Web sitesi güvenliği, bir işletme sitesini yetkisiz erişime, veri sızıntısına ve hizmet kesintisine karşı koruyan teknik ve süreçsel önlemlerin bütünüdür. Temeli beş katmandan oluşur: geçerli bir SSL sertifikası ile şifreli bağlantı, yazılım ve eklentilerin güncel tutulması, düzenli ve test edilmiş yedekleme, güçlü erişim kontrolü ve KVKK uyumu. Bu rehberde her katmanı; neden gerektiğini, işletmeniz için pratik karşılığını ve gözden kaçan riskleri somut biçimde ele alıyoruz.
Kurumsal bir sitede güvenlik sonradan eklenen bir özellik değil, kuruluş anından itibaren gelen bir tasarım kararıdır. Aşağıdaki başlıklar, teknik ekibiniz olsun olmasın, sitenizin güvenlik durumunu değerlendirmenize ve doğru soruları sormanıza yarayacak bir çerçeve sunar.
Web Sitesi Güvenliği Neden İşletmeler İçin Kritik?
Bir işletme sitesi yalnızca vitrin değildir; iletişim formları, üye kayıtları, sipariş bilgileri ve çoğu zaman ödeme akışları içerir. Güvenlik açığı; müşteri verisinin çalınması, sitenin sahte içerikle ele geçirilmesi (defacement), Google tarafından "güvenli değil" olarak işaretlenme ve ciddi itibar kaybı anlamına gelir. Küçük işletmeler kendilerini hedef dışı sanır; oysa saldırıların büyük bölümü kişisel değil, otomatik botlarla yapılan toplu taramalardır ve zayıf her siteyi ayrım gözetmeden dener.
Somut sonuçlar da vardır: güvenlik uyarısı gösteren bir sitede ziyaretçi hemen geri döner, dönüşüm oranı düşer ve Google sıralamanız zarar görür. Yani site güvenliği aynı zamanda bir pazarlama ve SEO meselesidir.
SSL Sertifikası Nedir ve Neden Zorunlu Hâle Geldi?
SSL sertifikası (bugün teknik olarak TLS), tarayıcı ile sunucu arasındaki veriyi şifreleyerek araya girip okunmasını engelleyen dijital bir sertifikadır. Adres çubuğundaki https ve kilit simgesi bunun göstergesidir. SSL olmadan gönderilen bir iletişim formu ya da giriş bilgisi, aradaki ağ üzerinde düz metin olarak okunabilir.
Bugün SSL bir tercih değil, standarttır. Chrome ve diğer tarayıcılar sertifikasız siteleri "Güvenli değil" etiketiyle işaretler; Google ise HTTPS'i bir sıralama sinyali olarak kullanır. İyi haber şu ki, temel bir SSL sertifikası çoğu barındırma paketiyle ücretsiz gelir (örneğin Let's Encrypt) ve doğru yapılandırıldığında otomatik yenilenir.
Hangi SSL Sertifikası Tipini Seçmeli?
- DV (Domain Validation): Yalnızca alan adı sahipliğini doğrular. Tanıtım ve kurumsal siteler için hızlı ve yeterli çözümdür.
- OV (Organization Validation): Şirketin varlığını da doğrular; kurumsal güven algısı isteyen orta ölçekli işletmeler için uygundur.
- EV (Extended Validation): En kapsamlı doğrulama; yoğun ödeme işlemi yürüten ve maksimum güven gerektiren siteler için tercih edilir.
Çoğu işletme için DV yeterlidir. Kritik olan sertifika tipinden çok, SSL'in doğru kurulması, tüm trafiğin HTTPS'e yönlendirilmesi ve süresi dolmadan yenilenmesidir. Süresi geçmiş bir sertifika, hiç olmamasından daha büyük bir güven kaybı yaratır.
İşletme Sitelerini Hangi Saldırı Türleri Hedefler?
