Fırat Ürper

Çalışma Notlarım

Siber Güvenlik

Güvenilir Çalışma Süresi Kontrolleri İçin En İyi 8 Web Sitesi İzleme Aracı

By admin//

Bir web sitesini korumak için yapılabilecek bir çok işlem bulunmaktadır. Bilgisayar korsanları, çevrimiçi sistemleri ihlal etmek için sürekli olarak yeni ve güçlü teknikler geliştiriyorlar. IBM tarafından yapılan bir araştırmada, 2019’da bir ihlali tespit etmenin ortalama süresinin 206 gün olduğunu ortaya koydu. Bu da yeni gelişmiş saldırıların tespitinin zaman alan bir süreç olduğunu gösteriyor. Bu yazıda, bir web güvenlik denetimi hakkında bilmeniz gereken her şeyi ve bunu nasıl gerçekleştirebileceğinizi keşfedeceğiz. İçerik tablomuz şu şekildedir:

  1. Web Sitesi Güvenlik Denetimi nedir?
  2. Web Sitesi Güvenlik Denetimi Nasıl Yapılır?
  • Adım 1: Güvenlik Açıklarını Tarama
  • Adım 2: Güvenlik Açıklarından Yararlanma
  1. Web Sitesi Güvenlik Denetim Kontrol Listesi
  2. Son Söz

1. Web Sitesi Güvenlik Denetimi Nedir?: Bir web sitesi güvenlik denetimi, web sitenizi ve sunucusunu bilgisayar korsanlarının yararlanabileceği mevcut veya potansiyel zayıflıklar için taramak anlamına gelir. Temel yazılımından uzantılara, temalara, sunucu ayarlarına, SSL bağlantısına, yapılandırmalara kadar web sitenizin tüm altyapısını kapsar. Tüm boşluklar belirlendikten sonra, bir sonraki adım sızma testleri yapmaktır. İlk adımda tespit edilen güvenlik açıkları, bunlarla ilişkili riski değerlendirmek için hedeflenir. 

Web sitesi güvenlik denetimlerinin amacı, proaktif olarak web sitenizin mimarisindeki tutarsızlıkları aramak ve kötü niyetli bilgisayar korsanları fark etmeden önce bunları ortadan kaldırmaktır. Bilgisayar korsanları araç kutusundaki her numarayı kullanarak web sitenizin güvenliğini sürekli olarak zorlayacağından, sektör uzmanları her zaman düzenli güvenlik denetiminin önemi üzerinde durur.

Basitçe temel uygulamaları takip etmek ve geri kalan her şeyi kadere bırakmak çözüm değildir. Yöneticiler sürekli tetikte olmalı ve istismar kapsamının çok az olması veya hiç olmaması için titiz tarama ve testler gerçekleştirmelidir.

2. Web Sitesi Güvenlik Denetimi Nasıl Yapılır?: Güvenlik denetimleri için çevrimiçi güvenlik araçlarını kullanmanız veya profesyonel hizmetler almanız gerekmektedir. Güvenlik taraması için çevrimiçi olarak kullanılabilen birçok ücretsiz ve ücretli araç ve hizmet bulunmaktadır. Yukarıda açıklandığı gibi, web sitesi güvenlik denetimleri 2 adımdan oluşur. O halde bu adımları biraz daha ayrıntılı olarak ele alalım:

  1. Adım: Güvenlik Açıklarını Tarama: Bu ilk adımda, seçtiğiniz araç, web sitenizin güvenliğinin tüm yönlerini inceleyecektir. Güvenlik açıklarını, kötü amaçlı yazılımları, virüsleri ve gevşek güvenlik önlemlerini tespit etmek için veritabanınızı, dizinlerinizi, dosyalarınızı, temalarınızı, eklentilerinizi, web sunucunuzu vb. tarar. İşte kullanabileceğiniz araçların bir listesi şöyledir:
  •  Sucuri SiteCheck: Sucuri’nin (sitecheck.sucuri.net) SiteCheck’i aşağıdakileri kontrol edecek ücretsiz bir tarama aracıdır. 
  1. Kötü amaçlı yazılım, virüsler, kötü amaçlı kod ve virüslü dosya konumları için bu web sitesi tespitte bulunur.
  2. Web sitenizin PhisTank, Google vb. web sitesi güvenlik yetkilileri tarafından kara listeye alınıp alınmadığını kontrol ediniz.
  3. CMS sürümü, eklentiler veya uzantılar gibi tüm web sitesi bileşenlerinin güncel olup olmadığını öğreniniz.
  4. Ayrıca, mevcut herhangi bir yapılandırma veya başka güvenlik sorunu olup olmadığını da görecektir.

