Bir e-ticaret sitesi işletmek, her gün hassas müşteri verilerini — isimler, adresler ve ödeme bilgileri — yönetmek anlamına gelir. Tek bir güvenlik ihlali müşteri güvenini, düzenleyici cezaları ve ciddi gelir kayıplarını beraberinde getirebilir. Bu kontrol listesi, online mağazalarını temelden güvence altına almak için somut ve uygulanabilir bir yol haritası arayan geliştiriciler, teknik yöneticiler ve işletme sahipleri için tasarlanmıştır.
Her Yerde HTTPS'yi Etkinleştirin ve Zorunlu Kılın
HTTPS, herhangi bir e-ticaret sitesi için mutlak temeldir. Aktarım sırasında verileri şifreler, müşteri oturumlarını korur ve tüm büyük ödeme işlemcileri tarafından zorunlu tutulur. Yalnızca ödeme sayfası değil — her sayfanın HTTPS üzerinden sunulması gerekir.
- Geçerli bir TLS sertifikası edinin ve yükleyin (Let's Encrypt ücretsiz ve yaygın şekilde desteklenmektedir).
- Tüm HTTP trafiğini sunucu düzeyinde 301 kalıcı yönlendirme ile HTTPS'ye yönlendirin.
- Düşürme saldırılarını önlemek için uzun bir max-age değeriyle (en az 31536000 saniye) HTTP Strict Transport Security (HSTS) etkinleştirin.
- Eski protokolleri devre dışı bırakın: SSLv2, SSLv3, TLS 1.0 ve TLS 1.1'in devre dışı olduğundan emin olun; yalnızca TLS 1.2 ve TLS 1.3 kullanın.
- Güçlü şifre takımları kullanın ve RC4 ve 3DES gibi zayıf olanları devre dışı bırakın.
- Sertifikanızın mağazanızın kullandığı tüm alt alan adlarını kapsadığını doğrulayın (wildcard veya çok alan adlı sertifika düşünün).
- Beklenmedik sona ermeyi önlemek için otomatik sertifika yenilemeyi ayarlayın — Sensagraph sertifika geçerliliğini ve son kullanma tarihlerini sürekli olarak izler.
Ödeme İşlemlerinizi Güvence Altına Alın
Ödeme verileri, mağazanızın işlediği en hassas bilgilerdir. Bu verileri yanlış yönetmek sizi PCI-DSS cezalarına, iade taleplerine ve onarılamaz itibar hasarına maruz bırakır. En güvenli yaklaşım, ham kart verilerinin sunucularınıza hiç dokunmamasını sağlamaktır.
- Kart verilerini sunucularınızın dışında yönetmek için PCI-DSS Seviye 1 uyumlu bir ödeme ağ geçidi kullanın (örn. Stripe, Braintree, PayPal).
- Veritabanınızda veya kayıtlarınızda ham kart numaralarını, CVV kodlarını veya manyetik şerit verilerini asla saklamayın.
- Tokenizasyon uygulayın — gerçek kart bilgileri yerine ağ geçidinizin sağladığı ödeme tokenlarını saklayın.
- Yüksek değerli işlemlerde ek kimlik doğrulama için 3D Secure (3DS2) kullanın.
- Ödeme kayıtlarına ve işlem kayıtlarına erişimi yalnızca operasyonel olarak ihtiyaç duyanlarla sınırlayın.
- Süregelen uyumu doğrulamak için PCI-DSS Öz Değerlendirme Anketinizi (SAQ) düzenli olarak gözden geçirin.
- Müşteri güvenini artırmak için ödeme güvenliği rozetleri ve mühürleri görüntüleyin (yalnızca meşru sertifika kuruluşlarından).
Injection ve Siteler Arası Komut Dosyası Çalıştırma (XSS) Saldırılarına Karşı Koruyun
SQL injection ve XSS dahil injection saldırıları, e-ticaret platformlarına yönelik en yaygın ve zararlı tehditler arasındadır. Saldırganlar bunları oturum çerezlerini çalmak, müşteri verilerini sızdırmak veya yönetici hesaplarını ele geçirmek için kullanır.
- Tüm veritabanı işlemleri için parametreli sorgular veya hazırlanmış ifadeler kullanın — kullanıcı girdisini asla SQL sorgularına doğrudan eklemeyin.
