Web Sitesi Güvenliği Rehberi: SSL, HTTPS ve Kapsamlı Koruma Önlemleri

2025 yılında dünya genelinde her 39 saniyede bir siber saldırı gerçekleşiyor. Küçük işletmelerin hedef alınma oranı tüm saldırıların %43'ünü oluşturuyor. Web sitesi güvenliği artık büyük şirketlerin sorunu değil; bir iletişim formu barındıran her web sitesi potansiyel hedeftir. Bu rehberde, teknik detayları atlayan değil, adım adım uygulayabileceğiniz somut önlemleri ele aldık.

Profesyonel web tasarım hizmetimizde güvenlik, proje başından itibaren planlanır.

1. SSL Sertifikası ve HTTPS Yönlendirmesi

SSL/TLS, tarayıcı ile sunucu arasındaki trafiği şifreleyerek şifre, kredi kartı numarası gibi hassas verilerin üçüncü şahıslar tarafından ele geçirilmesini önler. HTTPS olmayan siteler Chrome'da "Güvenli Değil" uyarısıyla karşılar ve Google sıralamalarında negatif etkilenir.

SSL Türleri

HTTP → HTTPS Yönlendirmesi

SSL kurulumu sonrasında tüm HTTP trafiğinin HTTPS'e yönlendirilmesi zorunludur. Next.js projelerinde next.config.ts'te headers veya Vercel'in otomatik HTTPS yönlendirmesiyle sağlanır. Apache için:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

2. Web Uygulama Güvenlik Duvarı (WAF)

WAF (Web Application Firewall), SQL injection, XSS ve diğer OWASP Top 10 saldırılarını HTTP katmanında engeller. Klasik güvenlik duvarından farkı, uygulama trafiğini anlıyor olmasıdır.

Önerilen WAF Çözümleri

• •
  Cloudflare (Ücretsiz Başlangıç):

  DNS'inizi Cloudflare'e yönetin. Ücretsiz plan bile DDoS koruma, HTTPS ve temel WAF kuralları sunuyor. Pro plan ($20/ay) daha gelişmiş WAF kuralları içeriyor.

• •
  Sucuri:

  WordPress ve diğer CMS'ler için özelleşmiş WAF ve malware tarama. Saldırı sonrası temizleme hizmeti de sunuyor.

• •
  AWS WAF / Azure Application Gateway:

  Cloud altyapısı kullanan kurumsal projeler için managed WAF çözümleri. IP blocklist, rate limiting ve bot yönetimi içeriyor.

3. HTTP Güvenlik Başlıkları

Güvenlik başlıkları, tarayıcıya sitenizin nasıl davranması gerektiğini söyleyen HTTP yanıt başlıklarıdır. Ücretsiz, etkili ve çoğu zaman göz ardı edilen bir güvenlik katmanıdır.

# next.config.ts headers yapılandırması
{
  key: 'Strict-Transport-Security',
  value: 'max-age=63072000; includeSubDomains; preload'
},
{
  key: 'X-Frame-Options',
  value: 'DENY'
},
{
  key: 'X-Content-Type-Options',
  value: 'nosniff'
},
{
  key: 'Referrer-Policy',
  value: 'strict-origin-when-cross-origin'
},
{
  key: 'Permissions-Policy',
  value: 'camera=(), microphone=(), geolocation=()'
}

• •HSTS (Strict-Transport-Security): Tarayıcıya "her zaman HTTPS kullan" talimatı verir. Bir kez ayarlandı mı, HTTPS olmadan bağlantı kabul edilmez.
• •X-Frame-Options: DENY: Sitenizin başka bir sitede iframe içinde gösterilmesini engeller. Clickjacking saldırılarına karşı koruma.
• •Content-Security-Policy (CSP): Hangi kaynaklardan script, stil ve medya yüklenebileceğini tanımlar. XSS saldırılarını büyük ölçüde önler. Dikkatli yapılandırma gerektirir; yanlış CSP sitenizi bozabilir.

