01Web Sitesi Güvenliği Neden İş Probleminizdir
Web sitesi güvenliği sadece bir BT sorunu değildir. Bir iş sorunudur. Bir güvenlik ihlali size müşteri, itibar, yasal cezalar ve gerçek para kaybettirebilir. KVKK düzenlemelerinin yürürlükte olduğu Türkiye'de riskler daha da yüksektir.
İşte bir güvenlik ihlalinin gerçek sonuçları:
- Müşteri verileri açığa çıkar — yasal sorumluluk ve güven kaybı
- Web sitesi tahrif edilir veya çevrimdışı olur — gelir ve güvenilirlik kaybı
- Google kara listeye alır — siteniz arama sonuçlarından tamamen kaldırılır
- Fidye yazılımı — hackerlar sitenizi geri yüklemek için ödeme talep eder
- KVKK cezaları — kişisel verileri koruyamamanın cezaları
İyi haber: çoğu saldırı temel güvenlik uygulamalarıyla önlenebilir.
Yaygın Web Sitesi Tehditleri
1. SQL Injection (SQL Enjeksiyonu)
Saldırganlar, arama çubukları veya giriş formları gibi giriş alanları aracılığıyla web sitenizin veritabanı sorgularına kötü amaçlı kod ekler. Bu, müşteri bilgileri dahil tüm veritabanınızı açığa çıkarabilir.
Önleme: Parametreli sorgular, giriş doğrulama kullanın ve kullanıcı girdisine asla doğrudan güvenmeyin.
2. Cross-Site Scripting (XSS)
Saldırganlar, web sayfalarınıza diğer kullanıcıların tarayıcılarında çalışan kötü amaçlı scriptler enjekte eder. Bu, oturum çerezlerini çalabilir, kullanıcıları yönlendirebilir veya sahte giriş formları görüntüleyebilir.
Önleme: Tüm kullanıcı girdilerini temizleyin, Content Security Policy başlıkları kullanın, çıktıyı düzgün şekilde kodlayın.
3. Kaba Kuvvet Saldırıları
Otomatik araçlar, yönetim panelinize erişim sağlamak için binlerce kullanıcı adı/şifre kombinasyonunu dener.
Önleme: Güçlü şifreler, hız sınırlaması, iki faktörlü kimlik doğrulama, başarısız denemelerden sonra hesap kilitleme.
4. DDoS (Dağıtık Hizmet Reddi)
Sunucunuzu sahte trafikle bunaltarak web sitenizi gerçek ziyaretçiler için erişilemez hale getirir.
Önleme: Cloudflare gibi bir CDN kullanın, hız sınırlaması uygulayın, WAF (Web Uygulama Güvenlik Duvarı) kullanın.
5. Eski Yazılım Açıkları
Hackerlar, eski CMS platformları, eklentiler ve sunucu yazılımlarındaki bilinen güvenlik açıklarını hedef alır. Bu özellikle WordPress siteleri için kritiktir.
Önleme: Tüm yazılımları güncel tutun, kullanılmayan eklentileri kaldırın, güvenlik danışma belgelerini izleyin.
6. Web Siteniz Üzerinden Phishing
Saldırganlar, ziyaretçilerinizin kimlik bilgilerini çalan phishing sayfaları barındırmak için sitenizi ele geçirir.
Önleme: Web sitesi dosyalarınızı izleyin, bütünlük kontrolü kullanın, yetkisiz değişiklikler için uyarılar kurun.
SSL Sertifikaları: Temel
SSL (Güvenli Yuva Katmanı), ziyaretçinizin tarayıcısı ile sunucunuz arasındaki bağlantıyı şifreler. Bir sitenin SSL kullandığını kilit simgesi ve URL'deki "https://" ile anlayabilirsiniz.
SSL neden gereklidir:
- Google sıralama faktörü — HTTPS siteler HTTP sitelerinden daha üst sıralarda yer alır
- Tarayıcı uyarıları — Chrome, HTTP siteler için "Güvenli Değil" gösterir ve ziyaretçileri korkutur
- Veri koruma — aktarım sırasında şifreleri, kredi kartlarını ve kişisel bilgileri şifreler
- Güven sinyali — ziyaretçiler HTTPS sitelerde daha güvende hisseder
- KVKK gerekliliği — Türk veri koruma yasası yeterli güvenlik önlemleri gerektirir
SSL sertifikası türleri:
- Domain Doğrulama (DV): Temel şifreleme, yalnızca domain sahipliğini doğrular. Let's Encrypt'ten ücretsiz.
- Kuruluş Doğrulama (OV): İşletme kimliğini doğrular. İşletme siteleri için daha iyi.
