Web Sunucu Güvenliğini Sağlamlaştırmanın 10 Yolu

1. SSH Port'unu Değiştirin

Varsayılan SSH portu olan 22, otomatik tarama araçlarının hedefidir. Portu 10000-65000 arasında rastgele bir değere değiştirerek kaba kuvvet saldırılarını önemli ölçüde azaltabilirsiniz.

nano /etc/ssh/sshd_config
# Port 22 satırını bulun ve değiştirin:
Port 22847
systemctl restart sshd

2. Root SSH Girişini Devre Dışı Bırakın

Root kullanıcısıyla doğrudan SSH girişi büyük bir güvenlik riskidir. Bunun yerine sudo yetkisine sahip normal bir kullanıcı oluşturun ve root girişini kapatın.

PermitRootLogin no
PasswordAuthentication no
PubkeyAuthentication yes

3. SSH Anahtar Tabanlı Kimlik Doğrulama

Parola tabanlı SSH girişini tamamen devre dışı bırakıp SSH anahtar çiftleri kullanın. 4096-bit RSA veya Ed25519 anahtarları tercih edin. Parolalar brute-force ile kırılabilir; kriptografik anahtarlar pratikte kırılamaz.

4. fail2ban Kurulumu

fail2ban, belirli sayıda başarısız giriş denemesinden sonra IP adresini otomatik olarak engeller. SSH, FTP, web uygulamaları için ayrı kurallar tanımlayabilirsiniz.

apt install fail2ban
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
# SSH için:
[sshd]
enabled = true
maxretry = 5
bantime = 3600

5. UFW (Uncomplicated Firewall) Konfigürasyonu

Sunucunuzda yalnızca gerekli portları açık tutun. 80 (HTTP), 443 (HTTPS) ve SSH portunuz dışındaki tüm gelen bağlantıları varsayılan olarak engelleyin.

6. Imunify360 ile Aktif Koruma

Imunify360, AI destekli gerçek zamanlı malware tarama, proaktif savunma, web uygulama güvenlik duvarı ve botnet koruması sunar. cPanel ile tam entegre çalışır ve yönetimi son derece kolaydır.

7. mod_security / WAF Aktivasyonu

Web Application Firewall (WAF), OWASP Top 10 saldırılarını (SQL injection, XSS, CSRF vb.) HTTP seviyesinde engeller. OWASP CRS (Core Rule Set) kural seti ücretsiz ve oldukça kapsamlıdır.

8. SSL/TLS Sıkılaştırması

TLS 1.0 ve 1.1'i devre dışı bırakın, yalnızca TLS 1.2 ve 1.3'e izin verin. Zayıf cipher suite'leri kaldırın. HSTS (HTTP Strict Transport Security) başlığını ekleyin.

9. Düzenli Güvenlik Güncellemeleri

Otomatik güvenlik güncellemelerini etkinleştirin. CVE veritabanlarını takip edin. Özellikle web uygulamalarınızda kullandığınız kütüphaneleri güncel tutun.

10. Log İzleme ve SIEM

Auth logları, web server logları ve sistem loglarını düzenli olarak inceleyin. Anormal aktiviteler için uyarı mekanizmaları kurun. Logları uzak bir sunucuya gönderin (log tampering'e karşı).