Proje süreçleriniz nasıl işliyor?

İlk görüşmede ihtiyaçlarınızı analiz ediyor ve size özel bir teklif sunuyoruz. Anlaşma sağlandıktan sonra tasarım ve kodlama aşamalarına geçiyoruz. Süreç boyunca size düzenli güncellemeler sunuyor, onayınızla birlikte projeyi yayına alıyoruz.

Ödeme koşullarınız nelerdir?

Projeye başlarken %50 ön ödeme alıyoruz. Kalan %50'lik kısmı ise proje tamamlanıp onayınızı aldıktan sonra, teslimat aşamasında talep ediyoruz. Tüm işlemlerimiz faturalı ve sözleşmelidir.

Web sitem mobil uyumlu olacak mı?

Evet, geliştirdiğimiz tüm web siteleri %100 mobil uyumlu (responsive) olarak tasarlanmaktadır. Telefon, tablet ve masaüstü cihazlarda kusursuz bir kullanıcı deneyimi sunuyoruz.

SEO desteği veriyor musunuz?

Tüm web sitelerimizi Google'ın teknik SEO kriterlerine uygun olarak kodluyoruz. Ayrıca, sitenizin arama motorlarında üst sıralara çıkması için kapsamlı SEO danışmanlığı ve içerik optimizasyonu hizmetleri de sunmaktayız.

Proje sonrası destek sağlıyor musunuz?

Kesinlikle. Proje tesliminden sonra 1 yıl boyunca ücretsiz teknik destek sağlıyoruz. Sunucu bakımı, güvenlik güncellemeleri ve olası teknik sorunlarda her zaman yanınızdayız.

Siber Güvenlik Önlemleri | Web Sitesi Koruma

Türkiye'de her yıl binlerce işletme web sitesi saldırıya uğruyor, müşteri verileri çalınıyor veya sistemler fidye yazılımıyla kilitleniyor. Siber saldırılar artık yalnızca büyük şirketleri hedef almıyor; küçük ve orta ölçekli işletmeler de giderek daha fazla hedef haline geliyor. Bu rehberde web sitenizi ve işletmenizi korumanın 12 somut yolunu, teknik detaylarıyla birlikte ele alıyoruz.

Türkiye'de Siber Saldırı Tablosu: 2025-2026

Türkiye, dünyada en fazla siber saldırıya maruz kalan ülkeler arasında sürekli olarak üst sıralarda yer almaktadır. 2025 verilerine göre Türkiye'deki işletmelerin yüzde altmışından fazlası en az bir siber güvenlik olayı yaşamıştır. Ransomware (fidye yazılımı) saldırıları bir önceki yıla göre yüzde kırk artış gösterirken, phishing (oltalama) saldırıları e-posta güvenliğinin en büyük tehdidi olmaya devam etmektedir. Ortalama bir veri ihlalinin işletmelere maliyeti, kurtarma, yasal süreçler ve itibar kaybı dahil olmak üzere yüz binlerce liraya ulaşabilmektedir.

En Yaygın Saldırı Türleri

Korunabilmek için önce neye karşı korunduğunuzu bilmeniz gerekir. İşletmelerin en sık karşılaştığı saldırı türleri şunlardır:

SQL Injection: Kötü niyetli SQL komutları aracılığıyla veritabanına yetkisiz erişim sağlanır. Müşteri bilgileri, şifreler ve ödeme verileri çalınabilir.
XSS (Cross-Site Scripting): Web sayfasına zararlı JavaScript kodu enjekte edilerek ziyaretçilerin tarayıcıları üzerinden saldırı gerçekleştirilir.
Brute Force: Şifre tahmin araçlarıyla yönetici paneline erişim denenir. Zayıf şifreler bu saldırıya açık kapı bırakır.
Phishing: Sahte e-postalar veya web siteleri aracılığıyla çalışanların kimlik bilgileri ele geçirilir.
DDoS (Dağıtık Hizmet Engelleme): Sunucuya aşırı trafik göndererek web sitesi erişilemez hale getirilir.
Ransomware: Sistemler şifrelenerek fidye talep edilir. Yedeksiz işletmeler için yıkıcı sonuçlar doğurabilir.

