Web Sitesi Güvenliği: Siber Saldırılardan Korunma Rehberi

Her 39 saniyede bir web sitesi saldırıya uğruyor. Bu saldırılar yalnızca büyük şirketleri hedef almıyor; küçük ve orta ölçekli işletmelerin web siteleri, zayıf güvenlik önlemleri nedeniyle saldırganlar için kolay hedef oluşturuyor.

“Benim sitem küçük, kim niye saldırsın?” düşüncesi en tehlikeli varsayımdır. Saldırıların büyük çoğunluğu hedefli değildir; otomatik botlar milyonlarca siteyi tarar ve bilinen güvenlik açıklarını kullananları tespit eder. Küçük siteler tam da kolay hedef oldukları için saldırılır.

Saldırıya uğramış bir site yalnızca veri kaybına değil, müşteri güveni kaybına, Google sıralaması düşüşüne, yasal sorunlara (KVKK yaptırımları) ve itibar hasarına da yol açar. Google, zararlı yazılım tespit ettiği siteleri arama sonuçlarında “Bu site güvenli olmayabilir” uyarısıyla işaretler; bu uyarıyı alan sitenin trafiği bir gecede yüzde 90 düşebilir.

Bu nedenle web güvenliğini tek başına düşünmek yanıltıcıdır. Güvenlik çoğu zaman site bakım disiplini, güncelleme yönetimi ve teknik altyapı kalitesiyle birlikte çalışır. Özellikle WordPress ve eklenti yoğun yapılarda güvenlik açığı çoğu zaman bakım ihmalinden doğar.

Yaygın Web Saldırı Türleri

Kendinizi korumak için önce tehditleri tanımanız gerekir. İşte en sık karşılaşılan saldırı türleri ve her birinden nasıl korunacağınız.

SQL Injection (SQLi)

Saldırgan, form alanları veya URL parametreleri aracılığıyla veritabanınıza kötü amaçlı SQL komutları enjekte eder. Başarılı bir SQL injection saldırısı müşteri verilerine, şifrelere, ödeme bilgilerine ve tüm veritabanı içeriğine erişim sağlayabilir.

Örneğin, bir giriş formundaki kullanıcı adı alanına ' OR 1=1 -- gibi bir ifade yazıldığında, güvensiz bir sistem saldırganı doğrudan yönetici paneline alabilir.

Korunma yöntemleri:

• Parametreli sorgular (prepared statements). SQL sorgularını doğrudan kullanıcı girdisiyle oluşturmayın. PDO veya MySQLi prepared statements kullanın. Bu, enjekte edilen kodun SQL komutu olarak çalışmasını engeller.
• ORM katmanı. Eloquent (Laravel), Prisma, TypeORM gibi ORM’ler SQL sorgularını soyutlar ve parametreleme otomatik yapılır.
• Girdi doğrulama. Kullanıcıdan gelen her veriyi sunucu tarafında doğrulayın ve temizleyin (sanitize). Yalnızca istemci tarafı (JavaScript) doğrulama yeterli değildir; devre dışı bırakılabilir.
• En az yetki prensibi. Veritabanı kullanıcısına yalnızca gerekli yetkiler verin. Web uygulamasının veritabanı kullanıcısının DROP TABLE yetkisi olmamalıdır.

XSS (Cross-Site Scripting)

Saldırgan, sitenize kötü amaçlı JavaScript kodu enjekte eder. Bu kod, sayfayı ziyaret eden kullanıcıların tarayıcılarında çalışarak çerez bilgilerini çalabilir, oturum ele geçirebilir veya kullanıcıları sahte sayfalara yönlendirebilir.

Üç XSS türü:

• Stored XSS. Kötü amaçlı kod veritabanına kaydedilir (yorum alanları, kullanıcı profilleri). Her ziyaretçide çalışır. En tehlikelisidir.
• Reflected XSS. Kod, URL parametresi aracılığıyla sunucuya gönderilir ve yanıtta doğrudan yansıtılır. Phishing bağlantılarıyla kullanılır.
• DOM-based XSS. Kod yalnızca tarayıcıda (client-side JavaScript’te) çalışır. Sunucu tarafında görünmez.

