Web sitenizin güvenli olduğunu varsaymak ile güvenli olduğunu bilmek farklı şeylerdir. Profesyonel sızma testi (penetration testing) pahalı ve teknik bilgi gerektirirken, sitenizin temel güvenlik sağlığını kontrol etmek için yapabileceğiniz pratik testler mevcuttur. İşte teknik ekip gerektirmeyen 8 güvenlik kontrolü.
1. SSL Sertifikası Kontrolü
Tarayıcı adres çubuğunda kilit ikonu var mı? Kilide tıklayarak sertifika detaylarını görün: kim tarafından verilmiş, geçerlilik tarihi ne zaman bitiyor? Süresi 30 günden az kalmış sertifika için yenileme başlatın. Süresi dolmuş SSL siteyi tamamen erişimsiz hale getirir.
2. Google Şeffaflık Raporu Kontrolü
transparencyreport.google.com/safe-browsing/search adresine sitenizin URL'sini girin. Google'ın sitenizi güvensiz olarak işaretleyip işaretlemediğini görürsünüz. Kara listedeki bir site arama sonuçlarından kaldırılır ve ziyaretçilere güvenlik uyarısı gösterilir.
3. WordPress Güncellik Kontrolü
WordPress kullananlar için: yönetici panelinde "Güncellemeler" bölümüne gidin. Core, tema ve eklenti güncellemeleri bekliyor mu? Her güncellenmemiş bileşen potansiyel güvenlik açığıdır. Özellikle iki yıldan eski ve artık güncelleme almayan eklentiler en büyük risk kaynağıdır.
4. Güçlü Şifre Denetimi
Yönetici şifreniz: en az 12 karakter, büyük/küçük harf, rakam ve özel karakter içeriyor mu? "admin", "123456", işletme adı gibi tahmin edilebilir şifreleri hemen değiştirin. Şifre yöneticisi (Bitwarden ücretsiz) kullanın.
5. İki Faktörlü Doğrulama Aktif mi?
WordPress, hosting paneli ve e-posta hesabınızda iki faktörlü doğrulama (2FA) aktif mi? Google Authenticator veya SMS doğrulama ile brute force saldırılarına karşı çok daha güçlü bir bariyer oluşturulur.
6. Yedekleme Testi
Otomatik yedekleme sisteminiz var mı? Varsa: son yedek ne zaman alındı, yedek gerçekten geri yüklenebilir mi? Teoride çalışan ama test edilmemiş yedekler, kritik anda işe yaramayabilir. Ayda en az bir kez test geri yüklemesi yapın.
7. Aktif Olmayan Hesapları Kapatın
WordPress'te birden fazla yönetici hesabı var mı? Artık çalışmayan kişilerin hesapları, eski ajans erişimleri — bunların tamamı kaldırılmalıdır. Her aktif hesap potansiyel giriş noktasıdır.
8. Hosting Firewall Durumu
Hosting sağlayıcınıza Web Application Firewall (WAF) aktif mi diye sorun. Cloudflare'in ücretsiz planı temel WAF ve DDoS koruması sunuyor — düşük maliyetle güvenlik katmanı eklemek için ilk tercih olabilir.
Güvenlik denetimi ve teknik iyileştirmeler için ekibimizle iletişime geçin. Kurumsal web sitesi paketlerimiz güvenlik altyapısını dahil ediyor.