E-ticaret siteleri, saldırganlar için özellikle çekici hedeflerdir. Üç sebepten: değerli müşteri verisi (ad, adres, telefon, ödeme bilgileri), finansal işlem akışı ve genellikle güvenlik altyapısı zayıf olan orta ölçekli işletmelere ait olmaları. Bir e-ticaret sitesindeki güvenlik ihlali; müşteri veri sızıntısı, finansal kayıp, itibar zararı, yasal yaptırım ve bazen iş durdurma anlamına gelir. Bu kontrol listesi, Diyarbakır ve Türkiye'deki e-ticaret işletmelerinin sitelerini güvenli hale getirmek için uygulanması gereken adımları kapsıyor. 1. HTTPS ve SSL Sertifikası Zorunlu. Tüm site HTTPS üzerinden sunulmalı. Let's Encrypt ücretsiz SSL sertifikası sağlar, ticari alternatifler (DigiCert, Sectigo) de makul fiyatlarla mevcuttur. Ek kontroller: HSTS başlığı (HTTP Strict Transport Security) ile HTTPS zorunluluğu. Mixed content sorunu yok — tüm kaynaklar (resim, CSS, JS) HTTPS'ten yüklenmeli. SSL Labs (ssllabs.com) testi en az A notu almalı. 2. PCI-DSS Uyumluluğu Kredi kartı bilgileri işliyorsanız PCI-DSS zorunlu. Tam uyumluluk karmaşık olduğu için çoğu KOBİ tokenizasyon yaklaşımı kullanır — ödeme işlemi iyzico, PayTR, Stripe gibi PCI-DSS uyumlu bir ödeme sağlayıcısına yönlendirilir, kart bilgileri hiç sitenizden geçmez. Öneri: Kendi altyapınızda asla ham kart bilgisi saklamayın. Ödeme sağlayıcı token'larıyla çalışın. 3. Güvenli Kimlik Doğrulama Müşteri hesapları ve admin paneli için: Güçlü parola politikası (minimum 10 karakter, karmaşıklık zorunluluğu). Admin paneli için MFA zorunlu. Brute force koruması (rate limiting + hesap kilitleme). Parola sıfırlama token'larında süre sınırı. Kayıt sırasında CAPTCHA (bot hesap oluşturmayı engellemek için). 4. OWASP Top 10 Önlemleri E-ticaret siteleri özellikle şu açıklara karşı korunmalı: SQL Injection: Parametrik sorgular zorunlu. ORM kullanın. XSS: Çıktı kodlama, CSP başlığı, HttpOnly cookie flag'leri. IDOR: Sipariş ID'leri, kullanıcı ID'leri URL'de tahmin edilebilir olmamalı. Yetki kontrolü her istek için sunucu tarafında yapılmalı. CSRF: CSRF token'ları ile kritik işlemler korunmalı. Güvenli dosya yükleme: Ürün resmi yüklenen alanlarda dosya tipi ve boyutu doğrulanmalı, uzantı kontrol edilmeli, yüklenen dosyalar web kök dizininin dışında saklanmalı. 5. Veritabanı Güvenliği Veritabanı internete doğrudan açık olmamalı. Uygulama sunucusu ile veritabanı sunucusu farklı makinelerde (veya en azından farklı ağ segmentinde) olmalı. Hassas veriler (parolalar, kişisel bilgiler) veritabanında şifreli saklanmalı. Parolalar bcrypt, scrypt veya Argon2 ile hash'lenmeli (MD5 veya SHA1 asla kullanılmamalı). Düzenli veritabanı yedekleme ve yedeklerin şifreli saklanması. 6. Ödeme Güvenliği Ödeme sağlayıcısının güvenlik standartlarına uyduğundan emin olun (PCI-DSS, 3D Secure). 3D Secure (kart sahibi doğrulaması) zorunlu olmalı. Şüpheli işlem tespiti (aynı karttan birden çok başarısız deneme, farklı ülkelerden ardışık işlemler). Webhook callback güvenliği — sahte ödeme bildirimlerine karşı imza doğrulama. 7. Alışveriş Sepeti ve Fiyat Manipülasyonu Koruması Klasik bir e-ticaret açığı: saldırgan, istemci tarafındaki (JavaScript) fiyat değerini 1000 TL'den 1 TL'ye değiştirip sepete ekler. Eğer sunucu fiyatı yeniden doğrulamıyorsa, ödeme 1 TL üzerinden yapılır. Çözüm: Fiyatları her zaman sunucu tarafında yeniden hesaplayın. İstemciden gelen fiyat değerlerine güvenmeyin. 8. API Güvenliği Mobil uygulamanız veya üçüncü taraf entegrasyonlarınız varsa API'leriniz saldırılara açıktır: API authentication (API key veya OAuth). Rate limiting (bir IP'den dakikada maksimum istek sayısı). HTTPS zorunlu. Input validation. Error mesajlarında hassas bilgi sızdırmama. API versiyonlama ve eski versiyonları güvenli şekilde kullanımdan kaldırma. 