E-ticaret Sitenizi Korumanız İçin 5 Kritik Öneri

E-ticaret bugun perakendenin merkezinde. Ancak bir online magazada en cok konusulan konu satis artirmak olsa da, gozden kacan asil mesele sudur: guvenli olmayan bir sitede satilan her urun, bir gun gelip sizin en buyuk maliyetiniz olabilir. Tek bir veri sizintisi; musteri guvenini, marka itibarini ve KVKK acisindan ciddi idari para cezalarini ayni anda masaya getirir. Bu rehberde, e-ticaret sitenizi korumak icin atmaniz gereken 5 kritik onlemi ve bunlarin yaninda donusumu yukselten musteri deneyimi ipuclarini birlikte ele aliyoruz.

Asagidaki onlemlerin tamami, dogru bir hosting altyapisi uzerinde kurulu oldugunda anlamlidir. Cunku sitenizin guvenligi, ustunde calistigi sunucunun guvenliginden bagimsiz dusunulemez.

E-ticaret Guvenligi Neden Bu Kadar Onemli?

E-ticaret sitesi; isim, adres, telefon, e-posta ve ozellikle odeme bilgisi gibi kisisel verileri isleyen bir yapidir. Bu da onu siber saldirganlar icin cazip bir hedef yapar. En sik karsilasilan tehditler sunlardir:

• Magecart / e-skimming: Odeme sayfasina enjekte edilen zararli JavaScript ile kart bilgilerinin sessizce calinmasi. Sunucu tarafinda hicbir iz birakmadan, tarayicida gerceklesir.
• SQL Injection ve XSS: Form ve URL’ler uzerinden veritabanina sizma veya sayfaya zararli kod yerlestirme.
• DDoS saldirilari: Siteyi asiri trafikle bunaltarak erisilemez hale getirme; ozellikle kampanya gunlerinde dogrudan ciro kaybi demektir.
• Brute-force (kaba kuvvet): Yonetici paneli sifrelerinin deneme-yanilma ile kirilmasi.
• Fidye yazilimi ve veri kaybi: Yedegi olmayan bir sitenin saatler hatta gunlerce cevrimdisi kalmasi.

2025 itibariyle yururlukteki PCI DSS 4.0 standardi, ozellikle odeme sayfasindaki betiklerin denetlenmesini (6.4.3 ve 11.6.1 gereksinimleri) zorunlu hale getirdi. Yani kart bilgisi alan her site icin guvenlik artik “iyi olur” degil, “zorunlu” bir gerekliliktir.

1. Kritik Onlem: SSL/TLS ve HTTPS’i Tum Sitede Zorunlu Kilin

SSL/TLS sertifikasi, ziyaretci ile sunucu arasindaki tum veri trafigini sifreleyerek araya giren saldirganin bu veriyi okumasini engeller. Bir e-ticaret sitesinde HTTPS olmadan dusunmek mumkun degil; cunku:

• Tarayicilar HTTPS olmayan odeme formlarini “Guvenli degil” uyarisiyla isaretler ve musteriyi kacirir.
• Google, HTTPS’i bir siralama sinyali olarak kullanir; guvenlik ayni zamanda SEO demektir.
• KVKK ve PCI DSS, kisisel ve kart verilerinin sifreli iletilmesini sart kosar.

Onemli bir nokta: sertifika yalnizca ana sayfada degil, tum alt sayfalarda, sepet ve odeme adimlarinda gecerli olmali; “karma icerik” (mixed content) uyarisi olmamalidir. Alastyr’da bir hosting paketiyle birlikte ucretsiz SSL sunulur; kurumsal ve yuksek hacimli magazalar icin daha guclu dogrulama isteyenler SSL sertifikasi secenekleriyle markasini tarayici cubuguna tasiyabilir.

SSL turleri kisaca

2. Kritik Onlem: WAF, DDoS Korumasi ve Malware Taramasi

SSL veriyi sifreler ama saldiriyi durdurmaz. Asil savunma katmani, gelen trafigi analiz edip kotu niyetli istekleri filtreleyen sistemlerdir:

• WAF (Web Application Firewall): SQL injection, XSS ve bilinen acik denemelerini sunucuya ulasmadan engeller.
• DDoS korumasi: Hacimli saldirilari ag katmaninda (L3-L4) sogurarak sitenizin ayakta kalmasini saglar. Alastyr altyapisinda Voxility tabanli 1 Tbps+ kapasiteli L3-L4 anti-DDoS koruma sunulur.
• Malware ve sizma tespiti: Sunucuda calisan zararli kodu yakalamak ve hesaplari birbirinden izole etmek icin Alastyr sunucularinda Imunify360 + CageFS ve tehdit istihbarati (honeypot) destekli cift WAF yaklasimi kullanilir.

