Kapsamlı Web Güvenliği Rehberi (Güncel)

Kapsamlı Web Güvenliği Rehberi (Güncel)​

Web Sitenize Virüs Bulaştıysa: Adım Adım Temizlik ve Kalıcı Koruma (2025 Rehberi)​

1) İlk Müdahale: Zararın Yayılmasını Durdurun​

• Yedek alın: Dosyalar + veritabanı. Temizleme öncesi “kanıt” ve geri dönüş için şarttır.
• Yazma izinlerini kısıtlayın: Public upload dizinleri hariç yazma kapatın (geçici).
• Geçici bakım sayfası: Kullanıcılara durumun farkında olduğunuzu gösterin; itibar yönetimi.

2) Belirti ve İhlal Tiplerini Anlamak​

• Zararlı dosyalar: `index.php` içine enjekte base64/kod…
• Yetkisiz admin hesapları, şüpheli cron/jobs
• SEO spam (gizli link), yönlendirme, web shell (cmd.php)
• Sunucu uyarıları: Kaynak tüketim artışı, outbound mail spike

3) Tespit: Loglar, Tarayıcılar ve Skanner’lar​

• Loglar: access/error loglarında şüpheli istek desenleri (eval, upload)
• Malware tarama: ClamAV/Maldet (sunucu) + WPScan/JoomScan
• Diff yaklaşımı: Bilinen temiz çekirdek ile karşılaştırma
• Kontrol listesi: `/wp-content/uploads`, `/tmp`, `/cache`, `/vendor` gibi dizinleri tarayın

4) Temizlik: “Sıfırdan Doğru” Strateji​

• Çekirdeği yeniden kurun: WordPress/Joomla/Drupal çekirdeğini resmi kaynaktan baştan yazın
• Temalar/Eklentiler: Sadece güvenilir ve güncel sürümler; gerekirse lisanslı temiz kopyalar
• Upload dizini: Görsel/doküman dışı PHP dosyalarını silin; yürütme engelleyin (.htaccess)
• Config dosyaları: Tuzlar/anahtarlar (salts) yenilensin; admin parolalar sıfırlansın
• Veritabanı temizlik: Şüpheli seçenekler/meta alanları; bilinmeyen tabloları kaldırın

5) Kalıcı Koruma: Tekrarını Önleme​

• Güncelleme disiplini: Haftalık çekirdek/eklenti güncellemeleri
• WAF/Rate limit: Yönetim girişlerini ve hassas uçları koruyun
• 2FA ve IP sınırı: Admin paneli erişimini daraltın
• Yedekleme: Dış lokasyon + şifreli; geri yükleme tatbikatı
• İzinler ve sahiplik: 755/644; gereksiz yürütme izni yok

6) Paylaşımlı Hosting Özel Notları​

• Komşu hesaplardan bulaş riski; izole hesap talep edin
• PHP versiyonunu güncel tutun; eski sürümler saldırı yüzeyidir
• Panel kullanıcıları için ek 2FA

7) İletişim ve İtibar Yönetimi​

• Kullanıcılarınıza kısa bir bilgilendirme yapın
• Arama konsolu/antivirüs kara listelerini temizleyin
• Şeffaf süreç: “Temizlendi, önlemler alındı” mesajı

8) Sık Hatalar ve Dersler​

• Yalnızca dosya temizliği: Saatler içinde tekrar bulaşır; kök nedeni giderin
• Güncellemeyi ertelemek: Bilinen açıklar hedeflenir
• Yedeksiz işlem: Geri dönüşsüz veri kaybı riski

Mikro Vaka​

Basit Formül​

Kazanım = Yeni Met/Eski Met − 1

SSS​

• Nereden başlamalıyım? — En yüksek getirili alan.
  
• WAF gerekli mi? — Saldırı yüzeyi ve trafikle orantılı.
• Brute-force? — Rate limit ve 2FA ile azaltın.
• TLS sürümü? — Modern paket; HSTS preload.
• Zafiyet tarama? — Aylık otomatik ve manuel tur.
• Log analizi? — Anomali için alarm eşikleri.

Hızlı Kontrol Listesi​

• Saldırı Yüzeyi: Gereksiz servisleri kapat; varsayılanları değiştir
• WAF/Rate Limit: Brute-force ve botlara kural seti uygula
• TLS/HSTS: Modern paket; preload dahil et
• İzleme: Login başarısızlıkları ve 5xx için alarm kur

Örnek Uygulama​

İç Bağlantılar​

• https://dijitalpusula.net/konu/teknik-seo-web-sitenizin-performansini-nasil-iyilestirirsiniz.454/
• https://dijitalpusula.net/konu/seo-hizmeti-nedir.451/

Dış Kaynaklar​

• https://wordpress.org/documentation/article/hardening-wordpress/ — WordPress Hardening
• https://owasp.org/www-project-top-ten/ — OWASP Top 10

Özetle​