Web Sitesi Güvenliği 2026: SSL, WAF, Bot Koruma ve Hack Senaryolarına Karşı Önlemler

Sucuri'nin 2025 yıllık raporuna göre dünya genelinde her gün 30.000'den fazla web sitesi hackleniyor. Siber saldırıların %43'ü küçük ve orta ölçekli işletmeleri hedefliyor çünkü büyük firmalara göre daha savunmasızlar. YTASoft olarak 9 yıllık deneyimimizde yüzlerce hack sonrası kurtarma projesi yönettik. Bu yazıda sitenizi gerçekten güvenli yapmanın somut adımlarını paylaşıyoruz.

Web Sitesi Güvenliğinin Dört Katmanı

Profesyonel güvenlik tek bir eklentiyle sağlanmaz, katmanlı bir yaklaşım gerekir:

1. Ağ katmanı: CDN, WAF, DDoS koruması
2. Sunucu katmanı: OS güvenliği, firewall, yetki yönetimi
3. Uygulama katmanı: CMS, eklenti, kod güvenliği
4. Kullanıcı katmanı: 2FA, güçlü parola, erişim izinleri

SSL Sertifikası: Minimum Standart

HTTPS artık opsiyonel değil, zorunlu. Google 2018'den beri HTTP sitelerini "Güvenli Değil" olarak işaretliyor ve SEO sıralamalarında HTTPS sitelerini ödüllendiriyor.

SSL Türleri ve Ne Zaman Hangisi?

• DV SSL (Domain Validated): Kişisel blog ve küçük siteler için. Let's Encrypt ile ücretsiz.
• OV SSL (Organization Validated): Kurumsal siteler için. Şirket bilgisi de doğrulanır.
• EV SSL (Extended Validation): Finans ve büyük e-ticaret için. Tarayıcıda yeşil bar gösterir.
• Wildcard SSL: Tüm alt domainleri kapsar.

Web Application Firewall (WAF)

WAF, sitenizle kullanıcı arasına girerek kötü niyetli trafiği filtreler. Engellediği ana saldırılar:

• SQL injection
• Cross-site scripting (XSS)
• CSRF (Cross-site request forgery)
• Local/Remote file inclusion
• DDoS saldırıları
• Brute force saldırıları

Önerdiğimiz WAF Çözümleri

• Cloudflare (ücretsiz plan bile güçlü): Kurulum kolay, OWASP Top 10 koruması
• Sucuri Firewall: WordPress için optimize
• AWS WAF: Büyük ve özel uygulamalar için

Bot Koruma ve reCAPTCHA

Web trafiğinizin %47'si botlardan geliyor (Imperva 2025 raporu). Kötü niyetli botlar form doldurur, veri çalar, sahte hesap açar. Koruma katmanları:

• reCAPTCHA v3: Kullanıcıya soru sormaz, davranışı skorlar
• Cloudflare Bot Management: AI tabanlı bot tespiti
• Honeypot alanları: Formlarda gizli alanlar ekleyerek bot tuzağı
• Rate limiting: Aynı IP'den saniyede X istek sınırı

WordPress Güvenlik Özel Bölümü

WordPress, popülerliği nedeniyle hack saldırılarının birinci hedefidir. WordFence'in 2025 verilerine göre hacklenen WordPress sitelerinin %98'i güncellenmemiş eklenti veya temadan kaynaklı.

Mutlaka Yapılması Gerekenler

1. WordPress, tema ve eklentileri sürekli güncel tutun
2. Kullanılmayan eklenti ve temaları silin (devre dışı bırakmak yetmez)
3. Admin kullanıcı adını "admin" olarak bırakmayın
4. Güçlü parola + 2FA zorunlu olsun
5. wp-admin erişimini IP bazlı kısıtlayın
6. xmlrpc.php'yi devre dışı bırakın
7. Dosya düzenleme özelliğini admin panelden kapatın
8. Güvenlik eklentisi kurun (WordFence, Sucuri Security)

WordPress alternatifleri için WordPress mi Özel Yazılım mı? yazımıza bakın.