Sucuri, taramasına dayanarak, her bir boşluğun savunmasız olduğu tehdit türlerini ortaya koyuyor ve sertleştirme önerileri veriyor. Herhangi bir en iyi güvenlik uygulamasını kaçırmadığınızdan emin olmak istiyorsanız oldukça şık bir araçtır.

  • Qualys SSL Sunucu Testi: Qualys SSL sunucu testi, SSL/TLS sunucu bağlantınızı tarar ve herhangi bir yanlış yapılandırma veya güvenlik açığı olup olmadığını kontrol eder. Web sitenizi bu temelde derecelendirir ve size protokol desteği, şifre gücü, anahtar değişimi vb. düzeyini gösterir. Ücretsiz bir araçtır ve tek yapmanız gereken alan adınızı eklemek ve bir rapor almak için Gönder’e tıklamaktır. Web sitenizin standart iletişim protokolünü ve şifrelemeyi izlediğinden emin olmak istiyorsanız, bu araç size kesinlikle yardımcı olacaktır.
  • Intruder: Intruder, kurumsal düzeyde bulut tabanlı bir güvenlik açığı tarayıcısıdır. Hatalar, yapılandırma zayıflıkları ve eksik yamalar için tüm web uygulamanızı kontrol eder. Web sitenizin CMS’si (Content Management System – İçerik Yönetim Sistemi) de yaygın güvenlik sorunları için taranacaktır. Saldırgan, önce kritik boşlukları yamalayabilmeniz ve ardından daha az ciddi olanlara geçebilmeniz için bunlarla ilişkili riski değerlendirerek sorunları öncelik sırasına koyar. Ayrıca her bir tehdit için anlaşılması kolay düzeltici önlemler önerir ve sistemlerinizi proaktif olarak izler. Üstelik Slack veya Jira gibi uygulamalarla entegre edebilir ve sitenizdeki en son tehditlerden anlık olarak mesajlarla haberdar olabilirsiniz.

Yukarıdaki (Sucuri SiteCheck, Qualys SSL, Intruder)  araçlar, web sitenizin güvenlik duruşunun tatmin edici bir analizini vermelidir. Alternatifler istemeniz durumunda önermek istediğim üç araç daha var:

  • Web Cookies Scanner
  • SiteGuarding
  • Observatory

2. Adım: Güvenlik Açıklarından Yararlanma: Artık web sitenizin güvenlik durumu ve barındırdığı sorunlar hakkında yeterli bilgiye sahip olduğunuza göre, Pentest (sızma testi) araçlarını kullanma ve her bir güvenlik açığının ciddiyetini değerlendirme zamanı geldi. Bunun için otonom taramalar yapmak amacıyla aşağıdaki araçları kullanabilirsiniz:

  • Pentest-Tools ile Web Sitesi Güvenlik Açığı Tarayıcısı: Bu web sitesi güvenlik açığı tarayıcısı, çok çeşitli tehditleri ve güvenlik sorunlarını kapsayan kapsamlı bir pakettir. Güvenlik bilgilerini topladığı ve uygulama testi, CMS testi, altyapı testi ve SSL testi yaptığı için uçtan uca bir web sitesi güvenlik denetim çözümü olduğunu söyleyebilirsiniz. Şirket 2 çözüm sunuyor: Hafif Tarama: Hafif sürüm, daha pasif bir güvenlik taraması gerçekleştirir ve HTTP tanımlama bilgilerinin güvenliği, sunucu yazılımı güvenlik açıkları, HTTP başlık yapılandırmaları, sunucu yapılandırmaları, SSL sertifikası, robots.txt dosyası vb. gibi hususları analiz eder. Tam Tarama: Bu, hafif tarama altındaki her şeyi ve yaygın web güvenlik tehditlerini (SQL enjeksiyonları, XSS, OS komut Enjeksiyonu), bilgilerin açığa çıkması sorunlarını, eski JavaScript kitaplıklarını ve daha fazlasını kontrol eden ek alanları kapsayan daha sağlam bir taramadır. Hafif taramada, sunucuya 20 HTTP isteği gönderilirken, Tam taramada 10.000’e kadar HTTPS isteği gönderilir ve kapsamlı testler yapılır.
  • w3af: w3af bir web uygulaması saldırısı ve denetim çerçevesidir. SQL enjeksiyonu, siteler arası komut dosyası çalıştırma, tahmin edilebilir kimlik bilgileri, işlenmeyen uygulama hataları, DNS sahtekarlığı ve PHP yanlış yapılandırmaları gibi 200’den fazla güvenlik açığını belirlemek için kullanabilirsiniz. Çeşitli HTTP isteklerine yük enjeksiyonu, web ve proxy sunucularını koda entegre etme, hızlı HTTP istekleri gönderme vb. teknikleri kullanarak sızma testleri gerçekleştiren açık kaynaklı bir araçtır.
  • MetaSploit: Metasploit, çoğu web güvenlik uzmanı tarafından kullanılan vazgeçilmez bir penetrasyon testi aracıdır. Metasploit’i çalıştırmak kolaydır, tek yapmanız gereken onu hedef web sitenize yönlendirmek, bir istismar seçmek, hangi yükü bırakacağınızı seçmek ve saldırınızı başlatmak. Her türlü istismarı kaydeden kapsamlı bir veritabanına sahiptir. Tüm zayıf yönlerinizi belirledikten sonra, bu araç aracılığıyla saldırılar başlatabilir ve mağazanızın risk profilini belirleyebilirsiniz. Metasploit, sunduğu ayrıntılı işlevsellik sayesinde en çok kullanılan pentest çerçevesidir. Bir komut satırı arabirimine sahiptir ve daha önce zahmetli olan en yoğun görevleri otomatikleştirir. Hem açık kaynaklı hem de ücretli hizmetleri vardır. Metasploit’e her yıl daha fazla özellik ekleniyor, bu nedenle web siteniz için bir web sitesi güvenlik denetimi yapmak istiyorsanız, bu araç şiddetle tavsiye edilir ve mutlaka kullanılması gerekir!

Yukarıdaki araçlar (Pentest Tools, w3af, Metasploit) denetim gereksiniminizi karşılayacaktır. Bunlara ek olarak tavsiye edebileceğimiz diğer araçlar; 1-nmap, 2-John the ripper, 3-Kali Linux

3. Web Sitesi Güvenlik Denetim Kontrol Listesi: Web güvenliği konusunda yeterli bilgiye sahip olduğunuzda, bu kontrol listesi web sitenizin şu anda nerede durduğunu değerlendirmenize yardımcı olacaktır:

Basic Security – Temel Güvenlik

  • Do you have SSL? – SSL’niz var mı?
  • Is your CMS Software up to date? – CMS Yazılımınız güncel mi?
  • Do you have automatic backups set up? – Otomatik yedekleme ayarınız var mı?
  • Have you limited web permissions based on roles? – Web izinlerini rollere göre sınırlandırdınız mı?
  • Get a WAF for your website – Web siteniz için bir WAF edinin.