Korunma yöntemleri:

• Çıktı kodlama (Output encoding/escaping). Kullanıcıdan gelen her veriyi HTML’e yazmadan önce escape edin. <script> yerine <script> olarak render edilir ve çalışmaz.
• Content Security Policy (CSP). CSP header’ı, sayfada hangi kaynaklardan script yüklenebileceğini belirler. Inline script’i engelleyen bir CSP politikası, XSS saldırılarının çoğunu etkisiz kılar.
• HttpOnly çerez flag’i. Çerezlere HttpOnly flag’i atamak, JavaScript’in çerezlere erişmesini engeller. Oturum çerezleri (session cookie) için zorunludur.
• SameSite çerez attribute’ı. CSRF saldırılarını da engelleyen bu attribute, çerezlerin yalnızca aynı site kontekstinde gönderilmesini sağlar.

Brute Force Saldırıları

Otomatik araçlarla binlerce, hatta milyonlarca, kullanıcı adı ve parola kombinasyonu denenerek yönetim paneline erişim sağlanmaya çalışılır. Özellikle “admin” kullanıcı adı ve zayıf parola kullanan siteler dakikalar içinde kırılır.

Korunma yöntemleri:

• Güçlü parola politikası. Minimum 12 karakter, büyük/küçük harf, rakam ve özel karakter kombinasyonu. “Firma123!” gibi tahmin edilebilir parolalar güçlü sayılmaz.
• İki faktörlü kimlik doğrulama (2FA). Parola doğru olsa bile ikinci bir doğrulama katmanı (SMS, TOTP uygulaması, güvenlik anahtarı) gerektirir. 2FA, brute force saldırılarını neredeyse tamamen etkisiz kılar.
• Giriş denemesi sınırlandırma (Rate limiting). 5 başarısız denemeden sonra hesabı geçici olarak kilitleyin veya CAPTCHA gösterin.
• Admin URL değişikliği. WordPress’te /wp-admin veya /wp-login.php varsayılan giriş URL’leridir. Bunları değiştirmek otomatik taramaları yanıltır.
• Fail2Ban veya benzeri araçlar. Sunucu seviyesinde belirli sayıda başarısız girişten sonra IP adresini engelleyen sistemler.

DDoS (Distributed Denial of Service)

Binlerce, hatta milyonlarca, farklı IP’den aynı anda sunucunuza yoğun trafik gönderilerek sitenizin erişilemez hale getirilmesi. Amaç veri çalmak değil, hizmet kesintisi yaratmaktır. E-ticaret siteleri, kampanya dönemlerinde veya rakip motivasyonuyla DDoS saldırısına uğrayabilir.

Korunma yöntemleri:

• CDN ve DDoS koruma hizmetleri. Cloudflare, AWS Shield veya Akamai gibi servisler trafiği filtreleyerek zararlı istekleri sunucunuza ulaşmadan engeller. Cloudflare’in ücretsiz planı bile temel DDoS koruması sunar.
• Rate limiting. Tek bir IP’den gelen istek sayısını sınırlandırın.
• Anycast ağı. Trafiği birden fazla sunucuya dağıtarak tek nokta arızasını (single point of failure) önleyin.

Zararlı Dosya Yükleme

Dosya yükleme formları aracılığıyla sunucuya zararlı kod içeren dosyalar yüklenir. Yüklenen PHP veya JavaScript dosyası sunucuda çalıştırılarak tam kontrol elde edilir.

Korunma yöntemleri:

• Dosya türü doğrulama. Yalnızca izin verilen dosya türlerini kabul edin (örn. jpg, png, pdf). MIME type kontrolünü yalnızca istemcide değil, sunucu tarafında da yapın. Dosya uzantısını değiştirmek kolay olduğundan, dosya başlığını (magic bytes) kontrol edin.
• Boyut sınırlandırma. Makul dosya boyutu limitleri belirleyin.
• Dosyaları web kökü dışında saklama. Yüklenen dosyalar doğrudan URL ile erişilebilir olmamalıdır.
• Dosya adı değiştirme. Yüklenen dosyanın orijinal adını kullanmayın; rastgele bir ad atayın. Bu, path traversal saldırılarını da engeller.
• Yükleme dizininde PHP/script çalıştırmayı devre dışı bırakma. Apache’de .htaccess ile veya Nginx’te konfigürasyonla bu dizinde script çalıştırmayı engelleyin.

Phishing ve Sosyal Mühendislik

Teknik bir zafiyet yerine insan faktörünü hedefleyen saldırılar. Sahte e-postalar, sahte giriş sayfaları veya sosyal mühendislik yöntemleriyle admin kimlik bilgileri elde edilir.

Korunma: Personeli phishing farkındalığı konusunda eğitin. E-posta bağlantılarına tıklamadan önce URL’yi kontrol edin. Admin paneline yalnızca bilinen cihazlardan ve ağlardan erişin. 2FA kullanın; phishing ile elde edilen parola 2FA olmadan işe yaramaz.

