WordPress SSL Kurulumu: 2025’in En Güncel Adım Adım Rehberi

WordPress sitenize SSL/TLS sertifikası kurmak, 2025’in dijital dünyasında artık temel bir güvenlik gerekliliği haline geldi. Modern tarayıcılar HTTPS olmayan siteleri ‘güvenli değil’ olarak işaretlerken, arama motorları da güvenli olmayan siteleri cezalandırıyor.

2025’te HTTPS protokolüne geçiş; kullanıcı güvenliği, SEO performansı ve Core Web Vitals optimizasyonu açısından kritik önem taşıyor. Google’ın sayfa deneyimi güncellemeleri, güvenli ve hızlı siteleri ödüllendiriyor.

SSL/TLS sertifikası, ziyaretçilerinizin tarayıcısı ile sunucunuz arasında end-to-end şifreli bağlantı kurarak; ödeme bilgileri, giriş kimlik bilgileri ve kişisel verileri siber saldırılara karşı korur. 2025’te bu koruma, KVKK/GDPR uyumluluğu için de zorunlu hale geldi.

WordPress SSL kurulumu öncesi bilinmesi gerekenler

SSL kurulumuna başlamadan önce aşağıdaki hazırlıkları yapmak, sorunsuz bir geçiş süreci yaşamanızı sağlayacaktır.

1. SSL Sertifikanızın Hazır Olduğundan Emin Olun

Günümüzde birçok hosting sağlayıcı otomatik SSL kurulumu sunuyor. Let’s Encrypt’in yanı sıra, ZeroSSL gibi alternatif ücretsiz SSL sağlayıcıları da bulunuyor.

2. Hosting Sağlayıcınızın SSL Desteğini Kontrol Edin

Tüm hosting firmaları SSL sertifikasını destekler. Ancak, özellikle paylaşımlı hosting planlarında bazı kısıtlamalar olabilir. Hosting panelinizde SSL yükleme seçeneği olup olmadığını kontrol edin.

3. WordPress Sitenizin Yedeklerini Alın

Herhangi bir önemli değişiklik öncesinde olduğu gibi, SSL kurulumundan önce de sitenizin tam yedeğini (dosyalar ve veritabanı) almanız şiddetle tavsiye edilir. Bu, bir şeyler ters giderse sitenizi hızlıca eski haline getirmenizi sağlar.

4. Karma İçerik (Mixed Content) Sorunlarına Hazırlıklı Olun

SSL kurulumundan sonra en sık karşılaşılan sorun, karma içerik uyarılarıdır. Bu, HTTPS ile yüklenen bir sayfada, HTTP üzerinden yüklenen resim, CSS veya JavaScript dosyası bulunması durumudur ve tarayıcıda “Güvenli Değil” uyarısına sebep olur.

Karma İçerik Sorunlarını Önlemek İçin:

• Veritabanındaki tüm HTTP bağlantılarını HTTPS olarak güncellemek için gerekli araçları (eklentiler veya arama/değiştirme script’leri) hazır bulundurun.
• Tema ve eklenti ayarlarında tam URL (http://örneksite.com) yerine, protokol bağımsız URL’ler (//örneksite.com) kullanın.

5. SEO ve Trafik Etkilerini Göz Önünde Bulundurun

HTTPS’ye geçiş bir “taşıma” işlemi olarak görüldüğü için, modern arama motoru algoritmaları kapsamında 301 yönlendirmelerini doğru yapmazsanız sıralamalarda geçici düşüşler yaşayabilirsiniz.

6. Tarayıcı ve Sertifika Uyumluluğunu Kontrol Edin

Edindiğiniz SSL sertifikasının modern tarayıcılar (Chrome, Firefox, Safari, Edge) tarafından tanındığından ve güvenilir olarak işaretlendiğinden emin olun.

7. Eklenti ve Tema Uyumluluğunu Kontrol Edin

Güncel WordPress sürümleri native HTTPS desteği sunsa da, eski eklentilerde uyumluluk sorunları yaşanabiliyor. Kurulum sonrası tüm formların ve API bağlantılarının HTTPS ile çalıştığını test edin.

Özet

SSL kurulumu öncesi yedek almak, karma içerik sorununa hazırlıklı olmak ve doğru yönlendirmeleri yapmak, sorunsuz bir geçişin anahtarıdır.

SSL Sertifikası Türleri ve Hangisini Seçmelisiniz?

Piyasada farklı doğrulama seviyelerine ve özelliklere sahip çeşitli SSL sertifikaları bulunur. İhtiyacınız olan sertifika türünü seçmek, hem bütçeniz hem de sitenizin güvenlik ihtiyacı açısından önemlidir.

1. Domain Validation (DV) SSL Sertifikası

Nedir: En temel ve hızlı alınan sertifika türüdür. Sadece alan adı sahipliğinizi doğrular, şirket bilgilerinizi kontrol etmez.

Kimler İçin Uygun: Kişisel bloglar, küçük çaplı bilgilendirme siteleri

Özellikler: Tarayıcıda yeşil kilit simgesi gösterir, genellikle aynı gün içinde temin edilebilir

2. Organization Validation (OV) SSL Sertifikası

Nedir: DV sertifikasına ek olarak, sertifika sağlayıcı kuruluşunuzun yasal ve fiziksel varlığını da doğrular.

Kimler İçin Uygun: Kurumsal firmalar, KOBİ’ler, e-ticaret siteleri

Özellikler: Sertifika detaylarında şirket bilgileriniz görüntülenir, güvenilirliği artırır

3. Extended Validation (EV) SSL Sertifikası

• Nedir: En kapsamlı doğrulama sürecine sahip, en üst düzey sertifikadır. Sıkı bir arka plan kontrolü içerir.
• Kim İçin Uygun: Büyük şirketler, bankalar, finans kuruluşları, ödeme sistemleri.
• Özellik: Tarayıcı adres çubuğunda şirket adınızı yeşil renkte gösterir. En yüksek güven sinyalini verir

4. Wildcard SSL Sertifikası

Nasıl Çalışır: Bir ana alan adı ve tüm alt alan adlarını (*.example.com şeklinde) kapsar

Kapsam Örneği: * example.com ✓
* blog.example.com ✓
* shop.example.com ✓
* admin.example.com ✓

Maliyet Avantajı: 5+ alt alan adınız varsa, ayrı ayrı almaktan daha ekonomik

5. Multi-Domain SSL Sertifikası (SAN SSL)

• Açıklama:
  Multi-Domain SSL sertifikaları, birden fazla alan adını tek bir sertifika altında korur. Subject Alternative Name (SAN) özelliği sayesinde farklı alan adları eklenebilir.
• Özellikler:
  • Birden fazla alan adı için tek bir sertifika.
  • Yönetim kolaylığı sağlar.
• Kullanım Alanları:
  • Birden fazla web sitesi yöneten işletmeler.
  • Farklı alan adlarına sahip projeler.
• Kimler İçin Uygun?
  • Çok sayıda alan adı kullanan şirketler için uygundur.