Technical Security – Web siteniz için bir WAF edinin

  • Are you preventing SQL Injections? – SQL Enjeksiyonlarını engelliyor musunuz?
  • Measures against XSS Cross Site Scripting. – XSS Siteler Arası Komut Dosyasına Karşı Önlemler.
  • Are you protecting against DDoS Attacks? – DDoS Saldırılarına karşı korunuyor musunuz?
  • Set up automatic Malware scans. – Otomatik Kötü Amaçlı Yazılım taramalarını ayarlayın.
  • Check your server configuration files. – Sunucu yapılandırma dosyalarınızı kontrol edin.

Auditing – Denetim

  • Do you require CVV for all purchases? – Tüm satın alımlar için CVV’ye ihtiyacınız var mı?
  • Make sure your website isn’t backlisted. – Web sitenizin geri listelenmediğinden emin olun.
  • Can search engines index your web pages? – Arama motorları web sayfalarınızı indeksleyebilir mi?
  • Monitor traffic surges. – Trafik dalgalanmalarını izleyin.

4. Son Söz: Bir web sitesi güvenlik denetimi, web sitenizin güvenlik durumunun zirvesinde kalmanın ve elinizden gelenin en iyisini yaptığınızdan emin olmanın ve sızma tehditlerini en aza indirmenin harika bir yoludur. En iyi yanı, çevrimiçi olarak bulabileceğiniz ve web sitesi sahiplerine üçüncü taraflardan çok az yardım alarak özerk bir şekilde denetim gerçekleştirme yeteneği sağlayan birçok ücretsiz tarama aracının olmasıdır.

***GÜVENİLİR ÇALIŞMA SÜRESİ KONTROLLERİ İÇİN EN İYİ 8 WEB SİTESİ İZLEME ARACI***

Web sitesi sahipleri, sitelerinin 7/24 çalışır durumda olmasını ister çünkü kullanıcıların beklentisi budur. Özellikle e-Ticaret işletmeleri için, gelirlerini kaybetmek istemiyorlarsa sürekli çalışma süresinin izlenmesi (Reliable Uptime) zorunludur. Bu nedenle, web sitenizi düzenli olarak kesinti olup olmadığını kontrol eden ve web sitenizin düzgün yanıt vermemesi durumunda sizi hemen bilgilendiren web sitesi izleme araçlarına ihtiyacınız var. Bu yazıda, en iyi 8 çalışma süresi izleme aracını keşfedeceğiz. Şimdi içerik tablosuna bakalım: 

  1. Web Sitesi Kapalı Kalma Süresinin Etkileri
  2. Güvenilir Çalışma Süresi Kontrolleri için En İyi 8 Web Sitesi İzleme Aracı
  3. Tek Elden Çözümler Sunan Araçlar
  4. Son Söz

Web Sitesi Kapalı Kalma Süresinin Etkileri: Özellikle e-ticaret sitelerinde birkaç saniyelik kesinti, satışlarda önemli bir kayba yol açabilir. Örneğin; 2016’da Amazon, 20 dakikalık bir kesintide tahmini olarak 3,75 milyar dolar kaybetti. Sık sık kesinti hali, yalnızca aylık satış rakamlarında büyük bir delik açmakla kalmayacak, aynı zamanda müşteri kayıplarına ve markanızın güvenilirliğine sebep olacaktır. Bu nedenle, müşterinizin kullanıcı deneyiminin engellenmemesi için web sitenizin her zaman canlı olduğundan emin olmanız çok önemlidir. Daha fazla gecikmeden, web sitesi izleme araçlarına bakalım.

Güvenilir Çalışma Süresi Kontrolleri için En İyi 8 Web Sitesi İzleme Aracı: Yaygın bir kullanıma sahip 8 adet website izleme araçlarına değineceğiz.

1. Updown: Seçtiğiniz URL’ye periyodik olarak bir HTTP HEAD isteği göndererek sitenizin çevrimiçi durumunu kontrol etmeye devam eden ücretli bir web sitesi izleme aracıdır. Web siteniz doğru şekilde yanıt vermediğinde, bir e-posta veya SMS yoluyla bilgilendirebilirsiniz. İstek sıklığını 15 saniyeye kadar ayarlayabilirsiniz. Ek özellikler arasında SSL testi, Slack & Telegram entegrasyonu, çift test, OAuth erişimi, performans raporları vb. Fiyatı da oldukça uygun. Örneğin, ayda 3,5 ABD Doları karşılığında dakikada beş web sitesini kontrol edebilirsiniz.

