Diyarbakır'daki küçük ve orta ölçekli işletmelerin büyük çoğunluğu artık bir web sitesine sahip. Emlakçıdan restorana, oto galericiden muhasebe bürosuna, inşaat firmasından kuyumcuya — dijital varlık olmayan işletme neredeyse kalmadı. Ama bu web sitelerinin güvenlik durumu çoğu zaman göz ardı ediliyor. "Bir kere yaptırdık, çalışıyor" mantığıyla bırakılan siteler, saldırganların en kolay hedefleri arasında yer alıyor. Bu yazıda Diyarbakır'daki yerel firmaların web sitelerinde sık karşılaştığı güvenlik sorunlarını ve alınması gereken önlemleri anlatıyoruz. Diyarbakır'daki Web Sitelerinin Tipik Profili Bölgedeki web sitelerinin büyük çoğunluğu şu özelliklere sahip: WordPress tabanlı kurulum (Türkiye'deki web sitelerinin büyük bölümü WordPress). Yerel veya ucuz hosting sağlayıcıda barındırma. Bir web tasarım firması tarafından yapılıp teslim edilmiş, sonra bakımsız kalmış. SSL sertifikası var ama yapılandırması eksik. Admin paneline her zaman tek ve basit bir parolayla giriş yapılıyor. Eklentiler yıllardır güncellenmemiş. Yedekleme yok veya hosting sağlayıcısının otomatik yedeğine güveniliyor. Bu profil, saldırganlar için tipik bir "kolay hedef" senaryosu. Yerel Firmaların Karşılaştığı Yaygın Saldırılar 1. WordPress Eklentileri Üzerinden Saldırılar Güncellenmemiş WordPress eklentileri, web sitesi saldırılarının en büyük kaynağı. Saldırganlar, bilinen eklenti açıklarını otomatik araçlarla tarıyor ve zayıf sitelere saldırıyor. Bir eklentideki tek bir açık, tüm siteye erişim sağlayabilir. Diyarbakır'da sık görülen senaryo: Bir işletme 2019'da web sitesi yaptırdı. O zamandan beri eklenti güncellemesi yapılmadı. 2026'da site hacklendi, ana sayfaya farklı bir dilde metinler yüklendi veya ziyaretçiler sahte sitelere yönlendirilmeye başlandı. 2. Brute Force Admin Paneli Saldırıları WordPress'in varsayılan giriş adresi (/wp-admin veya /wp-login.php), bilindiği için saldırganlar buraya binlerce parola denemesi yapıyor. Zayıf admin parolaları dakikalar içinde kırılıyor. Sık yapılan hata: Admin kullanıcı adı olarak "admin", parola olarak işletme adı + yıl kombinasyonu. Bu kombinasyonları saldırganın sözlüğünde zaten var. 3. SQL Injection Özel olarak geliştirilmiş veya eski bir framework'le yapılmış web sitelerinde SQL Injection açığı hâlâ yaygın. Kullanıcı girdisi doğrulanmadan veritabanı sorgusuna dahil ediliyor ve saldırgan veritabanını manipüle edebiliyor. 4. Defacement (Sayfa Değiştirme) Saldırgan sitenizin ana sayfasını veya belirli sayfalarını değiştiriyor. Genellikle politik mesajlar, reklam içerikleri veya "Hacked by [isim]" tarzı imzalar ekleniyor. Marka itibarını ciddi şekilde zedeler. 5. SEO Spam Daha sinsice bir saldırı türü. Saldırgan sitenize zararlı yazılım yerleştiriyor ama sadece Google botu siteyi ziyaret ettiğinde aktif oluyor. Site sahibi bir şeyin farkında olmuyor ama Google sitede kumar, ilaç veya yetişkin içerikli spam bağlantılar indekslemeye başlıyor. Sonuç: Google sıralamalarından düşüş, hatta siteye "bu site hack'lenmiş olabilir" uyarısı. 