WordPress sitelerinde SSL kullanımı, kullanıcı verilerinin korunması ve arama motorlarında daha iyi sıralamalar elde edilmesi açısından kritik öneme sahiptir. SSL (Secure Sockets Layer) sertifikaları, web sitelerinin güvenliğini sağlamak için kullanılan önemli bir teknolojidir.
Bu makalede, WordPress SSL kurulumu nasıl yapılacağını adım adım açıklayacağız.
WordPress SSL kurulumu öncesi bilinmesi gerekenler
SSL kurulumuna başlamadan önce, aşağıdaki noktaları göz önünde bulundurmanız önemlidir:
- SSL sertifikanızın olduğundan emin olun. Ücretsiz (Let’s Encrypt) veya ücretli bir sertifika kullanabilirsiniz.
- Hosting sağlayıcınızın SSL desteği sunduğundan emin olun.
- WordPress sitenizin yedeklerini alın.
- SSL kurulumu sonrası bazı içeriklerinizin “karma içerik” uyarısı verebileceğini unutmayın.
SSL Sertifikası Türleri ve Hangisini Seçmeli?
SSL sertifikaları, web sitelerinin güvenliğini sağlamak için kullanılan dijital belgelerdir. Farklı ihtiyaçlara yönelik çeşitli SSL sertifika türleri bulunmaktadır. İşte en yaygın SSL sertifika türleri ve hangisini seçmeniz gerektiğine dair bilgiler:
SSL Sertifikası Türleri
Sertifika Türü | Doğrulama Seviyesi | Özellikler | Uygun Olduğu Durumlar |
---|---|---|---|
Domain Validated (DV) | Düşük | En hızlı ve en ucuz | Kişisel bloglar, küçük web siteleri |
Organization Validated (OV) | Orta | Şirket bilgileri doğrulanır | Orta ölçekli işletmeler, e-ticaret siteleri |
Extended Validation (EV) | Yüksek | Kapsamlı şirket doğrulaması | Büyük e-ticaret siteleri, finansal kurumlar |
Wildcard SSL | Orta | Birden fazla alt domain | Çok sayıda alt domain kullanan siteler |
Multi-Domain SSL (UCC/SAN) | Orta | Birden fazla farklı domain | Birden fazla domain adı olan şirketler |
Hangisini Seçmeliyim?
- Kişisel blog veya küçük web sitesi için: DV SSL yeterli olacaktır.
- Orta ölçekli işletme veya e-ticaret sitesi için: OV SSL iyi bir seçenek olabilir.
- Büyük e-ticaret sitesi veya finansal kurum için: EV SSL en uygun seçenek olacaktır.
- Çok sayıda alt domain kullanan site için: Wildcard SSL maliyet etkin bir çözüm sunabilir.
- Birden fazla farklı domain adına sahip şirket için: Multi-Domain SSL tercih edilebilir.
Sonuç olarak, SSL sertifikası seçerken web sitenizin amacını, bütçenizi ve güvenlik gereksinimlerinizi göz önünde bulundurmanız önemlidir. Eğer hala emin değilseniz, bir güvenlik uzmanına danışmanız faydalı olabilir.
Let’s Encrypt: Ücretsiz SSL
Yukarıdaki seçeneklere ek olarak, özellikle küçük ve orta ölçekli web siteleri için Let’s Encrypt‘i öneririz:
- Özellikleri:
- Ücretsiz SSL sertifikası sağlar
- Domain Validated (DV) SSL türündedir
- Otomatik yenileme özelliği (genellikle 90 günde bir)
- Açık kaynak ve topluluk destekli bir projedir
- Avantajları:
- Tamamen ücretsizdir
- Kurulumu ve yönetimi kolaydır (birçok hosting sağlayıcısı otomatik kurulum sunar)
- HTTPS’i yaygınlaştırmayı amaçlar
- Dezavantajları:
- Sadece DV SSL sağlar (OV veya EV SSL sunmaz)
- 90 günlük kısa sertifika süresi (ancak otomatik yenileme ile bu sorun değildir)
Let’s Encrypt, özellikle bütçe kısıtlaması olan veya SSL’i yeni deneyecek web siteleri için mükemmel bir seçenektir. Birçok WordPress hosting sağlayıcısı, Let’s Encrypt sertifikalarını otomatik olarak kurup yönetme imkanı sunar, bu da SSL kullanımını oldukça kolaylaştırır.
