T-Soft e-ticaret altyapısı ile sitenizi korumak için çeşitli güvenlik önlemlerimizden yararlanabilirsiniz.
İletilen güvenlik ayarları ve düzenlemeleri hakkında detaylı kontrol sağlanmadan işlem yapılmamalıdır.
Eklenen bazı ayarları kullanmak için sitenizin belirlenen sürüm güncellemesinin üzerinde olması gerekmektedir.
Ayarı kullanabilmek için gerekli sürüme sahip olup olmadığınızı destek ekibimize talep açarak öğrenebilirsiniz.
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklaması : Tarayıcıların, dosya türlerini uzantıya göre değil içeriğe bakarak tahmin edip çalıştırmasını engeller. Bu ayar sayesinde MIME-type confusion (tür karıştırma) gibi güvenlik açıklarının önüne geçilir. Ayar etkinleştirildiğinde, tarayıcıların içerik türünü otomatik olarak algılaması (MIME sniffing) engellenir. Bu işlem için HTTP başlığına şu satır eklenir: header('X-Content-Type-Options: nosniff');
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : Bu ayar etkinleştirildiğinde, web sitenizin hangi kaynaklar tarafından iframe içinde görüntülenebileceğini kontrol edebilirsiniz. Genellikle, sitenizin başka bir alan adı altında iframe ile yüklenmesini engellemek için kullanılır. Bu sayede clickjacking gibi güvenlik açıklarının önüne geçilir. Eğer sitenizde iframe kullanılıyorsa, bu ayarın işlevselliği öncesinde test edilmelidir. Ayar etkinleştirildiğinde HTTP başlığına şu satır eklenir: header('X-Frame-Options: SAMEORIGIN');
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : E-posta adreslerini botlardan gizleyerek spam gönderimlerini azaltmak amaçlanır. Site ön yüzünde gösterilen tüm e-posta alanlarını etkiler. Aktif edildiğinde çalışan örnek yapı şu şekildedir: <span class="email">info [at] site [dot] com</span>
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : Tarayıcıya sadece HTTPS üzerinden bağlantı kurulabileceğini söyler. HTTP üzerinden bağlantı engellenir. Kritik bir ayardır. XSS açıklarını giderir, ayar aktif edilince site genelinde detaylı test yapılması gerekmektedir. Ayar etkinleştirildiğinde HTTP başlığına şu satır eklenir: header('Strict-Transport-Security: max-age=31536000; includeSubDomains; preload');
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : Sayfada çalışabilecek kaynakları (JS, CSS, img, iframe vb.) kısıtlar. XSS (Cross-site scripting) saldırılarını engellemede çok etkilidir. Kritik bir ayardır. Ayar aktif edilince site genelinde detaylı test yapılması gerekir. Ayar aktif edildiğinde header alanına eklenecek örnek kod: Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com; style-src 'self' 'unsafe-inline';
(4.3.24 sürümünden sonra aktif edilmelidir!)
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : Bir siteden başka bir siteye tıklanırken gönderilecek “referrer” bilgisini sınırlar. Gizliliği artırır. Kritik bir ayardır. Ayar aktif edilince site genelinde detaylı test yapılması gerekir. Ayar etkinleştirildiğinde HTTP başlığına şu satır eklenir: "header('Referrer-Policy: strict-origin');
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : Kötü niyetli bir siteden gelen otomatik isteklerle kullanıcının sepetine ürün eklenmesini engeller. Genellikle token doğrulaması yapılır. Sepete ekle servisinde CSRF tokeninin sunucu tarafıyla doğrulanmasını sağlar, site dışında atılan sepete ekleme isteklerini engeller. Örnek kod içeriği (form içinde): <input type="hidden" name="csrf_token" value="1234567890abcdef">
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : Tüm formlar, API istekleri, ve oturum işlemlerinde CSRF (Cross-Site Request Forgery) saldırılarını engeller. İşlemlerde CSRF tokeninin sunucu tarafıyla doğrulanmasını sağlar, site dışında atılan isteklerini engeller. Token sunucudan her form ya da AJAX isteğiyle birlikte gönderilir. Örnek kod içeriği: <meta name="csrf-token" content="TOKEN_DEĞERİ">
(4.3.26 sürümünden sonra aktif edilebilir.)
