Yeni Açılan Web Siteleri İçin Hosting Güvenlik Check‑list’i: İlk Günden Yapılması Gereken 20 Ayar

Yeni Web Siteniz İçin Güvenlik Neden İlk Günden Başlamalı?

Yeni bir web sitesi açarken herkes tasarım, hız ve SEO ayarlarına odaklanıyor. Güvenlik ise çoğu zaman “sonra bakarız” diye ertelenen bir başlık oluyor. Sonra ne oluyor? Bir gün e-posta kutunuza “siteniz zararlı yazılım dağıtıyor” uyarısı düşüyor, tarayıcılar sitenizi “Güvenli değil” diye işaretliyor, arama sonuçlarından görünürlüğünüz düşüyor. Tüm bu sorunların ortak noktası, ilk günden doğru hosting güvenlik ayarlarının yapılmamış olması.

DCHost tarafında gördüğümüz vakaların önemli bir kısmı, aslında basit bir güvenlik check‑list’i ile baştan engellenebilecek sorunlar. Bu yazıda tam olarak bunu yapacağız: Yeni açılan bir web sitesi için, ilk günden uygulanması gereken 20 kritik hosting güvenlik ayarını adım adım listeleyeceğiz. paylaşımlı hosting, VPS veya dedicated sunucu kullanıyor olmanız fark etmez; her maddede hangi senaryoda ne yapmanız gerektiğini özellikle belirteceğim. Amacımız; karmaşık teoriler değil, uygulanabilir ve kontrol edilebilir bir güvenlik checklist’i bırakmak.

Eğer henüz alan adınızı aldıktan sonra temel DNS ve SSL adımlarını atmadıysanız, bu yazıyla birlikte yeni alan adı için 30 günlük DNS, SSL ve e‑posta kontrol listemizi de paralel okumanızı kesinlikle öneririm.

1. Katman: Kimlik ve Erişim Güvenliği

1. Hosting ve Müşteri Paneline İki Aşamalı Doğrulama (2FA) Kurun

Yeni açılan her sitenin en kritik zayıf noktalarından biri, hosting ve müşteri paneli girişleridir. Buralara erişimi ele geçiren biri, sitenizi, DNS kayıtlarınızı, e‑posta hesaplarınızı ve hatta faturalarınızı bile yönetebilir.

İlk günden yapmanız gereken:

• DCHost müşteri panelinize giriş yapın ve iki aşamalı doğrulama (2FA) özelliğini aktif edin.
• Google Authenticator, Authy veya benzeri bir uygulama ile zaman bazlı kod üretimini tercih edin; SMS mümkünse yedek yöntem olsun.
• Yedek kurtarma kodlarını güvenli bir yerde (şifre yöneticiniz, offline not) saklayın.

Bu adım tek başına, çalınan şifre senaryolarının büyük bir kısmını daha başlamadan kapatır.

2. Tüm Hesaplar İçin Benzersiz ve Güçlü Şifre Politikası

Yeni site kurulumlarında gördüğümüz en yaygın hata, her yerde aynı veya benzer şifrelerin kullanılması. Özellikle “alan adı paneli + hosting paneli + WordPress admin” gibi kritik girişlerin aynı şifreyi paylaşması ciddi risk.

Dikkat etmeniz gerekenler:

• Her kritik hesap için benzersiz şifre kullanın (registrar, DCHost hesabı, cPanel/Plesk, CMS admin, veritabanı).
• Şifre uzunluğunu en az 14 karakter, karmaşıklığı yüksek (büyük/küçük harf, rakam, sembol) olacak şekilde belirleyin.
• Şifreleri mutlaka bir şifre yöneticisinde saklayın; tarayıcı otomatik kaydına tek başına güvenmeyin.
• Ajans, freelancer veya dış yazılımcıya geçici hesap verin, iş bittiğinde silin veya şifreyi değiştirin.

3. SSH Erişiminde Şifreyi Kapatın, Anahtar Tabanlı Giriş Kullanın (VPS/Dedicated)

Eğer sitenizi paylaşımlı hosting yerine VPS veya dedicated sunucu üzerinde barındırıyorsanız, SSH erişimi kritik önem taşır. Varsayılan haliyle, sadece kullanıcı adı/şifre ile açık bırakılmış SSH portu, brute‑force saldırıların bir numaralı hedefidir.

