Sahadan pratik notlar, fikirler ve teknik yazılar.
OWASP Core Rule Set ile eşleştirilmiş ModSecurity, arkasında çalışan spesifik uygulama hakkında kesinlikle hiçbir şey bilmez. Tam olarak bu yüzden bu kadar faydalıdır. Gerçekte neyin çalıştığına bakılmaksızın, her bir sunucuyu vuran o jenerik saldırı girişimlerini acımasızca yakalar.
Sadece anahtar tabanlı SSH'ın üzerine bir de TOTP (Authenticator) kodu eklemek harika bir ekstra güvenlik katmanı gibi duyuluyor. Ancak tüm otomasyonlarınızı bozmadan önce, bunun gerçekte neye karşı koruduğunu dürüstçe konuşalım.
Şimdiye kadar temizlediğim neredeyse her ele geçirilmiş (compromised) WordPress sitesi inanılmaz derecede sıkıcı bir şey tarafından vurulmuştu: güncel olmayan bir eklenti, zayıf bir admin parolası veya kimsenin kurduğunu bile hatırlamadığı rastgele bir tema. Çözümleri de tam olarak o kadar sıkıcıdır ve zaten tam olarak bu yüzden işe yararlar.
Let's Encrypt'in 90 günlük kısa sertifika ömrü tamamen otomasyonu zorlamak içindir. Ancak sık sık, yenileme cron görevinin çalıştığı ama kimsenin web sunucusuna yeni sertifikayı yüklemesini söylemediği sunucular buluyorum.
Sunucuya herhangi bir şey kurmadan önce her yeni makineyi, otomatik saldırıların önünü kesecek bu kısa kontrol listesinden geçiririm.
Kimlik doğrulaması gerektirmeyen bir RCE zafiyetinden vurulan CyberPanel sunucularını temizleme sürecim ve sonrasında uyguladığım güvenlik sıkılaştırma adımları.