Temel Güvenlik Önlemleri

SSL/TLS Sertifikası

HTTPS, siteniz ile kullanıcı arasındaki veri iletişimini şifreler. Form bilgileri, giriş kimlik bilgileri ve ödeme verileri şifresiz iletildiğinde araya giren biri (man-in-the-middle saldırısı) bu verileri okuyabilir.

SSL sertifikası olmayan siteler tarayıcılarda “Güvenli Değil” uyarısı alır. Google, HTTPS’yi sıralama sinyali olarak değerlendirir. Let’s Encrypt ile ücretsiz SSL sertifikası alabilirsiniz.

HSTS (HTTP Strict Transport Security). Bu header, tarayıcıya sitenin her zaman HTTPS üzerinden yüklenmesini söyler ve HTTP’den HTTPS’e yönlendirme sırasındaki kısa savunmasız pencereyi kapatır.

Web Application Firewall (WAF)

WAF, gelen HTTP trafiğini analiz ederek bilinen saldırı kalıplarını engeller. SQL injection denemeleri, XSS payloads, bot trafiği ve brute force girişimleri WAF tarafından filtrelenir.

Popüler WAF çözümleri:

• Cloudflare. CDN + WAF + DDoS koruması bir arada. Ücretsiz planı bile etkili koruma sağlar.
• Sucuri. WordPress siteleri için özelleşmiş güvenlik ve WAF çözümü.
• ModSecurity. Açık kaynaklı, sunucu tarafında çalışan WAF. Apache ve Nginx ile uyumlu.

Yazılım Güncellemeleri

Güncel olmayan yazılım, güvenlik açıklarının bir numaralı kaynağıdır. CMS çekirdeği, eklentiler, temalar ve sunucu yazılımlarının düzenli güncellenmesi zorunludur. Düzenli site bakımı güvenliğin temel taşıdır.

Güncelleme stratejisi:

• Minor (güvenlik) güncellemeleri hemen uygulayın.
• Major güncellemeleri önce staging (test) ortamında deneyin.
• Güncelleme öncesi her zaman yedek alın.
• Kullanılmayan eklenti ve temaları sadece devre dışı bırakmayın; tamamen kaldırın.

Yedekleme Stratejisi

En iyi güvenlik önlemleri bile yüzde yüz koruma garanti etmez. Düzenli, test edilmiş ve site dışında saklanan yedekler, bir felaket durumunda sitenizi geri getirmenin tek yoludur.

• 3-2-1 kuralı. 3 kopya yedek, 2 farklı medyada, 1’i offsite.
• Günlük otomatik yedekleme. Manuel yedek almak unutulur.
• Hem veritabanı hem dosya yedeklemesi.
• Geri yükleme testi. Yedeklerinizi düzenli olarak test ortamında geri yükleyin.

HTTP Güvenlik Başlıkları (Security Headers)

HTTP yanıt başlıkları ek güvenlik katmanları sağlar. Bu başlıklar, sunucu konfigürasyonunda veya uygulama seviyesinde ayarlanır:

• X-Content-Type-Options: nosniff. Tarayıcının MIME type tahminini önler; dosyalara yalnızca doğru içerik türüyle erişilir.
• X-Frame-Options: DENY (veya SAMEORIGIN). Sitenizin başka bir sitede iframe içine alınmasını (clickjacking) engeller.
• Strict-Transport-Security (HSTS). Tarayıcıyı her zaman HTTPS’e zorlar.
• Content-Security-Policy (CSP). Hangi kaynaklardan script, stil, font ve görsel yüklenebileceğini belirler. XSS korumasının en güçlü katmanı.
• Referrer-Policy. Dış sitelere hangi referrer bilgisinin gönderileceğini kontrol eder.
• Permissions-Policy. Tarayıcı özelliklerine (kamera, mikrofon, geolocation) erişimi kontrol eder.

Test aracı: securityheaders.com sitenizin güvenlik başlıklarını puanlar ve eksikleri gösterir.

WordPress Özelinde Güvenlik

WordPress, web’in yüzde 40’ından fazlasına güç veriyor ve bu popülerlik onu saldırganlar için cazip bir hedef yapıyor. WordPress’e özgü güvenlik önlemleri:

Admin paneli güvenliği

• wp-admin URL’sini değiştirin. WPS Hide Login gibi eklentilerle varsayılan giriş URL’sini özelleştirin.
• Admin kullanıcı adını “admin” bırakmayın. İlk kurulumda farklı bir ad seçin veya sonradan değiştirin.
• Giriş sayfasına CAPTCHA ekleyin. reCAPTCHA veya hCAPTCHA bot girişlerini engeller.
• XML-RPC’yi devre dışı bırakın. XML-RPC, brute force ve DDoS saldırıları için kullanılabilir. Modern uygulamaların çoğu REST API kullandığından XML-RPC’ye ihtiyaç duyulmaz.

