Web Sitesi Güvenliği Rehberi: Sitenizi Koruma Stratejileri
Web sitesi güvenliği için kapsamlı rehber. SSL sertifikası, güçlü şifreler, security eklentileri, yedekleme ve siber saldırılardan korunma yöntemeleri.
Web sitesi güvenliği, işletmeniz ve müşterileriniz için kritik öneme sahiptir. Her gün 30.000'den fazla web sitesi hack'leniyor. Küçük işletmeler de dahil olmak üzere herkes hedef olabilir. Bu rehberde sitenizi korumak için bilmeniz gereken her şeyi bulacaksınız.
İçindekiler
- Güvenlik Neden Önemli?
- SSL/TLS ve HTTPS
- Güçlü Kimlik Doğrulama
- Yazılım Güvenliği
- Sunucu Güvenliği
- Yaygın Saldırı Türleri
- Güvenlik Araçları
- Yedekleme Stratejileri
- Güvenlik Kontrol Listesi
Güvenlik Neden Önemli?
Web sitesi güvenliği sadece büyük şirketlerin sorunu değil.
İstatistikler
| Veri | Rakam |
|---|---|
| Günlük hack'lenen site | 30.000+ |
| Küçük işletme hedef oranı | %43 |
| Ortalama ihlal maliyeti | $4.35 milyon |
| İhlal tespit süresi | 197 gün |
Güvenlik İhlali Sonuçları
Doğrudan Kayıplar:
- Müşteri verilerinin çalınması
- Finansal kayıp
- Sitenin kapatılması
- Fidye ödemeleri
Dolaylı Kayıplar:
- İtibar kaybı
- Müşteri güveni kaybı
- SEO sıralaması düşüşü
- Yasal sorunlar (KVKK)
- İş kaybı
Google'ın Güvenlik Yaklaşımı
Güvenlik = SEO:
- HTTPS sıralama faktörü
- Safe Browsing uyarıları
- Chrome güvenlik uyarıları
- Arama sonuçlarından çıkarılma
SSL/TLS ve HTTPS
SSL sertifikası artık zorunlu bir standart.
SSL Nedir?
HTTP vs HTTPS:
├── HTTP: Şifresiz, güvensiz
│ └── Veriler açık metin olarak gönderilir
│
└── HTTPS: SSL/TLS ile şifreli
└── Veriler şifrelenerek gönderilir
SSL Türleri
Doğrulama Seviyelerine Göre:
SSL Türleri:
├── DV (Domain Validation): Temel, hızlı
│ └── Sadece domain sahipliği doğrulanır
│
├── OV (Organization Validation): Orta, kurumsal
│ └── Şirket bilgileri doğrulanır
│
└── EV (Extended Validation): En güçlü
└── Kapsamlı şirket doğrulaması
Kapsam Göre:
- Single domain: Tek domain
- Wildcard: *.domain.com
- Multi-domain (SAN): Birden fazla domain
Ücretsiz SSL Seçenekleri
Let's Encrypt:
- Ücretsiz ve güvenilir
- 90 günlük sertifika
- Otomatik yenileme
- Çoğu hosting destekler
Cloudflare SSL:
- Ücretsiz plan dahil
- Edge SSL
- Kolay kurulum
- CDN ile birlikte
SSL Kurulum Kontrolü
Test Araçları:
- SSL Labs (ssllabs.com)
- Why No Padlock
- SSL Checker
Güçlü Kimlik Doğrulama
Zayıf şifreler en büyük güvenlik açığıdır.
Şifre Politikası
Güçlü Şifre Kuralları:
Minimum Gereksinimler:
├── 12+ karakter uzunluk
├── Büyük ve küçük harf
├── Rakamlar
├── Özel karakterler (!@#$%^&*)
├── Yaygın şifreler olmasın
└── Kişisel bilgi içermesin
Şifre Yöneticileri:
- 1Password
- LastPass
- Bitwarden (açık kaynak)
- Dashlane
İki Faktörlü Doğrulama (2FA)
2FA Yöntemleri:
2FA Seçenekleri:
├── SMS kodu (zayıf)
├── E-posta kodu (orta)
├── Authenticator app (güçlü)
│ ├── Google Authenticator
│ ├── Authy
│ └── Microsoft Authenticator
└── Hardware key (en güçlü)
├── YubiKey
└── Google Titan
Giriş Güvenliği
Ek Önlemler:
- Başarısız giriş limiti
- CAPTCHA/reCAPTCHA
- Login URL değiştirme (WP için)
- IP bazlı kısıtlama
- Session timeout
Yazılım Güvenliği
Güncel olmayan yazılımlar büyük risk.