- Tüm kullanıcı girdilerini (arama alanları, kupon kodları, adresler, iletişim formları) hem istemci hem de sunucu tarafında doğrulayın ve temizleyin.
- Tarayıcıda işlenen tüm çıktıları, özellikle yorumlar ve ürün adları gibi kullanıcı tarafından oluşturulan içerikleri kodlayın.
- Sayfalarınızda hangi komut dosyalarının çalıştırılabileceğini kısıtlamak için bir Content Security Policy (CSP) başlığı uygulayın.
- Mağazanıza yüklenen tüm üçüncü taraf komut dosyalarını ve eklentileri denetleyin — kötü amaçlı veya güvenliği ihlal edilmiş üçüncü taraf kod önemli bir vektördür (Magecart saldırıları).
- Harici olarak yüklenen komut dosyaları ve stil sayfaları için Subresource Integrity (SRI) karmaları kullanın.
- Uygulamanızı XSS ve injection güvenlik açıkları için düzenli olarak tarayın — Sensagraph her taramada yaygın injection açıklarını otomatik olarak test eder.
Kimlik Doğrulama ve Erişim Kontrolünü Sertleştirin
Zayıf kimlik doğrulama, saldırganlar için en yaygın giriş noktalarından biridir. Yönetici paneli ele geçirme, kimlik bilgisi doldurma ve kaba kuvvet saldırıları e-ticaret platformlarına karşı sık görülür. Erişimi kilitlemek kritik öneme sahiptir.
- Tüm hesaplar için güçlü ve benzersiz parola gereksinimleri uygulayın — harf, rakam ve sembol içeren en az 12 karakter.
- Tüm yönetici, personel ve yüksek ayrıcalıklı hesaplar için Çok Faktörlü Kimlik Doğrulama (MFA) etkinleştirin — bunu isteğe bağlı değil zorunlu yapın.
- Yönetici giriş URL'nizi varsayılan yoldan (örn. /admin veya /wp-admin) belirgin olmayan bir özel URL'ye taşıyın.
- Kaba kuvvet saldırılarını engellemek için tekrarlanan başarısız giriş denemelerinden sonra hesap kilitleme veya aşamalı gecikmeler uygulayın.
- En az ayrıcalık ilkesini uygulayın — her rol (mağaza yöneticisi, sipariş, pazarlama) yalnızca ihtiyaç duyduğu şeye erişebilmelidir.
- Etkin olmayan yönetici veya personel hesaplarını düzenli olarak denetleyin ve kaldırın.
- IP adresi, zaman damgası ve başarı/başarısızlık durumu dahil tüm yönetici giriş olaylarını kaydedin.
- E-posta, parola veya ödeme ayarlarını değiştirme gibi hassas işlemlerden önce yeniden kimlik doğrulamasını zorunlu kılın.
Tüm Yazılım ve Bağımlılıkları Güncel Tutun
Eski CMS platformları, eklentiler, temalar ve sunucu yazılımları, e-ticaret ortamlarındaki istismar edilebilir güvenlik açıklarının birincil kaynağıdır. Saldırganlar bilinen, yama uygulanmamış sürümleri aktif olarak tarar.
- İşletim sisteminiz için otomatik güvenlik güncellemelerini etkinleştirin (örn. Ubuntu'da unattended-upgrades).
- CMS'inizi (WooCommerce, Magento, Shopify uygulamaları vb.) ve tüm eklentileri/uzantıları en son kararlı sürüme güncel tutun.
- Kullanılmayan, etkin olmayan veya desteklenmeyen eklentileri ve temaları hemen kaldırın — devre dışı bırakıldıklarında bile saldırı yüzeyi oluştururlar.
- CMS sağlayıcınızdan, barındırma sağlayıcınızdan ve önemli eklenti geliştiricilerinden güvenlik danışma bültenlerine abone olun.
- Tüm yazılım bileşenlerinin ve sürümlerinin bir envanterini tutun — bu, bir güvenlik açığı açıklandığında daha hızlı yanıt vermenizi sağlar.
- Bir bağımlılık yönetim aracı (Composer, npm, pip) kullanın ve düzenli olarak denetimler çalıştırın (örn.
npm audit,composer audit). - Sensagraph, sitenizin maruz kalan yazılım sürümlerini sürekli olarak bilinen güvenlik açığı veritabanlarına karşı kontrol eder.