Konumu : Ayarlar > Genel Ayarlar > Güvenlik Ayarları
Açıklama : Detaylandırılmış CSP içeriğiyle sadece belirli kaynaklara izin verilir. Daha katı kontroller eklenebilir. "Content-Security-Policy Header Bilgisi" ayarı aktif edildiğinde izin verilmeyen kaynaklardan dahil edilen dosyalar engellenmektedir. Bu ayara alan adları tanımlanarak izin verilebilir. Örnek eklemeler şu şekildedir: *.google-analytics.com *.googleapis.com *.facebook.com
(4.3.53 sürümünden sonra veri girilebilir.)
Açıklama : Bu iki özellik, oturum (session) çerezlerinin güvenliğini artırmak için kullanılır. Oturum (login) ve kimlik doğrulama çerezlerinde mutlaka kullanılmalıdır. HTTPS zorunlu olan sitelerde kesinlikle Secure bayrağı eklenmelidir. Sunucu ekibi tarafından htaccess dosyasına müdahale edilmelidir. Sunucu ekibine nildesk üzerinden talep oluşturulmalıdır.
- HttpOnly: JavaScript ile çereze erişimi engeller. XSS (Cross-site scripting) saldırılarında oturum çerezinin çalınmasını önler.
- Secure: Çerezin sadece HTTPS bağlantısı üzerinden gönderilmesini sağlar. HTTP bağlantılarda çerez gönderilmez, MITM (Man-in-the-middle) saldırılarına karşı koruma sağlar.
Açıklama : Sunucu teknolojisini (Apache, LiteSpeed, PHP versiyonu vs.) gizlemek, potansiyel saldırganlara fazla bilgi vermemek için önemlidir. Saldırganlar genellikle sürüm bilgilerine göre açık arama yapar. Sunucu ekibi tarafından müdahale edilmelidir. Sunucu ekibine nildesk üzerinden talep oluşturulmalıdır.
Bu ayarlar, sizi ve müşterilerinizi çeşitli güvenlik tehditlerine karşı korumak için tasarlanmıştır. Aktif ettikten sonra sitenizin genel kontrollerini yapmanız önerilir.
- Kredi Kartı Fraud İzleme (dk / işlem) : 1/6 şeklinde giriş yapmanız önerilir. Bu durumda aynı ip üzerinden 1 dakika içerisinde 6 kere hatalı işlem yapdıktan sonraki her işlem posa gönderilmeden hata dönecektir. Boş girildiği takdirde fraud kontrolü yapmayacaktır.
- Referer ve Request Method Kontrolü Yapılsın : Aktif olması önerilir.
- Aynı IP den Ardarda Kaç Tane Hatalı İşlem Alırsa Üye Yasaklansın : 10 şeklinde giriş yapmanız önerilir. 10 hatalı işlem aynı ip den ise ilgili üye yasaklı durumuna getirilir, aynı ipden gelen talepleri posa iletmez.
- Çalıntı Kart Uyarılarında Üye Yasaklansın: Aktif olması önerilir.
- Üye Kayıt Güçlü Parola Kontrolü: Aktif olması önerilir.
- Google Recaptcha: Aktif olması önerilir.
- Strict-Transport-Security Header Bilgisi: Aktif olması önerilir.
- Content-Security-Policy Header Bilgisi: Aktif olması önerilir.
- Referrer-Policy Header Bilgisi: Aktif olması önerilir.
- CSRF Koruması Aktif: Aktif olması önerilir.
- Sepete Ekleme CSRF Koruması Aktif: Aktif olması önerilir.
- Tarayıcının Dosya Uzantısını Tahmin Edip Çalıştırmasını Engelle (No Sniff Özelliği): Aktif olması önerilir.
- Üye Telefon Validasyonu: Aktif olması önerilir.
- IP Bazlı İstek Sınırlayıcı: Aktif olması önerilir.
İki Aşamalı Doğrulama makalemizi incelemek için tıklayınız.
Güvenlik Ayarları makalemizi incelemek için tıklayınız.
Google Recaptcha makalemizi incelemek için tıklayınız.