Kontrol paneli ile WordPress SSL kurulumu
Hosting sağlayıcınızın kontrol paneline bağlı olarak SSL kurulum adımları değişebilir. İşte en yaygın kontrol panelleri için adımlar:
cPanel WordPress SSL Kurulumu
- cPanel’e giriş yapın.
- “SSL/TLS” veya “Security” bölümünü bulun.
- “Install and Manage SSL for your site (HTTPS)” seçeneğine tıklayın.
- Domain adınızı seçin ve “Install Certificate” butonuna tıklayın.
- Sertifika bilgilerini girin veya otomatik kurulum için “Auto SSL” seçeneğini kullanın.
- Kurulumu tamamlayın ve sitenizi HTTPS ile test edin.
Plesk WordPress SSL Kurulumu
- Plesk kontrol paneline giriş yapın.
- “Websites & Domains” sekmesine gidin.
- İlgili domain için “Secure Your Site” veya “SSL/TLS Certificates” seçeneğini bulun.
- “Add SSL/TLS Certificate” butonuna tıklayın.
- Sertifika bilgilerini girin veya Let’s Encrypt gibi ücretsiz bir sertifika seçin.
- Kurulumu tamamlayın ve sitenizi HTTPS ile test edin.
DirectAdmin WordPress SSL Kurulumu
- DirectAdmin kontrol paneline giriş yapın.
- “SSL Certificates” bölümüne gidin.
- “Create/Request SSL Certificate” seçeneğine tıklayın.
- Sertifika bilgilerini doldurun veya Let’s Encrypt seçeneğini kullanın.
- Sertifikayı oluşturun ve etkinleştirin.
- Sitenizi HTTPS ile test edin.
Cloudflare WordPress SSL kurulumu
Cloudflare, SSL sertifikası sağlayan popüler bir CDN ve güvenlik hizmetidir. İşte Cloudflare ile SSL kurulumu adımları:
- Cloudflare hesabı oluşturun ve sitenizi ekleyin.
- DNS ayarlarınızı Cloudflare’in name server’larına yönlendirin.
- Cloudflare dashboard’unda “SSL/TLS” sekmesine gidin.
- SSL modunu seçin (genellikle “Flexible” veya “Full” önerilir).
- “Always Use HTTPS” seçeneğini aktifleştirin.
- WordPress sitenizde gerekli ayarlamaları yapın (admin panelinden HTTPS’i zorunlu kılma gibi).
SSL sertifika kurulumu kontrolü nasıl yapılır?
SSL kurulumunuzun başarılı olup olmadığını kontrol etmek için:
- Tarayıcınızın adres çubuğundaki kilit simgesini kontrol edin.
- https://www.ssllabs.com/ssltest/ adresinden sitenizi test edin.
- Chrome DevTools’u açın ve Console sekmesinde karma içerik uyarılarını kontrol edin.
WordPress HTTPS Yönlendirmesi Nasıl Yapılır?
HTTPS yönlendirmesi, sitenizin her zaman güvenli bağlantı kullanmasını sağlar. Bu, HTTP üzerinden gelen tüm trafiği otomatik olarak HTTPS’e yönlendirir.
WordPress SSL Kurulumu sonrası farklı yöntemlerle nasıl yapılacağı:
cPanel HTTPS Yönlendirmesi Nasıl Aktif Edilir?
- cPanel’de “Security” bölümüne gidin.
- “SSL/TLS Status” seçeneğini bulun.
