- Katılım
- 21 May 2023
- Mesajlar
- 466
- Tepki
- 16
- Puan
- 18
Web Güvenliği 2025: Net Kontrol Listesi
Güvenlik kontrol listesi, aynı maddeleri tekrar etmek için değil, bakım sırasında gözden kaçan işleri yakalamak için kullanılmalıdır. İyi hazırlanmış bir liste; erişim, güncelleme, yedek, formlar, loglar ve kullanıcı davranışlarını birlikte ele alır.
Bu rehber, forum ve küçük web projelerinde uygulanabilecek net bir güvenlik kontrol düzeni sunar. Her madde, teknik ekip olmasa bile site sahibinin takip edebileceği şekilde yazılmıştır.
Güncelleme: 2026-06-13
Erişim Kontrolü
İlk kontrol alanı hesap güvenliğidir. Yönetici, hosting, FTP/SFTP, veritabanı ve e-posta hesapları ayrı tutulmalıdır. Aynı parola birden fazla kritik hesapta kullanılmamalıdır. Geçici destek hesapları iş bitince kapatılmalıdır.
- Yönetici hesabı sayısı gerçekten gerekli mi?
- 2FA mümkün olan hesaplarda açık mı?
- Eski ekip üyelerinin erişimi kapatıldı mı?
- Parola yöneticisi kullanılıyor mu?
- Destek hesaplarının süresi ve amacı yazılı mı?
Yazılım ve Eklenti Kontrolü
Çekirdek yazılım, tema ve eklentiler güvenilir kaynaklardan gelmelidir. Her eklenti için görev, sürüm, kaynak ve uyumluluk notu tutulmalıdır. Kullanılmayan eklenti kapatılmalı veya kaldırılmalıdır.
Eklenti notu' Alıntı:
Yedek ve Geri Dönüş Kontrolü
Yedek yalnızca otomatik oluşan dosya değildir. Geri yüklenebilir olması gerekir. Forumlarda dosya ekleri, avatarlar, tema değişiklikleri ve veritabanı birlikte düşünülmelidir. Büyük güncelleme öncesi tam yedek alınmalı, yedek konumu not edilmelidir.
- Son dosya yedeği ne zaman alındı?
- Son veritabanı yedeği indirilebilir mi?
- Yedekten dönüş adımları yazılı mı?
- Yedek sadece aynı sunucuda mı duruyor?
Form ve Kullanıcı Davranışı Kontrolü
Kayıt formu, giriş ekranı, şifre sıfırlama, konu açma, dosya ekleme ve iletişim formları düzenli izlenmelidir. Ani spam üyelikleri, başarısız giriş artışı veya benzer kullanıcı adları erken uyarı olabilir.
Yeni üyeler için bağlantı paylaşımı, imza kullanımı ve dosya ekleme izinleri kademeli açılmalıdır. Böylece spam davranışı teknik açık oluşmadan sınırlandırılır.
HTTP ve Tarayıcı Başlıkları
HSTS, Referrer-Policy, Permissions-Policy, X-Content-Type-Options ve benzeri başlıklar tarayıcı davranışını düzenler. Bu başlıklar bir kez ayarlanıp unutulmamalıdır. Tema, cache, CDN veya sunucu kuralı değiştikten sonra tekrar kontrol edilmelidir.
Log ve Olay Takibi
Loglar okunmuyorsa sadece yer kaplar. Başarısız girişler, yönetici işlemleri, eklenti hataları ve olağan dışı dosya davranışları belirli aralıklarla kontrol edilmelidir. Bir olay yaşandığında ilk 30 dakikada yapılacak işler kısa bir notta bulunmalıdır.
Haftalık Mini Rutin
Kontrol listesini sürdürülebilir kılmak için haftalık kısa rutin yeterlidir. Pazartesi güncelleme ve eklenti durumu, çarşamba kayıt ve spam davranışı, cuma yedek ve log notları kontrol edilebilir. Bu ritim küçük görünür ama sorun anında büyük zaman kazandırır.
Kontrol Sonucunu Not Edin
Kontrol listesi uygulandıktan sonra kısa bir sonuç kaydı tutulmalıdır. Bu kayıtta tarih, kontrol eden kişi, bulunan sorun, yapılan işlem ve bekleyen karar yer alır. Böylece güvenlik çalışması hatırlanmaya değil, kayda dayanır. Özellikle birden fazla yönetici veya moderatör varsa bu küçük kayıt ekip içi karışıklığı azaltır.
Notlar uzun olmak zorunda değildir. "Eklenti güncel, yedek indirildi, iki spam kayıt silindi, şifre sıfırlama testi başarılı" gibi tek satırlık özet bile sonraki bakımda yol gösterir.
İç Bağlantılar
- Web güvenliği için 7 uygulanabilir adım
- Web güvenliği hataları ve çözümleri
- Web güvenliği bakım rutini
Dış Kaynaklar
- OWASP Top 10 - Kritik web uygulaması risklerini anlamak için.
- OWASP HTTP Headers Cheat Sheet - HTTP güvenlik başlıkları için pratik referans.
SSS
- Bu kontrol listesi ne sıklıkla uygulanmalı? Küçük sitelerde haftalık kısa kontrol, aylık kapsamlı gözden geçirme yeterli olur.
- En kritik madde hangisi? Erişim, yedek ve güncelleme üçlüsü önce gelmelidir.
- Her eklenti risk midir? Her eklenti bakım sorumluluğu getirir; gereksiz olanlar kaldırılmalıdır.
- Logları kim incelemeli? Teknik sorumlu veya yönetici, en azından olağan dışı artışları takip etmelidir.
- Spam güvenlik kontrolüne dahil mi? Evet. Spam davranışı kullanıcı güveni ve moderasyon yükünü doğrudan etkiler.
Özetle
Web güvenliği kontrol listesi; hesaplar, yazılım, yedek, formlar, başlıklar ve loglar birlikte izlendiğinde işe yarar. Listeyi kısa tutun, düzenli uygulayın ve her bakımda küçük not bırakın.
Başlangıç Rotasında Oku
Bu konu, Web Güvenliği Başlangıç Rotası içindeki adımlardan biridir. Rotayı baştan sona takip ederseniz hesap, güncelleme, yedek, HTTPS, izleme ve hata çözüm kontrollerini sıralı bicimde tamamlayabilirsiniz.Hız kadar güven de şart - hazırlıklı kalın
Ekli dosyalar
Son düzenleme:
