Ağ ve Sunucu Durumu +90 232 332 07 72 [email protected]
Ana Sayfa / Blog / Güvenlik & KVKK

Sitem Hacklendi: İlk 24 Saatte Yapmanız Gereken 7 Adım

Hostmana 19 May 2026 8 dk okuma

Sitenizin hacklendiğini fark ettiğiniz an, paniğe en yatkın olduğunuz andır. Tam da bu yüzden ne yaptığınız büyük önem taşır. İlk birkaç saatte alınan yanlış kararlar (her şeyi aceleyle silmek, kanıtları yok etmek, aynı şifreyle yeniden açmak) saldırının izini kaybettirir, hatta arka kapıyı yerinde bırakarak ikinci bir saldırıya zemin hazırlar.

Bu rehber, "sitem hacklendi ne yapmalı" sorusuna soğukkanlı ve sıralı bir yanıt verir. Amacı saldırıyı önlemek değil (o ayrı bir konu), saldırı gerçekleştikten sonra ilk 24 saati doğru yönetmektir. Aşağıdaki 7 adımı sırayla uygulayın.

Önce: Gerçekten Hacklendiniz mi?

Her sorun saldırı değildir. Müdahaleye başlamadan önce belirtileri doğrulayın:

  • Ana sayfada sizin yüklemediğiniz metin, görsel veya yönlendirme (deface)
  • Ziyaretçilerin alakasız sitelere (kumar, ilaç, sahte kargo) yönlendirilmesi
  • Google'da "Bu site zarar verebilir" uyarısı veya tarayıcıda kırmızı ekran
  • Sunucudan habersiz toplu spam e-posta gönderimi, IP'nizin kara listeye düşmesi
  • Panelde tanımadığınız yönetici kullanıcısı, beklenmedik dosya değişiklik tarihleri
  • Hosting sağlayıcınızdan gelen "yüksek kaynak kullanımı / kötü amaçlı dosya" bildirimi

Belirtilerden en az biri net olarak varsa, bunu bir saldırı kabul edip aşağıdaki adımlara geçin.

1. Adım: Sakin Olun ve Siteyi İzole Edin

İlk refleks genellikle "hemen düzelteyim" olur. Doğru ilk hamle ise siteyi yayından çekip izole etmektir. Çünkü açık kalan bir site hem ziyaretçilerinize zararlı yazılım bulaştırabilir hem de saldırgana çalışmaya devam etme imkânı verir.

Pratik izolasyon yöntemleri:

  • Siteyi bakım moduna alın veya geçici olarak basit bir "bakımdayız" sayfası gösterin.
  • Mümkünse kontrol panelinizden (DirectAdmin veya Plesk) hesabı geçici askıya alın ya da .htaccess ile tüm trafiği tek IP'nize (kendinize) kısıtlayın.
  • E-posta gönderimini durdurun; sunucunuz spam yayıyorsa kara listeye düşmemek için kritik.

İzolasyon, hasarı dondurur. Temizliği siteyi kapatmadan yapmak, açık yarayı sürekli yeniden kirletmek gibidir.

2. Adım: Kanıtları Koruyun, Aceleyle Silmeyin

En sık yapılan hata: paniğe kapılıp her şeyi silmek veya temiz bir yedeği üzerine yazmak. Bunu yapmadan önce mevcut durumun bir fotoğrafını çekin. Sebebini bulamazsanız aynı açıktan tekrar girilir.

Toplamanız gerekenler:

Kanıt türü Nerede bulunur Neden önemli
Erişim/hata logları Hosting paneli → Loglar Saldırının zamanı ve IP'si
Değişen dosyalar Dosya yöneticisi (değişiklik tarihine göre sırala) Arka kapının yeri
Yeni kullanıcılar Site yönetim paneli + veritabanı Saldırganın açtığı hesaplar
FTP/SSH oturum kayıtları Sunucu logları Sızma yöntemi

Sitenin ve veritabanının mevcut (kirli) halinin tam bir kopyasını ayrı bir klasöre alın. Bu, hem adli inceleme hem de olası KVKK bildiriminde delil olarak işinize yarar. Temizliğe ancak kanıtları güvenceye aldıktan sonra başlayın.

