Back to Blog
Security7 readJune 30, 2026

Kurumsal Web Sitesi Güvenliği: SSL'den KVKK'ya 2026 Kontrol Listesi

Kurumsal siteniz ne kadar güvenli? SSL sertifikasından güvenlik başlıklarına, form güvenliğinden KVKK uyumuna kadar her şirketin düzenli kontrol etmesi gereken 10 maddelik pratik liste.

Ömer Faruk Genç

Ömer Faruk Genç

Full Stack Engineer

#Web Sitesi Güvenliği#SSL#KVKK#Güvenlik Başlıkları#Siber Güvenlik
Kurumsal Web Sitesi Güvenliği: SSL'den KVKK'ya 2026 Kontrol Listesi

Web sitesi güvenliği çoğu şirketin gündemine ancak bir sorun yaşandığında girer: ele geçirilen bir form, spam'e dönüşen bir e-posta sunucusu ya da tarayıcının "Bu site güvenli değil" uyarısı. Oysa kurumsal bir sitenin güvenliği, düzenli kontrol edilen 10 maddelik bir listeyle büyük ölçüde sağlanır. İşte 2026 güncel hâli.

1. SSL Sertifikası: Var Olması Yetmez

HTTPS artık standart — ama sertifikanın süresi dolmuş mu, tüm alt alan adlarını kapsıyor mu, site http'den https'e otomatik yönleniyor mu? Karışık içerik (https sayfada http kaynak) tarayıcı uyarısı tetikler ve Google sıralamasını olumsuz etkiler.

2. Güvenlik Başlıkları (Security Headers)

Sunucunuzun her yanıtla göndermesi gereken başlıklar tek satırlık yapılandırmalardır ama büyük fark yaratır:

  • HSTS — tarayıcıyı her zaman https kullanmaya zorlar
  • X-Content-Type-Options: nosniff — içerik türü kandırmacalarını engeller
  • X-Frame-Options / frame-ancestors — sitenizin başka sitede iframe içine alınıp "clickjacking" yapılmasını önler
  • Content-Security-Policy — yabancı script çalıştırılmasını sınırlar

Sitenizin notunu securityheaders.com'da 30 saniyede görebilirsiniz.

3. Form Güvenliği: Spam ve Enjeksiyon

İletişim ve teklif formları, sitenin en çok saldırı alan noktasıdır. Asgari koruma: sunucu tarafında doğrulama (yalnızca tarayıcıda değil), reCAPTCHA veya benzeri bot koruması ve gönderilen verinin temizlenmesi (sanitization). E-posta adresinizi sayfaya düz metin koymak yerine form arkasında tutmak, spam botlarına açık davetiyeyi ortadan kaldırır.

4. Güncel Yazılım, Kapalı Kapılar

  • CMS, tema ve eklentiler güncel mi? (Saldırıların büyük kısmı bilinen eski açıklar üzerinden gerçekleşir)
  • Kullanılmayan eklenti/tema silinmiş mi?
  • Yönetim paneli /admin gibi tahmin edilebilir adreste, sınırsız deneme hakkıyla mı duruyor? İki adımlı doğrulama (2FA) açık mı?

5. KVKK Uyumu: Güvenliğin Hukuki Yüzü

Türkiye'de faaliyet gösteren her şirketin sitesi için:

GereklilikPratikte ne demek
Aydınlatma metniFormların yanında erişilebilir, güncel
Açık rızaPazarlama e-postası için onay kutusu (önceden işaretli DEĞİL)
Çerez politikasıZorunlu olmayan çerezler için tercih yönetimi
Veri güvenliği tedbirleriSSL, erişim kontrolü, veri sızıntısında bildirim süreci

Cezalar ciddi: KVKK idari para cezaları milyonlarca liraya ulaşabiliyor.

6-10: Hızlı Kontroller

  1. Yedekleme — otomatik, düzenli, sitenin barındığı sunucudan farklı bir yerde
  2. Erişim yönetimi — ayrılan çalışanın panel/FTP erişimi hâlâ açık mı?
  3. Hata sayfaları — hata mesajları sunucu/versiyon bilgisi sızdırıyor mu?
  4. İzleme — site çökünce ilk siz mi haberdar oluyorsunuz, müşteri mi söylüyor?
  5. Bağımlılık taraması — kullanılan paketlerde bilinen açık var mı (npm audit ve benzeri araçlarla otomatikleştirin)

Sonuç

Bu listenin tamamı, kurulu bir sitede 1-2 günlük teknik çalışmayla kapatılabilecek maddelerden oluşur — bir güvenlik ihlalinin maliyetinin yanında yuvarlama hatası kadardır. Senyo Labs olarak geliştirdiğimiz her projede bu kontrolleri standart teslim kapsamında uyguluyoruz; mevcut siteniz için de ücretsiz güvenlik ön kontrolü talep edebilirsiniz.