-Neden Webkalkan’dan web sitesi güvenlik paketi alayım? Web hosting firmam zaten web sitemin güvenliğini sağlıyor…
Hayır. Bu doğru değil çünkü web hosting firması (normal şartlar altında) web sitenizin güvenliğini (tam olarak) sağlamaz çünkü web sitenizin içeriği sunucu güvenliğinin dışında kalır. Mesela web sitenizde WordPress kullanıp onu güncel tutmazsanız, bu hosting firmasının sorunu değil, sizin sorununuzdur ya da sitenizin HTML kodlarını kendiniz yazıp, kodda bir açık bırakıp, saldırganlara açık (örneğin SQL injection için) açık kapı bırakırsanız, bu hosting firmasının değil sizin sorununuzdur. Webkalkan size gerçek zamanlı bir koruma sağlar ve bu gibi durumları engellemek ve olası felaket durumlarında da hızlıca geri dönmenize yardımcı olur.
-İnternet üzerinde sizin ücretli yaptığınız işi ücretsiz yapan pek çok servis görüyorum. Onlardan ne farkınız var?
Öncelikle bu servislerin bu performansta ücretsiz olması mümkün değil ancak kısmen de olsa haklısınız ancak -kabaca söylemek gerekirse- güvenliğin iki aşaması vardır. Birisi otomatik, diğeri manuel -yani insan desteği ile… Otomatik olan, güncel kalmak zorunda ve ücretsiz bir hizmetin güncelliğinden veya arka planda nasıl bir algoritma ile hizmet verdiğinden, hangi kaynaklardan veri çektiğinden vb emin olmak mümkün değil. İkincisi ise size yardım eden, organik bir insan beyine sahip birilerinin olup olmaması. İnternet Dünyası neredeyse her gün otomatik ve insansız sistemlerin hacklendiği haberleriyle çalkalanıyor. Sonuç olarak hem bilinen (otomatik) hem de bilinmeyen (yani, yeni üretilmiş ve güncel) saldırılara karşı kendinizi korumanın tek yolu, hem güncel, hem yatırım yapılan, hem de bilgili insanların kontrolündeki güvenlik sistemlerine sahip olmaktır.
-Ücretsiz servisleriniz yok mu?
Evet var ancak ücretsiz servislerin devamlılığı ve performansı konusunda garanti veremiyoruz. Mesela günlük Malware Monitörleme ve Blacklist Kontrolü sağlayabiliriz. Ancak bu bir koruma sağlamaz sadece sitenize Malware bulaşmışsa ve siteniz arama motorlarında Blacklist’lere girmiş ise haberiniz olur. WebKalkan komple güvenlik paketinde Malware veya Blacklist durumunda kalırsanız 6 saat, 4 saat veya 30 dakika içerisinde temizleme (Malware Removal) ve Blacklist durumunu düzeltme (Blacklist Removal) çalışmaları yaparız. Ücretsiz DDOS ve Botnet atak engelleme servisi de sınırlıdır. Detaylar konusunda yardımcı olabiliriz. Sonuç olarak herkese ve her bütçeye uyumlu çözümler asıl hedefimizdir çünkü Web Sitesi Güvenliği önemli ve olmazsa olmaz bir şey…
-İnternet üzerinde ücretsiz Malware Scanner uygulamaları gördüm. Bunlar yeterli olmaz mı?
Hayır. O tarz uygulamalar web sitenizi dışarıdan tararlar ve ortaya çıkan sonuç yüzeyseldir çünkü web sitesi klasörünüzdeki tüm dosyalar taranmaz. Tüm dosyaların taranması için FTP klasörünüze tam erişim gerekir. FTP klasörünüzdeki tüm dosyalar taranmamışsa, web sitenizin “temiz” olduğunden emin olamazsınız. Webkalkan’ın önereceği servis, FTP klasörünüz üzerinden 7/24 aktif tarama ve gözlem ile tüm dosyalarınızı korur, gözler ve olası bir değişiklik veya Malware bulaşma durumunda, hem Malware temizliği hem de -eğer varsa- web sitenizin Karalistelerden mümkün olduğu kadar hızlı çıkmasını sağlar.
-Web sitemin güvenliğinden endileşelenmek için bir sebebim yok. Ekstra güvenliğe ihtiyacım olup olmadığını nereden bileceğim?
Çok haklısınız. Bunu düşünerek sizler için bir kontrol listesi hazırladım. Şöyle ilerleyelim; aşağıdaki maddelerin en az 3 tanesi size hitap ediyorsa, web sitenizin güvenliği konusunda endişelenmelisiniz ve en azından ücretsiz servislerimizle bazı şeyleri kontrol altına almanızı öneririm;
-E-Ticaret yapıyorsanız, internet üzerinden online tahsilat hizmetiniz varsa, bankacılık veya finans kurumu iseniz ve kullanıcılarınız login olduğu web arayüzünüz (internet şubesi girişi veya kritik bilgileri toplandığınız web tabanlı bir form uygulamanız) varsa.