6. Let’s Encrypt (Ücretsiz SSL Sertifikası)

• Açıklama:
  Let’s Encrypt, ücretsiz ve otomatik SSL sertifikası sağlayan bir hizmettir. Genellikle hosting sağlayıcıları tarafından desteklenir.
• Özellikler:
  • Ücretsizdir.
  • Otomatik yenileme özelliği sunar.
  • Sadece DV (Domain Validation) sertifikası sağlar.
• Kullanım Alanları:
  • Küçük web siteleri ve bloglar.
  • Teknik olarak hassas olmayan içerik sunan siteler.
• Kimler İçin Uygun?
  • Bütçesi sınırlı olan ve temel güvenlik isteyen kullanıcılar için uygundur.

Hangi SSL Sertifikasını Seçmelisiniz?

2025 Trendleri: Günümüzde birçok site için Let’s Encrypt DV sertifikası yeterli olsa da, kurumsal kimlik önem taşıyan projelerde OV ve EV sertifikaları tercih ediliyor.

• Blog/Kişisel Site → Let’s Encrypt veya standart DV SSL
• Kurumsal Web Sitesi → OV SSL (müşteri güveni için)
• E-ticaret Sitesi → OV SSL veya EV SSL
• Finans/Banka Sitesi → EV SSL (zorunlu)
• Çoklu Alt Alan Adları → Wildcard SSL
• Birden Fazla Ana Alan Adı → Multi-Domain SSL

Sonuç
İhtiyacınız olan sertifika türü, sitenizin yapısına ve güvenlik ihtiyacınıza bağlıdır. Çoğu kişisel ve kurumsal site için Let’s Encrypt veya standart DV/OV sertifikası yeterli olacaktır. Önemli olan, HTTPS’siz sitenin modern web’de artık kabul edilemez olduğunu unutmamaktır.

Küçük ve Orta Ölçekli Web Siteleri İçin Let’s Encrypt Çözümü

SSL sertifikaları, Let’s Encrypt sayesinde artık herkes için erişilebilir hale geldi. Özellikle bütçesini verimli kullanmak isteyen küçük ve orta ölçekli web sitesi sahipleri ile blog yazarları için Let’s Encrypt vazgeçilmez bir çözüm sunuyor.

Let’s Encrypt’in Avantajları

Tamamen Ücretsiz

Kar amacı gütmeyen bir organizasyon olan Let’s Encrypt sayesinde SSL sertifikası için yıllık ücret ödemeniz gerekmez. Start-up’lar ve bireysel kullanıcılar için ideal.

Kolay ve Hızlı Kurulum

Modern hosting panellerinde (cPanel, Plesk) birkaç tıklama ile kurulabilir. Derin teknik bilgi gerektirmez.

Otomatik Yenileme

90 günlük sertifikalar otomatik olarak yenilenir. Süre dolması riski ortadan kalkar.

Güçlü Şifreleme

Ücretli sertifikalarla aynı seviyede (256-bit) şifreleme sunar. Temel güvenlik ihtiyaçlarınızı karşılar.

SEO Dostu

Google’ın HTTPS sıralama sinyalinden ücretsiz olarak yararlanırsınız.

Let’s Encrypt Hangi Siteler İçin İdeal?

• 📝 Kişisel Bloglar ve Portfolyolar Tek yönlü bilgi akışı olan, hassas veri toplamayan siteler için mükemmel
• 🏢 Küçük ve Orta Ölçekli İşletmeler Broşür niteliğindeki şirket sitelerinin temel güvenlik ihtiyacını karşılar
• 👥 Forumlar ve Topluluk Siteleri Kullanıcı giriş bilgilerinin güvenliği için yeterli koruma sağlar
• 🎯 SSL’ye Yeni Başlayanlar Kurulum kolaylığı sayesinde ideal bir başlangıç çözümü

Let’s Encrypt, birçok site için mükemmel bir çözümdür.

Kaynak: Let’s Encrypt

Let’s Encrypt Nasıl Kurulur? (Pratik Adımlar)

1. Hosting Panelinize Giriş Yapın cPanel, Plesk veya sağlayıcınızın panelini açın
2. SSL/TLS Bölümünü Bulun “Güvenlik” veya “Web Sitesi” başlığı altında yer alır
3. Let’s Encrypt Seçeneğini Seçin “Ücretsiz SSL Etkinleştir” veya benzeri butonu tıklayın
4. Alan Adınızı Seçin Sertifika yüklemek istediğiniz domaini listeden seçin
5. Kurulumu Başlatın “Kur” veya “Etkinleştir” butonuna tıklayın
6. WordPress URL’lerini Güncelleyin Ayarlar > Genel’den WordPress ve Site adreslerini https:// olarak güncelleyin
7. Yönlendirme ve Kontrolleri Yapın Really Simple SSL eklentisi veya .htaccess ile HTTPS yönlendirmesi yapın

Sonuç: Let’s Encrypt Sizin İçin Uygun mu?

Let’s Encrypt, interneti daha güvenli hale getirme misyonuyla çıkmış başarılı bir projedir. Küçük ve orta ölçekli web siteleri için ücretsiz, güvenilir ve pratik bir SSL çözümü sunar.

✅ Let’s Encrypt tercih edin eğer:

• Kişisel blog veya portfolyo siteniz varsa
• KOBİ web siteniz için temel güvenlik istiyorsanız
• Bütçe dostu bir çözüm arıyorsanız

❌ Premium SSL düşünün eğer:

• Bankacılık/finans sektöründeyseniz
• Yüksek düzeyde kurumsal doğrulama gerekiyorsa
• Özel garantiler ve sigorta ihtiyacınız varsa

Kontrol Paneli ile WordPress SSL Kurulumu

Hosting sağlayıcınızın kontrol paneli (cPanel, Plesk, DirectAdmin) üzerinden SSL kurulumu, en güvenli ve performanslı yöntemdir. Sertifika doğrudan sunucu seviyesinde yapılandırıldığı için maksimum uyumluluk ve hız sağlanır.

🎯 Hangi Paneli Kullanıyorsunuz?
Hosting firmanızın kullandığı paneli bilmiyorsanız, genellikle şu şekilde erişebilirsiniz:
* cPanel: alanadiniz.com/cpanel
* Plesk: alanadiniz.com:8443
* DirectAdmin: alanadiniz.com:2222

1. cPanel ile WordPress SSL Kurulumu

Adım 1: cPanel’e Giriş Yapın

Hosting sağlayıcınızın verdiği bilgilerle cPanel hesabınıza giriş yapınhttps://alanadiniz.com/cpanel

Adım 2: SSL/TLS Yöneticisini Bulun

Ana sayfada “GÜVENLİK” başlığı altında “SSL/TLS” ikonuna tıklayın

Adım 3: Sertifikanızı Seçin ve Kurun

Let’s Encrypt (Önerilen)

“Let’s Encrypt™ SSL” → Alan adınızı seçin → “Issue” butonuna tıklayınOtomatik yenilemeÜcretsiz

Satın Alınmış Sertifika

“SSL/TLS Yöneticisi” → “Sertifikaları Yükle ve Yönet” → Sertifika kodunu yapıştırın → “Sertifikayı Yükle”

Adım 4: Sitenizi Test Edin

Tarayıcınızda https://alanadiniz.com yazarak yeşil kilit simgesini kontrol edin

2. Plesk Panel ile WordPress SSL Kurulumu

1. Plesk’e giriş yapın – alanadiniz.com:8443
2. Websites & Domains sekmesinden alan adınızı seçin
3. SSL/TLS Sertifikaları bölümüne girin
4. Sertifika türünü seçin:
   • Let’s Encrypt: “Get it free” butonu → E-posta ve domainleri seçin → “Install”
   • Kendi Sertifikanız: “Sertifika Ekle” → CRT, KEY ve CA bundle’ı yapıştırın
5. Sertifikayı atayın: “Hosting Ayarları” → “Güvenlik” → Sertifikanızı seçin → Kaydedin

3. DirectAdmin ile WordPress SSL Kurulumu

DirectAdmin, hafif ve hızlı bir alternatif kontrol panelidir.