Güncelleme Stratejisi
Güncel Tutulması Gerekenler:
Güncelleme Öncelikleri:
├── CMS (WordPress, vb.)
├── Temalar
├── Eklentiler/Modüller
├── PHP/Node.js versiyonu
├── Veritabanı
└── Sunucu işletim sistemi
WordPress Güvenliği
WordPress Özel Önlemler:
- wp-config.php izinleri (400 veya 440)
- Dosya düzenlemeyi devre dışı bırakma
- XML-RPC kapatma
- Varsayılan "admin" kullanıcı adı değiştirme
- wp-admin URL değiştirme
Güvenlik Eklentileri:
- Wordfence
- Sucuri Security
- iThemes Security
- All In One WP Security
E-ticaret Güvenliği
Ödeme Güvenliği:
- PCI DSS uyumluluğu
- 3D Secure
- Tokenization
- Fraud detection
- Güvenli ödeme sayfası
Sunucu Güvenliği
Sunucu seviyesinde güvenlik önlemleri.
Hosting Seçimi
Güvenlik Kriterleri:
Hosting Güvenlik Özellikleri:
├── DDoS koruması
├── WAF (Web Application Firewall)
├── Malware tarama
├── Otomatik yedekleme
├── SSL desteği
├── İzolasyon (shared hosting riski)
└── 7/24 izleme
Sunucu Yapılandırması
Temel Güvenlik:
- Gereksiz portları kapatma
- SSH key authentication
- Root login kapatma
- Fail2ban kurulumu
- Güvenlik duvarı (UFW/iptables)
Dosya İzinleri:
Dosya İzinleri:
├── Klasörler: 755
├── Dosyalar: 644
├── wp-config.php: 400
└── .htaccess: 644
CDN ve WAF
Cloudflare/WAF Avantajları:
- DDoS koruması
- Bot filtreleme
- SQL injection engelleme
- XSS koruması
- Rate limiting
Yaygın Saldırı Türleri
Tehditleri bilmek, korunmanın ilk adımı.
SQL Injection
Nasıl Çalışır:
Normal Sorgu:
SELECT * FROM users WHERE id = '1'
Saldırı:
SELECT * FROM users WHERE id = '1' OR '1'='1'
→ Tüm kullanıcı verilerini döndürür
Korunma:
- Parametreli sorgular
- ORM kullanımı
- Input validation
- WAF
Cross-Site Scripting (XSS)
Türleri:
- Stored XSS: Veritabanında saklanır
- Reflected XSS: URL ile gönderilir
- DOM-based XSS: Client-side
Korunma:
- Output encoding
- Content Security Policy (CSP)
- Input sanitization
- HttpOnly cookies
Brute Force
Saldırı Yöntemi:
- Otomatik şifre deneme
- Sözlük saldırıları
- Credential stuffing
Korunma:
- Güçlü şifreler
- 2FA
- Rate limiting
- CAPTCHA
- Account lockout
DDoS
Saldırı Türleri:
DDoS Türleri:
├── Volumetric: Bant genişliği tüketen
├── Protocol: TCP/UDP hedefli
└── Application: HTTP flood
Korunma:
- CDN kullanımı
- DDoS koruma servisi
- Rate limiting
- Traffic analysis
Phishing ve Social Engineering
Dikkat Edilecekler:
- Şüpheli e-postalar
- Sahte login sayfaları
- Acil durum uyarıları
- Bilinmeyen linkler
Güvenlik Araçları
Güvenliği izlemek ve test etmek için araçlar.
Tarama Araçları
Ücretsiz Tarama:
Güvenlik Tarama Araçları:
├── Sucuri SiteCheck (online)
├── VirusTotal (online)
├── Google Safe Browsing
├── Qualys SSL Labs
└── Mozilla Observatory
WordPress Tarama:
- WPScan (CLI tool)
- Wordfence (plugin)
- Sucuri (plugin + online)
İzleme Araçları
Uptime ve Güvenlik İzleme:
- UptimeRobot (ücretsiz)
- Pingdom
- StatusCake
- Sucuri Monitoring
Penetration Testing
Test Araçları:
- OWASP ZAP (ücretsiz)
- Burp Suite
- Nikto
- Nmap
Yedekleme Stratejileri
Yedekleme, son savunma hattıdır.