Tehdidi tanımak, korunmanın ilk adımıdır. İşletme sitelerinde en sık karşılaşılan saldırı türleri ve pratik karşılıkları şöyledir:
| Saldırı türü | Ne yapar? | Temel önlem |
|---|---|---|
| Brute force (kaba kuvvet) | Yönetim paneli şifresini deneme-yanılma ile kırmaya çalışır | Güçlü parola, iki adımlı doğrulama, deneme sınırlama |
| SQL injection | Form alanlarından veritabanına zararlı sorgu enjekte eder | Girdi doğrulama, parametreli sorgular, güncel altyapı |
| XSS (siteler arası betik) | Kullanıcı tarayıcısında zararlı kod çalıştırır | Çıktı temizleme, güvenlik başlıkları (CSP) |
| DDoS | Siteyi aşırı trafikle çökertir | CDN ve WAF ile trafik filtreleme |
| Kötü amaçlı yazılım / eklenti açığı | Güncellenmemiş bileşenlerden siteye sızar | Düzenli güncelleme, güvenilir eklenti kaynağı |
Bu tablodaki önlemlerin çoğu tek seferlik bir kurulum değil, süreklilik gerektiren bir bakım disiplinidir. Özellikle hazır altyapılarda (ör. eklenti ekosistemi geniş olan sistemler) açıkların büyük kısmı güncellenmemiş üçüncü parti bileşenlerden gelir.
Güncelleme ve Yedekleme Neden Güvenliğin Belkemiği?
Bir sitenin ele geçirilmesinin en yaygın nedeni sofistike bir saldırı değil, aylardır güncellenmemiş bir yazılım sürümü ya da eklentidir. Yayımlanan her güvenlik yaması, aslında saldırganlara "şu sürümde şu açık var" diye bir harita da sunar; güncellemeyi geciktirmek bu haritayı açık tutmaktır.
Yedekleme ise güvenliğin sigortasıdır. Hiçbir önlem yüzde yüz koruma sağlamaz; bir saldırı, sunucu arızası ya da hatalı bir güncelleme sonrası siteyi hızla ayağa kaldırabilmeniz, felaketle küçük bir aksaklık arasındaki farktır. Sağlıklı bir yedekleme yaklaşımı şunları içerir:
- Otomatik ve düzenli: Elle değil, planlı ve otomatik alınmalı.
- Site dışında saklanan: Yedek, siteyle aynı sunucuda durmamalı; sunucu çökerse yedek de gider.
- Test edilmiş: Geri yüklenemeyen yedek, yedek değildir. Belirli aralıklarla geri dönüş denenmeli.
- Sürümlenmiş: Yalnızca en son değil, birkaç önceki temiz kopya da saklanmalı; çünkü bir sızıntı fark edilmeden önce yedeklere de bulaşmış olabilir.
Bu disiplin, sitenizi yenileme ya da altyapı taşıma süreçlerinde de hayat kurtarır. Sitenizi baştan ele alıyorsanız güvenlik ve yedekleme mimarisini en baştan doğru kurmak için web sitesi yenileme sürecini anlattığımız yazıya göz atabilirsiniz.
Erişim Kontrolü ve Parola Hijyeni Nasıl Sağlanır?
Teknik açıkların önemli bir kısmı aslında insan kaynaklıdır: zayıf parolalar, herkesin "admin" yetkisiyle çalışması ve işten ayrılan kişilerin erişiminin kapatılmaması. Güçlü bir erişim politikası için:
- İki adımlı doğrulama (2FA) yönetim paneli girişlerinde zorunlu olsun.
- En az yetki ilkesi: Her kullanıcı yalnızca işini yapacak kadar yetkiye sahip olsun; editör hesabına sunucu erişimi verilmesin.
- Benzersiz ve güçlü parolalar kullanılsın, bir parola yöneticisiyle saklansın.
- Erişim envanteri düzenli gözden geçirilsin; kullanılmayan hesaplar kapatılsın.
Bu önlemler maliyet gerektirmez; yalnızca disiplin ister ve brute force gibi en yaygın saldırıları büyük ölçüde etkisiz kılar.
