E-Ticaret Sitelerinin Güvenliği Nasıl Sağlanır?

E-Ticaret Sitelerinin Güvenliği Nasıl Sağlanır?
İçindekiler gizle

Bir e-ticaret sitesi sahibi olmak karlı ve çekici bir iş gibi görünebilir fakat bu sektörde bulunan çoğu kişi tarafından, e-ticaret sitesinin varlık ve bütünlüğüne karşı en büyük tehdit unsuru olan güvenlik konusu göz ardı ediliyor. E-ticaret sitesi sahiplerinin güvenlik konusunu yeteri kadar dikkate almamasında 3 husus ön plana çıkıyor:

  • Riskin büyüklüğünün anlaşılmaması,
  • Nasıl önlem alınacağının bilinmemesi,
  • Site sahibinin, sitesinin hedef olamayacak kadar küçük olduğunu düşünmesi.

Fakat şu istatistiği unutmamak gerekir ki siber saldırıların %43’ünün hedefinde küçük işletmeler bulunuyor. Bu oran henüz tehlikenin büyüklüğü konusunda size bir şey ifade etmediyse, Türkiye’de yaşanan ortalama bir veri ihlalinin ortalama olarak 12.3 milyon liralık bir maliyet ortaya çıkardığını düşünmeniz gerekebilir. İyi haber, çoğu siber saldırının temel güvenlik stratejileriyle bile önlenebiliyor olması.

E-Ticaret Sitelerinin Güvenliği Nasıl Sağlanır?

En Tehlikeli 7 Güvenlik Sorunu

İzlediğimiz diziler ve filmler sayesinde artık e-ticaret sitenize sızmaya çalışan bir hackerı hayal etmek hiç de zor değil. E-ticaret sitelerinde siber zorbaların en çok kullandığı yedi güvenlik tehdidini şu şekilde sıralayabiliriz:

  • Kötü amaçlı yazılımlar,
  • DDoS (Dağıtılmış Hizmet Reddi) Saldırıları,
  • Enjeksiyon,
  • Kaba kuvvet saldırıları,
  • Sıfır Gün açıkları,
  • Siteler arası komut dosyası çalıştırılması,
  • Müşteriden kaynaklanan güvenlik açıkları.

Bu güvenlik tehditlerine karşı uygulayabileceğiniz önlemler ise şunlardır:

  • E-ticaret siteniz için doğru altyapı platformunu seçin,
  • E-ticaret sitenizde SSL kullanın,
  • Kullanıcı bilgilerini sitenizde saklamayın ve toplarken seçici olun,
  • Kötü amaçlı yazılım tarayıcılarıyla düzenli kontroller yapın,
  • Müşteri ve kullanıcılarınıza güvenli e-ticaret için en iyi yöntemleri uygulamalarını salık verin,
  • Çalışanlarınıza güvenli e-ticaret için en iyi yöntemleri uygulamalarını salık verin,
  • E-ticaret sitenizi aktif olarak kontrol edin,
  • Sistemlerinizi güncel tutun,
  • Verileri düzenli aralıklarla yedekleyin,
  • İndirmelerinize ve siteye entegre ettiklerinize dikkat edin.

E-ticaret Sitesinin Güvenliği Nasıl Sağlanır?

Kötü Amaçlı Yazılımlar

E-ticaret sitelerine erişim sağlamanın en kolay yollarından birisi de kötü amaçlı yazılım kullanarak denemektir. Kötü amaçlı yazılım kavramı esas olarak Truva atları, virüsler, solucanlar, fidye yazılım, casus yazılım gibi başlıca yazılımları ve diğer kötü amaçlı yazılımları ifade eder. Yani kötü amaçlı yazılım bir e-ticaret sitesi sahibine verilecek en kötü haberlerin başında gelir. Bu yazılımlarla sitenize erişim sağlayan bir hacker, bütün verilerinizi silebilir, müşteri bilgilerini sızdırabilir, siteyi ziyaret eden müşterilerinize tehlikeli yönlendirmeler yapabilir ve sitenizi fidye yazılım saldırısıyla baş başa bırakabilir.

Kötü amaçlı yazılımlar farklı kaynaklardan gelebilir. Genel olarak sizin bir dosyayı indirmenizin ardından ortaya çıkar fakat manuel olarak da yüklenebilir.