İlk günden şu adımları planlayın:

• SSH için anahtar tabanlı doğrulama (public/private key) kurun.
• PermitRootLogin değerini no yaparak doğrudan root girişini kapatın.
• SSH portunu değiştirmek tek başına güvenlik çözümü değildir, ama log gürültüsünü azaltır.
• Mümkünse sadece belirli IP’lerden SSH erişimine izin verin.

Bu konuyu daha derinlemesine kurmak isterseniz, VPS’te SSH güvenliği ve FIDO2 anahtarları hakkında hazırladığımız rehbere mutlaka göz atın.

4. Kontrol Paneli (cPanel/Plesk/DirectAdmin) Kullanıcılarını Ayrıştırın

Yeni açılan sitelerde sık gördüğümüz bir başka risk de, tek bir hosting hesabı altında birden fazla sitenin aynı kullanıcı ile barındırılması. Özellikle ajans ve freelancer’lar için bu, bir sitenin hacklenmesi durumunda diğerlerinin de etkilenmesi anlamına geliyor.

Yapmanız gerekenler:

• Mümkünse her proje için ayrı bir hosting hesabı veya en azından ayrı kullanıcı/hesap açın.
• FTP/SFTP kullanıcılarını site bazlı tanımlayın, tüm dosya sistemine erişen tek kullanıcı kullanmayın.
• Geçici erişim vereceğiniz kişiler için ayrı kullanıcı açıp iş bitince silin.

Bu konuyu cPanel özelinde daha teknik görmek isterseniz, “cPanel’de Addon Domain mi Ayrı Hesap mı?” yazımız tam bu ikilemi detaylı inceliyor.

2. Katman: Ağ ve Sunucu Yüzeyi Güvenliği

5. Güvenlik Duvarı (Firewall) Kurallarını İlk Günden Daraltın

Sunucunuz ister paylaşımlı, ister VPS, ister dedicated olsun; prensip aynı: Açık olması gerekmeyen hiçbir port açık kalmamalı. Özellikle VPS/dedicated senaryosunda bu kontrol size ait.

Önerilen temel yaklaşım:

• Yalnızca 80 (HTTP) ve 443 (HTTPS) portlarını dış dünyaya açın.
• SSH (ör. 22 veya özel port) sadece sizin IP’nize veya sınırlı bir IP aralığına açık olsun.
• Panel portları (cPanel, Plesk, phpMyAdmin vb.) için mümkünse IP kısıtlama uygulayın.
• Sunucu içinde gereksiz çalışan servisleri tespit edip kapatın.

Firewall kavramına daha temelden bakmak isterseniz, güvenlik duvarı nedir ve neden önemlidir yazımızı da ayrıca okuyabilirsiniz.

6. Fail2ban veya Benzeri Brute‑Force Koruması Kullanın (VPS/Dedicated)

SSH, FTP, SMTP, hatta web paneli giriş ekranları üzerinde binlerce deneme yapan otomatik botlar, bugün her sunucunun rutin misafirleri. Bu trafiği engellemenin pratik yolu, başarısız giriş denemelerini takip edip IP’yi otomatik banlayan bir araç kullanmak.

VPS veya dedicated sunucularda:

• fail2ban gibi bir araç kurarak SSH, FTP, mail ve web panel loglarını izleyin.
• Belirli sayıda hatalı girişten sonra IP’yi belirli süreyle veya kalıcı olarak engelleyin.
• Ban kurallarını çok agresif ayarlamayın; yanlış şifre giren kendi kullanıcılarınız kilitlenmesin.

7. İşletim Sistemi ve Panel Güncellemelerini Otomatikleştirin

En çok istismar edilen açıklar genellikle bilinen ama yamalanmamış güvenlik açıklarıdır. Yani sorun, sıfır gün (0‑day) değil, uygulanmamış güncellemeler olur.

Yapmanız gerekenler:

• Linux dağıtımınızda security update’leri otomatik alacak mekanizmayı aktif edin (örneğin unattended‑upgrades).
• cPanel/Plesk gibi paneller için otomatik minor update’leri açık tutun.
• Büyük versiyon geçişleri (örneğin PHP major upgrade) için staging ortamında test etmeyi unutmayın.

