karar verin. Eğer karar veremiyorsanız uzman firmalardan destek isteyiniz. Sunucu seçimi sonrası düzenli olarak yedeklerinizi alın. Yedeklerinizin sunucunuzda otomatik yapılıyor olması yeterli değildir. Düzenli olarak bilgisayarınıza indirip harici bir bellekte tutun. Sunucu yönetimi çok önemlidir. Eğer yeteri kadar sunucu yönetim bilgisine sahip değilseniz sunucu hizmetinizi uzman bir firmadan alın. Sitenizle ilgili bir işlem yapılacaksa bunun güvenli kişilerce yapılması önemlidir. Unutmayınki sunucu bilgisini paylaştığınız merci tüm bilgilerinizede erişebilecektir.
Alt Yapı
Açık kaynakmı? kapalı devremi? sıkça tartışılan bir konudur. Yukarıda belirttiğimiz siber saldırılar tüm e-ticaret alt yapıları için geçerlidir. Bu noktada alt yapınızın açık yada kapalı olmasından çok hizmeti nereden aldığınızdır. Yapılan ve başarılı olan saldırıların %85’i sunucu açıklarından faydalanmaktadır. Bu durumda açık kaynak yada kapalı devre olmasından çok servis sağlayıcının nekadar güvenli olduğu önemlidir. Güvenebileceğiniz bir servis sağlayıcı seçin.
Birçok yerde ücretsiz ssl kullanılmaktadır. Bu arama motorlarının algılaması açısından iyi ancak veri güvenliğiniz açısından risklidir. Bu nedenle ücretli bir ssl şifreleme yöntemi kullanın.
Alt yapınızı herzaman güncel sürüme yükseltin. Lisanssız modül kullanmayın. Mail order ve kredi kart bilgisi kayıt eden modüllerden uzak durun.
Sağlam sunucu, güvenli bilişim firması, kaliteli bir alt yapı ile e-ticaret sitesi kurmak için yada mevcut sitenizi yürütmek için endişe etmenize gerek bir durum yoktur.
Opencart e-ticaret sitesi alt yapısı için opencart güvenlik klavuzu‘nu inceleyerek yapabilirsiniz. Sitesi güvenliği nasıl sağlanır ile ilgili daha fazla bilgi ve güncel takibi için e-ticaret güvenliği blogumuzu takip edebilirsiniz.