Adım 1: DirectAdmin’e Giriş Yapın
DirectAdmin panelinize giriş yapın.

Adım 2: SSL Sertifikası Yönetimine Girin
Ana sayfada, “SSL Sertifikaları” bağlantısına tıklayın.

Adım 3: Sertifika Oluşturun veya Yükleyin

• Let’s Encrypt: “Ücretsiz sertifika alın & otomatik olarak yenileyin: Let’s Encrypt” bölümüne gidin. Sertifika isteği için gerekli alanları doldurun ve “Save” butonuna tıklayın.
• Kendi Sertifikanız: “Özel bir sertifika yükleyin” bölümüne gidin. Sertifikanızı (CRT), özel anahtarınızı (KEY) ve CA sertifikasını (CABUNDLE) ilgili alanlara yapıştırın ve “Save” butonuna tıklayın.

⚠️ Son ve En Önemli Adım: WordPress Ayarlarını Güncelleyin

Bu adım atlanırsa, SSL çalışmaz!

WordPress URL’lerini HTTPS’e Çevirin

1. WordPress yönetici paneline girin (http://alanadiniz.com/wp-admin)
2. Ayarlar > Genel sekmesine gidin
3. Her iki URL alanını da https:// olarak güncelleyin
4. “Değişiklikleri Kaydet” butonuna tıklayın

💡 Not: Kaydettikten sonra sistem sizi otomatik olarak HTTPS giriş sayfasına yönlendirecektir.

Karma İçerik Sorunlarını Çözün

Aşağıdaki eklentilerden birini kurarak otomatik çözüm sağlayın:

Really Simple SSL

+ 5M+ aktif kurulum
+ Otomatik yönlendirme
+ Karma içerik çözümü

SSL Insecure Content Fixer

+ Gelişmiş tarama
+ Manuel çözüm seçenekleri
+ Database repair

🎉 Kurulum Tamamlandı!

cPanel, Plesk veya DirectAdmin üzerinden SSL kurulumu, teknik detaylarla uğraşmadan sitenizi HTTPS’e taşımanın en güvenli yoludur.

✅ Yapmanız Gerekenler:

• Kontrol panelinizde SSL sertifikasını kurun
• WordPress genel ayarlarını HTTPS olarak güncelleyin
• Karma içerik sorunları için eklenti kullanın
• Siteyi tarayıcıdan test edin

⚠️ Unutmayın: Sertifikayı kurduktan sonra WordPress ayarlarını güncellemek tarayıcılarda “Güvenli” görünmeniz için şarttır.

Cloudflare ile WordPress SSL Kurulumu

Cloudflare, ücretsiz SSL sertifikası sunmanın yanı sıra CDN ve güvenlik duvarı olarak da çalışan kapsamlı bir hizmettir. “Flexible SSL” özelliği sayesinde sunucunuzda SSL olmasa bile sitenizi HTTPS olarak gösterebilirsiniz.

🛡️ Güvenlik + Performans

Tek çözümde SSL, CDN ve DDoS koruması

💰 Tamamen Ücretsiz

SSL sertifikası için ek ücret ödemeniz gerekmez

⚡ Kolay Kurulum

Sunucu tarafında teknik bilgi gerektirmez

1. Cloudflare Hesabı Oluşturun ve Sitenizi Ekleyin

Adım 1: Hesap Açma

Cloudflare.com‘a gidin → “Sign Up” butonuna tıklayarak ücretsiz hesap oluşturun

Adım 2: Site Ekleme

Dashboard’da “Add a Site” butonuna tıklayın → Alan adınızı yazın

Adım 3: Plan Seçimi

“Free” planı seçin → SSL, CDN ve temel güvenlik özellikleri aktif olacak

💡 Not: Ücretsiz plan çoğu WordPress sitesi için yeterlidir

2. DNS Ayarlarınızı Cloudflare’e Yönlendirin

Bu en kritik adımdır – dikkatle takip edin!

1. DNS Kayıtlarını Onaylayın Cloudflare mevcut DNS kayıtlarınızı otomatik tarar. Tüm kayıtların doğru geldiğinden emin olun
2. Nameserver’ları Değiştirin Cloudflare’in verdiği nameserver’ları kopyalayın: chad.ns.cloudflare.com
   lucy.ns.cloudflare.com
3. Domain Sağlayıcınızda Güncelleyin GoDaddy, Namecheap vb. panelinizde nameserver’ları Cloudflare’den aldıklarınızla değiştirin
4. Yayılma Sürecini Bekleyin Değişikliğin global olarak yayılması 24-48 saat sürebilir

3. Cloudflare SSL/TLS Ayarlarını Yapılandırın

❌ Off

SSL devre dışı

Hem HTTP hem HTTPS çalışır ÖNERİLMEZ

🟡 Flexible

Ziyaretçi → Cloudflare: HTTPS
Cloudflare → Sunucu: HTTPKısmi Güvenlik

Sunucuda SSL olmayanlar için

🟢 Full

Ziyaretçi → Cloudflare: HTTPS
Cloudflare → Sunucu: HTTPSİyi

Sunucuda SSL olanlar için

🔒 Full (Strict)

Ziyaretçi → Cloudflare: HTTPS
Cloudflare → Sunucu: HTTPS + DoğrulamaEn Güvenli

Geçerli SSL sertifikası olanlar için

🎯 Tavsiyemiz:

Hemen “Flexible” ile başlayın, ardından sunucunuza Let’s Encrypt kurarak “Full (Strict)” moduna geçin.

4. WordPress Sitenizde Son Ayarları Yapın

WordPress URL’lerini Güncelleyin

1. WordPress admin paneline girin
2. Ayarlar > Genel sekmesine gidin
3. Her iki URL’yi de https:// olarak güncelleyin
4. “Değişiklikleri Kaydet” butonuna tıklayın

🛠️ Karma İçerik Sorunlarını Çözün

Aşağıdaki eklentilerden birini kurun:

Really Simple SSL

+ Otomatik HTTPS yönlendirmesi
+ Karma içerik çözümü
+ 5M+ aktif kurulum

Cloudflare

+ Resmi Cloudflare eklentisi
+ Gelişmiş ayarlar
+ Performans optimizasyonu

5. ✅ Sitenizi HTTPS ile Test Edin

🔍 Temel Test

Tarayıcıda https://siteniz.com yazarak yeşil kilit simgesini kontrol edin

📊 Detaylı Test

SSL Labs SSL Test aracı ile sertifikanızı detaylı analiz edin

🎉 Cloudflare Kurulumu Tamamlandı!

Cloudflare ile WordPress sitenize ücretsiz SSL, performans artışı ve güvenlik sağlamanın en pratik yolunu tamamladınız.

🚀 Sonraki Adımlar:

• Sunucunuza Let’s Encrypt kurun
• SSL modunu “Full (Strict)” yapın
• Cloudflare önbellek kurallarını optimize edin
• Güvenlik ayarlarını yapılandırın

SSL Sertifika Kurulumu Nasıl Kontrol Edilir?