1. Güçlü Şifre Politikası ve İki Faktörlü Doğrulama (2FA)

En temel ama en sık ihmal edilen önlemdir. Tüm sistem erişimleri için en az 12 karakter, büyük-küçük harf, rakam ve özel karakter içeren şifreler zorunlu kılın. Şifreleri hiçbir zaman farklı platformlarda tekrar kullanmayın. Bunun ötesinde, tüm kritik hesaplara (e-posta, hosting paneli, CMS yönetici girişi, sosyal medya) iki faktörlü doğrulama (2FA) ekleyin. Google Authenticator veya Authy gibi uygulamalar, SMS tabanlı doğrulamaya göre çok daha güvenlidir.

2. Yazılım ve Eklentileri Güncel Tutun

WordPress, Joomla veya başka bir CMS kullanıyorsanız çekirdek yazılımı, temaları ve eklentileri düzenli olarak güncelleyin. Güvenlik açıklarının büyük çoğunluğu güncellenmemiş yazılımlar üzerinden istismar edilir. Otomatik güvenlik güncellemelerini etkinleştirin ve aktif olarak kullanılmayan eklentileri kaldırın — her eklenti potansiyel bir saldırı yüzeyidir.

3. WordPress Güvenlik Sıkılaştırma (Hardening)

WordPress dünya genelinde en yaygın kullanılan CMS olduğu için en fazla saldırıya da maruz kalandır. Temel sıkılaştırma adımları şunlardır:

Varsayılan /wp-admin giriş URL'sini değiştirin (WPS Hide Login eklentisi)
Kullanıcı adı olarak "admin" kullanmayın
Giriş denemelerini sınırlayın (Limit Login Attempts Reloaded)
Dosya izinlerini doğru ayarlayın: klasörler 755, dosyalar 644, wp-config.php 600
XML-RPC'yi devre dışı bırakın
Wordfence veya Sucuri Security eklentilerini yükleyin
wp-config.php ve .htaccess dosyalarını dışarıdan erişime kapatın

4. SSL/TLS ve HTTPS Zorunluluğu

HTTPS, web siteniz ile ziyaretçi arasındaki veri iletimini şifreler. SSL sertifikası olmayan bir site hem güvensizdir hem de Google tarafından arama sonuçlarında geriye itilir. Let's Encrypt aracılığıyla ücretsiz SSL sertifikası alabilirsiniz; ticari sertifikalar ise genişletilmiş doğrulama (EV) ve kurumsal güvence sunar. HTTP'den HTTPS'ye yönlendirmeyi sunucu yapılandırmanızda zorunlu kılın ve HSTS (HTTP Strict Transport Security) başlığını etkinleştirin.

5. Web Uygulama Güvenlik Duvarı (WAF)

WAF, web sitenize gelen trafiği gerçek zamanlı olarak filtreler ve SQL injection, XSS, DDoS gibi saldırıları engelleyen bir koruma katmanı oluşturur. Cloudflare, en yaygın kullanılan ücretsiz WAF çözümüdür; DNS'inizi Cloudflare üzerinden yönlendirerek hem DDoS koruması hem de performans artışı elde edersiniz. Kurumsal düzeyde Sucuri WAF veya AWS WAF gibi ücretli çözümler daha gelişmiş kural setleri sunar. Sunucu güvenliği hizmetlerimiz kapsamında WAF yapılandırması da yer almaktadır.

6. Veritabanı Güvenliği

SQL injection saldırılarının önüne geçmenin en etkili yolu prepared statements (hazırlanmış sorgular) kullanmaktır. Kullanıcıdan gelen veriler asla doğrudan SQL sorgusuna dahil edilmemelidir. Bunun yanı sıra veritabanı kullanıcısına yalnızca gerekli izinleri verin (en az yetki prensibi), veritabanı adını ve tablo ön eklerini varsayılan değerlerden farklı belirleyin, veritabanı portunu dışarıya kapatın ve yerel erişimi tercih edin.

7. Yedekleme Stratejisi: 3-2-1 Kuralı

Yedekleme, tüm güvenlik önlemlerinin son güvencesidir. 3-2-1 kuralı şöyle tanımlanır: verinin 3 kopyası, 2 farklı ortamda (örneğin sunucu + harici disk), 1 tanesi farklı bir fiziksel konumda (bulut veya uzak sunucu). WordPress siteleri için UpdraftPlus veya BackupBuddy eklentileri günlük otomatik yedekleme sağlar. Yedeklerin gerçekten çalışıp çalışmadığını düzenli olarak test edin; hiç test edilmemiş bir yedek, yoktan farksızdır.

