Sitenizin bir gün hacklenmesi ihtimali sizi de düşündürüyorsa, doğru yerdesiniz. Web sitesi güvenliği, kötü bir şey olduktan sonra değil, olmadan önce ilgilenmeniz gereken bir konu. İyi haber şu: saldırıların büyük çoğunluğu karmaşık tekniklerle değil, ihmal edilmiş basit önlemlerle gerçekleşiyor. Yani birkaç temel adımı bugün uygularsanız, riskinizi ciddi şekilde azaltırsınız.
Aşağıdaki 10 maddeyi bir kontrol listesi gibi okuyun. Her birinin yanına "bende var mı?" diye sorun ve eksik olanları hemen tamamlayın. Hiçbiri ileri düzey bilgi gerektirmiyor; çoğu birkaç dakikanızı alacak.
1. Güçlü parola kullanın ve hemen değiştirin
Saldırıların önemli bir kısmı, tahmin edilebilir parolalar yüzünden oluyor. admin123, doğum tarihiniz veya firma adınız gibi parolalar kaba kuvvet (brute force) saldırılarına dakikalar içinde teslim olur.
İyi bir parola en az 16 karakter, büyük-küçük harf, rakam ve sembol içermeli; başka hiçbir yerde kullanılmamalı. Aklınızda tutamayacağınız için bir parola yöneticisi kullanın.
Şimdi kontrol edin: Yönetim panelinizin, hosting hesabınızın ve e-posta şifreniz tahmin edilebilir mi? Güçlü ve benzersiz parolalar üretmek için Hostmana ücretsiz şifre üretecini kullanabilirsiniz.
2. İki adımlı doğrulamayı (2FA) açın
Parolanız ele geçse bile, ikinci bir doğrulama katmanı saldırganı durdurur. 2FA açıkken, giriş için parolanın yanında telefonunuzdaki bir kod da gerekir.
Hosting paneliniz, e-posta hesabınız, alan adı yönetimi ve site yönetim paneliniz (örneğin WordPress) için 2FA seçeneğini mutlaka etkinleştirin. Bu, tek başına en etkili önlemlerden biridir.
Şimdi kontrol edin: Yönetici hesaplarınızın kaçında 2FA açık? Açık olmayan her hesap, açık bir kapıdır.
3. Yazılım, tema ve eklentileri güncel tutun
Saldırganların en sevdiği yol, bilinen güvenlik açıklarıdır. Bir eklentinin eski sürümündeki açık yayınlandığında, otomatik botlar tüm internette o açığı taramaya başlar. Güncel olmayan her bileşen sizi hedef yapar.
CMS çekirdeğinizi (WordPress, Joomla vb.), temaları ve eklentileri düzenli güncelleyin. Mümkünse otomatik güncellemeyi açın. Artık geliştirilmeyen (terk edilmiş) eklenti ve temaları derhal kaldırın.
Şimdi kontrol edin: Yönetim panelinizde bekleyen kaç güncelleme var? Bugün hepsini geçin.
4. SSL sertifikası kullanın (HTTPS)
SSL, ziyaretçi ile siteniz arasındaki trafiği şifreler. Şifreli olmayan bir bağlantıda parolalar ve form verileri açıkça taşınır; aradaki biri bunları okuyabilir. Ayrıca tarayıcılar SSL'siz siteleri "Güvenli değil" diye işaretler, bu da güveninizi ve SEO sıralamanızı düşürür.
Çoğu hosting paketinde ücretsiz SSL gelir; etkinleştirmeniz yeterli. Sertifikanızın geçerli ve süresi dolmamış olduğundan emin olun.
Şimdi kontrol edin: Sertifikanız geçerli mi, ne zaman sona eriyor? SSL kontrol aracımızla sitenizin sertifika durumunu saniyeler içinde test edebilirsiniz.
5. Düzenli ve otomatik yedek alın
En iyi savunma bile bir gün yetersiz kalabilir. O an, güncel bir yedeğiniz varsa felaket sadece bir gecikmeye dönüşür; yoksa işin sonu olabilir.
İyi bir yedekleme stratejisi şu üç kuralı içerir:
- Otomatik olsun (elle almayı unutursunuz).
- Düzenli olsun (sitenize göre günlük veya haftalık).
- Ayrı bir yerde tutulsun (sadece sunucuda değil).
Şimdi kontrol edin: En son ne zaman yedek aldınız ve o yedeği geri yükleyebileceğinizden emin misiniz? Test edilmemiş yedek, yedek değildir.
6. Güvenilir bir hosting sağlayıcısı seçin
Güvenliğin önemli bir kısmı sunucu tarafında başlar. Sunucu yazılımını güncel tutan, güvenlik duvarı işleten, izole hesap yapısı sunan ve sorun anında gerçek Türkçe destek veren bir sağlayıcı, işinizin yarısını üstlenir.