-Web sitenize erişimde kesintiler yaşanıyorsa. (bu konuda ziyaretçilerinizden şikayetler alıyor olabilirsiniz ya da uptime monitoring raporlarınıza bakabilirsiniz.)
-Site erişiminizin yavaş olduğunu düşünüyorsanız. (bunu zaman zaman hissedebilirsiniz)
-Web sitenizin yorum ve form kısımlarına sık sık spam yorumları geliyorsa
-Web sitenize saldıracaklarını söyleyen kişi veya gruplardan herhangi bir zamanda tehdit emaili aldıysanız (yakın zaman dilimi olması gerekmez)
-Web hosting firmanıza güvenmiyorsanız ve hizmetleriyle ilgili sorunlar yaşıyorsanız (herhangi bir sorun olabilir – size karşı çok ilgilisiz olmaları bile bazı konuları ihmal ettikleri anlamına gelebilir)
-Hosting makineleriniz ABD’de ise (sanal ya da fiziksel fark etmez)
-Ücretsiz hosting kullanıyorsanız
-(Eğer varsa) Web sitenizden sorumlu kişi(ler) sizinle ayda yılda bir kez ya da sadece domain/hosting/SSL yenileme zamanlarında irtibata geçiyorsa
-Web sitenizi hazır web sitesi yazılımlarıyla yapmışsanız (Worpdress, Joomla, Drupal, Vbulletin vb…)
-Web sitenizi, sizin kontrolünüzde, “admin hakları sizde olan” veya “işletim sistemi eski olan” veya “otomatik güncellemesi kapalı olan” kiralık bir sunucuda barındırıyorsanız.
Yukarıdaki maddelerin en az 3 tanesi size uyuyorsa, web sitenizin güvenliği konusunda düşünmeye/araştırmaya ve önlem almaya başlamalısınız…
Dip Not: Geçenlerde bir müşterimiz buna itiraz etti ve dedi ki; “Melikcim, çoğu kimsenin bu listedeki 2n az 3 şey başına sık sık geliyordur. Bu sebepten bu liste çok gerçekçi değil” dedi bana. İlk başta mantıklı bir itirazdı bu ancak… Güvenlik aslında sigorta gibidir. Bunu da kabul etmek lazım. Yukarıda yaptığım listedeki çoğu şey sizin de başınıza geliyordur büyük ihtimalle. Yine de bu listedeki her hangi bir şey sizin başınıza sık sık geliyorsa, ne olup ne bittiğini mutlaka araştırın. İşinizi şansa bırakmayın. Mesela en azından bir ay için bile olsa ücretli bir koruma ile ilerleyin derim şahsen.
-DDOS koruması için ücretsiz Cloudflare kullanıyorum. Neden para vereyim? Cloudflare yetmez mi?
Tam olarak değil çünkü ücretsiz servislerin özellikle ve DDoS konusunda performansları sorgulanmalıdır. Mesela aşağıdaki yazılarda Cloudflare’in performansı çok mantıklı bir şekilde sorgulanmıştır. Ayrıca Cloudflare’in artık gözü açıldı bence. Ücretsiz servislerinde sınırlandırmalar çok çok fazla. Yüzeysel durumlarda servis işe yarayabilir ancak ciddi bir saldırı olursa yetersiz kalacaktır. Bu kesindir;
http://www.kayhankayihan.com/cloudflare-ve-ddos-tecrubesi/
http://www.webhostingtalk.com/showthread.php?t=1055892
Bir de, Cloudflare’in minimum ücretli servisi Layer 3,4 dediğimiz Network Level DDoS koruması sağlamaz. Sadece Layer 7 denilen Botnet yani application level’da koruma sağlar.
Webkalkan’ın önereceği DDoS koruma servisi aylık $29’dan başlar ve buna network level 3,4 dahil, layer 7 düzeyinde Botnet saldırılarına engelliyor. Cloudflare’ın ücretli servisleri de pahalı denebilecek düzeyde ve onların da performansı belirsiz. Kendilerini çok iyi pazarladıklarını kesinlikle söyleyebiliriz tabi ki ama verimli ürünler bence önce test edilmeli sonra kullanılmaya devam edilmeli. DDoS koruma ve firewall hizmetimiz aylık ödemeler ile devam ediyor. Bu sebepten bir aylık sürede test edip, daha sonra eğer isterseniz iptal edebilirsiniz.
Diğer sorularınız için buraya tıklayın… Ya da sol köşedeki chat kutucuğunu kullanabilirsiniz…