DDoS (Dağıtılmış Hizmet Reddi) Saldırıları

DDoS saldırılarının yarattığı en büyük tehdit, e-ticaret sitelerini otomatik olarak yapılan trafik saldırılarıyla boğarak çökmesine neden olmasıdır. Bu da bir e-ticaret sitesinin isteyeceği en son şeydir, çünkü sitenizin kapalı kaldığı her saniye, potansiyel müşterileri ve kazancı kaybetmeniz anlamına gelmektedir. Siber zorbalar, binlerce veya on binlerce bağımsız yapay birimi, e-ticaret sitenizi ziyaret etmeleri için ayarlar ve bu kadar yükü kaldıramayan sunucu çöker. Bu da, sitenize olan erişimin kaybolması demektir.

Enjeksiyon

Hacker, enjeksiyon yöntemiyle, kötü amaçlı kod parçacığını komut veya sorgu gibi bir maske altında gizleyerek sitenizin yapmaması gereken bir işlemi yaptırmasını sağlayabilir. Bundan dolayı bu yönteme enjeksiyon denilmektedir. Bu yöntemi kullanan hacker, veri tabanınızda bulunan müşteri bilgilerini kendi bilgisayarına aktarabilir.

Kaba kuvvet saldırıları

Yaygın olarak kullanılan bir yöntem olmasa da bazı siber saldırganlar tarafından kullanılmaktadır. Bu yöntemde saldırgan, e-ticaret sitenize erişmek amacıyla şifre kombinasyonları üreten bir yazılım kullanarak denemeler yapar. Örneğin kullanıcı adınız “admin” ve şifreniz “12345” ise saldırganın yönetici paneline erişmesi çok uzun zaman almayacaktır. Siber saldırgan, yönetici paneline bir kere girdikten sonra, verilerde ve içeriklerinizde istediği gibi oynamalar yapabilir.

Sıfır Gün Açıkları

Yazılım geliştiricileri, bir bilgisayar korsanı gibi düşünüp onun yapacağı adımları izleyerek yarattıkları sistemin açıklarını bulmaya çalışırlar. Bir güvenlik açığını bulduklarında ise hemen bir yama yayınlar ve o açığın kapanmasını sağlarlar. Fakat bazen bilgisayar korsanları, geliştiriciler yamayı fark etmeden önce o açığı keşfederler ve onun üzerinden saldırılar gerçekleştirirler. Bu yüzden bu saldırı yöntemi “Sıfır Gün Açıkları” ya da “Sıfır Gün Saldırısı” olarak adlandırılır.

Siteler arası komut dosyası çalıştırılması

Bu saldırı türünde saldırgan, kullanıcının sağladığı verileri doğrulama olmadan önce bir tarayıcıya gönderir ve bu kusurlar müşterilerin siteden uzaklaştırılmasında kullanılır.

Müşteriden kaynaklanan güvenlik açıkları

Bu açık aslında doğrudan e-ticaret siteniz için bir risk oluşturmaz fakat müşterinizi etkileyebilir. Bunun sonucu olarak da bu zarardan dolayı müşteriniz sizi sorumlu tutabilir.

Güvenlik Sorunlarına Karşı Alabileceğiniz Önlemler

Yukarıda sayılan bütün bu saldırı yöntemlerine karşı uygulayabileceğiniz ve e-ticaret sitenizi güvende tutabileceğiniz yöntemler var. Bu önlemlerin çoğu hem teknik bilgisi olmayanlar tarafından dahi yapılabilir hem de maliyeti düşüktür.

E-Ticaret Sitelerinin Güvenliği Nasıl Sağlanır?

E-ticaret siteniz için doğru altyapı platformunu seçin

E-ticaret sitenizi kurmadan önce hazır bir altyapıyı tercih etmek sizi hem geliştirme sürecinin pahalı maliyetinden kurtaracak hem de bekleme sürenizi minimize edecektir. Eğer e-ticaret sitenizi kurmak için sizde böyle bir hazır altyapı platformu tercih edecekseniz, platformun size sağladığı güvenlik özelliklerini iyi incelemeniz ve anlamanız gereklidir. Çünkü tüm platformlar aynı şekilde işlemez. Her ne kadar çoğu platform standart güvenlik tedbirlerinin çoğunu sağlasa da, bazıları size güçlü sunucular sunarak DDoS saldırılarından korunmanızı sağlarken bazıları bu kadar cömert olmayabilir. Bazıları diğerlerinden daha güvenliklidir, bazılarıysa değil. Bu yüzden e-ticaret altyapınızı seçerken doğru ve güvenilir platformu seçmeniz sizler için önem taşımaktadır.