Verilerinizin nerede tutulduğu da önemlidir. Türkiye'de barındırılan, KVKK uyumlu altyapılar hem hukuki açıdan hem de hız açısından avantaj sağlar. Hosting seçimi yaparken güvenliği fiyatın önüne koyun; uygun fiyatlı ve güvenli hosting paketlerini inceleyebilirsiniz.
Şimdi kontrol edin: Sağlayıcınız güncel altyapı, yedek ve destek sunuyor mu? Sunmuyorsa, taşınmanın zamanı gelmiş olabilir.
7. Dosya ve klasör izinlerini doğru ayarlayın
Yanlış yapılandırılmış dosya izinleri, saldırganın sunucunuzda dosya yazmasına veya kod çalıştırmasına izin verebilir. Genel kural olarak dosyalar 644, klasörler 755 izinle yapılandırılmalıdır. Hassas yapılandırma dosyalarınız (örneğin wp-config.php) için izinleri daha da kısıtlayın.
Asla 777 gibi "herkese her yetki" ayarlarını kullanmayın; bu, kapıyı ardına kadar açmak demektir.
Şimdi kontrol edin: Kök dizininizdeki yapılandırma dosyalarının izinleri gevşek mi?
8. Güvenlik duvarı ve WAF kullanın
Web Uygulama Güvenlik Duvarı (WAF), siteye ulaşan trafiği filtreleyerek SQL injection, XSS ve kötü amaçlı istekleri sunucunuza ulaşmadan engeller. Çoğu zararlı denemeyi siz fark etmeden durdurur.
Sunucu seviyesinde bir güvenlik duvarı, WAF ve gerekirse bot/DDoS koruması katmanlı bir savunma oluşturur. Aşağıdaki tablo bu katmanların ne işe yaradığını özetliyor:
| Katman | Ne yapar | Engellediği tehdit |
|---|---|---|
| Sunucu güvenlik duvarı | Port ve IP düzeyinde filtreleme | Yetkisiz bağlantılar |
| WAF | Uygulama isteklerini denetler | SQL injection, XSS |
| Bot/DDoS koruması | Anormal trafiği eler | Otomatik saldırı, sel |
| SSL | Trafiği şifreler | Dinleme, veri çalma |
Şimdi kontrol edin: Sitenizin önünde bir WAF veya güvenlik duvarı var mı, yoksa istekler doğrudan mı geliyor?
9. Kötü amaçlı yazılım taraması yapın
Bazen saldırı sessiz olur: siteniz çalışmaya devam eder ama arka planda spam gönderir, ziyaretçileri başka sayfalara yönlendirir veya gizli kod barındırır. Bunu fark etmenin tek yolu düzenli taramadır.
Sitenizi periyodik olarak kötü amaçlı yazılıma karşı tarayın. Beklenmedik dosya değişiklikleri, tanımadığınız yönetici hesapları veya açıklayamadığınız trafik artışları uyarı işaretidir.
Şimdi kontrol edin: Son taramanızdan bu yana sitenizde tanımadığınız bir dosya veya kullanıcı oluştu mu?
10. Kara liste (RBL) durumunuzu kontrol edin
Sunucunuz ele geçirilip spam gönderiminde kullanılırsa, IP adresiniz kara listelere (RBL) düşer. Sonuç: gönderdiğiniz e-postalar karşı tarafa ulaşmaz, sitenize erişim sorunları yaşanabilir. Çoğu zaman bunu, müşteriniz "mailiniz gelmiyor" dediğinde fark edersiniz.
Düzenli RBL kontrolü, bir sorunun erken işaretidir. Listeye düştüyseniz önce kaynağı (genelde ele geçirilmiş bir hesap veya açık) temizler, sonra listeden çıkış talebi açarsınız.
Şimdi kontrol edin: IP adresiniz bir kara listede mi? Kara liste (RBL) kontrol aracımızla sunucunuzun itibarını hemen test edin.
Bonus: Gereksiz olan her şeyi temizleyin
Kullanmadığınız her eklenti, tema, alt alan adı veya eski test sayfası birer saldırı yüzeyidir. "Belki lazım olur" diye bıraktığınız pasif eklentiler bile, güvenlik açığı taşıyabilir. Kullanmadığınızı silin; ihtiyaç saldırı yüzeyini değil, sadeliği büyütsün.
Web sitesi güvenliği tek bir araç ya da tek bir ayar değil; küçük alışkanlıkların toplamıdır. Yukarıdaki 10 maddeyi düzenli olarak gözden geçirirseniz, hem siz hem de ziyaretçileriniz çok daha güvende olursunuz. Önce bugün eksik olanları tamamlayın, sonra bunu rutin bir kontrole dönüştürün.
Sitenizin güvenlik durumunu hemen ölçmek ister misiniz? SSL kontrolü, kara liste sorgusu ve güçlü şifre üreteci dahil tüm ücretsiz güvenlik araçlarımızı Hostmana Araçlar Merkezi'nde tek noktada kullanabilirsiniz. Birkaç tıklamayla sitenizin nerede durduğunu görün.