SSL sertifikanızı kurduktan sonra her şeyin doğru çalıştığından emin olmak kritik öneme sahiptir. İşte kurulumunuzu test etmek için kullanabileceğiniz pratik yöntemler.

✅ Kontrol etmeniz gerekenler:

• Yeşil kilit simgesi görünüyor mu?
• Sertifika detayları doğru mu?
• Karma içerik sorunu var mı?
• SSL yapılandırması güvenli mi?

1. Tarayıcı Kontrolü (Temel ve Hızlı Kontrol)

Adım 1: Siteyi HTTPS ile Ziyaret Edin

Tarayıcınıza https://siteniz.com yazın ve enter’a basın

Adım 2: Kilit Simgesini Kontrol Edin

Adres çubuğunda kilit simgesi arayın:

Yeşil Kilit: SSL başarıyla kurulmuş

Sarı Ünlem + Kilit: Karma içerik sorunu var

Kırmızı Çarpı / “Güvenli Değil”: SSL kurulumu başarısız

Adım 3: Sertifika Detaylarını İnceleyin

1. Kilit simgesine tıklayın
2. “Sertifika geçerli” seçeneğine tıklayın
3. Aşağıdaki bilgileri kontrol edin:

Geçerli olduğu kişi: sitenizin adı

Veren: Let’s Encrypt, Sectigo, vs.

Geçerlilik Tarihleri: sürenin dolmadığından emin olun

2. SSL Labs Testi (İleri Seviye ve Kapsamlı Kontrol)

Qualys SSL Labs testi, sertifikanızın güvenlik durumunu derinlemesine analiz eder.

Testi Başlatın

1. SSL Server Test sitesine gidin
2. Sitenizin adresini yazın: www.siteniz.com
3. “Submit” butonuna tıklayın
4. Taramanın tamamlanmasını bekleyin (2-5 dakika)

Sonuçları Değerlendirin

A+ / A

Mükemmel! Güvenli yapılandırma

B

İyi – küçük iyileştirmeler gerekli

C

Orta – güvenlik açıkları var

D / E / F

Kritik – acil müdahale gerekli

🔍 Raporda Kontrol Edilecekler

📅 Sertifika Bilgileri

Geçerlilik süresi, imza algoritması

🛡️ Protokol Desteği

SSL v2/v3 gibi eski protokoller kapalı mı?

🔐 Şifre Paketleri

Güçlü şifreleme yöntemleri kullanılıyor mu?

⚡ OCSP Zımbalama

Performans için aktif mi?

🎯 Sonuç ve Eylem Planı

Senaryo 1: Mükemmel Sonuç

Tarayıcı: Yeşil kilit ✓
SSL Labs: A veya A+ notu ✓

🎉Eylem: Kurulum başarılı! Her şey yolunda.

Senaryo 2: Kısmen Başarılı

Tarayıcı: Yeşil kilit ✓
SSL Labs: B veya altı not ✗

🔧Eylem: SSL Labs raporundaki uyarıları hosting sağlayıcınıza iletin.

Senaryo 3: Başarısız Kurulum

Tarayıcı: Kilit yok veya hata ✗
SSL Labs: Test çalışmıyor ✗

🚨Eylem: Acilen hosting teknik desteği ile iletişime geçin.

💡 Profesyonel İpuçları

• Düzenli kontrol: Sertifikanızın süresini aylık kontrol edin
• Otomasyon: Let’s Encrypt sertifikaları otomatik yenilenir
• Monitoring: SSL durumunu izlemek için UptimeRobot gibi araçlar kullanın
• Yedekleme: Sertifika yenileme öncesi site yedeğini alın

WordPress HTTPS Yönlendirmesi Nasıl Yapılır?

SSL sertifikası kurmak işin yarısıdır. Kritik adım, tüm ziyaretçileri HTTPS sürümüne kalıcı olarak yönlendirmektir. Bu, güvenlik ve SEO için hayati öneme sahiptir.

🔒 Kullanıcı Güvenliği

Tüm trafik şifrelenmiş bağlantıya yönlendirilir

📈 SEO Avantajı

301 yönlendirmesi ile sıralama kaybı yaşamazsınız

🎯 Tutarlılık

Tüm kullanıcılar aynı güvenli sürümü görür

En İyi ve En Güvenli Yöntem: Sunucu Seviyesinde Yönlendirme

✅ Önerilen: Daha az kaynak kullanır, daha güvenlidir. İstekler WordPress’e ulaşmadan önce yönlendirilir.

1. cPanel ile HTTPS Yönlendirmesi

1. cPanel’e giriş yapın → alanadiniz.com/cpanel
2. “Domains” bölümünden “Redirects” ikonuna tıklayın
3. Ayarları yapılandırın: Type:Permanent (301)Redirect from:http://www.orneksiteniz.comRedirect to:https://www.orneksiteniz.comWildcard Redirect:❌ İşaretleme
4. “Add Redirect” butonuna tıklayın

2. Plesk Panel ile HTTPS Yönlendirmesi

1. Plesk panelinize giriş yapın
2. Yönlendirme yapmak istediğiniz domain’e tıklayın
3. “Hosting & DNS” → “Hosting Settings”
4. “Permanent SEO-safe 301 redirect from HTTP to HTTPS” kutusunu işaretleyin
5. “OK” butonuna tıklayın

💡 Not: Bu Plesk’in en temiz ve etkili çözümüdür

3. DirectAdmin ile HTTPS Yönlendirmesi

1. DirectAdmin panelinize giriş yapın
2. “Advanced Features” → “Redirects”
3. Ayarları yapılandırın: From:http://orneksiteniz.comTo:https://orneksiteniz.comType:Permanent (301)
4. “Create” butonuna tıklayın

Alternatif Yöntem: .htaccess Dosyası ile Yönlendirme

⚠️ ÇOK ÖNEMLİ UYARI

.htaccess dosyasını düzenlemeden önce MUTLAKA yedek alın. Küçük bir hata tüm sitenizin çalışmamasına neden olabilir!

📁 Dosyaya Erişim

1. FTP (FileZilla) veya hosting dosya yöneticisi ile kök dizine ulaşın
2. Gizli dosyaları gösterdiğinizden emin olun
3. .htaccess dosyasını bulun

✏️ Kodu Ekleme

Dosyanın EN ÜSTÜNE, # BEGIN WordPress etiketinden önce bu kodu ekleyin:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

🔍 Kod ne yapar? “Eğer bağlantı HTTPS değilse, aynı adresi HTTPS olacak şekilde kalıcı olarak (301) yönlendir”

WordPress Admin Panelde Son Kontroller

URL’leri Doğrulayın

1. WordPress Yönetici Paneli → Ayarlar > Genel
2. Her iki URL alanının da https:// ile başladığından emin olun:
   • WordPress Adresi (URL)
   • Site Adresi (URL)
3. “Değişiklikleri Kaydet” butonuna tıklayın

🔄 Yönlendirme Döngüsü Sorunları

🚨 Sorun: “Too many redirects” hatası

✅ Çözüm: Yönlendirmeyi sadece bir yerde yapın:

• Sunucu seviyesinde YÖNLEDİRME → Eklentideki yönlendirmeyi KAPATIN
• Veya tam tersi

Sonuç ve Test

✅ Yönlendirmeyi Test Edin

1. Tarayıcınızın gizli/anonim modunu açın
2. Sitenizin http:// ile başlayan adresini yazın
3. Enter’a basın ve otomatik olarak https:// versiyonuna yönlendirildiğinizi kontrol edin
4. Adres çubuğunda kilit simgesi görünmeli

🎉 Başarılı Kurulum!

