← Blog Yazılarına Dön
13 Temmuz 2026 4 dk okuma

Site Güvenliği Sorgulama: Web Siteniz Gerçekten Güvenli mi? (2026)

SSL kilidi görmek sitenizin güvenli olduğu anlamına gelmez. Site güvenliğini gerçekten sorgulamanın 8 yolu: SSL kontrolü, açık servisler, unutulmuş alt alan adları, CVE taraması ve daha fazlası.

Tarayıcınızda küçük bir kilit simgesi görmek, sitenizin güvenli olduğu anlamına gelmez. SSL sertifikası sadece veri iletiminin şifreli olduğunu gösterir; sunucunuzun dışarıdan görünen zafiyetleri, açık portları veya unutulmuş alt alan adlarınız hakkında hiçbir şey söylemez. Bu yazıda, müşteri projelerinde kullandığımız pasif analiz yöntemleriyle site güvenliğini gerçekten sorgulamanın yollarını açıklıyoruz.

Site güvenliği sorgulama ve SSL sertifika kontrolü

1. SSL/TLS Sertifika Kontrolü Yeterli mi?

İlk adım basit: sertifikanızın güncelliğini ve şifreleme protokolünüzün (TLS 1.2/1.3) doğru yapılandırıldığını kontrol edin. Eski protokoller (TLS 1.0/1.1) hâlâ aktifse, bu hem güvenlik hem de Google'ın güven sinyalleri açısından bir zafiyettir. Ancak SSL, güvenlik sorgulamasının sadece ilk adımıdır — tek başına yeterli değildir.

2. Dışarıdan Görünen Açık Servisler ve Portlar

Sunucunuzda ihtiyacınız olmayan bir port açık mı, eski bir yönetim paneli dışarıya sızıyor mu? Bunlar saldırganların ilk baktığı yerlerdir. Bu tür açık servisleri, Shodan gibi herkese açık tarama veritabanlarından pasif olarak görebilirsiniz. Doğru yapılandırılmış bir sunucu ve BT altyapısı, bu servisleri en baştan kapatarak saldırı yüzeyini daraltır.

3. Unutulmuş Alt Alan Adları

Çoğu işletme, yıllar önce test amaçlı açtığı bir alt alan adının (staging.siteniz.com gibi) hâlâ dışarıdan erişilebilir ve unutulmuş olduğunu bilmez. crt.sh üzerindeki sertifika şeffaflık kayıtları bu unutulmuş alt alan adlarını ortaya çıkarır ve müşteri analizlerinde en sık karşılaştığımız risk kalemidir.

Sunucu altyapısı ve ağ güvenliği izleme

4. Bilinen Güvenlik Açıkları (CVE) Taraması

Sunucunuzda çalışan yazılımların (CMS, sunucu yazılımı, eklentiler) güncel sürüm olup olmadığı, CIRCL CVE veritabanı gibi kaynaklarla bilinen güvenlik açıklarına karşı taranarak kontrol edilir. Hangi zafiyet türlerinin en sık istismar edildiğini görmek için OWASP Top 10 listesine göz atmanızı öneririz — güncel olmayan tek bir eklenti bile tüm sitenizin kapısı olabilir.

5. Sunucu ve Barındırma Altyapısının Rolü

Paylaşımlı ucuz hosting ile izole, Docker tabanlı bir sunucu mimarisi arasında güvenlik açısından ciddi fark vardır. Konteyner izolasyonu, düzenli yedekleme ve güvenlik duvarı kuralları gibi konuları Docker konteyner yönetimi ve güvenlik standartları yazımızda detaylı ele aldık.

6. Pasif Analiz mi, Aktif Sızma Testi mi?

Sitenizin dışarıya ne gösterdiğini görmek için pasif tarama (SSL Labs, Shodan, crt.sh gibi herkese açık kayıtları okuma) yeterlidir ve tamamen yasaldır. Doğrudan sunucunuza istek gönderen aktif port taraması ise izinsiz yapıldığında Türkiye'de TCK 243-244 kapsamında yasal risk taşır — bu yüzden güvenlik ön analizlerimizde sadece pasif yöntemler kullanıyoruz.