Mevcut başlıklarınızı test etmek için securityheaders.com'u kullanın. Ücretsiz, 10 saniyede sonuç veriyor.

4. Güçlü Kimlik Doğrulama

• •İki faktörlü kimlik doğrulama (2FA): Admin paneline erişimde Google Authenticator veya TOTP uygulaması ekleyin. Şifre çalınsa bile hesaba girilemez.
• •Giriş denemesi sınırlama: 5 başarısız denemeden sonra IP bloklama veya CAPTCHA. Brute force saldırılarını engeller.
• •Admin URL değiştirme: WordPress'te /wp-admin'ı varsayılan bırakmayın. Bot saldırılarının %90'ı bu URL'yi hedef alıyor.
• •Parola politikası: Minimum 12 karakter, büyük/küçük harf, rakam ve özel karakter. Ekip üyeleri için parola yöneticisi zorunlu kılın.

5. Düzenli Yedekleme Stratejisi

Yedekleme, siber saldırı senaryosunda son savunma hattıdır. Fidye yazılımı (ransomware) saldırısında sitenizi sıfırdan kurmak yerine temiz yedeği geri yükleyebilirsiniz.

3-2-1 Yedekleme Kuralı

• •3 kopya yedek oluşturun
• •2 farklı medya/lokasyonda saklayın (sunucu + bulut)
• •1 kopya fiziksel olarak farklı bir lokasyonda (offline)

Vercel, Netlify gibi modern platformlar otomatik deployment snapshot'ları tutar. Veritabanı olan projelerde ek olarak AWS S3, Backblaze veya Google Cloud Storage'a günlük otomatik dump gönderin.

6. CMS ve Eklenti Güvenliği

WordPress sitelerin hacklenmesinin %56'sı güncel tutulmayan eklentilerden kaynaklanıyor. Güvenlik açıkları, popüler eklentilerin eski sürümlerinde kamuya açıklanıyor ve robotlar bu sürümleri tespit edip otomatik saldırı yapıyor.

• •Otomatik güncelleme aktif edin: Minor güncellemeleri otomatik, major güncellemeleri test ortamında uygulayın.
• •Kullanılmayan eklentileri kaldırın: Deaktif eklentiler bile güvenlik açığı taşıyabilir. Yalnızca gerçekten kullandıklarınızı tutun.
• •Eklenti güvenilirliğini kontrol edin: 5 yıldır güncellenmemiş, az indirilen eklentilerden kaçının. WPScan veya Wordfence ile tarama yapın.

7. DDoS Saldırılarına Karşı Koruma

DDoS (Distributed Denial of Service), sunucunuza normalin çok üzerinde istek göndererek sitenizi çevrimdışı bırakan saldırı türüdür. E-ticaret siteleri en sık hedeflenenler arasında.

• •Cloudflare Under Attack Mode: Aniden yoğun trafik geldiğinde aktifleştirin. Her ziyaretçiye CAPTCHA sorar.
• •Rate limiting: Belirli bir IP'den dakikada maksimum istek sayısı tanımlayın. API endpoint'leri için zorunlu.
• •CDN kullanımı: İçeriği coğrafi olarak dağıtılmış sunuculara yüklemek hem hızı artırır hem de saldırı trafiğini dağıtır.

Sık Sorulan Sorular

Sonuç

Web sitesi güvenliği tek seferlik bir proje değil, süregelen bir süreçtir. SSL kurulumu, güvenlik başlıkları ve WAF ile temel katmanı oluşturduktan sonra düzenli güncelleme, yedekleme ve güvenlik denetimi rutin haline getirilmelidir. Profesyonel web tasarım hizmetimizde tüm bu önlemleri baştan planlayarak güvenli web siteleri inşa ediyoruz. WebCraft ile iletişime geçin.