- İlgili domain için “Always redirect to HTTPS” veya benzer bir seçeneği aktifleştirin.
Plesk Panel HTTPS Yönlendirmesi Nasıl Aktif Edilir?
- Plesk’te ilgili domain ayarlarına gidin.
- “Hosting Settings” bölümünü bulun.
- “Permanent SEO-safe 301 redirect from HTTP to HTTPS” seçeneğini işaretleyin.
DirectAdmin’de HTTPS Yönlendirmesi Nasıl Aktif Edilir?
- DirectAdmin’de “Advanced Features” bölümüne gidin.
- “HTAccess Editor” seçeneğini bulun.
- Aşağıdaki kodu ekleyin ve kaydedin:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
.htaccess ile HTTPS Yönlendirmesi Nasıl Yapılır?
WordPress root dizinindeki .htaccess dosyasına şu kodu ekleyin:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>
WordPress Admin Panelde HTTPS Ayarları Nasıl Yapılır?
- WordPress admin paneline giriş yapın.
- “Ayarlar” > “Genel” bölümüne gidin.
- “WordPress Adresi (URL)” ve “Site Adresi (URL)” alanlarını “https://” ile başlayacak şekilde güncelleyin.
- Değişiklikleri kaydedin.
- Sitenizi test edin ve gerekirse veritabanında kalan HTTP URL’leri güncelleyin.
Bu adımları takip ederek WordPress sitenize başarıyla SSL kurulumu yapabilir ve tüm trafiği HTTPS’e yönlendirebilirsiniz. SSL kurulum ve HTTPS yönlendirmesi sonrası sitenizi dikkatlice test etmeyi ve herhangi bir sorunla karşılaşırsanız hosting sağlayıcınızla iletişime geçmeyi unutmayın.
WordPress SSL Kurulumu Sonrası Karşılaşılabilecek Sorunlar ve Çözümleri
SSL sertifikasını başarıyla kurduktan sonra bile bazı sorunlarla karşılaşabilirsiniz. İşte en yaygın sorunlar ve bunların çözümleri:
1. Karma İçerik Uyarıları
Karma içerik problemi: Sitenizde hem HTTP hem de HTTPS içerik bulunduğunda tarayıcılar karma içerik uyarısı verir.
Çözüm:
- WordPress admin panelinden “Ayarlar > Genel” bölümüne gidin ve site URL’lerini HTTPS olarak güncelleyin.
- Veritabanınızdaki tüm HTTP bağlantılarını HTTPS’e çevirmek için bir SQL sorgusu veya “Better Search Replace” gibi bir eklenti kullanın.
- Tema ve eklenti dosyalarınızda sabit kodlanmış HTTP URL’lerini kontrol edin ve güncelleyin.
2. Sonsuz Yönlendirme Döngüsü
Sonsuz yönlendirme problemi: Site sürekli olarak HTTP ve HTTPS arasında yönlendirme yapıyor.
Çözüm:
- .htaccess dosyanızı kontrol edin ve yönlendirme kurallarının doğru olduğundan emin olun.
- WordPress ayarlarınızda site URL’lerinin doğru olduğunu kontrol edin.
- Yönlendirme yapan eklentileri geçici olarak devre dışı bırakın ve sorunu tekrar kontrol edin.
3. SSL Sertifikası Hatası
SSL geçersiz problemi: Tarayıcı, SSL sertifikanızın geçersiz olduğunu söylüyor.
Çözüm:
- Sertifikanızın süresi dolmamış olduğundan emin olun.
- Sertifikanın doğru domain için verildiğini kontrol edin (www ve non-www versiyonları dahil).
- Sunucunuzun tarih ve saat ayarlarının doğru olduğundan emin olun.
4. HTTPS Bağlantısı Yavaş
Sorun: SSL etkinleştirildikten sonra site yüklenme hızı düştü.
Çözüm:
- HTTP/2 protokolünü etkinleştirin (hosting sağlayıcınızla görüşün).