Güvenlik Başlıklarını Uygulayın ve Doğrulayın
HTTP güvenlik başlıkları, sitenizi yaygın tarayıcı tabanlı saldırılara karşı önemli ölçüde sertleştirmenin hızlı ve düşük çabalı bir yoludur. Pek çok e-ticaret sitesi bunları tamamen ihmal ederek belirgin kapıları açık bırakmaktadır.
- Content-Security-Policy (CSP): Hangi kaynakların komut dosyaları, stiller, resimler ve çerçeveler yükleyebileceğini tanımlayın. Sitenizi bozmamak için önce yalnızca raporlama modunda başlayın.
- Strict-Transport-Security (HSTS): Tarayıcıları alan adınız için her zaman HTTPS kullanmaya zorlayın.
max-age=31536000; includeSubDomains; preloadkullanın. - X-Frame-Options: Ödeme sayfalarınızdaki tıklama hırsızlığı saldırılarını önlemek için
DENYveyaSAMEORIGINolarak ayarlayın. - X-Content-Type-Options: MIME türü koklama saldırılarını önlemek için
nosniffolarak ayarlayın. - Referrer-Policy: Üçüncü taraflarla hangi URL bilgilerinin paylaşıldığını sınırlamak için
strict-origin-when-cross-originkullanın. - Permissions-Policy: Sitenizin ihtiyaç duymadığı tarayıcı özelliklerini devre dışı bırakın (kamera, mikrofon, coğrafi konum).
X-Powered-ByveServergibi sunucu sürümü açıklama başlıklarını kaldırın veya gizleyin.- Sensagraph her taramada tüm güvenlik başlıklarını otomatik olarak denetler ve eksik veya yanlış yapılandırılmış olanları işaretler.
Botlara, Dolandırıcılığa ve İstismara Karşı Koruyun
E-ticaret siteleri, otomatik istismar için birincil hedeflerdir: kimlik bilgisi doldurma, kart testi, sahte hesap oluşturma ve stok istifçiliği. Güçlü bot ve dolandırıcılık kontrolleri hem işletmenizi hem de gerçek müşterilerinizi korur.
- Otomatik botları engellemek için kayıt, giriş ve ödeme formlarına CAPTCHA (örn. hCaptcha, Google reCAPTCHA v3) uygulayın.
- Otomatik saldırıları yavaşlatmak için giriş uç noktaları, parola sıfırlama ve ödeme API'lerinde hız sınırlaması uygulayın.
- Kötü amaçlı trafiği filtrelemek için bir Web Uygulama Güvenlik Duvarı (WAF) kullanın — CDN düzeyinde (Cloudflare, AWS WAF) veya sunucu düzeyinde.
- Kart testi modellerini izleyin: aynı IP veya cihazdan kısa süre içinde çok sayıda düşük değerli işlem.
- Yüksek riskli kalıplara uyan siparişleri işaretleyin ve manuel olarak inceleyin: uyumsuz fatura/teslimat adresleri, olağandışı sipariş hacimleri veya yüksek değerli satın alımlar yapan yeni hesaplar.
- Ödeme ağ geçidiniz veya üçüncü taraf bir dolandırıcılık önleme hizmeti aracılığıyla dolandırıcılık puanlaması uygulayın.
- Tehdit istihbaratı akışları kullanarak bilinen kötü amaçlı IP aralıklarından gelen trafiği engelleyin veya sorgulayın.
Müşteri Verilerini ve Gizliliğini Koruyun
Ödemelerin ötesinde, mağazanız isimler, adresler, telefon numaraları ve satın alma geçmişleri toplar. Bu verileri korumak hem etik bir sorumluluk hem de GDPR, KVKK ve diğerleri gibi düzenlemeler kapsamında yasal bir gerekliliktir.
- Veritabanınızdaki hassas verileri beklemede şifreleyin — özellikle kişisel olarak tanımlanabilir bilgiler (PII) ve ödemeyle ilgili alanlar.
- Veri minimizasyonu ilkesini uygulayın — yalnızca siparişleri işlemek için gerçekten ihtiyaç duyduğunuz bilgileri toplayın.
