Proje süreçleriniz nasıl işliyor?

İlk görüşmede ihtiyaçlarınızı analiz ediyor ve size özel bir teklif sunuyoruz. Anlaşma sağlandıktan sonra tasarım ve kodlama aşamalarına geçiyoruz. Süreç boyunca size düzenli güncellemeler sunuyor, onayınızla birlikte projeyi yayına alıyoruz.

Ödeme koşullarınız nelerdir?

Projeye başlarken %50 ön ödeme alıyoruz. Kalan %50'lik kısmı ise proje tamamlanıp onayınızı aldıktan sonra, teslimat aşamasında talep ediyoruz. Tüm işlemlerimiz faturalı ve sözleşmelidir.

Web sitem mobil uyumlu olacak mı?

Evet, geliştirdiğimiz tüm web siteleri %100 mobil uyumlu (responsive) olarak tasarlanmaktadır. Telefon, tablet ve masaüstü cihazlarda kusursuz bir kullanıcı deneyimi sunuyoruz.

SEO desteği veriyor musunuz?

Tüm web sitelerimizi Google'ın teknik SEO kriterlerine uygun olarak kodluyoruz. Ayrıca, sitenizin arama motorlarında üst sıralara çıkması için kapsamlı SEO danışmanlığı ve içerik optimizasyonu hizmetleri de sunmaktayız.

Proje sonrası destek sağlıyor musunuz?

Kesinlikle. Proje tesliminden sonra 1 yıl boyunca ücretsiz teknik destek sağlıyoruz. Sunucu bakımı, güvenlik güncellemeleri ve olası teknik sorunlarda her zaman yanınızdayız.

Web Sitesi Güvenliği | Koruma Rehberi

İnternet üzerinde her gün milyonlarca siber saldırı gerçekleşmektedir. Küçük bir blog sitesinden büyük bir e-ticaret platformuna kadar hiçbir web sitesi bu tehditten muaf değildir. Siber suçlular artık yalnızca büyük şirketleri hedef almıyor; otomatik tarama araçlarıyla savunmasız her siteye saldırmaktadır. Bu gerçekle yüzleşmek ve web sitenizi korumak için proaktif adımlar atmak, dijital varlığınızın sürekliliği için hayati önem taşır. Bu rehberde 2026 itibarıyla web sitesi güvenliğinin temel bileşenlerini, karşılaşılan başlıca tehditleri ve bunlara karşı alabileceğiniz kapsamlı önlemleri ele alıyoruz.

SSL/HTTPS: Güvenliğin Temeli

SSL (Secure Sockets Layer) sertifikası, web siteniz ile ziyaretçileriniz arasındaki veri iletişimini şifreleyen temel güvenlik katmanıdır. HTTPS protokolü, kullanıcıların girdiği şifreler, kredi kartı bilgileri ve kişisel veriler gibi hassas bilgilerin üçüncü taraflarca ele geçirilmesini engeller. Bugün itibarıyla Google, HTTPS kullanmayan siteleri arama sonuçlarında cezalandırmakta; modern tarayıcılar ise bu siteleri "Güvenli Değil" olarak işaretlemektedir.

SSL sertifikası edinmek artık hiç de zor değil. Let's Encrypt üzerinden ücretsiz sertifika alabilir, hosting panelinizden tek tıkla etkinleştirebilirsiniz. Ticari kullanım için Extended Validation (EV) SSL sertifikaları daha güçlü kimlik doğrulama sunar. Sertifikanızın süresini düzenli takip edin; süresi dolan SSL sertifikası ziyaretçileri kaçırır ve SEO sıralamalarınıza zarar verir. HSTS (HTTP Strict Transport Security) başlığını etkinleştirerek tarayıcıları her zaman HTTPS kullanmaya zorlayabilirsiniz.