- SSL önbelleğe almayı etkinleştirin.
- CDN (İçerik Dağıtım Ağı) kullanmayı düşünün.
- Sitenizi optimize edin (resim boyutlarını küçültme, gereksiz eklentileri kaldırma vb.).
5. SSL Padlock (Kilit) Simgesi Görünmüyor
SSL simge problemi: HTTPS etkin olmasına rağmen tarayıcıda güvenli bağlantı simgesi (kilit) görünmüyor.
Çözüm:
- Tüm sayfa kaynaklarının (resimler, scriptler, CSS dosyaları) HTTPS üzerinden yüklendiğinden emin olun.
- Sayfanızdaki harici kaynakları (reklam kodları, sosyal medya widget’ları vb.) kontrol edin ve mümkünse HTTPS versiyonlarını kullanın.
6. Eklenti veya Tema Uyumsuzlukları
Problem: Bazı eklentiler veya tema SSL ile düzgün çalışmıyor.
Çözüm:
- Eklentileri ve temayı güncelleyin.
- Sorun devam ederse, eklenti veya tema geliştiricisiyle iletişime geçin.
- Geçici bir çözüm olarak, soruna neden olan eklentiyi alternatif bir eklentiyle değiştirmeyi düşünün.
7. SEO ve Analitik Sorunları
Sorun: SSL geçişi sonrası SEO sıralamaları düştü veya analitik verileri karışık.
Çözüm:
- Google Search Console’da hem HTTP hem de HTTPS versiyonlarını doğrulayın ve site haritanızı güncelleyin.
- 301 yönlendirmelerinin doğru şekilde yapılandırıldığından emin olun.
- Google Analytics ayarlarınızı güncelleyin ve gerekirse yeni bir mülk oluşturun.
Genel Öneriler:
- SSL kurulumu öncesinde sitenizin tam bir yedeğini alın.
- Değişiklikleri önce bir test ortamında deneyin.
- SSL geçişini düşük trafik saatlerinde yapmayı tercih edin.
- Sorunları tespit etmek için tarayıcının geliştirici araçlarını kullanın.
- SSL kontrolü için online SSL kontrol araçlarından faydalanın (örn. SSL Labs, WhyNoPadlock).
Bu sorunlarla karşılaşırsanız, adım adım çözüm önerilerini uygulayın. Eğer sorun devam ederse, hosting sağlayıcınızla veya bir WordPress uzmanıyla iletişime geçmekten çekinmeyin.
SSL Sertifikasının Performansa Etkisi ve Optimizasyon
SSL sertifikaları, web sitelerinizin güvenliğini artırırken aynı zamanda performansı da etkileyebilir. İşte SSL’in performansa etkisi ve bu etkiyi minimize etmek için yapabileceğiniz optimizasyonlar:
SSL’in Performansa Etkisi
- İlk Bağlantı Kurulumu: SSL handshake işlemi, ilk bağlantı kurulumunda ek birkaç milisaniye ekleyebilir.
- CPU Kullanımı: SSL şifreleme ve şifre çözme işlemleri, sunucu ve istemci tarafında ek CPU kullanımına neden olur.
- Bant Genişliği: SSL sertifikaları, iletilen veri miktarını çok az artırır (genellikle %2’den az).
- Algılanan Hız: Modern donanım ve optimizasyonlarla, kullanıcılar genellikle belirgin bir hız farkı algılamazlar.
SSL Performans Optimizasyonu
1. HTTP/2 Kullanımı
- Nedir? HTTP/2, web sayfalarının yükleme hızını artıran modern bir protokoldür.
- HTTP/2 Nasıl Uygulanır?
- Hosting sağlayıcınızla iletişime geçerek HTTP/2 desteğini etkinleştirin.
- Sunucunuzda Apache veya Nginx kullanıyorsanız, ilgili modülleri etkinleştirin.
