Web site güvenliği nasıl artırılır? 2025
Amaç: veriyi koru, siteyi ayakta tut, itibarını riske atma.
Yöntem: Güncellemeler + doğru yapılandırma + izleme + yedekleme. Teknik karmaşayı minimumda, etkisi maksimumda tutacağız. Web site güvenliği nasıl artırılır?
Saldırı yüzeyini anlayın
Altyapı: DNS, CDN, SSL/TLS, sunucu ve barındırma ayarları
Uygulama: CMS (WordPress vb.), eklentiler/temalar, kod ve formlar
Kullanıcılar: zayıf şifreler, yetki fazlalığı, paylaşılmış hesaplar
24 saat içinde yapılacak “hızlı kazanımlar”
HTTPS + HSTS etkin olsun. Eski HTTP’yi 301 ile kapatın.
Güncellemeler: Çekirdek/tema/eklentiler → son sürüm. Kullanılmayanları kaldırın.
2FA (İki adımlı doğrulama): Tüm yönetici hesaplarında zorunlu.
Güçlü parola politikası: Min. 12 karakter, tekrar etmeyen, şifre yöneticisi kullanımı.
Yedekleme: Günlük otomatik, harici lokasyona; geri yükleme testi yapın.
Giriş denemesi sınırlama: Brute force’a karşı rate-limit ve IP kilitleme.
Güvenlik başlıkları:
Content-Security-Policy,X-Frame-Options,X-Content-Type-Options,Referrer-Policy,Permissions-Policy.Rol ve yetkiler: “Yönetici”yi minimumda tutun; editör/yazar rollerini kullanın.
XML-RPC ve gereksiz uç noktalar: Kullanılmıyorsa kapatın.
Kayıt/izleme: En azından giriş/çıkış, başarısız denemeler, eklenti değişimleri loglansın.
SSL/TLS doğru mu?
TLS 1.2/1.3 açık, zayıf şifre takımları kapalı.
OCSP Stapling, HTTP/2 veya 3, Brotli sıkıştırma aktif.
Sertifikanın otomatik yenilenmesini kurun (Let’s Encrypt). Web site güvenliği nasıl artırılır?
Uygulama güvenliği (CMS/WordPress odaklı)
Tema/eklenti diyeti: Aynı işi yapan iki eklenti birlikte kullanmayın.
Depo dışı yazılımlardan kaçının; geliştirici güvenilirliğini kontrol edin.
Dosya izinleri:
wp-config.php400–440; yükleme klasörleri 755.Config sertleştirme:
DISALLOW_FILE_EDITveDISALLOW_FILE_MODS(güncellemeleri süreçle yapıyorsanız) — panelden kod düzenlemeyi kapatır.Veritabanı ön eki: Varsayılan
wp_yerine özel bir ön ek.Güvenlik eklentileri (hafif): WAF, tarama ve giriş sınırlaması sağlayan tek bir çözüm.
XML-RPC, REST gereksiz endpoint’ler: Kullanmıyorsanız devre dışı bırakın. Web site güvenliği nasıl artırılır?
Formlar, giriş ve oturum güvenliği
CSRF koruması: Her formda token.
XSS önleme: Çıkışta kaçış (escape), zengin metinde whitelist.
Dosya yükleme: Uzantı beyaz listesi, MIME doğrulama, boyut limiti, web kökü dışında saklama, rastgele dosya adı.
Çerez ayarları:
Secure,HttpOnly,SameSite=Lax/Strict.Oturum süresi: Yönetici oturumları kısa; kritik işlemlerde yeniden doğrulama.
Ağ ve kenar güvenliği
CDN/WAF kullanın: Kötü istekleri kaynaktan önce süzer, DDoS’u sönümler.
Rate-limit & bot koruması: API ve giriş uç noktalarında sınırlandırma.
IP allowlist (gerekirse): Yalnızca ofis VPN’inden panele erişim. Web site güvenliği nasıl artırılır?
KVKK/Gizlilik bağlantısı (güven = dönüşüm)
Güncel Gizlilik Politikası ve Çerez Politikası yayınlayın.
Sadece gerekli çerezleri yükleyin; onay yönetimi (CMP) kullanın.
Formlarda aydınlatma metni ve açık rıza kutuları.
Olay Müdahale Planı (IRP) — net akış
- Hazırlık: Roller (sistem yöneticisi, geliştirici, iletişim), erişim listesi, acil iletişim kanalı (telefon/Signal).
- Tespit & Önceliklendirme: Alarm kaynakları (WAF, sunucu, uygulama logları), etki analizi (kapsam, veri türü).
- Kısa Süreli İzolasyon (Containment): WAF kuralı, IP/ülke engeli, oran sınırlama; etkilenen eklentiyi/özelliği geçici kapatma.
- Temizleme (Eradication): Kötü dosyaların kaldırılması, yönetici şifrelerinin/anahtarların rotasyonu, zafiyetin yamalanması.