- Genişletilmiş Doğrulama (EV): En yüksek doğrulama seviyesi. Bazı tarayıcılarda şirket adını gösterir.
Çoğu işletme web sitesi için Let's Encrypt'ten ücretsiz bir DV sertifikası yeterlidir. Hosting sağlayıcınız genellikle bunu otomatik olarak halleder.
KVKK Uyumluluğu
KVKK (Kişisel Verilerin Korunması Kanunu), Türkiye'nin GDPR'a benzer kişisel veri koruma yasasıdır. Web siteniz herhangi bir kişisel veri topluyorsa (isimler, e-postalar, telefon numaraları), uyumlu olmalısınız.
Web siteleri için temel KVKK gereklilikleri:
1. Gizlilik Politikası
Aşağıdakileri açıklayan net, erişilebilir bir gizlilik politikanız olmalıdır:
- Hangi verileri topladığınız
- Neden topladığınız
- Nasıl sakladığınız ve koruduğunuz
- Ne kadar süre tuttuğunuz
- Kiminle paylaştığınız
- Kullanıcıların silme talebinde nasıl bulunabileceği
2. Rıza
Kişisel veri toplamadan önce açık rızaya ihtiyacınız var. Önceden işaretlenmiş kutucuklar geçerli rıza değildir.
3. Veri Güvenliği
Kişisel verileri korumak için "uygun teknik ve organizasyonel tedbirler" uygulamalısınız. Bunlar şunları içerir:
- SSL/TLS şifreleme
- Verilerin güvenli depolanması
- Erişim kontrolleri
- Düzenli güvenlik denetimleri
4. İhlal Bildirimi
Bir veri ihlali meydana gelirse, KVKK makamını 72 saat içinde bilgilendirmelisiniz.
5. Veri İşleme Sicili
50'den fazla çalışanı olan veya hassas veri işleyen işletmeler VERBİS'e (Veri Sorumluları Sicil Bilgi Sistemi) kaydolmalıdır.
Her Web Sitesinin İhtiyaç Duyduğu Güvenlik Başlıkları
Güvenlik başlıkları, sunucunuzun tarayıcıya içeriğinizi nasıl işleyeceği hakkında gönderdiği talimatlardır. Çoğu web sitesi bunları tamamen atlar.
Temel başlıklar:
Content-Security-Policy (CSP)
Tarayıcının hangi kaynakları yüklemesine izin verildiğini kontrol eder. Yetkisiz scriptleri engelleyerek XSS saldırılarını önler.
X-Content-Type-Options
Tarayıcıların dosya türlerini tahmin etmesini önleyerek MIME-type saldırılarını engeller.
X-Frame-Options
Sitenizin diğer sitelerdeki iframe'lere gömülmesini önleyerek clickjacking saldırılarını engeller.
Strict-Transport-Security (HSTS)
Kullanıcı HTTP yazsa bile tarayıcıları her zaman HTTPS kullanmaya zorlar.
Referrer-Policy
Kullanıcılar diğer sitelere bağlantılara tıkladığında ne kadar bilgi paylaşıldığını kontrol eder.
WordPress'e Özel Güvenlik
WordPress web sitelerinin %43'üne güç verdiğinden, özel dikkat hak ediyor:
1. Her şeyi güncel tutun
- WordPress çekirdeği, temalar ve eklentiler — yayınlanmasından itibaren 24 saat içinde güncelleyin
- Kullanmadığınız eklentileri ve temaları kaldırın
2. Güçlü yönetici kimlik bilgileri kullanın
- Varsayılan "admin" kullanıcı adını değiştirin
- 16+ karakterlik şifreler kullanın
- İki faktörlü kimlik doğrulamayı etkinleştirin
3. Giriş denemelerini sınırlayın
- Giriş sınırlayıcı eklenti kurun
- Varsayılan /wp-admin URL'sini değiştirmeyi düşünün
- Giriş formlarında CAPTCHA kullanın
4. Güvenlik eklentileri
- İzleme ve güvenlik duvarı için Wordfence veya Sucuri
- Otomatik yedeklemeler için UpdraftPlus
5. Dosya izinleri
- wp-config.php 400 veya 440 olmalı
- Dizinler 755 olmalı
- Dosyalar 644 olmalı
Yedekleme Stratejisi
Yedeklemeler son savunma hattınızdır. Her şey başarısız olursa, güncel bir yedekleme sitenizi geri yükleyebilir.