SQL Injection Saldırıları ve Korunma Yöntemleri

SQL Injection (SQLi), en yaygın ve tehlikeli web güvenlik açıklarından biridir. Saldırganlar, web formlarına veya URL parametrelerine kötü amaçlı SQL kodları enjekte ederek veri tabanınıza yetkisiz erişim sağlamaya çalışır. Başarılı bir SQL injection saldırısı; kullanıcı verilerinin çalınması, içeriklerin değiştirilmesi hatta tüm veri tabanının silinmesiyle sonuçlanabilir.

Korunma yöntemleri şunlardır:

Parametreli Sorgular (Prepared Statements): Kullanıcı girdisini SQL koduyla hiçbir zaman doğrudan birleştirmeyin. PDO veya MySQLi ile parametreli sorgular kullanmak, bu saldırı türünü neredeyse tamamen engeller.
Girdi Doğrulama ve Temizleme: Sunucu tarafında tüm kullanıcı girdilerini doğrulayın. Beklenen format dışındaki verileri reddeden beyaz liste yaklaşımını benimseyin.
En Az Yetki İlkesi: Veri tabanı kullanıcısına yalnızca ihtiyaç duyduğu yetkiyi verin. Web uygulamanızın veri tabanı hesabının DROP TABLE yetkisi olmamalıdır.
Hata Mesajlarını Gizleme: Üretim ortamında ayrıntılı veri tabanı hata mesajlarını kullanıcılara göstermeyin; bu bilgiler saldırganlara yol haritası çıkarır.

XSS (Cross-Site Scripting) Saldırıları

XSS saldırılarında saldırganlar, web sayfalarına kötü amaçlı JavaScript kodu enjekte eder. Bu kod, sayfayı ziyaret eden kullanıcıların tarayıcısında çalışarak çerez hırsızlığı, oturum ele geçirme, phishing saldırısı veya kullanıcının haberi olmadan işlem yaptırma gibi sonuçlara yol açar. XSS, Reflected, Stored ve DOM-based olmak üzere üç ana türde karşımıza çıkar; en tehlikelisi veri tabanına kaydedilen Stored XSS türüdür.

XSS'e karşı alınacak önlemler arasında çıktı kodlaması (output encoding), Content Security Policy (CSP) başlığının yapılandırılması, HttpOnly ve Secure bayraklı çerezler kullanımı ve modern framework'lerin otomatik kaçış mekanizmalarından yararlanılması sayılabilir. WordPress kullanıyorsanız kullanıcı girdilerini ekrana basmadan önce daima esc_html(), esc_attr() gibi fonksiyonları kullanın.

DDoS Koruması

Dağıtık Hizmet Engelleme (DDoS) saldırıları, binlerce hatta milyonlarca ele geçirilmiş cihazın eş zamanlı olarak web sitenize istek göndermesi ve sunucunuzu çökertmesiyle gerçekleşir. Ciddi bir DDoS saldırısı saatlerce hatta günlerce web sitenizin erişilemez kalmasına yol açar; bu da doğrudan gelir kaybı ve ciddi itibar zararı anlamına gelir.

DDoS koruması için önerilen yaklaşımlar:

CDN ve Anycast Ağı: Cloudflare, Akamai gibi CDN servisleri, trafiği küresel ağ noktaları üzerinden dağıtarak saldırı trafiğini kaynakta emer ve etkisiz hale getirir.
Hız Sınırlama (Rate Limiting): Belirli bir zaman diliminde aynı IP adresinden gelen istek sayısını sınırlayarak otomatik saldırıları yavaşlatın.
Trafik Analizi: Anormal trafik örüntülerini tespit eden araçlar kullanarak saldırıyı erken aşamada fark edin.
Barındırma Sağlayıcısının Koruması: DDoS koruma hizmeti sunan kaliteli bir hosting sağlayıcısı seçin. Altyapı düzeyindeki koruma uygulama düzeyindeki önlemlerle tamamlanmalıdır.

Güçlü Parola Politikası ve İki Faktörlü Kimlik Doğrulama (2FA)

Web sitesi güvenlik ihlallerinin önemli bir kısmı, zayıf ya da tahmin edilebilir parolalardan kaynaklanır. Brute force saldırıları, sözlük saldırıları ve credential stuffing gibi yöntemlerle saldırganlar hesaplarınıza erişim sağlayabilir. Güçlü bir parola politikası; en az 12 karakter uzunluğu, büyük-küçük harf, rakam ve özel karakter kombinasyonu ve her hesap için benzersiz parola kullanımını kapsamalıdır.