Sunucu seviyesinde 301 yönlendirmesi, en temiz, en hızlı ve en güvenilir çözümdür. Arama motorları birkaç hafta içinde indekslerini güncelleyecek ve trafiğinizi sorunsuz şekilde HTTPS sürümünüze yönlendirecektir.

WordPress SSL Kurulumu Sonrası Karşılaşılabilecek Sorunlar ve Çözümleri

SSL’e geçiş her zaman sorunsuz olmayabilir. İşte en sık karşılaşılan sorunlar, nedenleri ve bunları hızla çözmenin yolları. Sorununuzu hızlıca bulmak için aşağıdaki tabloyu kullanın.

1. Karma İçerik Uyarıları (Mixed Content)

HTTPS ile yüklenen sayfada HTTP üzerinden kaynak bulunduğunda “Güvenli Değil” uyarısı verir.

Belirtiler:

🔓Kilit simgesi görünmez

⚠️Kilit yanında ünlem işareti

Çözüm Adımları:

⚡ Hızlı Çözüm

Really Simple SSL veya SSL Insecure Content Fixer eklentisini kurun

💡 Not: Bu eklentiler içerikleri gerçek zamanlı olarak HTTPS’e çevirir

🎯 Kalıcı Çözüm

Better Search Replace eklentisi ile veritabanını güncelleyin:

Aranacak: http://www.orneksiteniz.com

Değiştirilecek: https://www.orneksiteniz.com

⚠️ UYARI: İşlemden önce mutlaka veritabanı yedeği alın!

2. Sonsuz Yönlendirme Döngüsü (Too Many Redirects)

📋 Belirtiler:

ERR_TOO_MANY_REDIRECTS veya “Bu sayfa çok fazla yönlendirme yapıyor”

Çözüm Adımları:

🛠️ 1. Eklenti Çakışmasını Çözün

Really Simple SSL kullanıyorsanız, eklentinin yönlendirme özelliğini kapatın. Zaten sunucu seviyesinde yönlendirme yaptıysanız, eklentinin aynı işi tekrar yapmasına gerek yok.

☁️ 2. Cloudflare Kullanıcıları

Cloudflare’de “Flexible” modundaysanız, sunucunuzda da yönlendirme varsa döngü oluşur:

Flexible→Full veya Full (Strict)

🔗 3. WordPress URL’lerini Kontrol Edin

Ayarlar > Genel‘de her iki URL’nin de https:// ile başladığından emin olun

3. SSL Sertifikası Hatası

Belirtiler: Tarayıcı “Sertifika Geçerli Değil”, “NET::ERR_CERT_COMMON_NAME_INVALID” gibi korkutucu uyarılar gösterir.

Çözüm Adımları:

1. Alan Adı Eşleşmesi: Sertifikanın www’lu ve www’suz tüm varyasyonlar için geçerli olduğundan emin olun. www.orneksiteniz.com için alınan bir sertifika, orneksiteniz.com adresinde çalışmaz. Çözüm için Wildcard veya Multi-Domain sertifika alın.
2. Sertifika Zinciri (CA Bundle): Özellikle kendi sertifikanızı yüklediyseniz, sertifika yetkilisinin (CA) ara sertifikalarını (CA Bundle) doğru yüklediğinizden emin olun. Eksik ara sertifikalar bu hataya neden olur.
3. Sunucu Saati: Sunucunuzun tarih ve saati doğru değilse, sertifikanın geçerli olup olmadığı doğrulanamaz. Hosting panelinizden veya teknik destekle iletişime geçerek sunucu saatini kontrol edin.

4. HTTPS Bağlantısı Yavaş

Performans İyileştirmeleri:

⚡ HTTP/2 Etkinleştirin

Hosting sağlayıcınızdan HTTP/2 protokolünü etkinleştirmesini isteyin

Avantaj: HTTPS yükünü büyük ölçüde telafi eder

📌 OCSP Zımbalama (Stapling)

Sunucunuzda OCSP zımbalamanın etkin olduğundan emin olun

Avantaj: Sertifika doğrulama sorgularını azaltır

💾 Önbelleğe Alma

WP Rocket veya W3 Total Cache gibi önbellekleme eklentileri kullanın

Avantaj: Sunucu yükünü azaltır, hızı artırır

5. Eklenti veya Tema Uyumsuzlukları

Belirtiler: Sitenizin belirli bir özelliği (ödeme, form gönderme) çalışmıyor veya tema düzgün görüntülenmiyor.

Çözüm Adımları:

1. Tümünü Güncelle: Tüm WordPress eklentilerinizi ve temanızı en son sürümlere güncelleyin.
2. Çakışma Testi: Tüm eklentileri devre dışı bırakın ve temayı varsayılan bir WordPress temasına (Twenty Twenty-Four) geçin. Sorun düzelirse, eklentileri teker teker etkinleştirerek sorunlu olanı bulun.
3. Geliştiriciye Ulaşın: Sorunlu eklenti veya temanın geliştiricisine destek bileti açarak HTTPS ile uyumluluk sorunu yaşadığınızı bildirin.

Genel Öneriler ve Son Tavsiyeler

🔍 Tarayıcı Geliştirici Araçları

Chrome’da F12 → “Console” sekmesi karma içerik uyarılarını gösterir

📊 SSL Test Araçları

SSL Labs SSL Test ile A veya A+ notunu hedefleyin

🧪 Test Yöntemleri

Tarayıcı gizli modunda test yaparak önbellek sorunlarını önleyin

⏳ Sabırlı Olun

Yönlendirmelerin ve önbelleklerin temizlenmesi zaman alabilir

🎉 Sorun Giderme Başarısı

Bu adımları takip ederek SSL kurulumu sonrası çıkan sorunların büyük çoğunluğunu kısa sürede çözebilir ve sitenizi sorunsuz bir şekilde güvenli HTTPS’e taşıyabilirsiniz.

SSL Sertifikasının Performansa Etkisi ve Optimizasyon

SSL/TLS şifrelemesi küçük bir ek yük getirse de, modern teknolojiler ve doğru optimizasyonlarla bu etki minimuma indirilebilir. Hatta HTTP/2 gibi avantajlarla performansınızı artırabilirsiniz.

Performans Efsanesi: SSL Gerçekten Yavaşlatır mı?

🤔 Sanılan:

• SSL siteleri yavaşlatır
• CPU kullanımını artırır
• Kullanıcı deneyimini olumsuz etkiler

✅ Gerçek:

• Modern SSL optimizasyonları etkiyi minimalize eder
• HTTP/2 ile daha hızlı performans mümkün
• Güvenlik avantajları performans “bedelini” fazlasıyla haklı çıkarır

Performansa Etkisi: Teknik Detaylar

TLS El Sıkışması (Handshake)

+200-500msİlk bağlantıda

İlk ziyarette sunucu ve tarayıcı güvenli bağlantı kurar. Sonraki ziyaretlerde bu ek yük büyük ölçüde ortadan kalkar.