Hangi tehditler önlenebilir?

Doğru platformu seçtiğiniz bir e-ticaret sitenizde, sırf bu sayede DDoS, kötü amaçlı yazılım, enjeksiyonlar, sıfır gün açıkları ve siteler arası komut dosyası çalıştırılması gibi tehditlerden korunabilirsiniz.

Tavsiyeler

E-ticaret sitenizin güvende kalması ve siber saldırganlara karşı dayanıklı olması için bazı özellikleri bünyesinde barındıran e-ticaret site oluşturucusu veya hosting hizmet sağlayıcısı bulun. Ücretsiz SSL sertifikası, yedekleme hizmeti, kötü amaçlı yazılımlara karşı düzenli otomatik tarama, kötü amaçlı yazılımı temizleme ve saldırının onarımı gibi hizmetler sunan bir sağlayıcı seçebilirsiniz.

E-ticaret sitenizde SSL kullanın

Müşteriler, alışverişi doğrudan sizin siteniz üzerinden gerçekleştiriyorsa satın alma işleminin SSL ile şifrelenmiş ve güvenceye alınmış olduğundan emin olmanız gerekir. SSL kullanarak, e-ticaret sitenizde HTTP protokolü yerine HTTPS protokolüne geçersiniz, müşterinin tarayıcı ile sitenizin barındığı sunucu arasında alıp verilen bütün veriler şifrelenmiş olur. Böylelikle, siber saldırganlar sitenizden alışveriş yapan bir müşterinin kart ve isim bilgilerini okuyamaz.

Hangi tehditler önlenebilir?

Bu şekilde, e-ticaret sitenizden müşterinin ödeme bilgilerinin sızdırılmasını engelleyebilirsiniz ve bu siteler arası komut çalıştırılması gibi bazı tehditleri de önleyebilir.

Kullanıcı bilgilerini sitenizde saklamayın ve toplarken seçici olun

Siber saldırganlar sitenizde bulunan bilgileri sızdırabilir fakat sonuçta sizde olmayan bir şeyi çalamazlar. Bundan dolayı, e-ticaret siteniz aracılığıyla müşteri bilgilerini toplamamanız veya işletme için gerekli olmayanları kaydetmemeniz durumunda siber suçluların sızdırabileceği verileri minimize etmiş olursunuz ve bu da onların işine yarayacak hiçbir şey kalmadığı anlamına gelir.

Ödeme sayfasında, eğer kredi kartı bilgilerinin depolanması söz konusuysa kendi sunucularınızda müşteri kredi kartı verilerini görme gerekliliğini ortadan kaldırmak için şifreli ödeme tüneli kullanabilirsiniz. Bu, müşterilerinize belki biraz zahmet yükleyebilir ama kesinlikle kredi kartı bilgilerini tehlikeye atmaktan daha makul bir tercihtir.

Bir diğer strateji ise, müşteri bilgilerinin korsanların erişemeyeceği 3. taraf güvenilir bir yerde depolamaktır. Böylelikle siber saldırganların veriye erişiminin önünü kesmiş olursunuz.

Hangi tehditler önlenebilir?

Bu şekilde müşterilere ait hassas verileri toplamak ve depolamaktan kaçınarak bilgilerin sızdırılması ihtimalini en aza indirgemiş olursunuz.  Veri sızdırılmasını sıfır noktasına indiremeseniz bile müşterilerinizin en önemli bilgilerini korumuş olursunuz.

Kötü amaçlı yazılım tarayıcılarıyla düzenli kontroller yapın

Kötü amaçlı yazılımlar, sitenize fark edilmeden sızması için tasarlanmıştır ve siz bu sinsiliği göremeyebilirsiniz. Sitenize sızdıklarında kullanıcı kontrolü yapmaya çalışırlar veya ileride kullanmak ya da satmak üzere kullanıcı verilerini sızdırırlar. Bu kötü senaryolardan korunmak adına, bilgisayarınıza indireceğiniz bir kötü yazılım tarama programı ile düzenli kontrollerde bulunabilirsiniz. Yazılım, kötü amaçlı yazılım tespit ettiğinde size uyarı bildirimi gönderir ve bazı durumlarda nasıl ortadan kaldıracağınızı da söyleyebilir. Bunun dışında e-ticaret sitenize de bazı güvenlik yöntemleri koyabilirsiniz.  CAPTCHA gibi basit görünen yöntemler bile gerçek ve sahte kullanıcıyı tespit etmek adına önemli bir adımdır.