İki faktörlü kimlik doğrulama (2FA), parola ele geçirilse bile hesaba erişimi engeller. Google Authenticator, Authy gibi TOTP uygulamaları ya da SMS doğrulama ile tüm yönetici hesaplarınızda 2FA'yı zorunlu hale getirin. WordPress için WP 2FA veya Two Factor eklentileri bu işlemi kolaylaştırır. Parola yöneticisi kullanımını ekibinizde bir standart haline getirin; bu sayede karmaşık ve benzersiz parolalar pratik biçimde yönetilebilir.

Yedekleme Stratejileri

Güvenlik ihlali yaşandığında ya da teknik bir arıza sonucu veri kaybı oluştuğunda tek güvenceniz sağlam bir yedekleme stratejisidir. "Yedeği olmayan veri, yok demektir" ilkesi özellikle web siteleri için geçerlidir. Etkili bir yedekleme stratejisi birkaç temel unsur içerir:

3-2-1 Yedekleme Kuralı: Verilerinizin 3 kopyasını, 2 farklı ortamda, 1'i site dışında tutun. Örneğin sunucu, harici disk ve bulut depolama.
Otomatik ve Düzenli Yedekleme: Manuel yedeklemeye güvenmeyin. Günlük, haftalık ve aylık yedeklemeleri otomatik olarak çalıştırın.
Yedekleri Test Etmek: Yedeklerin çalıştığını doğrulamak için düzenli olarak geri yükleme testi yapın. Bozuk bir yedek, hiç yedek olmamakla aynıdır.
Yedekleri Yedeklenmiş Sistemden Ayrı Tutmak: Yedeklerinizi ana sistemle aynı sunucuda saklamayın. Sunucu ele geçirilirse yedekleriniz de tehlikeye girer.

WordPress için UpdraftPlus, BackupBuddy ve Jetpack Backup gibi eklentiler otomatik bulut yedeklemesini kolaylaştırır. Sunucu güvenliği kapsamında değerlendirilen yedekleme altyapısı, afet kurtarma planınızın vazgeçilmez parçasıdır.

WordPress Güvenlik Eklentileri

WordPress kullanıyorsanız güvenlik eklentileri, tehditlere karşı ilk savunma hattınızı oluşturur. En yaygın ve güvenilir seçenekler şunlardır:

Wordfence Security: Gerçek zamanlı güvenlik duvarı, kötü amaçlı yazılım tarayıcısı ve giriş denemesi izleme özelliklerini bir arada sunar. Ücretsiz versiyonu dahi güçlü bir koruma sağlar.
Sucuri Security: Site denetimi, kara liste izleme ve güvenlik etkinliği günlüğü konusunda öne çıkar. Premium versiyonu CDN tabanlı WAF içerir.
iThemes Security (Solid Security): Kaba kuvvet koruması, iki faktörlü kimlik doğrulama ve dosya değişikliği tespiti gibi 30'dan fazla güvenlik önlemi sunar.
WP Cerber: Anti-spam, bot koruması ve kullanıcı aktivitesi izleme konusunda güçlüdür. Özellikle giriş sayfası korumasında etkilidir.

Eklenti seçerken düzenli güncelleme geçmişini, kullanıcı sayısını ve destek kalitesini dikkate alın. Çok sayıda güvenlik eklentisi yüklemek yerine bir ya da iki kapsamlı çözüme odaklanın; çakışmalar yeni sorunlara yol açabilir.

Web Uygulama Güvenlik Duvarı (WAF)

Web Uygulama Güvenlik Duvarı (WAF), web sitenize gelen HTTP/HTTPS trafiğini analiz ederek zararlı istekleri sunucunuza ulaşmadan önce engeller. SQL injection, XSS, CSRF ve diğer yaygın saldırı türlerine karşı kural tabanlı ya da makine öğrenmesi destekli koruma sağlar. WAF'ı geleneksel ağ güvenlik duvarından ayıran temel özellik, uygulama katmanındaki (Layer 7) trafiği anlayabilmesidir.