- Bir veri saklama politikası tanımlayın ve uygulayın: artık ihtiyaç duymadığınız müşteri verilerini silin veya anonimleştirin.
- Ne veri topladığınızı, neden topladığınızı ve müşterilerin silme talebinde nasıl bulunabileceğini açıklayan net ve doğru bir gizlilik politikası yayınlayın.
- Müşterileri pazarlama listelerine eklemeden önce açık ve bilgilendirilmiş onay alın.
- Kullandığınız üçüncü taraf araçların (analitik, sohbet, e-posta pazarlama) gizlilik yükümlülüklerinizle uyumlu olacak şekilde yapılandırıldığından emin olun.
- Belgelenmiş bir veri ihlali müdahale planına sahip olun: bir ihlal meydana gelirse kimi, ne kadar sürede bilgilendireceğinizi ve ihlali kontrol altına almak için hangi adımları atacağınızı bilin.
Sunucunuzu ve Altyapınızı Güvence Altına Alın
Temel sunucu ve altyapı yapılandırmanız doğrudan mağazanızın güvenliğini etkiler. Bu düzeydeki yanlış yapılandırmalar hassas dosyaları açığa çıkarabilir, yetkisiz erişimi mümkün kılabilir veya veri sızıntısını kolaylaştırabilir.
- Saldırganların dosya yapınıza göz atmasını önlemek için web sunucunuzda dizin listelemeyi devre dışı bırakın.
- Sunucu yapılandırma kuralları aracılığıyla hassas dosya ve dizinlere (örn.
.env,wp-config.php,/admin) erişimi kısıtlayın. - Gereksiz tüm açık portları kapatın — yalnızca 80 ve 443 portlarını kamuya açın; SSH'yi bilinen IP adreslerine veya VPN'e kısıtlayın.
- SSH anahtar tabanlı kimlik doğrulama kullanın ve parola tabanlı SSH girişini tamamen devre dışı bırakın.
- Veritabanı sunucunuzu genel internetten izole edin — yalnızca uygulama sunucunuzdan erişilebilir olmalıdır.
- Veritabanınız ve dosyalarınız için düzenli otomatik yedeklemeler yapılandırın; yedeklemeleri ayrı, erişim kontrollü bir konumda saklayın.
- Yedeklemelerin gerçekten kullanılabilir olduğunu doğrulamak için yedek geri yükleme işleminizi en az üç ayda bir test edin.
- Sunucu tarafı kayıt tutmayı uygulayın ve kayıtları merkezi, kurcalamaya dayanıklı bir konuma gönderin.
Sürekli İzleyin ve Tehditlere Yanıt Verin
Güvenlik tek seferlik bir görev değildir — süregelen bir süreçtir. Sürekli izleme olmadan, ihlaller haftalarca veya aylarca fark edilmeden kalabilir ve bu da hasarı önemli ölçüde artırır. Operasyonlarınıza görünürlük ve yanıt kapasitesi katın.
- Kritik olaylar için gerçek zamanlı uyarı kurun: yeni konumlardan yönetici girişleri, büyük veri dışa aktarımları, toplu hesap kilitlemeleri.
- Sitenizin çalışma süresini ve performansını izleyin — ani ve açıklanamayan düşüşler bir DDoS saldırısını veya güvenlik ihlalini işaret edebilir.
- Olağandışı kalıplar için erişim günlüklerini düzenli olarak inceleyin: beklenmedik yönetici erişim zamanları, toplu veri istekleri veya tanıdık olmayan IP adresleri.
- Yeni CVE'ler yayınlandığında hızla yama uygulayabilmek için kullandığınız tüm yazılımlar için güvenlik açığı bildirimi aboneliklerine katılın.
- Sürekli olarak otomatik güvenlik taramaları çalıştırın — Sensagraph sitenizi otomatik olarak tarar ve ortaya çıkan yeni güvenlik açıklarını size anında bildirir.
- Özellikle büyük site değişikliklerinden veya yeni özellik lansmanlarından sonra yılda en az bir manuel sızma testi yapın.
- Bir güvenlik ihlali meydana geldiğinde ekibinizin tam olarak ne yapacağını bilmesi için bir olay müdahale planı oluşturun ve düzenli olarak test edin.