7. Güvenlik ile Teknik SEO Arasındaki Bağlantı

Güvenlik sadece bir risk yönetimi meselesi değildir. Yavaş, güvenilirliği düşük bir sunucu Core Web Vitals performansınızı da doğrudan etkiler; Google, güvenlik ve hız sinyallerini birlikte değerlendirir. Bu ikisi ayrı hizmet kalemleri gibi görünse de aslında aynı teknik SEO çalışmasının parçasıdır.

8. Bu Analizin Sınırları

Dürüst olmak gerekirse: pasif tarama her şeyi göstermez. Uygulama katmanındaki mantık hataları, yetkilendirme açıkları veya sosyal mühendislik riskleri gibi konular kapsam dışıdır ve ayrı, kapsamlı bir sızma testi (penetrasyon testi) gerektirir. Pasif analiz, düzenli bir ilk-uyarı sistemi olarak düşünülmeli — tek başına nihai bir güvenlik sertifikası değildir.

Gerçek Bir Örnek Üzerinden

Bilgi Özalit projesi, güvenlik ve sunucu altyapısının tasarımla birlikte nasıl planlandığına iyi bir örnektir: SSL yapılandırması, sunucu izolasyonu ve düzenli izleme, siteyle birlikte tek bir bütün olarak kurgulanmıştır — sonradan eklenen bir 'ek hizmet' değil.

Sonuç: Sorgulamadan Emin Olamazsınız

Sitenizin güvenli olduğunu varsaymak yerine sorgulamak, hem ziyaretçi güvenini hem de Google'daki görünürlüğünüzü korumanın en ucuz yoludur. Sitenizin şu anki durumunu görmek isterseniz ücretsiz güvenlik analizi aracımızla anında test edebilirsiniz.

Sıkça Sorulan Sorular

Site güvenliği sorgulama ücretsiz mi yapılabilir?
Evet, SSL Labs, crt.sh gibi pasif araçlarla ve ücretsiz güvenlik analizi aracımızla temel bir sorgulama tamamen ücretsizdir.

SSL sertifikam var, bu yeterli mi?
Hayır. SSL sadece veri iletimini şifreler; sunucu zafiyetleri, açık servisler ve unutulmuş alt alan adları ayrı bir risk kategorisidir.

Pasif tarama ile aktif tarama arasındaki fark nedir?
Pasif tarama, herkese açık kayıtları okur; sunucunuza doğrudan istek göndermez. Aktif tarama (port taraması gibi) izinsiz yapıldığında Türkiye'de yasal risk taşır.


Bu yazı, müşteri projelerinde web sitesi güvenliği ve sunucu altyapısı kurulumu yapan Resul Öztaş tarafından hazırlanmıştır.

// YAZAR & SİSTEM MİMARI

Resul Öztaş

Kıdemli BT Danışmanı & Altyapı Uzmanı

Kurumsal ağ yönetimi, sanallaştırma mimarileri (Proxmox, VMware), siber güvenlik (Fortigate Firewall) ve modern web teknolojileri (PHP, Laravel, Python) alanlarında uzmanlaşmış kıdemli bir sistem mimarı ve BT danışmanıdır. Arama motoru optimizasyonu (SEO) ve dönüşüm odaklı dijital pazarlama süreçlerinde işletmelere öncülük etmektedir.

// KAMPANYA 🔥 FIRSAT

%10 İndirim Fırsatını Yakalayın

Proje detaylarınızı girerek indirim oranınızı adınıza tanımlatın.

Neye ihtiyacınız var?

// İLETİŞİME GEÇİN

Benzer bir başarı hikayesi yazalım.

Reklamlarınızı optimize etmek, Laravel web uygulamanızı geliştirmek ya da sunucu altyapınızı güçlendirmek mi istiyorsunuz? Hemen konuşun.