- Kurtarma (Recovery): Temiz yedekten geri yükleme, izleme artırımı, kademeli canlı geçiş.
- Değerlendirme (Post-mortem): Kök neden, öğrenilenler, süreç/savunma güncellemeleri.
- İletişim: Gerekirse kullanıcı bilgilendirmesi ve KVKK uyum kontrolleri. Web site güvenliği nasıl artırılır?
Zafiyet Yönetimi — ritim ve SLA
Envanter: Tema/eklenti, sunucu yazılımları, 3. parti servisler tek listede.
Otomatik taramalar:
Haftalık: bağımlılık/zafiyet taraması (SCA, WordPress güvenlik taraması).
Aylık: uygulama & ağ zafiyet taraması.
3 ayda bir: dış bağımsız pentest (kritik akışlara odak).
Yama politikası (SLA): Kritik 48 saat, yüksek 7 gün, orta 30 gün içinde.
Değişiklik yönetimi: Canlıya çıkmadan önce staging üzerinde test + geri alma planı.
DDoS & Kötü Bot Azaltma
CDN/WAF: Layer 3/4 için sağlayıcı koruması, Layer 7 için kural setleri.
Oran sınırlama:
/wp-login.php,/xmlrpc.php, arama ve form uçları.Davranış kuralları: JS challenge, ülke/ASN filtreleri, “yavaş sorgu” engeli.
Önbellekleme: Statik içerik ve sayfalar için agresif cache; 503 “retry” başlıkları.
Olay rehberi: Barındırma ve CDN acil iletişim adımları dokümante. Web site güvenliği nasıl artırılır?
Yedekleme Stratejisi — 3-2-1 kural
3 kopya: Canlı + anlık anlık görüntü + harici yedek.
2 farklı ortam: Disk + bulut/nesne depolama.
1 off-site/immutability: Sürümlemeli, değiştirilemez (immutable) yedek; şifreli.
RPO/RTO: Hedeflerinizi belirleyin (örn. RPO 24s, RTO 4s).
Test: Aylık geri yükleme testi (dosya + veritabanı). Web site güvenliği nasıl artırılır?
Günlükleme & İzleme (SIEM mantığı)
Topla: WAF, web sunucusu, uygulama, veritabanı, kimlik/doğrulama logları.
Merkezileştir: Uzak log sunucusu / bulut izleme; saat senkronizasyonu (NTP).
Uyarılar:
Başarısız/şüpheli giriş denemeleri eşiği
404/5xx artışları
Dosya bütünlüğü değişimleri (FIM)
Saklama: Asgari 90 gün çevrimiçi; KVKK’ya uygun anonimleştirme. Web site güvenliği nasıl artırılır?
CI/CD ve Gizli Anahtar Yönetimi
Ortamlar: Prod/Staging/Dev ayrımı; erişimler en az yetki.
Secrets: .env yerine gizli kasası (KMS/Secrets Manager/Vault); düzenli rotasyon.
Kod güvenliği:
SAST/DAST ve bağımlılık taraması, PR zorunlu kod incelemesi
İmzalı commit ve branch koruması
SBOM üretimi (bağımlılık envanteri)
IaC/Altyapı: Sunucu konfigürasyonlarını kod ile yönetip (Terraform/Ansible) tarayın.
Üçüncü parti script denetimi: Kullanım amacı, veri kapsamı, yükleme stratejisi (defer).
Geliştirici/İşletim Disiplini
Eklenti/tema diyeti: Aynı iş için tek araç; depo dışı yazılımlardan kaçın.
Dosya izinleri: Yazılabilir dizinleri sınırla; otomatik güncellemeleri kontrollü aç.
Form güvenliği: MIME doğrulama, dosya boyutu sınırı, antivirüs taraması.
Oturum ve çerez:
Secure + HttpOnly + SameSite, kısa oturum süresi.KVKK/CMP: Yalnız gerekli çerezler; açık aydınlatma ve onay metinleri.
Kapsamlı Kontrol Listesi
HTTPS + HSTS, TLS 1.2/1.3
Güncel çekirdek/tema/eklenti; gereksizler kaldırıldı
WAF + oran sınırlama + giriş denemesi limiti
2FA tüm yönetici hesaplarında; güçlü parola politikası
XML-RPC kapalı (gerekmiyorsa); REST uçları sınırlandı
Güvenlik başlıkları: CSP, XFO, XCTO, Referrer-Policy, Permissions-Policy
Günlük otomatik, şifreli 3-2-1 yedek + geri yükleme testi
Loglar merkezî; anomali uyarıları aktif
Zafiyet taraması/pentest takvimi ve patch SLA’ları tanımlı
Staging’de test + geri alma planı; CI/CD’de güvenlik kontrolleri
KVKK/Gizlilik/Çerez politikaları güncel
Son çağrı
Web site güvenliğini katmanlı bir yaklaşımla kalıcı hâle getirelim.
İhtiyaçlarınıza göre uygulanabilir bir yol haritası hazırlayıp adım adım devreye alalım.