8. KVKK Kapsamında Veri Güvenliği Yükümlülükleri

Türkiye'deki işletmeler, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında müşteri verilerini koruma yükümlülüğü taşır. KVKK, kişisel veri ihlali durumunda 72 saat içinde Kişisel Verileri Koruma Kurumu'na (KVKK) bildirim yapılmasını zorunlu kılar. Uyumsuzluk durumunda 1 milyon TL'ye kadar idari para cezası uygulanabilir. Web sitenizde KVKK uyumlu bir gizlilik politikası, çerez aydınlatma metni ve kullanıcı rıza mekanizması bulundurmanız yasal zorunluluktur.

9. Çalışan Güvenlik Farkındalığı Eğitimi

Teknik önlemlerin yanı sıra insan faktörü siber güvenliğin en zayıf halkası olmaya devam etmektedir. Phishing e-postalarını tanıma, güvenli şifre yönetimi, şüpheli bağlantılara tıklamama ve sosyal mühendislik saldırılarına karşı direnç konularında düzenli çalışan eğitimleri düzenleyin. Simüle phishing testleri, çalışanların gerçek tehditler karşısındaki farkındalığını ölçmenin etkili bir yoludur.

10. Güvenlik Açığı Tarama Araçları

Web sitenizin güvenlik durumunu periyodik olarak taramak için şu araçları kullanabilirsiniz:

OWASP ZAP: Açık kaynaklı, kapsamlı web uygulama güvenlik tarayıcısı. Ücretsiz ve güçlüdür.
Qualys SSL Labs: SSL/TLS yapılandırmanızı değerlendiren ücretsiz çevrimiçi araç.
Sucuri SiteCheck: Kötü amaçlı yazılım ve kara liste durumunu kontrol eden ücretsiz tarayıcı.
WPScan: WordPress özelinde güvenlik açıklarını tespit eden araç.
Shodan: İnternete açık servislerinizi ve potansiyel zafiyetleri gösteren arama motoru.

11. DDoS Koruması ve Sunucu Sıkılaştırma

Sunucu düzeyinde güvenlik için gereksiz servisleri kapatın, SSH portunu varsayılan 22'den farklı bir porta taşıyın ve parola yerine SSH anahtar tabanlı kimlik doğrulama kullanın. Fail2Ban gibi araçlarla brute force denemelerini otomatik olarak engelleyin. Sunucu güvenlik duvarı (firewall) kurallarını yalnızca gerekli portları açacak şekilde yapılandırın. Cloudflare veya benzeri bir CDN/WAF hizmeti, DDoS saldırılarının sunucunuza ulaşmadan önce filtrelenmesini sağlar.

12. İhlal Sonrası Kriz Yönetimi

Tüm önlemlere rağmen bir ihlal yaşanması durumunda hazırlıklı olmak kritik önem taşır. İhlal anı için şu adımları izleyin: etkilenen sistemleri derhal izole edin ve ağdan ayırın; ihlalın boyutunu ve hangi verilerin etkilendiğini tespit edin; KVKK gerektiriyorsa 72 saat içinde yetkili kuruma bildirin; temiz bir yedekten geri yükleme yapın; güvenlik açığını kapatın ve kapatıldığını doğrulayın; iç ve dış paydaşları şeffaf biçimde bilgilendirin; olayın sonrasında kapsamlı bir güvenlik denetimi gerçekleştirin.

SRN Dijital'in Güvenli Yazılım Geliştirme Standartları

SRN Dijital olarak geliştirdiğimiz tüm web sitesi ve yazılım projelerinde güvenlik, tasarım aşamasından itibaren bir gereksinim olarak ele alınır. OWASP Top 10 güvenlik açıklarına karşı kod incelemesi, prepared statements ile veritabanı güvenliği, SSL yapılandırması, WAF entegrasyonu ve güvenli sunucu kurulumu standart hizmet kapsamımızdadır. Mevcut web sitenizin güvenlik durumunu değerlendirmek veya güvenli bir proje geliştirmek için bizimle iletişime geçin.

Siber Güvenlik Önlemleri: Web Sitenizi ve İşletmenizi Korumanın 12 Yolu