Dosya güvenliği

• wp-config.php erişimini engelleyin. Apache’de .htaccess veya Nginx konfigürasyonuyla doğrudan erişimi kapatın. wp-config.php veritabanı kimlik bilgilerini içerir.
• Dosya düzenleme iznini kapatın. wp-config.php’ye define('DISALLOW_FILE_EDIT', true); ekleyin. Bu, admin panelinden tema ve eklenti dosyalarının düzenlenmesini engeller; bir saldırgan admin paneline erişse bile dosya değiştiremez.
• .htaccess koruma. Dizin listelemeyi kapatın (Options -Indexes). wp-includes ve wp-content/uploads dizinlerinde PHP çalıştırmayı engelleyin.

Güvenlik eklentileri

WordPress için güvenlik eklentileri ek koruma katmanı sağlar:

• Wordfence. Firewall, malware tarayıcı, brute force koruması ve canlı trafik izleme.
• iThemes Security (Solid Security). 30’dan fazla güvenlik iyileştirmesi tek bir eklentide.
• Sucuri Security. Dosya bütünlüğü kontrolü, güvenlik aktivitesi denetimi ve post-hack temizleme.

Ama güvenlik eklentileri tek başına yeterli değildir; temel güvenlik pratiklerinin (güncelleme, güçlü parola, 2FA) yerine geçmez.

Veritabanı güvenliği

• Varsayılan tablo ön eki olan wp_ değiştirin.
• Veritabanı kullanıcısına yalnızca gerekli yetkileri verin (SELECT, INSERT, UPDATE, DELETE; DROP ve ALTER vermeyin).
• Veritabanı portunu dışarıya kapatın (yalnızca localhost erişimi).

Sunucu Güvenliği

Web uygulaması güvenli olsa bile sunucu güvenliği zayıfsa risk devam eder.

Temel sunucu güvenlik önlemleri

• SSH yerine parola ile giriş engelleme. SSH anahtar tabanlı kimlik doğrulamaya geçin.
• Varsayılan portları değiştirme. SSH’ın varsayılan 22 portunun değiştirilmesi otomatik tarama saldırılarını azaltır.
• Güvenlik duvarı (Firewall). Yalnızca gerekli portları açın (80, 443). iptables veya ufw ile konfigüre edin.
• Düzenli güncelleme. İşletim sistemi ve sunucu yazılımlarını (Apache, Nginx, PHP, MySQL) güncel tutun.
• Log izleme. Erişim ve hata loglarını düzenli inceleyin. Anormal aktiviteleri (beklenmedik IP’lerden gelen yoğun istekler, başarısız giriş denemeleri) algılayın.

Shared hosting riskleri

Paylaşımlı hosting’te aynı sunucuda yüzlerce site barınır. Bir sitenin hacklenmesi diğerlerini de etkileyebilir. Kritik iş siteleri için VPS (Virtual Private Server) veya dedicated sunucu tercih edin. En azından suPHP veya PHP-FPM ile izole PHP ortamı sağlayan hosting kullanın.

Güvenlik İzleme ve Erken Uyarı

Proaktif güvenlik izleme

Saldırıları önlemenin en etkili yolu erken tespit etmektir:

• Uptime izleme. Sitenin erişilemez hale geldiğini anında bildiren servisler (UptimeRobot, Pingdom). DDoS veya sunucu arızasını dakikalar içinde tespit eder.
• Dosya bütünlüğü izleme (File Integrity Monitoring). Sunucudaki dosyalarda yetkisiz değişiklikleri algılayan sistem. Wordfence bu özelliği sunar.
• Malware taraması. Düzenli otomatik taramalar zararlı kod enjeksiyonlarını erken aşamada tespit eder.
• Google Search Console. Güvenlik sorunları raporu, Google’ın sitenizde tespit ettiği zararlı yazılım ve phishing uyarılarını gösterir.