PHP tarafındaki yükseltmeler için detaylı bir rehber arıyorsanız, PHP 8.x yükseltme kontrol listemiz işinizi oldukça kolaylaştırır.

8. Sunucu Zamanını ve NTP Senkronizasyonunu Doğru Kurun

Güvenlik tarafında log analizi, sertifika geçerliliği, token süreleri gibi birçok mekanizma doğru sistem saatine bağlıdır. Saat birkaç dakika bile geride veya ilerideyse, beklenmedik hatalarla karşılaşabilirsiniz.

İlk yapılandırmada:

• Sunucuda NTP (Network Time Protocol) servisini aktif edin.
• Saat dilimini doğru seçin (ör. Europe/Istanbul).
• Log analizi yaparken saat farklarından kaynaklı kafa karışıklığını önleyin.

3. Katman: HTTPS, Tarayıcı Güvenliği ve WAF

9. SSL/TLS Sertifikasını Kurun ve HTTP → HTTPS Zorlamasını Yapın

Yeni açılan bir sitenin ilk dakikasından itibaren HTTPS kullanması artık bir lüks değil, zorunluluk. Tarayıcı uyarıları, SEO etkisi ve kullanıcı güveni açısından, HTTP olarak açık kalan her sayfa risk taşır.

İlk günden şu adımları tamamlayın:

• DCHost panelinizden ücretsiz Let’s Encrypt veya sahip olduğunuz kurumsal SSL sertifikanızı kurun.
• Tüm HTTP trafiğini 301 yönlendirme ile HTTPS’e zorlayın.
• Mixed content (HTTP üzerinden yüklenen resim, JS, CSS) hatalarını kontrol edin.

SSL kavramına giriş ve sertifika türleri hakkında fikrinizi netleştirmek için SSL sertifikası nedir ve nasıl güvence sağlar yazımız iyi bir başlangıç olacaktır.

10. HTTP Güvenlik Başlıklarını (Security Headers) Uygulayın

HTTPS tek başına yeterli değil. Tarayıcıların XSS, clickjacking ve içerik manipülasyonu gibi saldırılara karşı daha akıllı davranması için HTTP güvenlik başlıklarını doğru şekilde ayarlamanız gerekiyor.

Özellikle şunlara dikkat edin:

• HSTS (HTTP Strict Transport Security): Tarayıcıya sitenize her zaman HTTPS ile bağlanması gerektiğini söyler.
• Content-Security-Policy (CSP): Hangi kaynaktan script, style, resim yüklenebileceğini tanımlar.
• X-Frame-Options veya frame-ancestors: Sitenizin başka bir sitede iframe ile gömülmesini engeller.
• X-Content-Type-Options: İçerik türü karışıklıklarına karşı korur.

Bu başlıkların ne işe yaradığını ve nasıl ayarlanacağını adım adım görmek için, mutlaka HTTP güvenlik başlıkları rehberimize göz atın.

11. Yönetim Panellerini IP Kısıtlama veya mTLS ile Koruyun

WordPress admin, Laravel Nova, özel admin panelleriniz, phpMyAdmin gibi arayüzler internete “dümdüz” açık kaldığında, brute‑force ve otomatik taramaların doğal hedefi oluyor. Bunu engellemenin en etkili yollarından biri, erişimi kısıtlı bir IP veya istemci sertifikasına bağlamak.

Seçenekleriniz:

• Nginx/Apache ile admin yollarına (ör. /wp-admin) sadece belirli IP aralıklarından erişim izni verin.
• Daha ileri seviye için, yönetim paneline erişen tarayıcılara istemci sertifikası zorunlu kılan mTLS kurun.

Bu yapıyı pratik örneklerle görmek isterseniz, yönetim panellerini mTLS ile koruma rehberimizi inceleyebilirsiniz.

12. WAF (Web Application Firewall) ile Uygulama Katmanını Filtreleyin

Firewall sistemleri port düzeyinde çalışırken, WAF HTTP isteğinin içeriğini (URL, parametreler, body) inceleyerek SQL injection, XSS gibi saldırıları engeller. Yeni açılan sitelerde özellikle form sayfaları ve login ekranları için ciddi bir koruma katmanı sağlar.

Yapabilecekleriniz:

• Sunucu tarafında ModSecurity + OWASP CRS kural setini aktif edin.
• İlk günlerde logları takip edip yanlış pozitifleri ayarlayın.
• Çok sık saldırı alan endpoint’ler (login, arama, form vb.) için daha sıkı kurallar koyun.