3. Adım: Tüm Şifreleri ve Erişim Anahtarlarını Değiştirin

Saldırgan içeri girdiyse, en az bir kimlik bilgisini ele geçirmiş demektir. Bu yüzden istisnasız tüm parolaları sıfırlayın. Yalnızca panel şifresini değiştirmek yetmez; çoğu zaman asıl sızıntı arka plandaki bir anahtardan olur.

Değiştirilecekler:

  • Hosting kontrol paneli (DirectAdmin / Plesk) şifresi
  • FTP / SFTP hesapları
  • Veritabanı kullanıcı şifresi (ve uygulamanızın yapılandırma dosyasındaki bağlantı bilgisi)
  • Site yönetim paneli (CMS yönetici hesapları) — özellikle tanımadığınız kullanıcıları silin
  • SSH anahtarları ve varsa API token'ları
  • E-posta hesapları (spam gönderiminde sık kullanılır)

Yeni şifreler uzun, benzersiz ve birbirinden farklı olmalı. Mümkün olan her yerde iki adımlı doğrulamayı (2FA) açın. Bir parola yöneticisi kullanmak, bu kadar çok şifreyi güvenli yönetmenin en sağlıklı yoludur.

4. Adım: Açığın Nereden Girdiğini Tespit Edin

Temizlik öncesi en kritik teşhis adımı. Aynı kapı açık kalırsa, siteyi yüzlerce kez temizleseniz de tekrar hacklenirsiniz. 2. adımda topladığınız loglara dönün ve şu olağan giriş noktalarına bakın:

  • Güncel olmayan yazılım: CMS çekirdeği, eklenti veya tema açıkları en yaygın sebeptir.
  • Zayıf/sızdırılmış parola: Kaba kuvvet denemeleri erişim loglarında çok sayıda başarısız giriş olarak görünür.
  • Yüklenen kötü amaçlı dosya (shell): Genellikle .php uzantılı, garip isimli, yükleme klasörlerine konmuş dosyalar.
  • Veritabanı/form açıkları: İletişim formu, arama kutusu gibi girdilerden enjeksiyon.

Saldırının zaman damgasını (ilk değişen dosyanın tarihi) yakaladığınızda, o ana yakın log kayıtları genellikle giriş yöntemini açık eder. Sebebi netleştirmeden 5. adıma geçmeyin.

5. Adım: Zararlı İçeriği Temizleyin veya Temiz Yedekten Dönün

Temizlik için iki yol vardır:

A) Temiz yedekten geri dönmek (tercih edilen yol). Saldırı tarihinden önceye ait, kesinlikle temiz olduğundan emin olduğunuz bir yedeğiniz varsa, en güvenli yöntem budur. Önce 3. ve 4. adımları tamamlayın (yoksa eski açıkla yedek de yeniden enfekte olur), sonra geri yükleyin. Düzenli yedeğin değeri tam da böyle anlarda ortaya çıkar.

B) Elle temizleme. Temiz yedek yoksa:

  • Şüpheli ve eklenmiş tüm dosyaları (özellikle yükleme klasörlerindeki çalıştırılabilir dosyaları) silin.
  • Çekirdek dosyaları, eklenti ve temaları resmi/orijinal kopyalarıyla yeniden kurun — mevcut dosyaların temiz olduğunu varsaymayın.
  • Veritabanını gizli yönetici hesapları, enjekte edilmiş <script> veya eval() kalıpları için tarayın.
  • Tüm yazılımı en güncel sürüme yükseltin; 4. adımda bulduğunuz açığı kapatın.

İki yöntemde de işiniz bitince siteyi yeniden tarayıp arka kapı kalmadığından emin olun. Tek bir gizli dosya, tüm emeği boşa çıkarır.

