Web sitesi güvenliği hacker filmlerdeki sofistike saldırılarla değil, çoğu zaman otomatik botların binlerce siteyi tarayıp bilinen açıklardan yararlandığı rutin saldırılarla test ediliyor. Küçük işletme sitesi de bu taramalardan muaf değil. Bu yazıda işletme web sitesi için uygulanması gereken temel güvenlik önlemlerini, ne kadar süreceğini ve hangi araçların işe yaradığını ele alıyoruz.
SSL Sertifikası: Güvenliğin Görünen Yüzü
SSL (HTTPS) sitenin minimum güvenlik sinyalidir. 2024 itibarıyla HTTPS olmayan siteler Chrome\'da "Güvenli Değil" uyarısı veriyor ve Google sıralamada dezavantajlı konuma alıyor. Let\'s Encrypt ile ücretsiz SSL artık standart — hosting firmanızın panelinden 5 dakikada kurulabiliyor.
SSL sertifikası yalnızca veri şifrelemesi sağlıyor — bu güvenliğin sadece bir boyutu. Sitenizin "güvenli" görünmesi onu saldırıya karşı bağışık yapmıyor.
Güçlü Şifre ve İki Faktörlü Doğrulama
En sofistike saldırıların büyük bölümü zayıf şifrelerden kaynaklanıyor. WordPress ve benzeri CMS için:
- Admin şifresi en az 16 karakter, büyük/küçük harf, rakam ve sembol
- Farklı servisler için farklı şifre — şifre yöneticisi kullanın (Bitwarden, 1Password)
- WordPress admin paneli için iki faktörlü doğrulama (2FA) — Google Authenticator veya benzeri
- Hosting paneli için de 2FA — cPanel veya hPanel genellikle destekliyor
- FTP yerine SFTP — şifreli dosya aktarımı
Yazılım Güncellemelerini İhmal Etmeyin
WordPress güvenlik açıklarının %97\'si eklentilerden kaynaklanıyor (Wordfence, 2023). Güncellemeler bu açıkları kapatıyor:
- WordPress core otomatik güncellemesini aktif edin (minor güvenlik güncellemeleri)
- Eklentileri haftalık kontrol edin ve güncelleyin
- Tema güncellemelerini takip edin
- Kullanmadığınız eklentileri devre dışı değil, tamamen silin — inactive eklentiler de açık oluşturabiliyor
- PHP versiyonunuzu güncel tutun — hosting panelinden PHP sürümünü kontrol edin
Brute Force Saldırılarına Karşı Önlemler
Brute force: bot milyonlarca şifre kombinasyonu deneyerek giriş yapmaya çalışıyor. WordPress /wp-login.php bu saldırıların en yaygın hedefi:
- Giriş denemesi limitleme — Wordfence veya Limit Login Attempts Reloaded ile 3-5 başarısız denemede IP engellemesi
- Admin URL değiştirme — /wp-admin yerine özel URL (WPS Hide Login eklentisi)
- reCAPTCHA — Giriş formuna reCAPTCHA v3 eklemek bot trafiğini azaltıyor
- IP kısıtlaması — Yalnızca kendi IP adresinizden admin girişine izin verme (dinamik IP kullanıyorsanız pratik olmayabilir)
Yedekleme Stratejisi
En kötü senaryo: siteniz hacklendi veya hosting arızası oldu. Yedekleme olmadan her şeyi sıfırdan yapmak zorunda kalırsınız. Yedekleme kuralları:
- Otomatik günlük yedekleme — Manuel yedekleme unutulacak
- Farklı lokasyonda saklama — Yedekleme sunucuyla aynı lokasyonda olmamalı (hosting arızasında ikisi de gidebilir)
- Veritabanı dahil — Yalnızca dosyalar değil, veritabanı da yedeklenmeli
- Test edin — Yedekten geri yükleme testini 3 ayda bir yapın — hiç açılmamış yedek işe yaramıyor
- 30 günlük saklama — Bir aylık geçmişe dönebilmek silinmiş içerik veya saldırı öncesi duruma dönüşü sağlıyor
Web Uygulama Güvenlik Duvarı (WAF)
WAF, kötü niyetli trafiği uygulamaya ulaşmadan engelliyor. SQL injection, XSS gibi yaygın saldırı vektörlerini filtreler:
- Cloudflare ücretsiz plan — Temel WAF dahil. DDoS koruması, bot yönetimi. Kurulumu kolay (DNS yönlendirmesi).
- Wordfence (WordPress) — Eklenti düzeyinde WAF. Ücretsiz plan temel koruma sağlıyor. Premium gerçek zamanlı tehdit veritabanı.
- Sunucu düzeyinde WAF — ModSecurity gibi Apache/Nginx modülleri hosting düzeyinde koruma sağlıyor.
Güvenlik Açığı Tarama ve İzleme
Önlemler alındıktan sonra düzenli tarama:
- Google Search Console — "Güvenlik Sorunları" sekmesini ayda bir kontrol edin
- Sucuri SiteCheck — ücretsiz online malware tarama
- Wordfence — haftalık otomatik tarama
- Uptime izleme — site kapanırsa anında bildirim (UptimeRobot ücretsiz)
Kötü amaçlı yazılım sitenizde ne kadar uzun süre kalırsa Google cezası ve kullanıcı güven kaybı o kadar büyüyor. Erken tespit kritik.
Sık Sorulan Sorular
Web sitem hacklendi, ne yapmalıyım?
SSL sertifikası siber saldırıdan korur mu?
WordPress mu daha güvenli, özel yazılım mı?
Güvenlik testi yaptırmalı mıyım?
Güvenlik açığı olduğunu nasıl anlarım?
KVKK ve web sitesi güvenliği ilişkisi nedir?
Web Sitesi Güvenlik Denetimi — Teklif Al için Profesyonel Destek
Bursa merkezli, Türkiye geneli yazılım firması. İlk görüşme tamamen ücretsiz.