Bir sabah ofise geldiniz. Muhasebe programı açılmıyor. Web siteniz “500 Internal Server Error” veriyor. Mail trafiği durmuş. İlk refleks genelde şu olur: “Sunucu çöktü mü?”
Çoğu zaman mesele donanım değil. Küçük işletmeler için sunucu güvenliği zayıfsa, tek bir açık bütün sistemi kilitleyebilir. Üstelik bu durum genellikle “bize bir şey olmaz” denilen yapılarda yaşanır.
10+ yıldır saha tarafında gördüğüm tablo net: Küçük işletmeler teknik olarak basit ama güvenlik açısından karmaşık hatalar yapıyor. Şimdi gelin, gerçek problemler üzerinden konuşalım.
Küçük İşletmeler Sunucu Güvenliğinde En Sık Hangi Hataları Yapıyor?
En yaygın hata: Sunucuyu kurup unutmak.
Bir e-ticaret firmasında çalışırken karşılaştığım senaryoyu anlatayım. 12 kişilik bir ekip. WordPress tabanlı site. VPS üzerinde barındırılıyor. İlk kurulum güzel yapılmış ama 8 aydır hiçbir güvenlik güncellemesi yapılmamış.
Bir sabah siteye zararlı JavaScript enjekte edildiğini fark ettiler. Sebep? Güncellenmemiş bir eklenti üzerinden SQL injection. Firewall vardı ama uygulama katmanında koruma yoktu.
Sık yapılan hatalar:
- Varsayılan SSH portunu değiştirmemek
- Root ile direkt erişim açık bırakmak
- Zayıf parola politikası
- Yedeklerin aynı sunucuda tutulması
- Gereksiz açık portlar (örneğin 3306 dış dünyaya açık)
- Fail2ban kurulu ama doğru konfigüre edilmemiş
Küçük işletmeler genelde donanıma yatırım yapıyor ama güvenlik mimarisini planlamıyor. Oysa risk genellikle dışarıdan değil, yanlış yapılandırmadan gelir.
Paylaşımlı Hosting mi, VPS mi, Dedicated Sunucu mu Daha Güvenli?
“Küçük işletmeler için en güvenli sunucu hangisi?” sorusu çok gelir. Cevap: Yapılandırmaya bağlı. Ama yine de net bir karşılaştırma yapalım.
| Özellik | Paylaşımlı Hosting | VPS | Dedicated Sunucu |
|---|---|---|---|
| İzolasyon | Düşük | Orta | Yüksek |
| Kaynak Kontrolü | Sınırlı | Orta | Tam |
| Güvenlik Kontrolü | Hosting firmasına bağlı | Kısmi kontrol | Tam kontrol |
| Yanlış Konfigürasyon Riski | Düşük | Orta | Yüksek |
| Küçük İşletme İçin Uygunluk | Başlangıç seviyesi | Büyüyen firmalar | Yüksek trafik |
Paylaşımlı hosting güvenli olabilir ama komşu sitenin açığı sizi de etkileyebilir. VPS tarafında özgürlük artar ama sorumluluk da artar. Dedicated sunucu ise ciddi kontrol sağlar fakat yanlış yapılandırılırsa en tehlikelisi olur.
Küçük işletmeler için genellikle güvenlik yönetimi olan, iyi yapılandırılmış bir VPS ya da yönetilen web hosting hizmeti daha mantıklı olur. Özellikle güvenlik yamaları ve sistem güncellemeleri düzenli uygulanıyorsa.
Sunucu Güvenliğinde “Çoğu Kişinin Bilmediği” Kritik Detay Nedir?
Şimdi önemli bir noktaya gelelim.
Birçok kişi firewall kurunca işin bittiğini sanır. Ama Linux sunucularda conntrack (connection tracking) tablosu dolduğunda, sunucu DDoS olmadan da cevap veremez hale gelir.
Bu durum genelde yüksek trafik alan küçük işletme sitelerinde yaşanır. Özellikle kampanya dönemlerinde.
Netfilter connection tracking tablosu default değerlerde bırakılırsa, SYN flood olmasa bile yoğun trafik sırasında yeni bağlantılar düşmeye başlar. Sunucu “down” görünür ama aslında kaynak tükenmiştir.
Çözüm ne?
- nf_conntrack_max değerini doğru ayarlamak
- TCP timeout sürelerini optimize etmek
- SYN backlog değerini artırmak
- Reverse proxy (örneğin Nginx) ile bağlantı yönetimini iyileştirmek
Bu teknik detay genelde gözden kaçar. Halbuki küçük işletmeler için sunucu güvenliği sadece saldırıyı engellemek değil, kapasiteyi doğru yönetmektir.
Küçük İşletmeler İçin Minimum Güvenlik Kontrol Listesi Ne Olmalı?