Şifreleme/Şifre Çözme

%1-2CPU artışı

Modern sunucular donanım hızlandırma kullandığından CPU etkisi minimaldir. Güncel işlemcilerde bu etki daha da azalır.

Algılanan Performans

≈0Hissedilen etki

HTTP/2 ve optimizasyonlarla SSL’in gecikmesi telafi edilir. Kullanıcılar güvenli bağlantının avantajını daha değerli bulur.

Performans Optimizasyonu: Adım Adım Rehber

HTTP/2’yi Etkinleştirin

En önemli optimizasyon! Dosyaları aynı anda aktararak SSL ek yükünü telafi eder.

🔧 Nasıl Yapılır:

• Hosting panelinizden etkinleştirin
• Teknik destekten talep edin
• Modern sunucuların çoğunda desteklenir

OCSP Zımbalama (Stapling)

Sertifika doğrulama sorgularını azaltır, bağlantı süresini kısaltır.

🔧 Nasıl Yapılır:

• Sunucu yapılandırmasında etkinleştirin
• Hosting sağlayıcınızdan talep edin
• Nginx/Apache konfigürasyonu gerektirir

TLS Oturum Önbelleği

Tekrarlayan ziyaretlerde el sıkışma sürecini atlar.

🔧 Nasıl Yapılır:

• Sunucu düzeyinde yapılandırılır
• Genellikle varsayılan olarak açıktır
• Yapılandırma kontrolü önerilir

CDN Kullanın

SSL sonlandırmayı CDN sunucularında yaparak yükü azaltın.

🔧 Nasıl Yapılır:

• Cloudflare, StackPath gibi CDN’lere kaydolun
• DNS ayarlarınızı CDN’e yönlendirin
• Ücretsiz başlangıç seçenekleri mevcut

İleri Seviye Optimizasyonlar

Kaynak Optimizasyonu

Şifrelenecek veri ne kadar küçükse, işlem o kadar hızlı olur:

✅Görselleri optimize edin (WebP formatı)

✅CSS/JS dosyalarını sıkıştırın ve birleştirin

✅GZip sıkıştırması kullanın

✅Önbellekleme stratejileri uygulayın

🛡️ Güvenlik ve Performans Dengesi

✅ Etkinleştirin:

• TLS 1.3 – En hızlı ve güvenli
• TLS 1.2 – Geniş destek
• Güçlü şifre paketleri

❌ Devre Dışı Bırakın:

• SSLv2, SSLv3 – Güvensiz
• TLS 1.0/1.1 – Eski ve yavaş
• Zayıf şifreler

Genel Öneriler ve Son Kontroller

Performans Test Araçları

GTmetrix– Detaylı performans analizi

Google PageSpeed Insights– Core Web Vitals ölçümü

WebPageTest– Gelişmiş performans testi

SSL Labs Test– SSL yapılandırma analizi

💻 Donanım Önerileri

Yoğun trafikli siteler için:

• Modern CPU – Daha hızlı şifreleme/şifre çözme
• Yeterli RAM – TLS oturum önbelleği için
• SSD depolama – Daha hızlı veri erişimi

🎉 Optimizasyon Sonuçları

SSL sertifikasının performans üzerindeki olumsuz etkisi, doğru yapılandırma ve modern protokollerle büyük ölçüde ortadan kaldırılabilir.

Ana Çıkarımlar:

HTTP/2 ile daha hızlı: HTTPS siteleri HTTP’den daha hızlı olabilir

Güvenlik öncelikli: Minimal performans etkisi güvenlik avantajlarına değer

Optimizasyon şart: Doğru yapılandırma ile maksimum performans

Önceliğiniz her zaman güvenlik olmalı, ardından bu rehberdeki optimizasyon adımlarını uygulayarak sitenizin son derece hızlı ve güvenli çalışmasını sağlamalısınız.

OCSP Zımbalama: Performans ve Gizlilik Optimizasyonu

OCSP Zımbalama (OCSP Stapling), web sitenizin hem performansını artıran hem de ziyaretçi gizliliğini koruyan kritik bir sunucu optimizasyonudur.

⚡Daha Hızlı Bağlantı

Tarayıcı ek sorgu beklemez

🕵️Gizlilik Koruma

Kullanıcı aktivitesi CA’ya gönderilmez

🛡️Güvenilirlik

CA sunucusu çökse bile bağlantı kesilmez

OCSP Zımbalama (OCSP Stapling) Nedir?

Normalde, bir tarayıcı (istemci) SSL sertifikanızı güvenilir bulduğunda, o sertifikanın iptal edilip edilmediğini kontrol etmek ister. Bunun için, her bağlantıda sertifika yetkilinizin (CA – Certificate Authority) OCSP (Online Certificate Status Protocol) sunucusuna bir sorgu gönderir.

Bu durumun iki büyük dezavantajı vardır:

1. Performans: Her yeni ziyaretçi için ekstra bir sorgu yapılması, bağlantının kurulma süresini (TLS handshake) yavaşlatır.
2. Gizlilik: Kullanıcının hangi siteyi ziyaret ettiği, CA’nın OCSP sunucusuna yapılan sorguyla açığa çıkar.

OCSP Zımbalama, bu sorunu şöyle çözer:
Sunucunuz, belirli aralıklarla (örneğin 24 saatte bir) sertifika durumunu CA’nın OCSP sunucusundan sizden bağımsız olarak sorgular ve alınan yanıtı “zımbalayarak” (iliştirerek) saklar. Bir tarayıcı bağlandığında, sertifikanızla birlikte bu önceden alınmış, taze ve imzalı OCSP yanıtını da sunarsınız. Tarayıcı, CA’ya sormaya gerek kalmadan sertifikanızın geçerli olduğunu bu zımbalanmış yanıtla doğrular.

Avantajları:

• Daha Hızlı Bağlantı: Tarayıcının ek bir sorgu beklemesi gerekmez.
• Gizlilik: Kullanıcı aktivitesi CA’ya gönderilmez.
• Güvenilirlik: CA’nın OCSP sunucusu çökmüş olsa bile, sunucunuzdaki önbelleklenmiş yanıt sayesinde bağlantılar kesilmez.

OCSP Zımbalama Nasıl Uygulanır?

Bu işlem büyük ölçüde sunucu düzeyinde yapılandırma gerektirir ve çoğu durumda hosting sağlayıcınızın teknik desteği ile iletişime geçmeniz gerekebilir.

1. Ön Koşulları Kontrol Edin

• Sunucu Desteği: Modern web sunucuları (Apache 2.3.3+, Nginx 1.3.7+) OCSP zımbalamayı destekler.
• Sertifika: Sertifikanız, OCSP sorgusu yapılabilen bir Sertifika Yetkilisi (Let’s Encrypt, Sectigo, DigiCert, vs.) tarafından verilmiş olmalıdır. Neredeyse tüm modern CA’lar bunu destekler.
• CA Kök Sertifikası: Sunucunuzda, sertifikanızı veren CA’nın kök ve ara sertifikalarının doğru yüklü olduğundan emin olun.