2. OCSP Zımbalama (OCSP Stapling)
- Nedir? OCSP zımbalama, SSL sertifika doğrulama sürecini hızlandırır.
- OCSP Zımbalama Nasıl Uygulanır?
- Sunucu yapılandırmanızda OCSP zımbalamayı etkinleştirin.
- Apache için:
SSLUseStapling on
- Nginx için:
ssl_stapling on;
3. SSL Oturum Önbelleğe Alma
- Nedir? SSL oturumlarını önbelleğe alarak tekrar eden bağlantıları hızlandırır.
- Nasıl Uygulanır?
- Apache için:
SSLSessionCache
- Nginx için:
ssl_session_cache
- Apache için:
4. CDN (İçerik Dağıtım Ağı) Kullanımı
- Nedir? CDN, statik içeriği kullanıcıya yakın sunuculardan dağıtarak yükleme hızını artırır.
- Nasıl Uygulanır?
- Cloudflare, MaxCDN gibi CDN hizmetlerinden birini seçin.
- WordPress için WP Rocket veya W3 Total Cache gibi CDN entegrasyonu sağlayan eklentileri kullanın.
5. Sunucu Tarafı Önbelleğe Alma
- Nedir? Sayfaları sunucu tarafında önbelleğe alarak yükleme sürelerini kısaltır.
- Nasıl Uygulanır?
- WordPress için WP Super Cache veya W3 Total Cache gibi önbelleğe alma eklentileri kullanın.
- Sunucu seviyesinde Varnish veya Memcached gibi çözümleri değerlendirin.
SSL Sertifika Optimizasyonu
- Gereksiz yere uzun SSL sertifika zincirleri kullanmaktan kaçının.
- İntermediyet sertifikaları sunucunuzda doğru şekilde yapılandırın.
Tarayıcı Önbelleğe Alma
- Statik kaynaklar için uzun süreli önbelleğe alma başlıkları ayarlayın.
Expire
veCache-Control
HTTP başlıklarını kullanın.
Kaynak Optimizasyonu
- Resimleri sıkıştırın ve uygun formatta kullanın (örn. JPEG 2000, WebP).
- JavaScript ve CSS dosyalarını minimize edin ve birleştirin.
- Gereksiz eklentileri kaldırın veya devre dışı bırakın.
Güçlü Şifreleme Süitleri Kullanın
- Modern ve hızlı şifreleme algoritmalarını tercih edin (örn. ECDHE-ECDSA-AES128-GCM-SHA256).
- TLS 1.3 gibi en son protokol versiyonlarını destekleyin.
Sunucu Donanımı
- Yeterli RAM ve CPU gücüne sahip bir sunucu kullanın.
- SSD tabanlı depolama tercih edin.
SSL Performans Testi ve İzleme
- SSL kurulumu öncesi ve sonrası site performansınızı ölçün.
- Google PageSpeed Insights, GTmetrix gibi araçları kullanarak düzenli performans testleri yapın.
- New Relic veya Pingdom gibi araçlarla sürekli performans izlemesi gerçekleştirin.
SSL sertifikası kullanmak, güvenlik açısından kritik öneme sahiptir ve doğru optimizasyonlarla performans üzerindeki etkisi minimize edilebilir. Bu optimizasyonları uygulayarak, güvenli ve hızlı bir WordPress sitesi elde edebilirsiniz.
E-ticaret Siteleri için SSL Önemi ve PCI DSS Uyumluluğu
E-ticaret sitelerinde SSL kullanımı, sadece bir tercih değil, aynı zamanda yasal bir zorunluluktur. Özellikle kredi kartı bilgileri gibi hassas verileri işleyen siteler için SSL, güvenliğin temel taşıdır. Bu bölümde, e-ticaret siteleri için SSL’in önemini ve PCI DSS uyumluluğunu inceleyeceğiz.
SSL’in E-ticaret Sitelerindeki Önemi
- Müşteri Güveni:
- SSL sertifikası, sitenizin güvenli olduğunu gösteren kilit simgesiyle müşteri güvenini artırır.