Şimdi pratik konuşalım. Eğer bir KOBİ sunucusu yönetiyorsanız, aşağıdakiler minimum gereklilik:
- SSH key tabanlı erişim (password login kapalı)
- Root login devre dışı
- Güncel işletim sistemi ve paketler
- UFW veya iptables ile kapalı port politikası
- Fail2ban aktif ve loglara göre optimize edilmiş
- Haftalık harici yedekleme
- Web uygulama güvenlik duvarı (WAF)
- Log monitoring (en azından günlük kontrol)
- PHP disable_functions yapılandırması
- Dosya izinlerinin doğru set edilmesi (örneğin 777 faciası olmamalı)
777 izinlerini “çalışsın yeter” diye açan çok gördüm. O klasöre shell yüklenmesi saniyeler sürer.
Gerçek Bir Sunucu Güvenlik İhlali Senaryosu
Bir müşterimiz küçük ölçekli bir lojistik firmasıydı. Web sitesi basitti ama mail sunucusu aynı makinedeydi.
SMTP brute-force başladı. Fail2ban yanlış yapılandırıldığı için 3 denemeden sonra değil 20 denemeden sonra blokluyordu. Bu sırada bir kullanıcı hesabı ele geçirildi.
Ne oldu?
- Sunucu spam relay olarak kullanıldı
- IP blacklist’e girdi
- 48 saat boyunca müşteri mailleri karşı tarafa ulaşmadı
Zarar sadece teknik değildi. Güven kaybı yaşandı.
Sorun basit bir ayar hatasıydı.
Sunucu güvenliği küçük işletmeler için “olursa bakarız” kategorisinde olmamalı.
Küçük İşletmeler Sunucu Güvenliğini Nasıl Daha Profesyonel Hale Getirebilir?
Her işletmenin tam zamanlı bir sistem yöneticisi olmayabilir. Ama güvenlik dış kaynaklı yönetilebilir.
Özellikle yönetilen hosting altyapıları, düzenli patch yönetimi ve izleme hizmetleri sunan sağlayıcılar burada fark yaratır. Altyapı tarafında doğru konfigüre edilmiş bir web hosting hizmeti, başlangıç seviyesindeki birçok güvenlik riskini ortadan kaldırır.
Perminet’in kurumsal web hosting altyapısında, sistem güncellemeleri ve temel güvenlik katmanları standart olarak uygulanıyor. Bu, küçük işletmeler için ciddi bir operasyonel yükü ortadan kaldırır.
Buradaki kritik konu şu: Güvenliği ürün değil, süreç olarak görmek.
Küçük İşletmeler İçin Sunucu Güvenliği Neden Ertelenmemeli?
“Biz küçük firmayız, kim bize saldıracak?” düşüncesi en büyük yanılgı.
Saldırıların çoğu hedefli değil, otomatik tarama botları tarafından yapılır. İnternete açık bir servisiniz varsa, zaten hedef listesindesiniz.
Ayrıca veri koruma yükümlülükleri var. KVKK kapsamında veri ihlali yaşarsanız, ceza riski doğar. Küçük işletme olmak burada koruma sağlamaz.
Sunucu güvenliği sadece teknik bir mesele değil. İş sürekliliği meselesi.
FAQ – Küçük İşletmeler İçin Sunucu Güvenliği Hakkında Sık Sorulan Sorular
Küçük işletmeler için sunucu güvenliği pahalı mı?
Doğru planlanmazsa pahalıdır. Ama saldırı sonrası toparlanma maliyeti çok daha yüksektir. Yönetilen hosting çözümleri genellikle daha ekonomiktir.
Antivirüs kurmak yeterli mi?
Hayır. Sunucu tarafında antivirüs tek başına koruma sağlamaz. Ağ seviyesi güvenlik, erişim kontrolü ve log takibi gerekir.
Küçük bir e-ticaret sitesi gerçekten hedef olur mu?
Evet. Özellikle WordPress, WooCommerce gibi yaygın sistemler otomatik botlar tarafından sürekli taranır.
Sunucu güvenliğini kim yönetmeli?
Teknik bilgi varsa şirket içi IT yönetebilir. Yoksa profesyonel destek alınmalı. Yanlış yapılandırılmış güvenlik, hiç olmamasından daha tehlikelidir.
Haftalık yedek almak yeterli mi?
Veri yoğunluğuna bağlı. Günlük hatta saatlik yedek gerekebilir. Önemli olan yedeğin farklı bir fiziksel ortamda tutulmasıdır.
Küçük işletmeler için sunucu güvenliği bir lüks değil. İşin devam edebilmesi için temel şart.
Sunucu çalışıyor diye güvende olduğunu sanma. Loglara bak. Portları kontrol et. Güncellemeleri denetle.
Güvenlik, kurup unutacağın bir ayar değil; sürekli yaşayan bir süreçtir.
Bir yanıt yazın