Plesk hem Linux dağıtımlarında, hem de Windows Sunucu işletim sistemi ailesinde çalışan bir web hosting kontrol paneli. Bir önceki Plesk Güvenlik Ayarları yazımızda, genel güvenlik ve Linux güvenlik ayar ve önlemlerine değinmiştik. Bu yazımızda ise, Plesk Windows için güvenlik ayarları ve önlemlerini ele alacağız.
Plesk Windows Nedir?
Plesk Windows, Windows 2008 Server R2 ve sonrasında piyasaya sunulan tüm Windows sunucu işletim sistemleri üzerinde çalışan bir web hosting kontrol panelidir. İşletim sistemini Core olarak kurduysanız da Plesk’i çalıştırabilirsiniz. Bir Windows Hosting kullanıcısının ihtiyaçlarını giderecek şekilde yapılmıştır. Şu anda en son sürümü Plesk Obsidian 18.0.24 şeklindedir.
Genel Güvenlik Ayarları
İşletim Sistemi Güncelleme
Kullandığınız Windows Server işletim sistemini her zaman güncel tutun. Özel bir durum yok ise Windows Güncelleştirme işlemini otomatik olarak yaptırın.
Plesk Windows Güncelleme
Plesk kontrol panelinizi her zaman güncelleyin. Güncelleme var mı diye kontrol paneliniz üzerinden sürekli kontrol edin.
Güçlü Şifreler Kullanın
Hem Windows Administrator için hem de, kullanıcılarınız (hosting) için güçlü şifre kullanın ve güçlü şifreler kullanmayı zorunlu hale getirin.
Plesk Windows Güvenlik Ayarları
Özellikle asp ve asp.net kullanıcıları tarafından Plesk Windows Panel tercih edilir. Yapacağımız güvenlik ayarları ve önlemleri ile güvenlik zafiyetlerini en aza indirmek gerekir.
Windows RDP portunu değiştirin
Güvenlik önlemlerinin en başta gelen seçeneklerinden bir tanesi varsayılan portları değiştirmemizdir. Brute force ataklar ekseriyetle varrsayılan portlara gelir. Windows’un uzak masaüstü portu olan 3389 numaralı portu değiştirmek, brute force ataklardan kaçınmak için etkili bir yöntemdir.
Plesk Portunu Değiştirme
İnternet üzerine açılmış bir sunucuda, elimizden geldiğinde varsayılan portları değiştirmemiz gerekir. Web sitemiz var ise 80 HTTP portunu değiştiremeyiz fakat, Plesk portunu değiştirmememiz için bir sebep yok.
Özel işleyiciler ilkesini kullanın
Eğer çok fazla sayıda hostingleriniz yoksa, veya kendinize ait hostingler barındırıyorsanız Custom handlers (özel işleyiciler) ilkesini kullanın. Bu ibare hostinglerde web.config dosyası kullanımına sınır getirecektir.
Tool & Settings > Security Policy > Custom handlers policy şeklinde aktif edebilirsiniz.
Güvenlik Duvarı (Firewall) kullanın
Güvenlik duvarı ile sadece kullandığınız portlara izin verin. HTTP, IMAP, Pop3 portları ve kullandığınız portlar dışındaki portlara izin vermeyin.
Tools & Settings > Firewall kısmından ayarlarınızı yapılandırabilirsiniz.
Mod Security kullanın
Mod_security kullanarak, olası XSS, SQL injection gibi atakları engelleyin. Modsecurity’i kendiniz yapılandırabilir veya ücretli/ücretsiz yerlerin sağladığı kuralları kullanabilirsiniz.
Veritabanlarınızı dışarıya açmayın
Eğer dışarıdan veritabanlarınıza bağlanmıyorsanız, uzak bağlantıyı kapatın. Sadece lokal kullanım için izin verin. Bağlanmanız gerekiyorsa sadece, bağlanacak IP adresine izin verin.
Plesk admin kullanıcısını belirli IPlere açın
Belirli bir IP adresi üzerinden Plesk’e bağlanıyorsanız, sadece IP veya IP’lerin erişimine izin verin.
PHP Güvenlik Önlemleri
PHP internet tarafında en çok kullanılan dillerden bir tanesi. Eğer Linux sunucularınız varsa, PHP iznini Windows Hosting vermemeye çalışın. PHP, Windows tarafında Linux’a göre hem daha hantal, hem de gereksiz loglar yazacaktır. Fakat vermek zorundaysanız PHP yapılandırmanızı iyi yapın.
SSI Desteğini Kapatın
SSI desteğini kapatarak, sunucu tarafında komut yazma işleminin önüne geçin. SSI özellikle paylaşımlı hosting sunucularından, ciddi manada açığa neden olacaktır.
Home > Service Plans > Hosting Plans kısmında tanımladığınız paket üzerinde Hosting Parameters kısmından SSI desteğini kaldırabilirsiniz.
Windows DDOS desteğini aktif edin
Plesk’in DDOS koruması konusunda bu makalesini inceleyebilirsiniz.
Plesk Windows Güvenlik
Yukarıda saydığımız işlemler, güvenlik işlemlerinden sadece bir kaç tanesidir. Eğer bir sunucu sahibiyseniz, sunucunuzu sürekli takip etmeye gösterin. Windows işletim sistemlerinde event logları (olay görüntüleyici) Linux sunucularınızda sistem loglarınızı kontrol edip, analiz edin.
Sunucularınıza bilmediğiniz herhangi bir yazılım kurmamaya özen gösterin, ayrıca gereksiz veya kullanmadığınız yazılımları kaldırın. Örneğin ASP kullanmıyorsanız desteği vermeyin.
Yorum Gönder