- Güvenli bir site, alışveriş sepeti terk etme oranlarını düşürür ve dönüşüm oranlarını artırır.
- Veri Güvenliği:
- SSL, müşteri bilgilerini (kredi kartı numaraları, adresler, vb.) şifreleyerek korur.
- Man-in-the-middle saldırılarına karşı koruma sağlar.
- SEO Avantajı:
- Google, HTTPS kullanan sitelere arama sonuçlarında daha yüksek sıralama verir.
- Yasal Uyumluluk:
- Birçok ülkede, e-ticaret sitelerinin müşteri verilerini korumak için SSL kullanması yasal bir gerekliliktir.
PCI DSS Uyumluluğu ve SSL
PCI DSS (Payment Card Industry Data Security Standard), kredi kartı bilgilerini işleyen tüm işletmeler için geçerli olan bir güvenlik standardıdır.
PCI DSS Nedir?
- Kredi kartı şirketleri tarafından oluşturulan bir güvenlik standardıdır.
- Amacı, kredi kartı bilgilerinin güvenli bir şekilde işlenmesini, saklanmasını ve iletilmesini sağlamaktır.
SSL’in PCI DSS Uyumluluğundaki Rolü
- Veri İletimi Güvenliği:
- PCI DSS, hassas verilerin iletimi sırasında güçlü şifreleme kullanılmasını şart koşar (Gereklilik 4).
- SSL/TLS, bu gerekliliği karşılamak için kullanılan birincil teknolojidir.
- Güvenli Ağ:
- PCI DSS, güvenli bir ağ oluşturulmasını ve sürdürülmesini gerektirir (Gereklilik 1 ve 2).
- SSL, ağ trafiğini şifreleyerek bu gerekliliğe katkıda bulunur.
- Güvenlik Sistemleri ve Süreçleri:
- SSL sertifikaları, düzenli olarak güncellenmelidir (genellikle yıllık).
- Bu, PCI DSS’nin güvenlik sistemlerinin ve süreçlerinin düzenli olarak güncellenmesi gerektiği yönündeki gerekliliğine uygundur.
WordPress E-ticaret Siteleri için PCI DSS Uyumluluk Adımları
- SSL Sertifikası Kurulumu:
- Minimum TLS 1.2 veya daha yüksek versiyonu destekleyen güçlü bir SSL sertifikası kullanın.
- Güvenli Ödeme Ağ Geçidi Kullanımı:
- PayPal, Stripe gibi PCI DSS uyumlu ödeme ağ geçitlerini tercih edin.
- Bu, kredi kartı verilerinin sitenizde saklanma ihtiyacını ortadan kaldırır.
- WordPress ve Eklentilerin Güncel Tutulması:
- WordPress çekirdeğini, temaları ve eklentileri düzenli olarak güncelleyin.
- Özellikle WooCommerce gibi e-ticaret eklentilerinin güncel olması kritiktir.
- Güvenlik Duvarı ve Malware Taraması:
- WordPress güvenlik duvarı eklentileri kullanın (örn. Wordfence, Sucuri).
- Düzenli malware taramaları yapın.
- Güçlü Şifreleme ve Erişim Kontrolü:
- Admin paneli ve diğer hassas alanlar için iki faktörlü kimlik doğrulama kullanın.
- Güçlü şifre politikaları uygulayın.
- Loglama ve İzleme:
- Tüm sistem aktivitelerini ve erişimleri kaydedin.
- Bu logları düzenli olarak inceleyin ve anormal aktiviteleri tespit edin.
- Düzenli Güvenlik Testleri:
- Penetrasyon testleri ve güvenlik açığı taramaları yapın.
- PCI DSS uyumluluğunu düzenli olarak kontrol edin.
