Diyarbakır Web Güvenliği: KOBİ'ler için Tam Kapsam Rehber

HTTP güvenlik başlıkları, tarayıcıların sitenizi nasıl yorumlayacağını belirler ve pek çok saldırıyı kullanıcı katmanında durdurur. Strict-Transport-Security (HSTS) ile HTTP üzerinden açılan tüm istekler otomatik HTTPS'e yönlendirilir; Content-Security-Policy (CSP) XSS saldırılarını, X-Frame-Options ise clickjacking'i engeller.

Diyarbakır'daki müşterilerimizde en sık gördüğümüz açık, CSP'nin hiç ayarlanmamış olması veya 'unsafe-inline' ile tamamen devre dışı bırakılmış olmasıdır. Mozilla Observatory veya VefaSec'in ücretsiz Site Güvenlik Tarayıcısı ile 30 saniyede A+ seviyesinin neresinde olduğunuzu görebilirsiniz.

TLS 1.0 ve 1.1 artık kırılmış kabul ediliyor; TLS 1.2 minimum, TLS 1.3 tercih edilen sürüm. Let's Encrypt gibi ücretsiz CA'lar ile 90 günlük otomatik yenilenen sertifika kurabilirsiniz. AES-GCM ve ChaCha20-Poly1305 gibi modern AEAD cipher suite'leri etkinleştirilmeli, zayıf cipher'lar devre dışı bırakılmalı.

OCSP stapling etkin mi, HSTS preload listesinde misiniz, certificate transparency log'unuz izleniyor mu? Bu üç kontrol çoğu panelde bulunmadığı için kurumsal savunmanın üçüncü katmanı olarak eksik kalır.

Her cookie için Secure, HttpOnly ve SameSite=Strict flag'leri varsayılan olmalı. SameSite=Lax yalnızca cross-site navigation senaryoları gerektiriyorsa tercih edilir; Strict güvenliği maksimize eder. Oturum token'larının kısa ömürlü olması, yenileme (refresh) token'larının rotasyonla kullanılması ve çıkış yaptığında sunucu tarafında invalidate edilmesi kritik.

WordPress sitelerde en yaygın hata, eklentilerden gelen cookie'lerin bu flag'leri ezmeden eklenmesi. WAF veya Cloudflare Page Rule ile cookie flag'lerini uygulama seviyesinde zorlayabilirsiniz.

WordPress dünya çapında en popüler CMS olduğu için saldırganların birincil hedefi. wp-admin'i yalnızca ofis IP'nizden erişilebilir kılmak, admin kullanıcı adını 'admin' yerine özel bir şey yapmak, iki faktörlü kimlik doğrulama eklemek ve eklentileri haftalık güncellemek temel savunmalardır.

Diyarbakır'daki bir müşterimizin e-ticaret sitesinde, güncellenmemiş bir SEO eklentisinden kaynaklanan SQL Injection ile müşteri veritabanı sızdırıldı. Otomatik güncelleme + WAF + aylık zafiyet taraması üçlüsü bu tür olayları neredeyse tamamen önler.

VefaSec'in ücretsiz araçlarıyla başlayın: Site Güvenlik Tarayıcı ile header skorunuzu, SSL Kontrol ile sertifika yapınızı, DNS Email Güvenlik ile SPF/DKIM/DMARC kayıtlarınızı test edin. Sonuçları PDF olarak arşivleyin ve çeyrek dönemlik denetim kayıtlarınıza ekleyin.

Profesyonel bir denetim istiyorsanız Diyarbakır VefaSec ekibine ulaşın; yerinde veya uzak pentest, rapor ve re-test ile uçtan uca güvenlik süreci kurarız. KVKK uyumlu raporlama ve çalışan farkındalık eğitimi de paket içinde.