Hangi tehditler önlenebilir?

E-ticaret sitenizde kötü amaçlı yazılımdan veya komut dosyası tabanlı saldırılardan doğacak saldırıları önleme veya fark edip giderme şansınız olabilir.

Müşteri ve kullanıcılarınıza güvenli e-ticaret için en iyi yöntemleri uygulamalarını salık verin

E-ticaret siteniz için önerilen bütün önlemleri alsanız bile bazen müşterilerinizde siber saldırganların kurbanı olabiliyor. Bu tehdit tamamen ortadan kaldırılamaz ama müşterilerinize daha güçlü şifreler koyma konusunda tavsiyelerde bulunarak ve onlara güvenlik uygulamaları hakkında bilgilendirme yaparak oluşabilecek tehditleri minimum seviyesinde tutabilirsiniz.

Hangi tehditler önlenebilir?

Bu, tamamen müşterinizin yaşayabileceği bir tehdidi ortadan kaldırmaya çalışmakla alakalıdır. En azından, müşteri güvenliği için elinizden gelen her şeyi yapmış olacaksınız.

Çalışanlarınıza güvenli e-ticaret için en iyi yöntemleri uygulamalarını salık verin

Müşterilerinizi güvenlik konusunda bilgilendirdiğiniz gibi çalışanlarınızı da bilgilendirmelisiniz. Kurum içi eğitimler ile birlikte çalışanlarınızın güvenlik konusunda daha dikkatli olmalarını sağlayabilirsiniz. Unutmamanız gerekir ki, her çalışanınız bir gün ciddi bir güvenlik tehdidine dönüşebilir. Kolay seçilen bir şifre veya bilgisayarlarına bulaşan bir virüs. Bütün emekleriniz bir anda heba olabilir. Bundan dolayı çalışanların güvenlik konusunda eğitimi çok önemlidir.

Hangi tehditler önlenebilir?

Bu sayede çalışanlardan kaynaklanabilecek herhangi bir güvenlik sorunu ihtimalini en aza indirgemiş olursunuz. Unutmamak gerekir ki, müşteriden kaynaklanan bir güvenlik sorunu müşteriyi ilgilendirir, sisteminize zarar veremez. Fakat çalışanlar, sisteme giriş yetkileri de olduğu için bir anda tüm sistemi risk altına sokabilirler.

E-ticaret sitenizi aktif olarak kontrol edin

Gerçek zamanlı olarak sitenizdeki aktiviteleri de görebileceğiniz Google Analytics servisi başta olmak üzere, ziyaretçilerin sitenize hangi kaynaktan eriştiğini görebileceğiniz bazı uygulama ve servisler mevcuttur. Analizden öte olarak, e-ticaret sitenizi günde bir kere tarayarak herhangi bir şüpheli aktivite olup olmadığını kontrol etmek mutlaka faydalı olacaktır. E-ticaret sitenizi sürekli kontrol etmeniz demek, oluşabilecek saldırılar ve şüpheli oturumlardan en önce sizin haberinizin olacağı anlamına gelir. Bu da, sizin birçok tehlikeli duruma ivedilikle müdahale etmenize olanak sağlar.

Hangi tehditler önlenebilir?

Bu sürekli izleme ve analiz sayesinde, sitenize karşı yapılan saldırılar ve girişimler çok erken fark edilebilir. Bir DDoS saldırısının başladığını anlayabilir veya kaba kuvvet saldırısını fark edip durdurabilirsiniz.

Sistemlerinizi güncel tutun

Altyapınız veya sistemlerinizde yapılan güncellemeler, genel olarak fark edilen bir açığın kapatılması ya da dışarıdan izne giriş veren hataların yama yapılması gibi bazı önemli yenilikleri içerirler. E-ticaret sitelerinde kullandığınız altyapıda yapılan güncellemeleri mutlaka takip etmeli, yeni versiyona en hızlı şekilde geçiş yapmalısınız. Bu şekilde bir güncellemenin yapılmaması veya bekletilmesi demek e-ticaret sitenizi gereksiz bir şekilde riskte tutmak demektir.

Hangi tehditler önlenebilir?