E-ticaret siteleri için SSL kullanımı, sadece müşteri güvenini artırmakla kalmaz, aynı zamanda PCI DSS uyumluluğu için de kritik öneme sahiptir. WordPress e-ticaret site sahipleri, SSL sertifikalarını doğru şekilde uygulamalı ve PCI DSS gerekliliklerini sürekli olarak takip etmelidir. Bu, hem yasal yükümlülükleri yerine getirmek hem de müşteri verilerini en üst düzeyde korumak için esastır.
SSL Güvenliği İçin En İyi Uygulamalar
SSL sertifikasının kurulumu, güvenli bir WordPress sitesi için sadece başlangıçtır. Gerçek güvenlik, SSL’in nasıl yapılandırıldığı ve yönetildiği ile ilgilidir. İşte WordPress sitenizde SSL güvenliğini en üst düzeye çıkarmak için en iyi uygulamalar:
1.Güçlü SSL/TLS Protokol Versiyonlarını Kullanın
SSL/TLS Protokolü:
- TLS 1.2 ve TLS 1.3’ü destekleyin.
- Eski ve güvensiz SSL versiyonlarını (SSL 3.0 ve öncesi) ve TLS 1.0/1.1’i devre dışı bırakın.
Nasıl:
- Apache için (
.htaccess
dosyasında):
SSLProtocol -all +TLSv1.2 +TLSv1.3
- Nginx için:
ssl_protocols TLSv1.2 TLSv1.3;
2.Güçlü Şifreleme Algoritmaları ve Şifre Paketlerini Kullanın
Uygulama:
- Güçlü ve modern şifreleme algoritmalarını tercih edin.
- Zayıf ve eski şifreleme yöntemlerini devre dışı bırakın.
Nasıl:
- Apache için:
SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
- Nginx için:
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
3.Perfect Forward Secrecy (PFS) Kullanın
Perfect Forward Secrecy Nedir: PFS, her oturum için benzersiz ve geçici anahtar kullanarak, bir anahtarın ele geçirilmesi durumunda geçmiş iletişimlerin güvende kalmasını sağlar.
(PFS) Nasıl uygulanır:
- Apache ve Nginx yapılandırmalarında ECDHE ve DHE şifrelerini önceliklendirin.
4.HTTP Strict Transport Security (HSTS) Uygulayın
HSTS Nedir: HSTS, tarayıcıya sitenin yalnızca HTTPS üzerinden erişilebilir olduğunu bildirir.
HSTS Nasıl Uygulanır:
- HTTP yanıt başlığı ekleyin
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
5.SSL Sertifikalarını Düzenli Olarak Yenileyin
Uygulama:
- Sertifika sona erme tarihlerini takip edin.
- Otomatik yenileme sistemleri kurun (örn. Let’s Encrypt ile Certbot).
Nasıl:
- Let’s Encrypt için Certbot’u kurun ve cron job oluşturun:
0 0 1 * * /usr/bin/certbot renew --quiet
6.Sertifika Şeffaflığını (Certificate Transparency) Destekleyin
(Certificate Transparency) Nedir: Sertifika şeffaflığı, yanlış veya kötü niyetli sertifikaların hızlı tespitini sağlar.
Nasıl:
- CT log’larına kaydolun ve “Expect-CT” başlığını ekleyin:
Expect-CT: max-age=86400, enforce
7. Online Certificate Status Protocol (OCSP) Stapling Kullanın
- Nedir: OCSP Stapling, sertifika durumunu doğrulama sürecini hızlandırır.
- Nasıl:
- Apache için:
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
- Nginx için:
ssl_stapling on;
ssl_stapling_verify on;
8. Uygun Anahtar Uzunluğu ve Algoritma Seçin
- Uygulama:
- RSA anahtarları için minimum 2048 bit kullanın.
- Mümkünse ECDSA anahtarlarını tercih edin.
- Nasıl:
- OpenSSL ile anahtar oluşturma:
openssl ecparam -genkey -name secp384r1 -out server.key
9. Mixed Content’i Önleyin
- Uygulama:
- Tüm site içeriğinin (resimler, scriptler, CSS) HTTPS üzerinden yüklenmesini sağlayın.