2. Sunucu Yapılandırması (Teknik Detay)

Apache için:
httpd-ssl.conf veya sanal host yapılandırma dosyanıza aşağıdaki direktifleri eklemeniz gerekir:

# OCSP önbellek dosyası için bir yol tanımla
SSLStaplingCache "shmcb:/path/to/stapling_cache(128000)"

# OCSP Zımbalama'yı etkinleştir
SSLUseStapling on

# Zımbalanmış yanıtın doğrulanmasını zorunlu kıl (isteğe bağlı, önerilir)
SSLStaplingStandardCacheTimeout 3600

Nginx için:
nginx.conf veya sunucu blok (server block) yapılandırma dosyanıza aşağıdaki direktifleri ekleyin:

ssl_stapling on;
ssl_stapling_verify on;

# OCSP doğrulaması için CA'nın kök/ara sertifikasının yolunu belirtin
ssl_trusted_certificate /path/to/your/trusted_ca_certificates.pem;

# OCSP sorgusu için DNS çözümleyici
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

3. Yapılandırmayı Test Edin ve Doğrulayın

1. Sunucuyu Yeniden Yükleyin: Yapılandırma değişikliklerini yaptıktan sonra Apache veya Nginx’i yeniden başlatın.
2. Komut Satırı ile Test: Sunucunuzda aşağıdaki OpenSSL komutunu çalıştırarak OCSP yanıtının geldiğini doğrulayabilirsiniz:bashopenssl s_client -connect yourdomain.com:443 -status -servername yourdomain.comÇıktıda OCSP response: successful veya benzeri bir ifade ve bir yanıt görüyorsanız, OCSP zımbalama çalışıyor demektir.
3. SSL Test Aracı ile Doğrula: En kolay yöntem, sitenizi Qualys SSL Labs test aracında test etmektir. Sonuç raporunda “OCSP stapling” başlığını arayın. Yanında “Yes” yazıyorsa, başarıyla yapılandırılmış demektir.

Sonuç

OCSP Zımbalama, güvenlikten ödün vermeden performansı ve gizliliği artıran profesyonel bir optimizasyondur. Kurulumu sunucu düzeyinde bir işlem gerektirse de, özellikle yoğun trafiğe sahip siteler için sağladığı fayda çok büyüktür. Hosting sağlayıcınızla iletişime geçerek veya sunucu yöneticinize danışarak bu optimizasyonu sitenize mutlaka uygulatın.

E-ticaret Siteleri için SSL’in Önemi ve PCI DSS Uyumluluğu

E-ticaret siteleri için SSL/TLS sertifikası sadece teknik bir gereklilik değil, aynı zamanda müşteri güveni, yasal uyumluluk ve iş sürekliliği açısından hayati öneme sahip stratejik bir yatırımdır. Özellikle kredi kartı bilgileri gibi hassas verileri işleyen e-ticaret platformları için SSL, modern dijital ticaretin olmazsa olmaz bileşenlerinden biridir.

E-ticaret Sitelerinde SSL’in Önemi

1. Müşteri Güveni ve Marka İtibarı

• Güven Göstergesi: Tarayıcı adres çubuğunda beliren kilit simgesi ve “Güvenli” ibaresi, müşterilerinize sitenizin güvenilir olduğuna dair görsel bir kanıt sunar
• Marka Değeri: Güvenli alışveriş deneyimi, müşterilerinizin markanıza olan güvenini pekiştirerek uzun vadeli müşteri ilişkileri kurmanızı sağlar
• Rekabet Avantajı: SSL sertifikası, sektörünüzdeki diğer oyunculardan sizi olumlu şekilde ayıran önemli bir rekabet avantajı sağlar

2. Veri Güvenliği ve Koruma

• Şifreleme Standardı: SSL/TLS, müşteri bilgilerini (kredi kartı numaraları, kişisel veriler, giriş bilgileri) 256-bit şifreleme ile korur
• Saldırı Önleme: Man-in-the-middle (ortadaki adam) saldırılarına karşı etkili koruma sağlayarak veri ihlali riskini minimize eder
• Veri Bütünlüğü: Verilerin transferi sırasında değiştirilmesini veya bozulmasını engeller

3. SEO ve Performans Avantajları

• Arama Motoru Sıralaması: Google, HTTPS kullanan sitelere arama sonuçlarında öncelik verdiğini açıkça belirtmiştir
• Trafik Artışı: Daha yüksek sıralamalar, organik trafikte ölçülebilir artışlar sağlar
• Sayfa Yükleme Hızı: HTTP/2 desteği ile modern tarayıcılarda sayfa yükleme sürelerinde iyileşme sağlar

4. Yasal ve Regülasyon Uyumu

• KVKK/GDPR Uyumluluğu: Kişisel verilerin korunması kanunlarına uyum için zorunludur
• Yasal Sorumluluk: Veri ihlali durumunda oluşabilecek yasal sorumlulukları sınırlandırır
• Sektörel Standartlar: E-ticaret sektöründe beklenen minimum güvenlik standardını karşılar

PCI DSS Uyumluluğu ve SSL

PCI DSS Nedir?

PCI DSS (Payment Card Industry Data Security Standard), kredi kartı bilgilerini işleyen, depolayan veya ileten tüm işletmeler için geçerli olan küresel bir güvenlik standardıdır. Ana hedefi, kart sahibi verilerinin güvenliğini sağlamak ve kart dolandırıcılığını önlemektir.

SSL’in PCI DSS Uyumluluğundaki Kritik Rolü

1. Veri İletim Güvenliği (Gereklilik 4)

• Şifreleme Zorunluluğu: Açık ağlardan kart sahibi verisi iletirken güçlü şifreleme kullanmak zorunludur
• TLS Protokolü: TLS 1.2 veya üzeri protokollerin kullanımı PCI DSS tarafından şart koşulur
• Güvenli İletişim: SSL/TLS, bu gerekliliği karşılamak için endüstri tarafından kabul gören tek teknolojidir

2. Ağ Güvenliği (Gereklilik 1 ve 2)

• Şifreli İletişim: SSL, ağ katmanında ek güvenlik sağlayarak güvenlik duvarları ve diğer ağ güvenlik önlemlerini destekler
• Veri Bütünlüğü: Verilerin iletilmesi sırasında değiştirilmediğini garanti eder

3. Düzenli Güvenlik Testleri (Gereklilik 11)

• Sertifika Yönetimi: SSL sertifikalarının düzenli olarak yenilenmesi ve yönetimi, PCI DSS denetimlerinin önemli bir parçasıdır
• Güvenlik Açığı Taramaları: SSL/TLS yapılandırması düzenli güvenlik testlerinde kontrol edilir

Uygulama Önerileri ve En İyi Uygulamalar

1. Sertifika Seçimi:
   • EV (Extended Validation) SSL sertifikaları e-ticaret için önerilir
   • Wildcard sertifikaları alt alan adları için ideal çözüm sunar
2. Teknik Yapılandırma:
   • TLS 1.3 veya 1.2 kullanımı
   • Güçlü şifreleme paketleri (cipher suites) yapılandırması
   • OCSP zımbalama etkinleştirilmesi
3. Sürekli İzleme:
   • Sertifika süre sonu takibi
   • Düzenli güvenlik testleri
   • SSL/TLS yapılandırma denetimleri
4. PCI DSS Denetim Hazırlığı:
   • SSL/TLS yapılandırma dokümantasyonu
   • Sertifika yönetim prosedürleri
   • Güvenlik olayı müdahale planı

Sonuç ve Eylem Planı

E-ticaret siteniz için SSL uygulaması sadece teknik bir detay değil, işinizin geleceği için kritik öneme sahip stratejik bir karardır. Aşağıdaki adımları izleyerek süreci yönetebilirsiniz:

1. Hemen Şimdi: SSL sertifikası edinin ve sitenizde etkinleştirin
2. İlk 30 Gün: Tüm içeriği HTTPS’e geçirin ve karma içerik sorunlarını çözün
3. İlk 90 Gün: PCI DSS uyumluluk denetimi için hazırlıklara başlayın
4. Sürekli: Güvenlik yapılandırmalarını düzenli olarak gözden geçirin ve güncelleyin

Unutmayın: SSL yatırımı, müşteri kaybı, yasal yaptırımlar ve itibar zararı risklerine kıyasla çok düşük maliyetli ve yüksek getirili bir koruma yöntemidir.