2. StatusCake: Bir web sitesi çalışma süresi ve performans izleme aracıdır, böylece ikisi bir arada bir çözüm elde edersiniz. Etkileyici müşterileri, Netflix ve Microsoft gibi büyük markaları içerir. İzleme sunucuları dünya genelinde 43 ülkeye yayılmıştır, bu nedenle raporlarda herhangi bir yanlış pozitif sonuç almayacağınızdan emindirler. Kontrollerin sıklığını 30 saniyeye kadar (ve gerekirse daha düşük) ayarlayabilirsiniz. Ek özellikler arasında SSL izleme, etki alanı izleme, sunucu izleme ve virüs taraması, sayfa hızı izleme bulunur. Slack, Discord, Pushover, HipChat, Twitter, OpsGenie, vb. uygulamalarla anında kesinti uyarıları için birçok entegrasyon sunarlar. Ücretsiz planı, beş dakikalık aralıklarla 10 test yapmanızı sağlar. Rapor yalnızca temel neden analizini içerir ve ek özellik içermez. Gelişmiş özelliklere sahip ücretli planlar ayda 20 ABD dolarından başlar.

3. Montastic: Yalnızca web siteleri çöktüğünde uyarılmak isteyen web yöneticileri için en uygun basit bir araçtır. Web sitenizi her 30 dakikada bir kontrol eder ve bu 15 saniyelik istek sıklığı sunan diğer araçlarla karşılaştırıldığında etkileyici değildir. Herhangi bir ekstra özellik veya ayrıntılı bir rapor sunmayan ücretsiz bir araçtır, bu nedenle gösterge paneli yoktur. Siteniz çökerse, e-posta yoluyla bir uyarı alacaksınız.

4. Uptime Robot: Uptime Robot’un ücretsiz planı, çevrimiçi durumunu doğrulamak için web sitenizi her beş dakikada bir kontrol eder. Bunun dışında SSL sertifikası izleme, cron işi izleme ve port & ping izleme sunar. Ücretli bir planı seçen ileri düzey kullanıcılar için, özel HTTP istekleri gibi bazı harika özellikler var. Anahtar kelime izleme, çoklu konum kontrolleri ve bakım pencereleri. Çağrı, SMS, e-posta yoluyla anında uyarılar alırsınız. Ayrıca Slack, Twitter, Zapier, Telegram vb. diğer uygulama entegrasyonları mevcuttur. Diğer araçlarda bulamayacağınız farklı bir özellik de Uptime Robot’un durum sayfalarıdır. Müşterilerinizi planlı kesintiler hakkında önceden bilgilendirebilir ve web sitesini her zaman çevrimiçi tutmak için yaptığınız çalışmaları paylaşabilirsiniz. Ücretsiz bir izleme aracı arıyorsanız, Uptime Robot birçok rakibe kıyasla yetersiz kalacaktır. Bununla birlikte, biraz para harcamaktan çekinmiyorsanız, o zaman bu aracın size sunabileceği pek çok ilginç şey var.

5. Monitis: Etkileyici bir web sitesi izleme aracıdır. Web sitenizin çalışma süresini, yanıt süresini, sunucu sağlığını, ağ performansını ve daha fazlasını birleşik bir pano altında izleyebilirsiniz. Araç tarafından karşılanmayan herhangi bir özel izleme gereksiniminiz varsa, bu büyük bir avantaj olan açık bir API’ye sahiptir. Bir dakikalık aralıklarla web sitesi kontrolleri talep edebilirsiniz ve aracın sunucuları dünya çapında 30’dan fazla yere yayılmıştır. HTTP, HTTPS, PING, DNS, TCP, UDP, ICMP, SMTP, POP3 ve IMAP gibi çoklu protokoller kullanılabilir. Kullandıkça öde fiyatlandırma modelini izler, bu nedenle maliyet gerçekten ihtiyaçlarınıza ve aracın tam olarak neyi başarmasını istediğinize bağlıdır. Sonuç olarak, özel çözümler sunmaya önem veren tatmin edici özellikler içerir.