Olay müdahale planı

Bir güvenlik ihlali gerçekleştiğinde panik yapmadan sistematik hareket etmek gerekir. Önceden hazırlanmış bir olay müdahale planı kritiktir:

1. Tespit ve izolasyon. Saldırının kapsamını belirleyin. Siteyi geçici olarak bakım moduna alın.
2. Erişim kontrolü. Tüm admin ve FTP şifrelerini değiştirin. SSH anahtarlarını yenileyin. Admin oturumlarını sonlandırın.
3. Zararlı kod temizliği. Değiştirilen dosyaları belirleyin ve temizleyin. Veritabanında zararlı içerik arayın.
4. Güvenlik açığının kapatılması. Saldırının giriş noktasını (vulnerability) belirleyin ve kapatın. Güncelleme, eklenti kaldırma veya konfigürasyon değişikliği gerekebilir.
5. Temiz yedekten geri yükleme. Zararlı kod temizliğinden emin olunamıyorsa en son temiz yedeği geri yükleyin.
6. Google bildirimi. Search Console’da güvenlik sorunlarını inceleyin ve gerekirse yeniden inceleme talep edin.
7. Analiz ve önleme. Olayı analiz edin. Nasıl gerçekleşti? Hangi önlemler eksikti? Tekrarını engellemek için ne yapılmalı?
8. Bilgilendirme. KVKK kapsamında kişisel veri ihlali varsa Kişisel Verileri Koruma Kurulu’na 72 saat içinde bildirim zorunludur. Etkilenen kullanıcıları bilgilendirin.

Güvenlik Kontrol Listesi

Hızlı referans olarak kullanabileceğiniz güvenlik kontrol listesi:

• SSL/TLS sertifikası aktif ve otomatik yenileniyor
• Tüm yazılımlar (CMS, eklentiler, sunucu) güncel
• Admin panelinde 2FA aktif
• Güçlü, benzersiz parolalar kullanılıyor
• WAF (Web Application Firewall) kurulu
• HTTP güvenlik başlıkları yapılandırılmış
• Günlük otomatik yedekleme yapılıyor
• Yedekler offsite saklanıyor ve test ediliyor
• Kullanılmayan eklentiler ve temalar kaldırılmış
• Dosya yükleme güvenliği yapılandırılmış
• Admin URL değiştirilmiş (WordPress)
• Giriş denemesi sınırlandırma aktif
• Uptime ve dosya bütünlüğü izleme kurulu
• Olay müdahale planı hazır

Sıkça Sorulan Sorular

Sitem hacklendi mi nasıl anlarım?

Belirtiler: beklenmedik yönlendirmeler, bilinmeyen dosyalar/sayfalar, Google’da “Bu site güvenli olmayabilir” uyarısı, hosting sağlayıcısından güvenlik bildirimi, anormal trafik artışı veya düşüşü, admin paneline girememe, spam e-posta gönderimi. Google Search Console güvenlik sorunları raporu ve Sucuri SiteCheck gibi ücretsiz tarama araçları hızlı kontrol sağlar.

Ücretsiz SSL (Let’s Encrypt) ticari SSL kadar güvenli midir?

Şifreleme kalitesi açısından evet, aynıdır. Let’s Encrypt aynı TLS protokollerini kullanır. Fark, ticari sertifikaların sunduğu ek özelliklerdir: genişletilmiş doğrulama (EV), garanti sigortası ve destek. Çoğu web sitesi için Let’s Encrypt yeterli ve önerilen çözümdür.

Web sitesi güvenliği SEO’yu etkiler mi?

Doğrudan etkiler. HTTPS sıralama sinyalidir. Google zararlı yazılım tespit ederse sitenizi arama sonuçlarından kaldırabilir. Hacklenen sitelere spam sayfalar enjekte edilerek SEO otoritesi gaspedilebilir. Site bakımı ve güvenlik, teknik SEO’nun ayrılmaz parçasıdır.

WordPress güvenli bir platform mu?

WordPress çekirdeği güvenlidir ve düzenli olarak güvenlik yamaları alır. Sorunların çoğu güncel olmayan eklentiler, temalar ve zayıf parolalardan kaynaklanır. WordPress güvenliği, platformun kendisinden çok konfigürasyon ve bakım kalitesine bağlıdır.

WAF (Web Application Firewall) şart mı?

Zorunlu değildir ama güçlü bir ek koruma katmanıdır. Özellikle WordPress gibi yaygın CMS kullanan, e-ticaret yapan veya kişisel veri toplayan siteler için şiddetle önerilir. Cloudflare’in ücretsiz planı bile temel WAF koruması sağlar.

---

Kurumsal web sitenizi ve mobil sitenizi güvende tutmak, dijital varlığınızı korumanın temel adımıdır. Web güvenliği hizmetimiz ve siber güvenlik çözümleri hakkında bizimle iletişime geçebilirsiniz. Süreci daha operasyonel görmek isterseniz site bakım hizmeti neden gerekli yazısı bu rehberin en doğru devamıdır.