Magecart gibi tarayici tarafindaki e-skimming saldirilari icin ek olarak, odeme sayfasinda calisan tum betikleri envantere alip Icerik Guvenlik Politikasi (CSP) ile yalnizca izinli betiklerin calismasina musaade etmek gerekir. Bu, sunucu tarafi WAF’in goremedigi tarayici icindeki tehdidi kapatir.

3. Kritik Onlem: Gunluk Yedekleme ve Hizli Geri Donus

Hicbir guvenlik onlemi yuzde yuz degildir; bu yuzden yedek, son savunma hattinizdir. Fidye yazilimi, hatali bir guncelleme veya basit bir insan hatasi sitenizi bir anda silebilir. Bu durumda fark, “kac saatte geri doneriz” sorusunda gizlidir.

• Gunluk otomatik yedek: Dosya ve veritabani ayri ayri ve duzenli alinmali.
• Yedegin farkli konumda saklanmasi: Ayni sunucuda duran yedek, sunucu coktugunde ise yaramaz.
• Geri yukleme testi: Yedek, gercekten geri donulebildigi test edilmediyse “yedek” sayilmaz.

Alastyr hosting paketlerinde gunluk yedekleme ve %99.9 uptime standardi sunulur; Izmir’deki kendine ait, N+1 yedekli ve Tier III standartlarinda kurulu veri merkezi, hem altyapi hem de yedekleme tarafinda surekliligi destekler. Trafigi yuksek magazalar icin tum kaynaklarin ayrildigi bir bulut sunucu veya VPS sunucu, yedekleme ve snapshot esnekligi acisindan paylasimli hostinge gore daha fazla kontrol verir.

4. Kritik Onlem: Guvenli Odeme, 3D Secure ve KVKK Uyumu

E-ticarette en hassas veri, odeme bilgisidir. Burada amac, kart verisini mumkun oldugunca kendi sunucunuzda hic tutmamaktir.

• 3D Secure: Kart sahibinin bankasi uzerinden ek dogrulama yaparak sahte islemleri ve sizin uzerinizdeki sorumlulugu azaltir.
• PCI DSS uyumlu odeme altyapisi: Sanal POS / odeme saglayicisi araciligiyla kart bilgisi dogrudan bankaya gider; siz kart numarasini saklamaz, dolayisiyla riski tasimazsiniz.
• KVKK uyumu: Kisisel veriler yalnizca acik riza ve mesru amac dahilinde, sifreli ve erisimi sinirli sistemlerde islenmeli; aydinlatma metni, cerez politikasi ve veri saklama sureleri net olmali.

Musteri verisinin Turkiye’de, KVKK kapsamindaki bir altyapida saklanmasi hem uyum hem de guven acisindan onemlidir. Alastyr, %100 Turk sermayeli bir saglayici olarak verilerinizi Izmir’deki kendi veri merkezinde barindirir ve TURKAK onayli ISO 9001 + ISO 27001 bilgi guvenligi yonetimi sertifikalarina sahiptir. Markanizin gorunen yuzu olan e-posta tarafinda ise e-posta hosting ile %100 KVKK uyumlu, yuksek inbox oranli bir mail altyapisi kullanabilirsiniz.

5. Kritik Onlem: Guncel Yazilim, Guclu Erisim ve 2FA

Saldirilarin buyuk cogunlugu sifir-gun aciklarindan degil, guncellenmemis eklenti ve temalardan kaynaklanir. Ozellikle WordPress + WooCommerce gibi populer altyapilarda her eklenti potansiyel bir kapidir.

• Cekirdek, tema ve eklentileri guncel tutun; kullanmadiginiz eklentiyi silin.
• Guclu, benzersiz sifreler ve yonetici paneline iki faktorlu dogrulama (2FA) kullanin.
• En az yetki ilkesi: Her kullaniciya yalnizca ihtiyaci kadar yetki verin.
• Guncel PHP surumu ve sunucu yazilimi kullanin; eski PHP hem yavas hem guvenliksizdir.

Alastyr altyapisinda CloudLinux + CageFS ile hesaplar birbirinden izole edilir, PHP surum secici ile guncel PHP’ye gecebilir, LiteSpeed + LSCache ile hem hiz hem kararlilik kazanirsiniz. WordPress tabanli magazalar icin optimize edilmis bir ortam isteyenler WordPress hosting paketlerini degerlendirebilir.

Bes Kritik Onlemin Ozet Tablosu

Guvenlik Kadar Onemli: Musteri Deneyimi ve Donusum

Site guvenli oldugunda, sira musteriyi elde tutmaya gelir. Asagidaki noktalar, ayni zamanda guven hissini de guclendirdigi icin koruma stratejisinin bir parcasidir:

• Mobil oncelik: Online alisverisin buyuk bolumu artik akilli telefondan yapiliyor. Mobil uyumlu olmayan bir site, donusumun onemli bir kismini daha ilk saniyede kaybeder.
• Sade odeme akisi: Gereksiz form alanlarini eleyin; e-posta veya telefonla hizli uyelik, sepet terkini azaltir.
• Acik iletisim ve kurumsal bilgi: Iletisim bilgileri, “Hakkimizda” ve aktif sosyal medya, ziyaretciye gercek bir isletmeyle muhatap oldugunu hissettirir.
• Iyi musteri hizmeti: Telefon ve e-posta destek hatti, sorun aninda musteriyi elde tutar.
• Saglikli SEO: Anlasilir menu, dogru indeksleme ve temiz URL yapisi hem gorunurlugu hem guvenligi destekler.