WAF çözümleri ağ tabanlı (donanım), sunucu tabanlı (yazılım) veya bulut tabanlı olabilir. Cloudflare WAF, AWS WAF ve Sucuri WAF en yaygın kullanılan bulut tabanlı seçeneklerdir. Özellikle e-ticaret ve finans sektöründeki web siteleri için WAF, PCI-DSS uyumluluğu açısından da bir gereklilik haline gelmektedir.

Doğru Hosting Seçimi

Web sitenizin güvenliği büyük ölçüde barındırıldığı sunucu altyapısına bağlıdır. Güvenli bir hosting sağlayıcısı seçerken şu özellikleri arayın:

Sunucu düzeyinde güvenlik duvarı ve DDoS koruması
Otomatik yedekleme hizmeti
SSL sertifikası desteği ve otomatik yenileme
Kötü amaçlı yazılım tarama ve temizleme hizmeti
İzole edilmiş hesap ortamları (paylaşımlı hostingde çapraz kontaminasyonu önler)
Düzenli yazılım ve işletim sistemi güncellemeleri
7/24 teknik destek

Paylaşımlı hosting en uygun maliyetli seçenek olsa da güvenlik açısından riskler barındırır; aynı sunucudaki başka bir sitedeki açık, sizin sitenizi de etkileyebilir. VPS, bulut hosting veya yönetilen WordPress hosting seçenekleri çok daha güvenli bir ortam sağlar.

Düzenli Güvenlik Denetimi

Güvenlik, bir kez alınan önlemlerle sağlanan statik bir durum değil, sürekli yönetilmesi gereken dinamik bir süreçtir. Düzenli güvenlik denetimleri olası açıkları saldırganlardan önce tespit etmenizi sağlar. Kapsamlı bir güvenlik denetimi şunları kapsar:

Penetrasyon Testi: Etik hackerlar aracılığıyla sisteminizin gerçek saldırı senaryolarına karşı dayanıklılığı test edilir.
Güvenlik Açığı Taraması: Otomatik araçlarla bilinen açıklar taranır. OWASP ZAP, Nessus, Qualys gibi araçlar bu amaçla kullanılır.
Kod İncelemesi: Özellikle özel geliştirilen uygulamalarda kaynak kodun güvenlik açıkları açısından incelenmesi kritik önem taşır.
Yapılandırma Denetimi: Sunucu, veri tabanı ve uygulama yapılandırmalarının güvenlik en iyi pratiklerine uygunluğu kontrol edilir.

Yılda en az bir kez kapsamlı güvenlik denetimi yaptırmanızı, kritik sistemler için ise üç ila altı ayda bir yinelemenizi öneririz. Bizimle iletişime geçerek web siteniz için profesyonel güvenlik denetimi hizmeti alabilirsiniz.

Sonuç: Güvenlik Bir Yatırımdır

Web sitesi güvenliği, bir gider değil; işletmenizin dijital varlığını ve itibarını koruyan kritik bir yatırımdır. Bir güvenlik ihlalinin maliyeti; teknik onarım, müşteri güven kaybı, yasal yaptırımlar ve iş sürekliliği kesintisi açısından değerlendirildiğinde, önleyici güvenlik yatırımlarının çok üzerine çıkar. SSL'den WAF'a, düzenli yedeklemelerden penetrasyon testlerine kadar bu rehberde ele aldığımız önlemleri katmanlı biçimde uygulayarak web sitenizi 2026'nın karmaşık tehdit ortamına karşı koruyabilirsiniz.

SRN Dijital olarak web güvenliği, sunucu sertleştirme ve güvenlik denetimi konularında profesyonel destek sunuyoruz. Sitenizin güvenliğini uzman gözlerle değerlendirmemizi ister misiniz?

Web Sitesi Güvenliği: Kapsamlı Koruma Rehberi 2026