9. Web Application Firewall (WAF) Cloudflare (ücretsiz plan dahi WAF özellikleri sunar), AWS WAF, Sucuri gibi çözümler ile bilinen saldırı kalıplarını otomatik engelleyin. WAF, SQL Injection, XSS, DDoS gibi saldırılara karşı ek bir savunma katmanı sağlar. Not: WAF birincil savunma değil, tamamlayıcı bir katmandır. Kod seviyesinde güvenli olmak hâlâ şarttır. 10. DDoS Koruması E-ticaret siteleri özellikle kampanya dönemlerinde DDoS saldırılarının hedefi olur. Cloudflare veya benzeri CDN hizmetleri, DDoS korumasını varsayılan olarak sağlar. 11. Düzenli Güvenlik Taraması ve Sızma Testi Otomatik zafiyet taraması aylık yapılmalı. Profesyonel sızma testi yılda en az bir kez, kritik değişikliklerden sonra ise ek olarak yapılmalı. Kullandığınız e-ticaret platformu açık kaynak ise (Magento, WooCommerce, OpenCart), bilinen CVE'leri takip edin. 12. Yazılım Güncellemeleri E-ticaret platformu (çekirdek) güncellemelerini düzenli uygulayın. Tema ve eklenti güncellemelerini ihmal etmeyin — birçok saldırı güncellenmemiş eklentiler üzerinden gerçekleşir. Kullanılmayan eklentileri kaldırın. 13. Kullanıcı Verisi ve KVKK E-ticaret sitesi işletiyorsanız KVKK uyumluluğu zorunlu. Aydınlatma metni ve açık rıza mekanizması. Kişisel veri envanteri. Gereksiz veri toplama (data minimization) — ihtiyacınız olmayan veriyi istemeyin. Veri saklama süresi politikası — ihtiyaç kalmayan veriler silinmeli. Veri ihlali müdahale planı. 14. Log Yönetimi ve İzleme Tüm kritik işlemleri (giriş, parola değişikliği, sipariş, ödeme, admin işlemleri) loglayın. Logları merkezi bir sistemde saklayın. Anomali tespiti — şüpheli aktivite için alarm kuralları. En az 6 ay log saklama (yasal gereksinimler için). 15. Yedekleme ve Felaket Kurtarma Günlük otomatik yedekleme. Yedeklerin farklı bir lokasyonda saklanması. Yedekten geri yükleme testi (aylık). Felaket kurtarma senaryosu (sitem çökerse ne yaparım?). Hedeflenen kurtarma süresi (RTO) ve hedeflenen kurtarma noktası (RPO) tanımlanmış olmalı. 16. Çalışan Eğitimi Admin paneline erişimi olan her çalışan siber güvenlik eğitimi almalı. Phishing simülasyonu, parola güvenliği, sosyal mühendislik farkındalığı. İşten ayrılan çalışanların admin erişimi derhal kaldırılmalı. Kontrol Listesi Özeti ✓ HTTPS her yerde aktif ✓ Ödeme sağlayıcısı PCI-DSS uyumlu ✓ Admin panelinde MFA aktif ✓ Güçlü parola politikası uygulanıyor ✓ SQL Injection, XSS, CSRF korumaları uygulanmış ✓ Parolalar güvenli hash'leniyor (bcrypt/Argon2) ✓ Fiyat doğrulaması sunucu tarafında yapılıyor ✓ Rate limiting ve brute force koruması aktif ✓ WAF kurulu ✓ DDoS koruması var ✓ Düzenli güvenlik taraması yapılıyor ✓ Yazılım güncellemeleri takip ediliyor ✓ KVKK uyumluluğu sağlanmış ✓ Loglar tutuluyor ve izleniyor ✓ Yedekleme düzenli ve test ediliyor ✓ Çalışanlar eğitimli Sonuç E-ticaret güvenliği, tek seferlik bir kurulum değil, sürekli bir süreçtir. Yukarıdaki kontrol listesi, iyi bir başlangıç noktası sağlar ama her işletmenin kendine özgü riskleri vardır. Profesyonel bir güvenlik değerlendirmesi, sitenize özel zafiyetleri tespit etmek için değerli bir yatırımdır. Diyarbakır'daki e-ticaret işletmelerine özel güvenlik denetimi, sızma testi ve KVKK danışmanlığı için VefaSoft ile iletişime geçebilirsiniz.
İlgili Yazılar:
Web Uygulama Güvenlik Testi: OWASP Top 10 Açıklaması KVKK Nedir? Şirketler İçin Uyumluluk Rehberi 2026 Sızma Testi (Penetrasyon Testi) Nedir? Kapsamlı Rehber KOBİ'ler İçin Siber Güvenlik: Nereden Başlamalı?