Tum bunlarin altyapisinda hizli ve kararli bir sunucu yatar; cunku yavas acilan bir sayfa, en iyi guvenlik onlemine ragmen musteriyi kaybettirir. Magazanizi buyutmeyi planliyorsaniz sunucu cozumleriyle olceklenebilir bir temele gecebilir, yeni bir proje icin alan adi sorgulama ile isinize uygun domaini hemen alabilirsiniz.

Sikca Sorulan Sorular

E-ticaret sitesi icin SSL sertifikasi zorunlu mu?

Pratikte evet. Kart ve kisisel veri isleyen bir sitede HTTPS olmadan calismak hem tarayici uyarilariyla musteri kaybettirir hem de KVKK ve PCI DSS uyumunu ihlal eder. Alastyr hosting paketleriyle ucretsiz SSL gelir; kurumsal magazalar OV veya EV sertifika tercih edebilir.

Magecart (e-skimming) saldirisi nedir ve nasil korunurum?

Magecart, odeme sayfasina enjekte edilen zararli JavaScript ile kart bilgilerini tarayicida calan bir saldiridir. Korunmak icin odeme sayfasindaki tum betikleri envantere alip Icerik Guvenlik Politikasi (CSP) ile yalnizca izinli betiklere izin verin, yazilimi guncel tutun ve kart bilgisini PCI DSS uyumlu odeme saglayicisi uzerinden alin.

DDoS saldirisina karsi ne yapabilirim?

DDoS, siteyi asiri trafikle erisilemez kilar. Korunmanin en etkili yolu, ag katmaninda saldiriyi soguran bir anti-DDoS hizmetidir. Alastyr altyapisinda Voxility tabanli 1 Tbps+ kapasiteli L3-L4 anti-DDoS koruma sunulur ve trafik filtrelenerek site ayakta tutulur.

E-ticaret sitemde yedekleme ne siklikla olmali?

En az gunluk otomatik yedek alinmali, yedek ayri bir konumda saklanmali ve geri yukleme periyodik olarak test edilmelidir. Siparis trafigi yuksek magazalarda daha sik yedek veya snapshot onerilir. Alastyr hosting paketlerinde gunluk yedekleme standart olarak sunulur.

Musteri kart bilgilerini kendi sunucumda saklamali miyim?

Hayir. En guvenli yontem, kart bilgisini hic saklamamaktir. 3D Secure ve PCI DSS uyumlu bir sanal POS / odeme saglayicisi kullanarak kart verisi dogrudan bankaya gider; boylece riski ve uyum yukunu uzerinizden alirsiniz.

KVKK acisindan e-ticaret sitemde nelere dikkat etmeliyim?

Kisisel verileri yalnizca acik riza ve mesru amac dahilinde isleyin; aydinlatma metni, cerez politikasi ve veri saklama surelerini net belirtin; verileri sifreli ve erisimi sinirli sistemlerde tutun. Verinin Turkiye’de, KVKK uyumlu bir altyapida saklanmasi uyumu kolaylastirir.

Paylasimli hosting mi yoksa sunucu mu daha guvenli?

Iyi yapilandirilmis paylasimli hostingde CageFS gibi izolasyon teknolojileri hesaplari birbirinden ayirir ve yuksek guvenlik saglar. Ancak trafigi cok yuksek veya ozel guvenlik ihtiyaci olan magazalar icin tum kaynaklarin ayrildigi VPS veya bulut sunucu, daha fazla kontrol ve esneklik sunar.

Hangi guvenlik onlemi en oncelikli?

Hepsi katmanli calisir, ancak ilk uc adim olarak: tum sitede gecerli SSL, gunluk yedekleme ve yazilimi guncel tutup yonetici paneline 2FA eklemek en yuksek etkiyi en dusuk eforla saglar. Ardindan WAF/DDoS ve PCI DSS uyumlu odeme ile katmanlari tamamlarsiniz.

Alastyr e-ticaret sitemi guvende tutmak icin ne sunuyor?

Alastyr; ucretsiz SSL, gunluk yedekleme, Imunify360 + CageFS ile malware koruma, Voxility tabanli 1 Tbps+ L3-L4 anti-DDoS, CloudLinux izolasyonu, guncel PHP surumleri ve ISO 27001 sertifikali, Izmir’deki kendi veri merkezinde KVKK uyumlu barindirma sunar; 7/24 destek ve %99.9 uptime ile.