Önerilen Eylemler:

• EV SSL sertifikası temin edin
• TLS 1.3 desteğini etkinleştirin
• Düzenli güvenlik denetimleri planlayın
• PCI DSS uyumluluk sürecini başlatın

WordPress E-ticaret Siteleri için PCI DSS Uyumluluk Adımları

E-ticaret sitelerinde PCI DSS (Payment Card Industry Data Security Standard) uyumluluğu, sadece yasal bir gereklilik değil aynı zamanda müşteri güveni ve iş sürekliliği için kritik öneme sahiptir. WordPress ve WooCommerce kullanan e-ticaret siteleri için PCI DSS uyumluluğunu sağlamak için aşağıdaki kapsamlı adımları takip etmeniz gerekmektedir.

1. SSL Sertifikası Kurulumu ve Yapılandırması

TLS 1.2/1.3 Yapılandırması:

• En az TLS 1.2, tercihen TLS 1.3 kullanımı
• Güçlü şifreleme paketleri (cipher suites) yapılandırması
• Zayıf şifreleme algoritmalarının devre dışı bırakılması

HTTPS Zorunluluğu:

• Tüm site trafiğinin HTTPS üzerinden yönlendirilmesi
• HTTP Strict Transport Security (HSTS) header’ının eklenmesi
• Mixed Content sorunlarının tamamen çözülmesi

2. Güvenli Ödeme İşlemleri Yönetimi

PCI DSS Seviye Belirleme:

• Yıllık işlem hacmine göre uyumluluk seviyesinin belirlenmesi
• Self-Assessment Questionnaire (SAQ) tipinin seçilimi

Ödeme Verilerinin Yönetimi:

• Kredi kartı verilerinin asla sunucuda saklanmaması
• Tokenization sistemlerinin uygulanması
• PCI DSS uyumlu ödeme ağ geçitleri kullanımı (Stripe, PayPal)

Ödeme Sayfası Güvenliği:

• Hosted payment page kullanımı
• Iframe tabanlı ödeme çözümleri
• 3D Secure zorunluluğunun etkinleştirilmesi

3. WordPress Altyapı Güvenliği

Çekirdek Güncelleme Yönetimi:

• WordPress core’un en son kararlı sürümde tutulması
• Otomatik güvenlik güncellemelerinin etkinleştirilmesi
• Güncelleme öncesi test ortamı kullanımı

Eklenti ve Tema Güvenliği:

• Sadece güvenilir kaynaklardan eklenti ve tema kullanımı
• Kullanılmayan eklenti ve temaların kaldırılması
• Düzenli güvenlik taramaları ve güncellemeler

WooCommerce Özel Güvenlik:

• WooCommerce ve uzantılarının en son sürüme güncellenmesi
• Ödeme işlem loglarının güvenli şekilde saklanması
• Müşteri veri erişim kontrolleri

4. Güvenlik Duvarı ve Erişim Kontrolü

Web Uygulama Güvenlik Duvarı (WAF):

• Cloudflare WAF veya Sucuri Firewall kullanımı
• SQL injection ve XSS saldırılarına karşı koruma
• DDoS koruma yapılandırması

Erişim Kontrol Politikaları:

• İki faktörlü kimlik doğrulama (2FA) zorunluluğu
• Admin erişimlerinin IP bazlı kısıtlanması
• Rol bazlı erişim kontrol (RBAC) uygulanması

Veritabanı Güvenliği:

• WordPress tablo prefix’lerinin özelleştirilmesi
• Database erişim loglarının tutulması
• Düzenli veritabanı güvenlik taramaları

5. Loglama ve İzleme Sistemleri

Kapsamlı Log Yönetimi:

• Tüm admin girişlerinin loglanması
• Ödeme işlem loglarının şifrelenmesi
• 90 gün log saklama politikası

Gerçek Zamanlı İzleme:

• Anormal aktivite tespit sistemleri
• Brute force saldırı tespiti ve engelleme
• File integrity monitoring uygulaması

Güvenlik Olayı Müdahale:

• Incident response planının hazırlanması
• Düzenli güvenlik tatbikatları
• Acil erişim protokollerinin belirlenmesi

6. Düzenli Güvenlik Testleri ve Denetimler

Otomatik Güvenlik Taramaları:

• Haftalık vulnerability scanning
• Quarterly penetration testing
• Annual PCI DSS compliance scanning

Manuel Güvenlik Denetimleri:

• Code review ve security audit
• Configuration review
• Access control review

Üçüncü Taraf Denetimleri:

• Qualified Security Assessor (QSA) ile çalışma
• Internal Security Assessor (ISA) istihdamı
• Yıllık PCI DSS compliance validation

7. Politika ve Dokümantasyon

Güvenlik Politikaları:

• Information Security Policy
• Acceptable Use Policy
• Data Retention Policy

Eğitim ve Farkındalık:

• Düzenli güvenlik eğitimleri
• Phishing awareness training
• Social engineering protection

Sözleşme Yönetimi:

• Third-party service provider agreements
• Data processing agreements
• Service level agreements (SLAs)

Uyumluluk Takip ve Raporlama

Sürekli İzleme:

• Real-time compliance monitoring
• Automated compliance reporting
• Quarterly compliance reviews

Dokümantasyon:

• Evidence collection and retention
• Audit trail maintenance
• Compliance reporting

İyileştirme Planları:

• Remediation planning
• Corrective action tracking
• Continuous improvement processes

Sonuç ve Öneriler

WordPress e-ticaret siteleri için PCI DSS uyumluluğu sürekli bir süreçtir ve aşağıdaki adımlarla yönetilmelidir:

1. Hemen Başlayın: Mevcut durum değerlendirmesi yapın
2. Önceliklendirin: Risk bazlı bir yaklaşım benimseyin
3. Otomatikleştirin: Süreçleri mümkün olduğunca otomatik hale getirin
4. Dokümante Edin: Tüm çalışmaları belgeleyin
5. Sürekli İyileştirin: Düzenli olarak gözden geçirin ve geliştirin

Önemli Uyarı: PCI DSS uyumluluğu karmaşık bir süreçtir ve profesyonel danışmanlık almanız önerilir. Yukarıdaki adımlar genel bir rehber olup, özel durumunuz için uzman görüşü almalısınız.

Bu kapsamlı yaklaşım, WordPress tabanlı e-ticaret sitenizin hem PCI DSS gerekliliklerini karşılamasını hem de müşteri verilerinin güvenliğini etkin şekilde sağlamasını garantileyecektir.

WORDPRESS SSL KURULUMU SIKÇA SORULAN SORULAR