KVKK Web Sitesi Güvenliğini Nasıl Etkiler?
Türkiye'de kişisel veri işleyen her işletme, 6698 sayılı KVKK kapsamında verinin güvenliğini sağlamakla yükümlüdür. Bir iletişim formu, üyelik sistemi ya da e-bülten kaydı bile kişisel veri toplar; bu da güvenliği hukuki bir zorunluluk hâline getirir. Sitenizde asgari olarak şunlar bulunmalıdır:
- Aydınlatma metni ve açık rıza: Hangi verinin neden toplandığı şeffafça belirtilmeli.
- Çerez politikası ve yönetimi: Zorunlu olmayan çerezler için kullanıcı onayı alınmalı.
- Şifreli iletim ve saklama: SSL ile iletim, hassas verilerde ise şifreli saklama sağlanmalı.
- Veri ihlali müdahale planı: Bir sızıntıda Kurul'a ve ilgili kişilere bildirim süreci hazır olmalı.
KVKK uyumu yalnızca ceza riskini değil, müşteri güvenini de doğrudan etkiler. Güvenlik ve uyumu daha kurulum aşamasında doğru yapılandırmak, sonradan eklemekten hem kolay hem ucuzdur. Kurumsal bir sitenin baştan doğru mimarisini kurumsal web sitesinin nasıl olması gerektiğini ele aldığımız yazıda ayrıntılı bulabilirsiniz.
Güvenlik Yatırımının Maliyeti Nasıl Belirlenir?
Güvenlik için tek bir sabit rakam vermek doğru olmaz; çünkü ihtiyaç siteden siteye değişir. Maliyeti belirleyen başlıca faktörler şunlardır:
- Site tipi ve hassasiyeti: Tanıtım sitesi mi, ödeme ve müşteri verisi işleyen bir platform mu?
- Altyapı: Hazır bir sistem mi, yoksa güvenliği en baştan kurgulanan özel web yazılımı mı?
- Ek koruma katmanları: WAF (web uygulama güvenlik duvarı), CDN, sürekli izleme ve olay müdahalesi gibi hizmetlerin kapsamı.
- Bakım ve destek: Güvenlik tek seferlik değildir; düzenli güncelleme ve izleme sürekli bir hizmettir.
Doğru yaklaşım, "en ucuz" değil "riskinize uygun" korumadır. Bir e-ticaret sitesinin güvenlik ihtiyacı ile beş sayfalık bir tanıtım sitesininki aynı olmaz. Kapsamınıza özel net bir bütçe için sabit fiyat listesi yerine, projenizi birkaç adımda yapılandırıp teklif isteyebilir ya da WhatsApp'tan yazarak size özel değerlendirme alabilirsiniz.
İşletmeniz İçin Güvenlik Kontrol Listesi
Aşağıdaki maddeler, sitenizin güvenlik durumunu hızlıca değerlendirmeniz için bir başlangıç noktasıdır:
- Geçerli ve otomatik yenilenen bir SSL sertifikası var mı, tüm trafik HTTPS'e yönleniyor mu?
- Yazılım, tema ve eklentiler güncel mi; güncellemeler düzenli takip ediliyor mu?
- Otomatik, site dışında saklanan ve geri yüklenebilirliği test edilmiş yedekler var mı?
- Yönetim panelinde iki adımlı doğrulama ve güçlü parola politikası uygulanıyor mu?
- KVKK gereği aydınlatma metni, çerez yönetimi ve rıza akışı mevcut mu?
- Trafik anomalileri ve saldırılar için bir izleme veya güvenlik duvarı katmanı var mı?
Bu maddelerden birinde bile boşluk varsa, sitenizin güvenliğini gözden geçirmenin zamanı gelmiş demektir. Güvenlik, bir kere yapılıp unutulan değil, sürdürülen bir disiplindir; erken kurulan sağlam bir temel ise sonradan yaşanacak çok daha büyük maliyetlerin önüne geçer.
