İnternet dünyasında her 39 saniyede bir siber saldırı gerçekleşmektedir. Bu saldırıların hedefi sadece bankalar veya devlet kurumları değildir; küçük ve orta ölçekli işletmeler (KOBİ'ler), genellikle "daha kolay hedef" olarak görüldükleri için bot yazılımların radarına girmektedir.
Web güvenliği, tek bir yazılım parçası değil, sürekli devam eden bir süreçtir. Bu süreç temel olarak bilgi güvenliğinin üç sacayağı üzerine kuruludur: CIA Üçlüsü (Confidentiality, Integrity, Availability).
Getty Images
Gizlilik (Confidentiality): Veriye sadece yetkili kişiler ulaşabilmelidir.
Bütünlük (Integrity): Veri, yetkisiz kişilerce değiştirilmemeli veya bozulmamalıdır.
Erişilebilirlik (Availability): Sistem, ihtiyaç duyulduğunda çalışır durumda olmalıdır.
1. Yaygın Web Tehditleri (OWASP Top 10 Perspektifi)
Open Web Application Security Project (OWASP), web güvenliği konusundaki küresel otoritedir. En yaygın riskler şunlardır:
A. SQL Injection (SQL Enjeksiyonu)
Saldırganın, web sitesinin veritabanı sorgularına müdahale ederek verileri çalması veya silmesidir.
Örnek: Bir giriş formuna admin' OR '1'='1 yazarak şifresiz giriş yapmaya çalışmak.
Çözüm: PHP gibi dillerde PDO veya Prepared Statements kullanarak kullanıcı girdilerini doğrudan sorguya dahil etmemek.
B. XSS (Cross-Site Scripting)
Saldırganın, güvenilir bir web sitesinin içine zararlı JavaScript kodları gömmesidir. Bu kodlar, siteyi ziyaret eden diğer kullanıcıların tarayıcısında çalışır ve oturum bilgilerini (cookie/session) çalar.
Çözüm: Kullanıcıdan gelen her veriyi ekrana basmadan önce temizlemek (Sanitization/Escaping).
C. Brute Force (Kaba Kuvvet) Saldırıları
Bir bot ağının, saniyede binlerce şifre kombinasyonu deneyerek yönetici paneline girmeye çalışmasıdır.
Çözüm: Giriş deneme sayısını sınırlamak (Rate Limiting) ve 2 Faktörlü Doğrulama (2FA) kullanmak.
2. Savunma Katmanları: Nasıl Korunulur?
Güvenlik, "soğan kabuğu" mimarisiyle (Defense in Depth) kurgulanmalıdır. Bir katman geçilse bile diğeri saldırganı durdurmalıdır.
A. Sunucu ve Ağ Güvenliği (Infrastructure)
Kodunuz ne kadar güvenli olursa olsun, sunucunuz (Server) zayıfsa risk altındasınızdır.
SSL/TLS Sertifikası: Veri transferini şifreler. Google, SSL olmayan siteleri "Güvenli Değil" olarak işaretler ve SEO puanını düşürür.
Firewall (Güvenlik Duvarı): Sunucu portlarını (özellikle SSH portu 22) sınırlandırmak ve sadece gerekli IP'lere izin vermek.
WAF (Web Application Firewall): Cloudflare gibi servisler, web trafiğini analiz eder ve kötü niyetli botları sunucunuza ulaşmadan engeller.
B. Yazılım ve Kod Güvenliği (Application)
Özel yazılımlarda (PHP, Python, vb.) güvenlik geliştiricinin sorumluluğundadır.
Girdi Doğrulama (Input Validation): Kullanıcıdan gelen veri asla güvenilir kabul edilmemelidir. E-posta alanına gerçekten e-posta mı girildi? Yoksa zararlı kod mu?
Dosya Yükleme Güvenliği: Kullanıcıların .php veya .exe uzantılı dosya yüklemesi engellenmelidir. Sadece .jpg, .pdf gibi güvenli formatlara izin verilmelidir.
C. Yedekleme ve Felaket Kurtarma (Backup & Recovery)
Hiçbir sistem %100 güvenli değildir. Saldırı başarılı olduğunda sizi kurtaracak tek şey yedektir.
3-2-1 Kuralı: Verilerinizin 3 kopyası olsun, 2 farklı ortamda saklayın (örn: Sunucu diski + Harici disk), 1 kopyası mutlaka kurum dışında (örn: Bulut/Cloud) olsun.
3. "İnsan" Faktörü: En Zayıf Halka
Kevin Mitnick'in dediği gibi; "Güvenlik sistemleri ne kadar güçlü olursa olsun, bir çalışanı kandırarak şifresini vermesini sağlarsanız, tüm güvenlik çöker."
Sosyal Mühendislik: Oltalama (Phishing) mailleri ile şifrelerin çalınması.
Zayıf Şifreler: 123456, admin123 gibi şifrelerin kullanımı, sistem yöneticilerinin yaptığı en büyük hatalardan biridir.
Sonuç: Güvenlik Bir Ürün Değil, Süreçtir
Web sitesi güvenliği, site yayına alındığında biten bir iş değildir. Yazılımların (WordPress, Laravel, Sunucu İşletim Sistemi) sürekli güncellenmesi, logların düzenli incelenmesi ve periyodik güvenlik taramalarının (Pentest) yapılması gerekir. Güvenli bir web sitesi, hem müşteri sadakatini artırır hem de işletmenin ticari devamlılığını garanti altına alır.