WAF yapılandırmasının incelikleriyle ilgileniyorsanız, ModSecurity ve OWASP CRS ile WAF rehberi kararlarınızı netleştirmenize yardımcı olur.

4. Katman: Uygulama, Dosya İzinleri ve Yedekleme

13. Dosya ve Dizin İzinlerini Sertleştirin

Çoğu hack vakasında karşımıza çıkan tablo, yazılabilir dizinlerin gereğinden geniş yetkilerle bırakılmış olması. Özellikle 777 gibi izinler, saldırgan için davetiye anlamına geliyor.

İlk günden şu prensipleri uygulayın:

• PHP tabanlı sitelerde çoğu dosya için 644, dizinler için 755 izinleri genellikle yeterlidir.
• Yazılabilir olması gereken dizinleri (ör. uploads, cache dizinleri) minimum gerekli izinle sınırlandırın.
• Sunucu kullanıcısı ve grup sahipliklerini (owner/group) doğru yapılandırın.
• Listeleme (directory listing) özelliğini kapatın.

WordPress kullanıyorsanız, dosya izinleri, XML-RPC, wp-config gibi konuları derli toplu görmek için WordPress güvenlik sertleştirme kontrol listemiz harika bir tamamlayıcıdır.

14. Varsayılan Admin Kullanıcı Adı ve URL’lerini Değiştirin

“admin”, “administrator”, “root” gibi kullanıcı adları ve herkesin bildiği yollar (ör. /wp-admin, /administrator) brute‑force saldırılar için hazır hedeflerdir. Kimliği gizlemek değil, saldırganın işini zorlaştırmak hedefimiz.

Öneriler:

• Yeni kurulumda asla “admin” kullanıcı adı ile devam etmeyin.
• Mümkünse yönetici kullanıcı adını tamamen farklı, tahmin etmesi zor bir şey seçin.
• Uygulama izin veriyorsa yönetim paneli URL yolunu özelleştirin.

15. Otomatik Yedekleme ve 3‑2‑1 Stratejisini İlk Günden Kurun

Güvenlik sadece saldırıyı engellemek değil, başınıza bir şey geldiğinde geri dönebilmektir. Bunun tek gerçekçi yolu da doğru kurgulanmış bir yedekleme stratejisidir. En pratik model, 3‑2‑1 kuralıdır:

• 3 kopya (1 canlı, 2 yedek)
• 2 farklı ortamda (örn. sunucu diski + harici depolama)
• 1 tanesi farklı lokasyonda (farklı veri merkezi veya offsite depolama)

DCHost’ta barındırdığınız siteler için panelden otomatik yedeklemeleri aktif edebilir, ayrıca harici S3 uyumlu depolama alanlarına periyodik yedek senaryoları kurgulayabilirsiniz. Konunun mantığını detaylı öğrenmek için 3‑2‑1 yedekleme stratejisi rehberimize mutlaka göz atın.

16. Yedekten Geri Dönüş Testini Ertelemeden Yapın

Yedek almak tek başına yeterli değil; o yedekten geri dönebiliyor musunuz? sorusunun cevabı en az yedekleme kadar önemli. Birçok işletme, ilk kez gerçek bir sorun yaşadığında yedeğinin aslında eksik veya bozuk olduğunu fark ediyor.

Yeni site için öneri:

• İlk yedek alındıktan sonra test amaçlı bir geri yükleme (restore) senaryosu çalıştırın.
• Mümkünse ayrı bir staging alanına geri dönüp sitenin çalıştığını doğrulayın.
• Bu testi yılda en az bir kez tekrar edin.

5. Katman: DNS, Alan Adı ve E‑posta Güvenliği

17. DNS Kayıtlarınızı Minimum Yetki İlkesiyle Tasarlayın

DNS, yeni bir site yayına alırken en çok dokunulan, ama en az güvenlik odaklı bakılan katmanlardan biri. Yanlış ellerdeki bir DNS erişimi, tüm trafiğinizin farklı bir sunucuya yönlendirilmesi anlamına gelir.

Dikkat etmeniz gerekenler:

• DNS yönetim paneline erişimi çok sınırlı tutun, mümkünse sadece bir‑iki kişi.
• Gereksiz wildcard (*.domain.com) kayıtlarından kaçının.
• MX, SPF, DKIM ve DMARC kayıtlarınızı net ve güncel tutun.

