İçeriğe geç
Bakım & Süreklilik

Web Sitesi Güvenlik Temel Önlemleri: SSL'den WAF'a Koruma Rehberi

Web sitesi güvenliği hacker filmlerdeki sofistike saldırılarla değil, çoğu zaman otomatik botların binlerce siteyi tarayıp bilinen açıklardan yararlandığı rutin saldırılarla test ediliyor. Küçük işletme sitesi de bu taramalardan muaf değil. Bu yazıda işletme web sitesi için uygulanması gereken temel güvenlik önlemlerini, ne kadar süreceğini ve hangi araçların işe yaradığını ele alıyoruz.

SSL Sertifikası: Güvenliğin Görünen Yüzü

SSL (HTTPS) sitenin minimum güvenlik sinyalidir. 2024 itibarıyla HTTPS olmayan siteler Chrome\'da "Güvenli Değil" uyarısı veriyor ve Google sıralamada dezavantajlı konuma alıyor. Let\'s Encrypt ile ücretsiz SSL artık standart — hosting firmanızın panelinden 5 dakikada kurulabiliyor.

SSL sertifikası yalnızca veri şifrelemesi sağlıyor — bu güvenliğin sadece bir boyutu. Sitenizin "güvenli" görünmesi onu saldırıya karşı bağışık yapmıyor.

Güçlü Şifre ve İki Faktörlü Doğrulama

En sofistike saldırıların büyük bölümü zayıf şifrelerden kaynaklanıyor. WordPress ve benzeri CMS için:

  • Admin şifresi en az 16 karakter, büyük/küçük harf, rakam ve sembol
  • Farklı servisler için farklı şifre — şifre yöneticisi kullanın (Bitwarden, 1Password)
  • WordPress admin paneli için iki faktörlü doğrulama (2FA) — Google Authenticator veya benzeri
  • Hosting paneli için de 2FA — cPanel veya hPanel genellikle destekliyor
  • FTP yerine SFTP — şifreli dosya aktarımı

Yazılım Güncellemelerini İhmal Etmeyin

WordPress güvenlik açıklarının %97\'si eklentilerden kaynaklanıyor (Wordfence, 2023). Güncellemeler bu açıkları kapatıyor:

  • WordPress core otomatik güncellemesini aktif edin (minor güvenlik güncellemeleri)
  • Eklentileri haftalık kontrol edin ve güncelleyin
  • Tema güncellemelerini takip edin
  • Kullanmadığınız eklentileri devre dışı değil, tamamen silin — inactive eklentiler de açık oluşturabiliyor
  • PHP versiyonunuzu güncel tutun — hosting panelinden PHP sürümünü kontrol edin

Brute Force Saldırılarına Karşı Önlemler

Brute force: bot milyonlarca şifre kombinasyonu deneyerek giriş yapmaya çalışıyor. WordPress /wp-login.php bu saldırıların en yaygın hedefi:

  • Giriş denemesi limitleme — Wordfence veya Limit Login Attempts Reloaded ile 3-5 başarısız denemede IP engellemesi
  • Admin URL değiştirme — /wp-admin yerine özel URL (WPS Hide Login eklentisi)
  • reCAPTCHA — Giriş formuna reCAPTCHA v3 eklemek bot trafiğini azaltıyor
  • IP kısıtlaması — Yalnızca kendi IP adresinizden admin girişine izin verme (dinamik IP kullanıyorsanız pratik olmayabilir)

Yedekleme Stratejisi

En kötü senaryo: siteniz hacklendi veya hosting arızası oldu. Yedekleme olmadan her şeyi sıfırdan yapmak zorunda kalırsınız. Yedekleme kuralları:

  • Otomatik günlük yedekleme — Manuel yedekleme unutulacak
  • Farklı lokasyonda saklama — Yedekleme sunucuyla aynı lokasyonda olmamalı (hosting arızasında ikisi de gidebilir)
  • Veritabanı dahil — Yalnızca dosyalar değil, veritabanı da yedeklenmeli
  • Test edin — Yedekten geri yükleme testini 3 ayda bir yapın — hiç açılmamış yedek işe yaramıyor
  • 30 günlük saklama — Bir aylık geçmişe dönebilmek silinmiş içerik veya saldırı öncesi duruma dönüşü sağlıyor

Web Uygulama Güvenlik Duvarı (WAF)

WAF, kötü niyetli trafiği uygulamaya ulaşmadan engelliyor. SQL injection, XSS gibi yaygın saldırı vektörlerini filtreler:

  • Cloudflare ücretsiz plan — Temel WAF dahil. DDoS koruması, bot yönetimi. Kurulumu kolay (DNS yönlendirmesi).
  • Wordfence (WordPress) — Eklenti düzeyinde WAF. Ücretsiz plan temel koruma sağlıyor. Premium gerçek zamanlı tehdit veritabanı.
  • Sunucu düzeyinde WAF — ModSecurity gibi Apache/Nginx modülleri hosting düzeyinde koruma sağlıyor.