Güncellemeler sayesinde genellikle sıfır gün saldırıları ile kötü amaçlı yazılım tehditleri ortadan kaldırılmak istenir. Fakat bazen sizi diğer açıklara karşı da korumak için de güncelleme yapılmış olabilir.  Eğer güncelleme yapmayı unutmaktan korkuyorsanız veya takip etmek için süreniz yoksa sisteminizin desteklemesi durumunda otomatik güncelleme seçeneğini aktive edebilirsiniz. Bu şekilde güncellemeler arasında vakit kaybı yaşanmadan işlem tamamlanmış olur.

E-Ticaret Sitelerinin Güvenliği Nasıl Sağlanır?

Verileri düzenli aralıklarla yedekleyin

Sitenize düzenlenen saldırılarda tüm verilerinizin kaybolma ihtimali de bulunuyor. Bu da, belki mail veya SMS yoluyla bilgilendirme ve tanıtım yaptığınız kullanıcı bilgilerini, veya girişini yaptığınız tüm ürünlerin stok ve fiyat bilgilerini bütünüyle kaybetmek anlamına geliyor. Bu verilerin, yıllar içinde toplandığı da düşünülürse, kaybolan verilerin yerine yenisinin koyulmasının hem çok zor hem de çok maliyetli bir iş olacağı kolaylıkla anlaşılacaktır. Bazı fidye yazılımı saldırılarında, çalınan verilerin güvenli bir şekilde iade edilmesine karşılık sitenizin rehin alınmak istendiği durumlar olmaktadır.

E-ticaret sitenizi bu tür sıkıntılı durumlardan korumanın en makul yolu verilerinizin düzenli olarak yedeklenmesidir.

Hangi tehditler önlenebilir?

Verilerin düzenli olarak yedeklenmesi, belki çalınmasını engellemek için yeterli bir adım olmayabilir, fakat çalınsa dahi tekrar yerine getirmek için harika bir seçenek. Bu şekilde bilgilerinizin tamamen kaybolmasını ya da rehin tutulmasını önlemiş olursunuz.

Sitenizin düzenli olarak yedeğini almak için otomatik yedekleme seçeneğini aktif edebilirsiniz. Bu, verilerin yedeklenip yedeklenmediği hususunda sürekli endişelenmenizin önüne geçecektir.

İndirmelerinize ve siteye entegre ettiklerinize dikkat edin

E-ticaret sitelerinizi oluştururken veya daha sonrasında kullandığınız bazı eklentiler veya araçlar sandığınızdan daha zararlı olabilir. Bu eklentilerin içerisinde, zararlı kodlar bulunabilir ve bu şekilde sitenize kötü amaçlı yazılım kodları eklenebilir. Ya da internet sitenize eklemek istediğiniz bir eklenti bilgisayarınıza virüs bulaştırabilir. Bilgisayarınıza bulaşan bu kötü amaçlı yazılımlar, e-ticaret sitenizin yönetim paneline girerken yaptığınız tuş vuruşlarını kaydederek şifrenizi çalabilirler.

Hangi tehditler önlenebilir?

Dikkatli bir inceleme kötü amaçlı yazılımların veya zararlı kodların bilgisayarınıza ya da e-ticaret sitenize bulaşmasını engelleyebilir. Bu nedenle, güvenmediğiniz internet sitelerinden indirme yapmayın ve sitenize ekleyeceğiniz eklentilerde sadece güvenilir kaynakları tercih edin.

Sonuç

Sonuç olarak hiçbir sistem kusursuz değildir, her e-ticaret sitesi saldırıya uğrayabilir fakat önlemler alarak bu riskleri en aza indirmek de bizim elimizde. Eğer yukarıda sizlere e-ticaret siteniz hakkında verilen önlemleri eksiksiz olarak uygularsanız sitenize yapılmaya çalışılan çoğu saldırıyı bertaraf etmiş olacaksınız. Çünkü ortalama bir siber saldırgan da, bir e-ticaret sitesini ele geçirmeye çalışırken yukarıda bahsi geçen yöntemleri dener. Çoğu siber saldırgan, küçük ölçekli e-ticaret sitelerini kolay lokma olarak görür ve saldırıya geçer. Burada e-ticaret sitesi sahiplerinin yapması gereken en önemli şey, sitelerinin küçük veya büyük ölçekli olduğuna bakmadan güvenlik konusunda bahsedilen önlemlerin hepsini almaktır. Çünkü sizler e-ticaret sitenizi kimsenin gözünde önemi olmayan bir site olarak görseniz bile, siber saldırganlar bu şekilde düşünmeyecek ve harekete geçecektir.