18. Alan Adınızı Kilitleyin, DNSSEC ve Registrar Lock Kullanın

Yeni siteler için çoğu zaman domain tarafı sadece “fatura” konusu olarak görülüyor; oysa alan adı elinizden giderse, hosting tarafında ne yaptığınızın pek önemi kalmaz. Bu yüzden domain güvenliğini de ilk günden sağlamlaştırmak şart.

Yapmanız gerekenler:

• Alan adınız için Registrar Lock (transfer kilidi) özelliğini aktif edin.
• Mümkünse DNSSEC desteğini açın; DNS kayıtlarınızın kriptografik olarak imzalanmasını sağlayın.
• Domain hesabınızda da 2FA kullanmayı unutmayın.

Alan adı güvenliği başlığını daha geniş görmek isterseniz, alan adı güvenliği rehberimizde registrar lock, DNSSEC ve WHOIS gizliliğini detaylı anlattık.

19. SPF, DKIM, DMARC ile E‑posta Kimlik Doğrulamasını Kurun

Yeni sitenizden gönderilen e‑postaların spam klasörüne düşmemesi kadar önemli bir konu daha var: sizin adınıza sahte e‑posta gönderilmesinin engellenmesi. Bunun temeli de SPF, DKIM ve DMARC kayıtlarının doğru ayarlanmasına dayanıyor.

İlk günden şunları yapın:

• Alan adınız için tüm e‑posta göndericilerini kapsayan bir SPF kaydı tanımlayın.
• Kullandığınız e‑posta altyapısı için DKIM imzasını aktif edin.
• DMARC kaydı ile, SPF/DKIM’i geçemeyen e‑postalara nasıl davranılacağını tanımlayın (raporlama + karantina/ret politikası).

Bu ayarların pratik örneklerini ve tipik hataları görmek için, SPF, DKIM, DMARC ve rDNS rehberimize göz atabilirsiniz.

20. E‑posta Girişleri İçin de 2FA ve Güçlü Şifre Zorunlu Olsun

Çoğu saldırı, doğrudan sunucudan değil, e‑posta hesabının ele geçirilmesinden başlıyor. E‑posta ile parola sıfırlama linkleri alınabiliyor, panel erişimleri açılabiliyor. Bu nedenle yeni bir site açarken, alan adınıza bağlı e‑posta hesaplarının güvenliğini de unutmayın.

Öneriler:

• Tüm kritik e‑posta hesaplarında uzun ve benzersiz şifreler kullanın.
• Kullandığınız e‑posta hizmeti destekliyorsa 2FA aktif edin.
• Paylaşılan hesap (örn. info@, destek@) kullanıyorsanız, kimlerin bildiğini kayıt altına alın ve periyodik şifre değişimi yapın.

Özet: Güvenliği Sonraya Bırakırsanız, Maliyeti Katlanarak Artar

Yeni bir web sitesi açarken bu kadar çok başlıkla uğraşmak ilk bakışta yorucu görünebilir. Ancak güvenliği ilk günden kurmadığınızda, birkaç ay sonra yaşanacak bir hack veya veri sızıntısının maliyeti hem zaman, hem itibar, hem de para olarak çok daha ağır olacaktır. Bu yazıda paylaştığımız 20 maddelik hosting güvenlik check‑list’i, aslında günlük iş akışınıza oturduğunda son derece yönetilebilir bir çerçeve sunuyor.

DCHost olarak paylaşımlı hosting, VPS, dedicated sunucu ve colocation çözümlerimizi tasarlarken, bu maddelerin büyük kısmını altyapı seviyesinde standart olarak uyguluyoruz. Yine de her sitenin kendi uygulama, DNS ve e‑posta tarafında atması gereken adımlar var. Yeni bir site açtıysanız veya mevcut sitenizi DCHost altyapısına taşımayı planlıyorsanız, bu kontrol listesini bir yol haritası gibi kullanın; her maddeyi tek tek işaretleyin. Takıldığınız her noktada destek ekibimizden yardım isteyebilir, güvenlik tarafını “sonra bakarız” dosyasından çıkarıp ilk günden çözülmüş işler listesine taşıyabilirsiniz.