Web siteniz dijital varlığınızın merkezidir. Ancak pek çok işletme, güvenlik önlemlerini yalnızca bir saldırı yaşandıktan sonra ciddiye alır. Oysa doğru yapılandırılmış birkaç temel önlem, olası tehditlerin büyük çoğunluğunu daha başlamadan engeller.

SSL: Temel Koruma Katmanı

SSL (Secure Sockets Layer) sertifikası, kullanıcının tarayıcısı ile sunucunuz arasındaki veri iletişimini şifreler. Adres çubuğundaki kilit simgesi ve https:// öneki, bu şifrelemenin aktif olduğunu gösterir. Günümüzde SSL olmayan siteler, tarayıcılar tarafından "Güvenli Değil" olarak işaretlenir ve hem kullanıcılar hem de Google tarafından olumsuz değerlendirilir.

SSL Türleri

Tüm SSL sertifikaları aynı değildir. Doğrulama düzeyine göre üç ana tür bulunur:

  • DV (Domain Validation): Yalnızca alan adı sahipliğini doğrular. Bireysel siteler ve bloglar için yeterlidir. Let's Encrypt üzerinden ücretsiz edinilir.
  • OV (Organization Validation): Şirket kimliğini de doğrular. Kurumsal siteler için önerilir.
  • EV (Extended Validation): En kapsamlı doğrulama. Finansal kurumlar ve e-ticaret siteleri için idealdir. Tarayıcı çubuğunda şirket adını görünür kılar.

SSL sertifikanızın süresini takip edin. Süresi dolan sertifika, sitenizi tamamen erişilemez hale getirebilir. Otomatik yenileme ayarlarını hosting panelinizden aktif edin; bu sayede sertifika süresi dolmadan yenilenir.

HTTPS Yönlendirmesi

SSL kurulumunun ardından tüm HTTP trafiğini HTTPS'e yönlendirin. .htaccess dosyasına veya sunucu yapılandırmasına eklenecek tek bir kural, bu yönlendirmeyi otomatik hale getirir. Aynı zamanda HSTS (HTTP Strict Transport Security) başlığını da etkinleştirin; bu başlık tarayıcılara sitenizin her zaman HTTPS üzerinden yüklenmesi gerektiğini bildirir.

Bir sitenin güvenli olması için SSL tek başına yeterli değildir. SSL, yolculuğun başlangıç noktasıdır; güvenlik katmanları birbiri üzerine inşa edilir.

Şifre Politikası ve 2FA

İstatistikler, başarılı saldırıların büyük çoğunluğunun zayıf veya çalınmış şifrelerden kaynaklandığını göstermektedir. Güçlü bir şifre politikası, en temel ama en etkili savunma hattıdır.

Güçlü Şifre Kriterleri

  • En az 16 karakter
  • Büyük harf, küçük harf, rakam ve özel karakter kombinasyonu
  • Farklı platformlarda aynı şifrenin kullanılmaması
  • Tahmin edilebilir bilgiler (doğum tarihi, isim, şirket adı) içermemesi

Bu kadar sayıda karmaşık şifreyi ezberlemenin imkânı yoktur. Bu nedenle şifre yöneticisi kullanmak artık bir tercih değil, zorunluluktur. 1Password, Bitwarden veya Dashlane gibi araçlar, tüm şifrelerinizi şifreli bir vault'ta saklar ve güçlü şifreler otomatik olarak üretir.

İki Faktörlü Kimlik Doğrulama (2FA)

2FA, şifreniz ele geçirilse bile hesabınıza erişimi engeller. İkinci faktör olarak üç yöntem kullanılır:

  • SMS tabanlı 2FA: En yaygın yöntemdir ancak SIM-swap saldırılarına karşı savunmasızdır.
  • TOTP uygulamaları (Google Authenticator, Authy): Her 30 saniyede bir yenilenen 6 haneli kod üretir. SMS'e göre çok daha güvenlidir.
  • Hardware key (YubiKey): Fiziksel güvenlik anahtarı; en yüksek güvenlik seviyesini sunar.

Hosting paneli, domain yöneticisi, e-posta hesabı ve CMS admin girişleri başta olmak üzere tüm kritik erişim noktalarında 2FA aktif edilmelidir. WordPress siteleri için Wordfence veya WP 2FA eklentisi bu süreci kolaylaştırır.