- Nasıl:
- WordPress’te “Better Search Replace” eklentisi ile tüm URL’leri güncelleyin.
- Content Security Policy (CSP) başlığı ekleyin:
Content-Security-Policy: upgrade-insecure-requests
10. Düzenli Güvenlik Taramaları ve Testler Yapın
- Uygulama:
- SSL/TLS yapılandırmanızı düzenli olarak test edin.
- Güvenlik açıklarını tarayın.
- Nasıl:
- SSL Labs’ın SSL Server Test aracını kullanın.
- Nmap gibi açık kaynak araçlarıyla güvenlik taramaları yapın.
11. Wildcard Sertifikalarını Dikkatli Kullanın
- Uyarı:
- Wildcard sertifikaları pratik olsa da, kompromize olmaları durumunda tüm alt alanları riske atar.
- Öneri:
- Mümkünse, her alt alan için ayrı sertifikalar kullanın.
12. Sertifika Pinning’i Düşünün
- Nedir: Sertifika pinning, belirli sertifikaları veya açık anahtarları “sabitleyerek” man-in-the-middle saldırılarına karşı koruma sağlar.
- Nasıl:
- HTTP Public Key Pinning (HPKP) başlığını ekleyin (dikkatli kullanın, yanlış yapılandırma site erişimini engelleyebilir).
Bu en iyi uygulamaları takip ederek, WordPress sitenizin SSL/TLS güvenliğini önemli ölçüde artırabilirsiniz. Ancak, her zaman en son güvenlik tavsiyelerini takip etmek ve sisteminizi güncel tutmak önemlidir.
WORDPRESS SSL KURULUMU SIKÇA SORULAN SORULAR
SSL sertifikası olmazsa ne olur?
SSL sertifikası olmayan bir web sitesinde, kullanıcılarınızın girdiği bilgiler (şifreler, kredi kartı numaraları gibi) şifrelenmeden gönderilir.
Bu durum, siber saldırılara karşı açık bir kapı oluşturur ve kullanıcıların güvenliğini riske atar.
Ayrıca, arama motorlarında daha düşük sıralamalar elde edebilirsiniz.
Ücretsiz SSL sertifikası nasıl alınır?
Ücretsiz SSL sertifikası, web sitenizi HTTPS protokolüne geçirerek güvenliğini artırmanızı sağlayan, maliyeti olmayan bir dijital sertifikadır. Özellikle küçük işletmeler ve kişisel web siteleri için oldukça cazip bir seçenektir.
Ücretsiz SSL Sertifikası Alma Yolları
1.Hosting Firmanızdan:
Birçok hosting firması, paketlerinde ücretsiz SSL sertifikası sunmaktadır.
Avantajları: Genellikle otomatik kurulum ve kolay yönetim imkanı sunar.
Nasıl alınır: Hosting paneliniz üzerinden SSL bölümüne giderek sertifikanızı aktifleştirebilirsiniz.
2.Let’s Encrypt:
Dünyanın en büyük ücretsiz SSL sertifika sağlayıcısıdır.
Avantajları: Tamamen ücretsiz, açık kaynaklı ve otomatik yenileme özelliği bulunur.
Nasıl alınır:Manuel Kurulum: Teknik bilgi gerektiren bir yöntemdir.
Otomatik Kurulum: Certbot gibi araçlar kullanarak otomatik olarak kurabilirsiniz.
cPanel Entegrasyonu: Birçok hosting firması cPanel üzerinden Let’s Encrypt entegrasyonu sunar.
SSL For Free:
Let’s Encrypt üzerine kurulu kullanıcı dostu bir arayüzdür.
Avantajları: Teknik bilgi gerektirmeden kolayca sertifika oluşturabilirsiniz.
Nasıl alınır: Web sitesine girerek domain adınızı girerek sertifika talebinde bulunabilirsiniz.