6. Uptrends: Aracılığıyla web sitenizi, sunucunuzu veya API’nizi dünya çapında yaklaşık 222 konumdan izleyebilirsiniz. Uptrends, basit web sitesi izlemeden çok daha fazlasını sunar. Web uygulaması izleme, sayfa hızı izleme, API izleme ve sunucu izleme içerir. Ayrıca, web sitenizin işleyişi hakkında daha doğru bir fikir edinmek için gerçek zamanlı performans verilerini doğrudan sitenizin kullanıcılarından alabilirsiniz. Uptrends, site ölçümlerinizi kontrol edebilmeniz ve uyarıları daha rahat alabilmeniz için ücretsiz mobil uygulamalar da sağlar. Pano kullanıcı arayüzü çok çekici ve sürekli izlemek istediğiniz metriklere göre özelleştirebilirsiniz. Uptrends, eksiksiz bir web sitesi izleme çözümüdür. Özellikle çok sayıda sunucu konumuna sahip bir araç arıyorsanız, Uptrends kesinlikle parkın dışına çıkarır. Ücretsiz bir plan yoktur. Ücretli plan ayda 13,35 dolardan başlıyor.

7. Site 24×7: Başka bir hepsi bir arada web sitesi izleme çözümü olan Site 24×7 , web sitesi izleme, bulut izleme, uygulama performansı, gerçek kullanıcı izleme, sunucu izleme ve ağ izleme sunar.

Özellikle web sitesi izleme hakkında konuşursak, 110’dan fazla küresel konuma sahiptirler ve HTTPS, DNS sunucusu, SMTP sunucusu, SSL sertifikası, POP sunucusu, REST API’leri vb.

Ayrıca zamanında uyarılar için Zapier ve Pager Duty gibi hizmetlerle entegrasyon sunarlar. Ücretli planları, 30 günlük ücretsiz deneme sürümüyle ayda 9 dolardan başlıyor.

8. Uptime: Dünya çapında 30’dan fazla konumda sunucuya sahiptir. Site izleme, işlem izleme ve gerçek zamanlı kullanıcı izleme içerir. Google Güvenli Tarama ve Yandex Güvenli Tarama’yı kullanarak araç aracılığıyla web sitenizi virüslere karşı da tarayabilirsiniz. Esnek ve ayrıntılı raporlaması, özetler, grafikler, özel panolar, genel durum sayfaları ve SLA raporları oluşturmanıza olanak tanır. Desteklenen protokollerin listesi şunları içerir; HTTP, HTTPS, Ping, SSH, TCP, UDP, DNS, SMTP, POP ve IMAP. Durum uyarıları için, Slack, HipChat, Pushbullet vb. popüler uygulamalar da dahil olmak üzere çok sayıda entegrasyon mevcuttur. Ücretsiz plan yok. Kredi kartı gerektirmeyen 21 günlük ücretsiz deneme sunuyorlar. Ücretli planlar ayda 16 ABD dolarından başlar.

Tek Elden Çözümler Sunan Araçlar: Yalnızca web sitesi ve çalışma süresi izlemeden daha fazlasını sundukları için birkaç popüler aracı yukarıdaki listeden çıkardım. Site izlemenin ötesine geçen tek elden çözümler arıyorsanız, şu araçlar mevcuttur: 

  • Pingdom
  • Dotcom-Monitor
  • New Relic

Son Söz: Yukarıdaki listeye her türlü web sitesi izleme aracını dahil ettim. Web sitenizin kapalı kalma süresi konusunda endişelenmek istemiyorsanız, web sitenizi sizin için izleyecek ve sitenizin yanıt vermemesi durumunda sorunları çözmek için adım atacak, tamamen yönetilen bir barındırma çözümüne gidebilirsiniz.