Diyarbakır OSB İşletmelerinde En Sık 10 Web Güvenliği Açığı

Denetim yaptığımız OSB firmalarının %62'sinde WordPress'in en az 12 ay eski sürümü çalışıyor. Core güncellemesi ihmal ediliyor, eklentiler ise çoğu zaman 2-3 yıl güncellenmemiş. Bu 2023-2025 arasında yayınlanan 400+ WP CVE'sine açık demek — saldırganlar bu sürümleri tarayan otomatik botlar kullanıyor.

Çözüm: otomatik güncelleme açık, haftalık eklenti kontrolü, kullanılmayan eklentilerin kaldırılması. Diyarbakır'daki tekstil firmalarında tipik olarak 18-25 eklenti buluyoruz; aktif kullanılan 6-8 olduğu için %60-70'ini siliyoruz — saldırı yüzeyi çöküyor.

2025'te SQL injection'ı klasik sayanlar yanılıyor — OSB firmalarının web uygulamalarında hâlâ en çok bulduğumuz 3 açıktan biri. Özellikle özel geliştirilmiş PHP panelleri, rapor ekranları ve arama formları riskli. Parametrized query kullanılmaması ve eski MySQL driver'ları en yaygın sebep.

Çözüm: tüm DB sorguları prepared statement + input sanitization. ORM kullanmak riskli sorgu sayısını düşürür. Otomatik tarama için SQLMap ile kendi sitenizi test edebilirsiniz — VefaSec Site Güvenlik Tarayıcısı da temel SQLi kontrolü yapıyor.

OSB firmalarının çoğunda /admin, /login, /wp-admin gibi yönetici giriş sayfalarında rate limiting, CAPTCHA veya 2FA yok. Botlar saatte 10.000+ şifre denemesi yapıyor — zayıf şifreli bir admin hesabı 1-2 gün içinde kırılıyor.

Çözüm: login endpoint'inde 5 başarısız deneme sonrası 15 dk ban, CAPTCHA (reCAPTCHA v3 veya hCaptcha), yönetici hesapları için zorunlu 2FA, admin panel için IP whitelist veya VPN arkasına taşıma. Cloudflare Access (ücretsiz 50 kullanıcıya kadar) bu iş için hazır çözüm.

Mozilla Observatory'de ortalama OSB firması web sitesi F veya D notunu alıyor. Eksik olan 6 temel başlık: Strict-Transport-Security, Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy.

Çözüm: nginx veya web server seviyesinde bu header'ları 10 dakikada eklenebilir. VefaSec'in ücretsiz Site Güvenlik Tarayıcı aracı header skorunuzu A+'ya taşıyacak adımları listeliyor. CSP yapılandırması en zoru — başta 'Content-Security-Policy-Report-Only' modunda deneyip logları inceleyin, sonra enforce'a geçin.

Bazı firmaların self-signed sertifikası var, bazıları HTTPS'e yönlendirme yapmıyor, bazılarında TLS 1.0/1.1 hâlâ aktif. Şubat 2026 itibariyle Chrome, Firefox ve Safari TLS 1.2 altını uyarıyla açıyor — müşteri güveni için kritik.

Çözüm: Let's Encrypt ile ücretsiz, otomatik yenilenen sertifika (Certbot), TLS 1.2 minimum, TLS 1.3 öncelikli, HSTS preload listesine kayıt, eski cipher'ların devre dışı bırakılması. SSL Labs A+ skoru standart hedef olmalı.

Cookie'lerde Secure, HttpOnly, SameSite flag'lerinin olmaması XSS ile birleştiğinde oturum çalma (hijacking) saldırılarına kapı açıyor. Özellikle e-ticaret ve B2B portallarda kritik.

Çözüm: her cookie için Secure=true, HttpOnly=true, SameSite=Strict (veya Lax gerekirse). Oturum token'ları kısa ömürlü olmalı (15-30 dk), refresh token rotation kullanılmalı, çıkışta sunucu tarafında invalidation yapılmalı.

OSB firmalarının sık yaptığı hata: kullanıcıdan aldığı dosyayı (CV, ürün görseli, fatura) yeterince kontrol etmeden sunucuya kaydetmek. Uzantı kontrolü atlatılabilir, content-type header güvenilmez. Saldırgan PHP web shell yükleyip sunucu kontrolünü alabilir.

Çözüm: whitelist uzantı kontrolü, magic byte ile dosya tipi doğrulama, tüm upload'ları web kök dışında saklama (veya cloud storage), antivirüs tarama (ClamAV), ve upload dizininde PHP execute devre dışı.

Prodüksiyon ortamında debug modu açık kalmış uygulamalar, hata sayfasında MySQL sorgusu, dosya yolu, framework versiyonu gibi bilgileri sızdırıyor. Bu bilgiler saldırgana hedefli keşif imkanı veriyor.

Çözüm: prodüksiyonda debug mode kapalı, custom 404/500 sayfaları, stack trace logging sadece sunucu tarafında, kullanıcıya generic mesaj. Sentry gibi araçlar hata izlemeyi güvenli şekilde yapmanızı sağlar.

Pentest bulguları değil ama kritik: OSB firmalarının %45'inde düzenli yedek yok veya yedek aynı sunucuda saklanıyor. Ransomware saldırısında veri kaybı kaçınılmaz.

Çözüm: 3-2-1 kuralı (3 kopya, 2 farklı medya, 1'i offsite), haftalık full backup + günlük incremental, aylık restore testi (yedekten gerçekten dönebildiğinizi doğrulamak için), şifreli backup. Diyarbakır'daki müşterilerimize S3 Glacier + yerel NAS kombinasyonu öneriyoruz.

Bir kez pentest yaptırdıktan sonra 'işimiz bitti' sananlar her 3-6 ayda yeni açıklar kazanır. Sürekli zafiyet taraması, yazılım bağımlılık güncellemeleri ve log izleme olmazsa olmaz.

Çözüm: haftalık otomatik zafiyet taraması (OpenVAS veya Nessus), aylık bağımlılık güncellemesi (Snyk, Dependabot), Grafana dashboard üzerinden metric izleme, anomali tespiti. VefaSec'te OSB firmalarına aylık retainer ile bu stack'i hazır kurup yönetiyoruz.