Web sitesi güvenliği çoğu şirketin gündemine ancak bir sorun yaşandığında girer: ele geçirilen bir form, spam'e dönüşen bir e-posta sunucusu ya da tarayıcının "Bu site güvenli değil" uyarısı. Oysa kurumsal bir sitenin güvenliği, düzenli kontrol edilen 10 maddelik bir listeyle büyük ölçüde sağlanır. İşte 2026 güncel hâli.
1. SSL Sertifikası: Var Olması Yetmez
HTTPS artık standart — ama sertifikanın süresi dolmuş mu, tüm alt alan adlarını kapsıyor mu, site http'den https'e otomatik yönleniyor mu? Karışık içerik (https sayfada http kaynak) tarayıcı uyarısı tetikler ve Google sıralamasını olumsuz etkiler.
2. Güvenlik Başlıkları (Security Headers)
Sunucunuzun her yanıtla göndermesi gereken başlıklar tek satırlık yapılandırmalardır ama büyük fark yaratır:
- HSTS — tarayıcıyı her zaman https kullanmaya zorlar
- X-Content-Type-Options: nosniff — içerik türü kandırmacalarını engeller
- X-Frame-Options / frame-ancestors — sitenizin başka sitede iframe içine alınıp "clickjacking" yapılmasını önler
- Content-Security-Policy — yabancı script çalıştırılmasını sınırlar
Sitenizin notunu securityheaders.com'da 30 saniyede görebilirsiniz.
3. Form Güvenliği: Spam ve Enjeksiyon
İletişim ve teklif formları, sitenin en çok saldırı alan noktasıdır. Asgari koruma: sunucu tarafında doğrulama (yalnızca tarayıcıda değil), reCAPTCHA veya benzeri bot koruması ve gönderilen verinin temizlenmesi (sanitization). E-posta adresinizi sayfaya düz metin koymak yerine form arkasında tutmak, spam botlarına açık davetiyeyi ortadan kaldırır.
4. Güncel Yazılım, Kapalı Kapılar
- CMS, tema ve eklentiler güncel mi? (Saldırıların büyük kısmı bilinen eski açıklar üzerinden gerçekleşir)
- Kullanılmayan eklenti/tema silinmiş mi?
- Yönetim paneli /admin gibi tahmin edilebilir adreste, sınırsız deneme hakkıyla mı duruyor? İki adımlı doğrulama (2FA) açık mı?
5. KVKK Uyumu: Güvenliğin Hukuki Yüzü
Türkiye'de faaliyet gösteren her şirketin sitesi için:
| Gereklilik | Pratikte ne demek |
|---|---|
| Aydınlatma metni | Formların yanında erişilebilir, güncel |
| Açık rıza | Pazarlama e-postası için onay kutusu (önceden işaretli DEĞİL) |
| Çerez politikası | Zorunlu olmayan çerezler için tercih yönetimi |
| Veri güvenliği tedbirleri | SSL, erişim kontrolü, veri sızıntısında bildirim süreci |
Cezalar ciddi: KVKK idari para cezaları milyonlarca liraya ulaşabiliyor.
6-10: Hızlı Kontroller
- Yedekleme — otomatik, düzenli, sitenin barındığı sunucudan farklı bir yerde
- Erişim yönetimi — ayrılan çalışanın panel/FTP erişimi hâlâ açık mı?
- Hata sayfaları — hata mesajları sunucu/versiyon bilgisi sızdırıyor mu?
- İzleme — site çökünce ilk siz mi haberdar oluyorsunuz, müşteri mi söylüyor?
- Bağımlılık taraması — kullanılan paketlerde bilinen açık var mı (npm audit ve benzeri araçlarla otomatikleştirin)
Sonuç
Bu listenin tamamı, kurulu bir sitede 1-2 günlük teknik çalışmayla kapatılabilecek maddelerden oluşur — bir güvenlik ihlalinin maliyetinin yanında yuvarlama hatası kadardır. Senyo Labs olarak geliştirdiğimiz her projede bu kontrolleri standart teslim kapsamında uyguluyoruz; mevcut siteniz için de ücretsiz güvenlik ön kontrolü talep edebilirsiniz.