3-2-1 Kuralı:
- Verilerinizin 3 kopyası
- 2 farklı depolama türü (yerel + bulut)
- 1 kopya site dışında (farklı fiziksel konum)
Yedekleme sıklığı:
- Sık içerik değişikliği olan siteler için günlük
- Statik işletme siteleri için haftalık
- Programa bakılmaksızın her büyük güncellemeden önce
Yedeklemelerinizi test edin: Geri yüklemeyi hiç test etmediğiniz bir yedekleme, yedekleme değildir. Yedekleme dosyalarınızdan gerçekten geri yükleme yapabileceğinizi üç ayda bir doğrulayın.
İşletme Sahipleri İçin Güvenlik Kontrol Listesi
İşte takip edebileceğiniz pratik bir kontrol listesi:
Acil (Bugün Yapın):
- SSL sertifikası kurun (HTTPS)
- Tüm yazılımları en son sürümlere güncelleyin
- Tüm şifreleri güçlü, benzersiz olanlarla değiştirin
- Mümkün olan yerlerde iki faktörlü kimlik doğrulamayı etkinleştirin
- Yedekleme sisteminizin çalıştığını doğrulayın
Bu Hafta:
- Sunucu yapılandırmanıza güvenlik başlıkları ekleyin
- Site dışı depolama ile otomatik yedeklemeler kurun
- KVKK için gizlilik politikanızı gözden geçirin ve güncelleyin
- Kullanılmayan eklentileri, temaları ve kullanıcı hesaplarını kaldırın
- Dosya izinlerini kontrol edin
Aylık:
- Şüpheli aktivite için sunucu günlüklerini gözden geçirin
- Tüm yazılımları ve eklentileri güncelleyin
- Yedekleme geri yüklemeyi test edin
- Kullanıcı erişim izinlerini gözden geçirin
- SSL sertifikası son kullanma tarihini kontrol edin
Üç Aylık:
- Güvenlik denetimi veya taraması yapın
- Güvenlik politikalarını gözden geçirin ve güncelleyin
- Olay müdahale prosedürlerini test edin
- Gerekirse KVKK belgelerini güncelleyin
Hacklenirseniz Ne Yapmalısınız
Web sitenizin ele geçirildiğinden şüpheleniyorsanız:
- 1Panik yapmayın — Acele kararlar işleri daha da kötüleştirir
- 2Siteyi çevrimdışına alın — Daha fazla hasarı önleyin
- 3Tüm şifreleri değiştirin — Yönetici, FTP, veritabanı, hosting, e-posta
- 4Temiz bir yedeklemeden geri yükleyin — Saldırıdan önceki bir yedekleme kullanın
- 5Güvenlik açığını belirleyin — Nasıl girdiler?
- 6Güvenlik açığını düzeltin — Güvenlik deliğini kapatın
- 7Kalan kötü amaçlı yazılımları tarayın — Tüm dosyaları kapsamlı kontrol edin
- 8Siteyi tekrar çevrimiçi yapın — Temiz olduğunu onayladıktan sonra
- 9Etkilenen tarafları bilgilendirin — Kişisel veriler açığa çıktıysa KVKK bildirim gerektirir
- 10Her şeyi belgeleyin — Yasal uyumluluk ve gelecekteki önleme için
02İlgili Okumalar
Web sitesi güvenliği bilginizi bu tamamlayıcı rehberlerle güçlendirin:
- WordPress mu Özel Yazılım mı? İşletmeniz İçin Hangisi Doğru?
- Türkiye'de E-Ticaret Web Sitesi Kurma Rehberi
- Web Sitesi Hızı ve SEO İlişkisi: Performans Neden Önemli
Güvenli, profesyonelce oluşturulmuş bir web sitesine mi ihtiyacınız var? Hizmetlerimizi inceleyin veya ücretsiz güvenlik değerlendirmesi alın.
İlk Günden Güvenli Web Sitesi Oluşturmak
En etkili güvenlik stratejisi, güvenliği web sitenize baştan yerleştirmektir, sonradan eklemek değil.
SvelteKit gibi modern frameworkler doğal güvenlik avantajları sunar:
- Birçok yapılandırmada veritabanı yok (SQL injection mümkün değil)
- Sömürülecek eklenti yok
- Otomatik çıktı kodlama (XSS'i önler)
- Statik site oluşturma saldırı yüzeyini azaltır
- Modern hosting platformları SSL ve DDoS korumasını halleder
Her web sitesini güvenliği bir sonradan düşünce olarak değil, temel ilke olarak inşa ediyorum. KVKK uyumlu gizlilik politikalarından uygun güvenlik başlıklarına ve şifreli veri işlemeye kadar güvenlik temele yerleştirilmiştir.
Mevcut web sitenizin ücretsiz güvenlik değerlendirmesi için benimle iletişime geçin. Güvenlik açıklarını belirleyeceğim ve işletmenizi online korumak için net bir eylem planı sunacağım.