6. Redirect Saldırıları Site normal görünüyor ama belirli koşullarda (mobil cihazdan giriş, Google arama sonucundan gelme) ziyaretçiler başka bir siteye yönlendiriliyor. Yerel bir firmanın müşterileri arıyor, siteye geliyor, sahte bir ilaç sitesine yönlendiriliyor. 7. Cryptojacking Saldırgan sitenize bir JavaScript yerleştiriyor ve ziyaretçilerin tarayıcılarında kripto para madenciliği yapıyor. Bu ziyaretçilerin bilgisayarlarını yavaşlatır ve sitenize olan güvenini sarsar. 8. Veri Hırsızlığı İletişim formundan gelen mesajlar, müşteri kayıtları, üye bilgileri — eğer site hacklenmişse bu veriler saldırganın eline geçer. KVKK kapsamında ciddi yasal yükümlülükler doğurur. Diyarbakır'da Web Sitesi Güvenliği İçin Öneriler 1. Hosting Seçimi En ucuz hostingi seçmek, uzun vadede en pahalı hata olabilir. İyi bir hosting sağlayıcı şunları sunmalı: Güncel PHP ve sunucu yazılımları. Otomatik ve düzenli yedekleme. Güvenlik duvarı ve DDoS koruması. SSL sertifikası (Let's Encrypt entegrasyonu). İyi teknik destek. Düzenli güvenlik taraması. Türkiye'deki saygın sağlayıcılar ve uluslararası alternatifler değerlendirilmeli. "Yılda 50 TL" hosting, size 50.000 TL'lik bir siber olaya mal olabilir. 2. SSL Sertifikası ve HTTPS Zorunluluğu Her web sitesi HTTPS üzerinden sunulmalı. Let's Encrypt ücretsiz SSL sertifikası sağlıyor, modern hosting sağlayıcılar bunu otomatik kuruyor. Tek SSL sertifikası yetmez — HSTS başlığı ile HTTPS zorunluluğu da eklenmeli. 3. WordPress Güvenliği (En Yaygın CMS) Eğer WordPress kullanıyorsanız, güvenlik için temel adımlar: WordPress çekirdeğini, temayı ve eklentileri her zaman güncel tutun. Gereksiz eklentileri kaldırın. Admin kullanıcı adı "admin" olmamalı, güçlü ve benzersiz bir isim kullanın. Admin parolası minimum 16 karakter, parola yöneticisiyle üretilmiş olmalı. İki faktörlü kimlik doğrulama (2FA) eklentisi kurun (Wordfence, iThemes Security). wp-admin ve wp-login.php adreslerini özel eklentilerle gizleyin veya IP bazlı kısıtlayın. Dosya düzenleme özelliğini devre dışı bırakın (define('DISALLOW_FILE_EDIT', true);). Güvenlik eklentisi kurun (Wordfence, Sucuri, iThemes). Düzenli tarama yapın. 4. Düzenli Yedekleme Hosting sağlayıcısının yedeğine asla tek başına güvenmeyin. Kendi yedeğinizi de alın: haftalık tam yedek, günlük veritabanı yedeği. Yedekleri farklı bir lokasyonda saklayın (bulut depolama, harici sunucu). En önemlisi, yedeğin geri yüklenebilir olduğunu düzenli test edin. 5. Web Application Firewall (WAF) Cloudflare ücretsiz plan bile önemli WAF özellikleri sunuyor: DDoS koruması, bilinen saldırı kalıplarının engellenmesi, bot koruması, CDN hızlandırması. Diyarbakır'daki küçük firmalar için Cloudflare kurulumu 1 saatlik bir iş ama büyük bir güvenlik katmanı ekliyor. 6. Güvenlik Başlıkları Web sunucunuzda HTTP güvenlik başlıklarını yapılandırın:
Content-Security-Policy (CSP) — XSS saldırılarına karşı HTTP Strict Transport Security (HSTS) — HTTPS zorunluluğu X-Frame-Options — Clickjacking'e karşı X-Content-Type-Options — MIME sniffing'e karşı Referrer-Policy — Bilgi sızıntısını önleme Permissions-Policy — Tarayıcı özelliklerine erişimi kısıtlama
securityheaders.com sitesinden sitenizin güvenlik başlık skorunu ücretsiz kontrol edebilirsiniz. 7. İletişim Formu Güvenliği İletişim formları, spam ve veri hırsızlığının yaygın vektörü. CAPTCHA ekleyin (hCaptcha veya Google reCAPTCHA). Rate limiting uygulayın. Form verilerini güvenli şekilde saklayın. KVKK aydınlatma metni ve açık rıza mekanizması ekleyin. Form gönderilerini düzenli kontrol edin — anormal artışlar spam veya bot saldırısı işareti. 8. Düzenli Güvenlik Taraması Aylık olarak web sitenizi güvenlik açıklarına karşı tarayın. Ücretsiz araçlar: Sucuri SiteCheck, Qualys SSL Labs, Mozilla Observatory. Profesyonel bir güvenlik denetimi yılda en az bir kez yaptırın. 9. Erişim Kontrolü Web sitesi admin paneline erişimi olan kişi sayısını minimize edin. Her kullanıcıya ayrı hesap, ortak hesap yok. Eski çalışanların hesapları aynı gün kapatılsın. Admin yetkisini sadece gerçekten gerekli olanlara verin. 10. Güvenlik İhlali Müdahale Planı Web sitesi hacklenirse ne yapacaksınız? Adımlar önceden belirlenmiş olmalı: siteyi bakım moduna al, yedekten temiz bir kopya geri yükle, açığı tespit edip kapat, Google Search Console üzerinden "güvenli" olarak işaretle, müşterileri gerekirse bilgilendir, KVKK bildirimi yap (gerekliyse). Bir Web Geliştirici Nasıl Seçilmeli? Diyarbakır'da web sitesi yaptırırken güvenlik açısından dikkat edilmesi gerekenler: Geliştiricinin güvenlik konusundaki yaklaşımını sorun. "Güvenlik eklentisi kuruyorum" cevabı yetersiz — güvenlik eklenti değil, süreçtir. Teslim sonrası bakım sözleşmesi yapın. Yılda bir tek yapma değil, sürekli bakım. Teslim sırasında size admin erişimi verilmeli (başkası sizin siteniz üzerinde tam kontrole sahip olmamalı). Yedekleme stratejisi net olmalı. Güncelleme sorumluluğu kim, nasıl belirlenmiş olmalı. Sonuç Web sitesi güvenliği, işletmenizin dijital varlığının temel koruma katmanıdır. Diyarbakır'daki birçok firma, "sitemde ne olacak ki" yaklaşımıyla bu konuyu göz ardı ediyor. Ama bir saldırı gerçekleştiğinde — ister defacement, ister SEO spam, ister veri sızıntısı — itibar zararı ve yasal sorumluluk çok daha maliyetli oluyor. İyi haber şu ki, temel güvenlik önlemleri maliyet açısından erişilebilir. Güncel yazılımlar, güçlü parolalar, düzenli yedekleme, Cloudflare gibi ücretsiz WAF ve düzenli güvenlik taraması — bunların hepsi uygulandığında, sitenizin güvenlik seviyesi dramatik şekilde yükselir. Diyarbakır'da web sitesi güvenlik denetimi, WordPress güvenlik sertleştirme ve sürekli bakım hizmetleri için VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
Diyarbakır'da Siber Güvenlik: Yerel İşletmeler İçin Rehber Web Uygulama Güvenlik Testi: OWASP Top 10 Açıklaması Diyarbakır'daki KOBİ'lerin En Sık Karşılaştığı Siber Tehditler E-Ticaret Siteleri İçin Siber Güvenlik Kontrol Listesi