Güvenlik Açığı Tarama ve İzleme

Önlemler alındıktan sonra düzenli tarama:

  • Google Search Console — "Güvenlik Sorunları" sekmesini ayda bir kontrol edin
  • Sucuri SiteCheck — ücretsiz online malware tarama
  • Wordfence — haftalık otomatik tarama
  • Uptime izleme — site kapanırsa anında bildirim (UptimeRobot ücretsiz)

Kötü amaçlı yazılım sitenizde ne kadar uzun süre kalırsa Google cezası ve kullanıcı güven kaybı o kadar büyüyor. Erken tespit kritik.

Kodem Yazılım
Senior Yazılım Mühendisi

Bursa merkezli yazılım firması olarak 7+ yıldır kurumsal web yazılımı ve dijital dönüşüm projelerinde çalışıyoruz. Hazır şablon değil, sıfırdan özel geliştirme. PHP, modern JS ve SEO odaklı yazılım mimarisi uzmanlığımız.

Hakkımda daha fazla

Sık Sorulan Sorular

Web sitem hacklendi, ne yapmalıyım?
Panik yapmadan adım adım: 1) Siteyi geçici offline alın (hosting'den veya maintenance mode). 2) Temiz yedekten geri yükleyin (yedek varsa). 3) Tüm şifreleri değiştirin (admin, hosting, FTP, veritabanı). 4) Malware taraması yapın (Sucuri veya Wordfence). 5) Güvenlik açığını tespit edin (zayıf şifre mi, güncellenmeyen eklenti mi?). 6) Google Search Console'dan "güvenlik sorunu" incelemesini isteyin. Yedek yoksa profesyonel yardım zorunlu.
SSL sertifikası siber saldırıdan korur mu?
Kısmen. SSL sadece tarayıcı ve sunucu arasındaki veri iletişimini şifreler — birisi aradaki trafiği dinleyemez. Ancak SQL injection, XSS, brute force gibi uygulama katmanı saldırılarına karşı SSL koruma sağlamaz. SSL gerekli ama yeterli değil. Tam koruma için WAF, güncelleme, güçlü şifre, yedekleme birlikte uygulanmalı.
WordPress mu daha güvenli, özel yazılım mı?
İkisinin de güçlü ve zayıf yönleri var. WordPress açık kaynak ve yaygın — bilinen açıklar hızla bulunuyor ve yamalanıyor. Ama bu yaygınlık saldırganların da WordPress bilmesine yol açıyor. Özel yazılım: saldırgan kodunuzu bilmiyor, özel açıklar bulmak daha zor. Ama açık bulunursa sadece siz etkileniyorsunuz. Sonuç: her iki yaklaşım da doğru uygulandığında güvenli; en büyük risk zayıf şifre ve güncelleme ihmalinden geliyor.
Güvenlik testi yaptırmalı mıyım?
E-ticaret, sağlık veya finansal veri işleyen siteler için penetrasyon testi (pentest) önerilir. Standart KOBİ sitesi için Wordfence taraması, Sucuri SiteCheck ve Google Search Console izlemesi yeterli başlangıç. Pentest maliyeti 5.000-30.000 TL+ aralığında — bütçe ve risk profiline göre kararlaştırın.
Güvenlik açığı olduğunu nasıl anlarım?
İşaretler: site beklenmedik şekilde yavaşladı, Google "bu site güvenli değil" uyarısı veriyor, hosting firma güvenlik bildirimi gönderdi, Google Search Console güvenlik uyarısı var, ziyaretçiler spam e-posta aldığını bildirdi, sitenizde tanımadığınız içerik veya yönlendirmeler belirdi. Bu belirtilerden biri varsa derhal tarama yapın.
KVKK ve web sitesi güvenliği ilişkisi nedir?
KVKK (Kişisel Verilerin Korunması Kanunu) kişisel veri toplayan tüm siteler için geçerli — iletişim formu bile kapsıyor. Gereksinimler: veri güvenliği için teknik önlemler (SSL, erişim kontrolü, şifreleme), veri ihlalinde 72 saat içinde KVKK'ya bildirim, gizlilik politikası ve çerez bildirimi. İhlal halinde 1 milyon TL'ye kadar ceza. KVKK uyumu teknik güvenlikten ayrı değil — güvenlik zafiyeti veri ihlali riski demek.
Kodem Yazılım

Web Sitesi Güvenlik Denetimi — Teklif Al için Profesyonel Destek

Bursa merkezli, Türkiye geneli yazılım firması. İlk görüşme tamamen ücretsiz.

WhatsApp'ta Yaz 0547 001 16 16
Projenizi Konuşalım

48 saat içinde yazılı teklif. Görüşme ücretsiz, yükümlülük sıfır.