Yedekleme Stratejisi: 3-2-1 Kuralı

Hack olduğunda tek kurtuluşunuz yedektir. Endüstri standardı 3-2-1 kuralı:

• 3 kopya veri (orijinal + 2 yedek)
• 2 farklı ortam (lokal + bulut)
• 1 kopya offsite (fiziksel olarak ayrı konumda)

Günlük otomatik yedekleme şart. YTASoft olarak kurumsal web sitesi müşterilerimize 30 günlük sürümlü yedekleme sağlıyoruz.

KVKK ve GDPR Uyumluluğu

Türkiye'de KVKK (Kişisel Verilerin Korunması Kanunu) 2016'dan beri yürürlükte ve ihlallerde 2026 itibarıyla 45.000 TL - 9 milyon TL arası idari para cezası veriliyor.

KVKK Uyumu İçin Minimum Gereksinimler

• Aydınlatma metni (Privacy Policy)
• Açık rıza formu (checkbox'la, önceden işaretli olmadan)
• Çerez politikası ve çerez onay banner'ı
• KVKK Başvuru Formu sayfası
• VERBİS kaydı (veri sorumlusu siciline kayıt)
• Veri sızıntısı bildirim planı

Güvenlik Başlıkları (Security Headers)

Sunucu yanıtında gönderilen HTTP başlıkları ile ek koruma katmanı:

• Content-Security-Policy (CSP): XSS saldırılarına karşı
• Strict-Transport-Security (HSTS): HTTPS zorunluluğu
• X-Frame-Options: Clickjacking koruması
• X-Content-Type-Options: MIME sniffing koruması
• Referrer-Policy: Referrer bilgi sızıntısı önleme
• Permissions-Policy: Tarayıcı API erişim kontrolü

SecurityHeaders.com'da sitenizi test edebilirsiniz. A+ skoru hedef olmalı.

Hack Sonrası Kurtarma Planı

Sitenizin hacklendiğini fark ettiğinizde ilk 24 saat kritiktir:

1. Siteyi hemen bakım moduna alın
2. Tüm parolaları değiştirin (admin, FTP, database, hosting)
3. Kötü amaçlı dosyaları tespit edin (Sucuri SiteCheck, WordFence tarama)
4. Son temiz yedekten geri yükleyin
5. Tüm eklenti ve temaları güncelleyin
6. Google Search Console'da "Güvenlik Sorunları" raporunu kontrol edin
7. Arama sonuçlarından zararlı etiketin kaldırılmasını talep edin
8. Müşterilerinizi veri sızıntısı varsa bilgilendirin (KVKK zorunluluğu)

Güvenlik Bütçesi Nasıl Planlanır?

Küçük/orta ölçekli bir işletme için yıllık güvenlik bütçesi:

• SSL sertifikası: 0 – 1.500 TL (ücretsiz alternatifler mevcut)
• Cloudflare Pro: ~6.000 TL
• Premium güvenlik eklentisi (WordFence Premium): ~3.500 TL
• Yedekleme servisi (UpdraftPlus, ManageWP): ~2.500 TL
• Aylık güvenlik bakımı (ajans): ~15.000 TL
• Toplam yaklaşık: 27.500 TL / yıl

Bu bütçe bir hack olayının ortalama maliyetinin (80.000 – 500.000 TL arası) çok altındadır.

Sonuç

Web sitesi güvenliği pahalı gibi görünebilir, ama hack sonrası maliyetlerin yanında çok ucuzdur. YTASoft olarak tüm projelerimizde SSL, WAF ve yedekleme varsayılan olarak gelir. Sitenizin güvenlik denetimini yaptırmak için bize ulaşabilirsiniz. Ayrıca E-E-A-T güven sinyalleri için E-E-A-T rehberimizi de inceleyin.