3-2-1 Kuralı
3-2-1 Yedekleme Kuralı:
├── 3 kopya: Orijinal + 2 yedek
├── 2 farklı ortam: Disk + Cloud
└── 1 off-site: Fiziksel olarak farklı konum
Yedekleme Sıklığı
Önerilen:
Yedekleme Planı:
├── Tam yedek: Haftalık
├── Artımlı yedek: Günlük
├── Veritabanı: Saatlik (yoğun siteler)
└── Kritik değişiklikler: Anlık
Yedekleme Araçları
WordPress:
- UpdraftPlus
- BackupBuddy
- VaultPress (Jetpack)
- BlogVault
Genel:
- cPanel yedekleme
- Hosting otomatik yedekleme
- AWS S3 + Scripts
- rclone
Geri Yükleme Testi
Aylık Test:
- Yedekten geri yükleme deneyin
- Staging ortamında test edin
- Geri yükleme süresini ölçün
- Dokümantasyon oluşturun
Güvenlik Kontrol Listesi
Düzenli güvenlik kontrolleri yapın.
Haftalık Kontroller
Haftalık:
├── ☐ Güvenlik taraması çalıştır
├── ☐ Login loglarını kontrol et
├── ☐ Yedeklerin çalıştığını doğrula
├── ☐ Güncellemeleri kontrol et
└── ☐ Şüpheli aktivite ara
Aylık Kontroller
Aylık:
├── ☐ Tüm kullanıcı hesaplarını gözden geçir
├── ☐ Dosya izinlerini kontrol et
├── ☐ SSL sertifikasını kontrol et
├── ☐ Yedekten geri yükleme testi
├── ☐ Kullanılmayan eklentileri kaldır
└── ☐ Güvenlik eklentisi raporlarını incele
Yıllık Kontroller
Yıllık:
├── ☐ Güvenlik denetimi yaptır
├── ☐ Penetration test
├── ☐ Şifre politikasını gözden geçir
├── ☐ Felaket kurtarma planını güncelle
└── ☐ Güvenlik eğitimi (ekip)
Sıkça Sorulan Sorular
SSL sertifikası zorunlu mu?
Pratikte evet. Google, HTTPS'yi sıralama faktörü olarak kullanıyor. Chrome ve diğer tarayıcılar HTTP siteleri "Güvenli Değil" olarak işaretliyor. E-ticaret ve form içeren siteler için kesinlikle zorunlu. Let's Encrypt ile ücretsiz SSL alabilirsiniz.
Sitem hack'lendi, ne yapmalıyım?
Önce sakin olun ve adımları takip edin: 1) Siteyi bakım moduna alın veya kapatın. 2) Hosting sağlayıcınızı bilgilendirin. 3) Temiz bir yedekten geri yükleyin. 4) Tüm şifreleri değiştirin. 5) Güvenlik açığını tespit edin ve kapatın. 6) Malware taraması yapın. 7) Olayı belgeleyin.
WordPress güvenli mi?
WordPress çekirdek olarak güvenlidir, güncel tutulduğu sürece. Risklerin çoğu güncel olmayan eklentiler, zayıf şifreler ve kötü yapılandırmadan kaynaklanır. Güvenlik eklentisi, 2FA, güçlü şifreler ve düzenli güncellemelerle güvenli kullanılabilir.
Güvenlik için ne kadar bütçe ayırmalıyım?
Küçük işletmeler için temel güvenlik maliyetsiz olabilir (Let's Encrypt SSL, ücretsiz güvenlik eklentileri). Premium güvenlik hizmetleri aylık $10-50 arasında. WAF ve DDoS koruması için Cloudflare Pro $20/ay. Penetration test yıllık $500-5000. Güvenlik, hack'lenmenin maliyetinden çok daha ucuz.
Managed WordPress hosting güvenli mi?
Genellikle evet, standart shared hosting'den daha güvenli. Otomatik güncellemeler, izole ortam, günlük yedekleme, malware tarama içerirler. Ancak yine de güçlü şifreler ve 2FA kullanmalısınız. Kinsta, WP Engine, Cloudways gibi sağlayıcılar güvenlik odaklıdır.