6. Adım: Kurtarın, Doğrulayın ve Yeniden Yayına Alın

Temizlik bittiyse, siteyi açmadan önce kontrol listesini geçin:

  • Tüm sayfalar normal mi, gizli yönlendirme kaldı mı?
  • Yeni SSL sertifikası gerekiyor mu, HTTPS sağlıklı çalışıyor mu?
  • Google Search Console üzerinden güvenlik sorunu yeniden inceleme talebi gönderdiniz mi? (Site kara listeye alındıysa şart.)
  • E-posta IP'niz kara listede mi? Gerekiyorsa kaldırma talebi açın.
  • 2FA, güçlü parolalar ve güncel yazılım yerinde mi?

Her şey teyit edildikten sonra bakım modunu kaldırıp siteyi yayına alın. İlk birkaç gün logları daha sık kontrol edin; aynı IP'den veya kalıpla yeniden deneme olup olmadığını izleyin.

7. Adım: KVKK Yükümlülüğünüzü Değerlendirin

Bu adım Türkiye'de sıkça atlanır ama yasal sonuçları olabilir. Saldırı sırasında kişisel veriler (üye e-postaları, telefon, adres, sipariş/ödeme bilgileri) ele geçirildiyse veya ifşa olduysa, bu bir veri ihlalidir.

KVKK kapsamında veri sorumlusunun, ihlali öğrendiği andan itibaren en kısa sürede (genel kabul gören süre 72 saat içinde) Kişisel Verileri Koruma Kurulu'na bildirme yükümlülüğü vardır. Ayrıca etkilenen kullanıcıların da uygun şekilde bilgilendirilmesi gerekebilir. 2. adımda topladığınız kanıtlar, ihlalin kapsamını (hangi veriler, ne kadarı) belirlemenizde belirleyici olur. Tereddütte kalırsanız hukuki danışmanlık alın; "bir şey çalınmadı herhalde" varsayımıyla bildirim yapmamak risklidir.

Saldırı Sonrası 24 Saat: Özet Akış

  1. İzole et — siteyi yayından çek, hasarı dondur.
  2. Kanıtla — log ve dosyaları sakla, aceleyle silme.
  3. Şifrele — tüm parola/anahtarları değiştir, 2FA aç.
  4. Teşhis et — açığın giriş noktasını bul.
  5. Temizle — temiz yedekten dön veya elle temizle + güncelle.
  6. Doğrula — kontrol et, kara listeden çıkar, yayına al.
  7. Bildir — KVKK veri ihlali yükümlülüğünü değerlendir.

Bu sıra, paniğin yerini disipline bırakır. En önemli iki ilke: kanıtı korumadan silme ve açığı bulmadan yeniden açma.

Bir saldırının ardından en çok ihtiyaç duyduğunuz şey, yanınızda doğru bilgiye sahip bir ekibin olmasıdır. Açığı tespit etmekte, logları yorumlamakta veya temizlik sürecinde takıldıysanız, durumu birlikte ekranınız üzerinden inceleyebileceğimiz uzaktan canlı destek hizmetimizden yararlanabilir ya da doğrudan bizimle iletişime geçebilirsiniz. Yedekli, güncel altyapı ve güçlü kaynak izolasyonu sunan hosting paketlerimizi inceleyebilir; SSL, kara liste ve DNS durumunuzu hızlıca kontrol etmek için ücretsiz web araçlarımıza göz atabilirsiniz. Daha fazla güvenlik rehberi için Bilgi Bankamız her zaman açık.

← Tüm Yazılar Hosting Paketlerini İncele

İlgili Yazılar

Güvenlik & KVKK

DDoS saldırısı nedir ve sitenizi nasıl korursunuz?

 Güvenlik & KVKK

Web sitesi yedekleme stratejisi: 3-2-1 kuralı rehberi

 Güvenlik & KVKK

Web sitesi KVKK uyumu: 4 adımda eksiksiz rehber
Beste Ercan çevrimiçi
Merhaba! Size en uygun hosting/sunucu paketini bulmanızda yardımcı olabilir miyim?
Beste Ercan
Çevrimiçi · size özel paket arıyor