Kullanıcı Erişim Yönetimi

Her kullanıcıya yalnızca ihtiyaç duyduğu kadar yetki verin. WordPress'te "Yazar" rolündeki biri, sistem ayarlarına erişememelidir. Projeden ayrılan çalışanların erişimlerini hemen kaldırın. Düzenli aralıklarla kullanıcı listesini gözden geçirip eski veya gereksiz hesapları silin.

Hosting Düzeyinde Güvenlik

Web uygulamanızın güvenliği ne kadar sağlam olursa olsun, sunucu altyapısında açıklar varsa bu güvenlik boşa gider. Kaliteli bir hosting hizmetiyle birlikte aşağıdaki önlemleri uygulayın:

Web Application Firewall (WAF)

WAF, kötü niyetli trafiği sunucunuza ulaşmadan filtreler. Cloudflare'in ücretsiz planı bile temel WAF koruması sunar. SQL injection, XSS ve bilinen saldırı örüntüleri WAF kuralları ile engellenir.

DDoS Koruması

Dağıtılmış Hizmet Engelleme (DDoS) saldırıları, sunucunuzu sahte trafikle boğmayı hedefler. Cloudflare veya benzeri bir CDN/proxy hizmeti, bu saldırıları kaynakta absorbe eder. Birçok hosting firması artık temel DDoS korumasını dahil etmektedir.

En Sık Görülen Saldırı Türleri

  • Brute Force: Şifre tahmin robotları, admin girişini defalarca deniyor. Login denemelerini sınırlamak ve CAPTCHA eklemek bu saldırıyı engeller.
  • SQL Injection: Form alanları üzerinden veritabanına zararlı komut enjekte edilmesi. Parametrik sorgular ve input sanitization ile önlenir.
  • XSS (Cross-Site Scripting): Kullanıcı tarayıcısında zararlı script çalıştırılması. Content Security Policy (CSP) başlığı ve output encoding ile önlenir.
  • Zero-day açıkları: Henüz yamlanmamış güvenlik açıkları. Yazılım güncellemelerini düzenli yapmak bu riski minimize eder.

Güvenlik Açığı Tarama

Sitenizi düzenli olarak tarayın. Sucuri SiteCheck, WPScan (WordPress için) ve OWASP ZAP gibi araçlar ücretsiz temel tarama imkânı sunar. Bu taramalar, bilinen açıkları ve zararlı kod enjeksiyonlarını tespit eder.

Yedekleme ve İzleme

Tüm önlemlere rağmen en kötü senaryo gerçekleşirse, düzenli yedekler sizi kurtarır. Yedekleme stratejisi 3-2-1 kuralına göre planlanmalıdır: 3 kopya, 2 farklı medyada, 1 tanesi farklı bir lokasyonda.

Yedekleme Sıklığı

  • Günlük içerik değişikliği olan siteler (blog, e-ticaret): Günlük yedek
  • Haftada birkaç kez güncellenen siteler: Haftalık yedek
  • Statik kurumsal siteler: Aylık yedek, her büyük güncellemeden önce ekstra yedek

Yedeklerin işlevsel olup olmadığını periyodik olarak test edin. Yedek dosyası mevcut ama geri yüklenemiyor olabilir. Gerçek bir felaket anında test edilmemiş bir yedek, hiç yedek yoktur.

Uptime ve Güvenlik İzleme

Sitenizin kesintisiz çalıştığını ve tehdit altında olmadığını izlemek için monitoring araçları kullanın. UptimeRobot gibi ücretsiz araçlar, siteniz çevrimdışı olduğunda anında e-posta veya SMS bildirimi gönderir. Google Search Console ise sitenizde tespit edilen güvenlik sorunlarını (zararlı içerik, hack bildirimleri) sizi bilgilendirir.

Web güvenliği; tek seferlik bir kurulum değil, sürekli bakım gerektiren bir süreçtir. WEBAJANS.COM olarak SSL kurulumu, 2FA yapılandırması, hosting güvenliği ve düzenli bakım konularında kapsamlı destek sunuyoruz. Sitenizin güvenliğini birlikte değerlendirmek için bizimle iletişime geçin.