Güvenlik Ayarları
T-Soft e-ticaret altyapısında sitenizin, kullanıcı verilerinin ve ödeme süreçlerinin güvenliğini sağlamak amacıyla geliştirilmiş kapsamlı kontrol panelidir. Bu bölüm, olası siber saldırıları, kredi kartı dolandırıcılıklarını (fraud) ve kötü niyetli bot aktivitelerini önlemek için yapılandırılır.
Ne İçin Kullanılır?
Güvenlik Ayarları; sitenizin veri bütünlüğünü korumak, ödeme sayfasında sahte işlem denemelerini engellemek ve hem kullanıcıların hem de yönetici panelinin erişim güvenliğini en üst düzeye çıkarmak için kullanılır.
Önemli Not: Güvenlik ayarlarında bilginiz olmayan bir değişiklik yapmadan önce mutlaka T-Soft destek ekibi ile görüşünüz. Yanlış yapılandırmalar kullanıcıların siteye erişimini veya ödeme yapmasını engelleyebilir.
İşlem Adımları
- Yönetim panelinde Ayarlar > Genel Ayarlar sekmesine tıklayınız.
- Açılan sayfada Güvenlik Ayarları kartını seçiniz.
- Sol menüde yer alan Fraud Ayarları ve Güvenlik Ayarları sekmeleri üzerinden ilgili düzenlemeleri gerçekleştiriniz.
1. Fraud Ayarları
Ödeme güvenliğini artırmaya ve kredi kartı denemelerini engellemeye yönelik ayarlardır:
| Ayar Adı | Açıklama |
|---|---|
| Aynı IP Den Ardarda Kaç Tane Hatalı İşlem Alırsa Üye Yasaklansın | Belirlenen hatalı işlem sayısına ulaşıldığında IP üzerinden gelen talepler POS'a iletilmez ve üye yasaklanır. |
| Çalıntı Kart Uyarılarında Üye Yasaklansın | Bankadan çalıntı kart yanıtı alındığında üyeyi otomatik yasaklayarak denemelerin devam etmesini engeller. |
| IP White List (Fraud) | Güvenilir IP adreslerini tanımlar; bu listedeki IP'ler fraud kontrollerinden muaf tutulur. |
| Kredi Kartı Fraud İzleme (dk / İşlem) | Belirli bir zaman diliminde (dakika) yapılabilecek maksimum işlem limitini belirler (Örn: 1/5). |
| Ödeme Sayfası CSRF Koruması Aktif | Ödeme formunun dış kaynaklı sahte sorgularla manipüle edilmesini engelleyen güvenlik katmanıdır. |
| Ödeme Sayfası User Agent Kontrolü | Tanımlanamayan veya şüpheli tarayıcı bilgilerini tespit ederek ilgili üyelik ve IP adresini yasaklar. |
| Referer Ve Request Method Kontrolü Yapılsın | İsteğin geldiği kaynak site doğrulanmazsa veya standart dışı bir sorgu metodu kullanılırsa işlemi reddeder. |
| Üye Maksimum Kredi Kartı Ödeme Denemesi (10 Dakika) | Bir üyenin son 10 dakika içerisinde yapabileceği toplam deneme sınırıdır. |
| Üye Maksimum Kredi Kartı Ödeme Denemesi (60 Dakika) | Bir üyenin son 1 saat içerisinde yapabileceği toplam deneme sınırını belirler. |
| Üye Maksimum Kredi Kartı Ödeme Denemesi (24 Saat) | Bir üyenin gün içerisinde yapabileceği toplam deneme limitidir. |
2. Güvenlik Ayarları
Site genelinde ve kullanıcı bazlı teknik güvenlik protokollerini içeren ayarlardır:
| Ayar Adı | Açıklama |
|---|---|
| Content-Security-Policy Header Bilgisi | Sitenin hangi kaynaklardan içerik yükleyebileceğini denetleyen CSP protokolünü aktif eder. |
| Content-Security-Policy Header Bilgisi İçeriği | CSP protokolü için izin verilen kaynakların (domain, script vb.) tanımlandığı alandır. |
| CSRF Koruması Aktif | Genel site formlarını siteler arası istek sahteciliği saldırılarına karşı korur. |
| E-Bülten Güvenlik Kodu Kontrolü (Alt-Kısım) | E-bülten kayıt formuna bot saldırılarını engellemek için güvenlik kodu ekler. |
| E-posta Gösterimi | E-posta adreslerinin botlar tarafından taranmasını önlemek için gösterim şeklini belirler. |
| Google Recaptcha | Formlara botları ayırt eden Google doğrulama testi ekler. |
| Google Recaptcha Client Key | Google Recaptcha servisinin tarayıcı tarafında çalışması için gereken istemci anahtarıdır. |
| Google Recaptcha Server Key | Google Recaptcha doğrulamasının sunucu tarafında onaylanması için gereken gizli anahtardır. |
| Güvenli İçerik Filtreleme | İçerikleri XSS gibi zafiyet oluşturabilecek zararlı kodlardan temizler. |
| IP Bazlı İstek Sınırlayıcı | Aynı IP'den gelen aşırı isteği sınırlayarak DDoS saldırılarına karşı koruma sağlar. |
| Referrer-Policy Header Bilgisi | Tarayıcının diğer sitelere gönderdiği referans bilgisinin kapsamını belirler. |
| Sepete Ekleme CSRF Koruması Aktif | Sepet işlemlerinin sahte sorgularla (botlarla) manipüle edilmesini engeller. |
| Strict-Transport-Security Header Bilgisi | Tarayıcıların siteyle sadece güvenli HTTPS üzerinden iletişim kurmasını zorunlu kılar (HSTS). |
| Tarayıcının Dosya Uzantısını Tahmin Edip Çalıştırmasını Engelle (No Sniff) | MIME tipi güvenliğini sağlayarak dosyaların amaç dışı çalıştırılmasını önler. |
| Üye E-Posta Geçerli Mail Uzantıları | Sadece belirli uzantılara (.com, .net vb.) sahip e-postalarla üyelik yapılmasına izin verir. |
| Üye IP Değişim Kontrolü | Kullanıcı oturumu sırasında IP adresi değişirse sistemi güvenli çıkışa zorlar. |
| Üye Kayıt Güçlü Parola Kontrolü | Şifrelerin en az 8 karakter, büyük/küçük harf, rakam ve özel karakter içermesini zorunlu tutar. |
| Üye Sahte E-Posta Kontrolü | Tek kullanımlık (disposable) e-posta servisleri üzerinden üye olunmasını engeller. |
| Üye Telefon Validasyonu | Üye telefon numarasının formatını ve geçerliliğini doğrular. |
| Yönetim Paneli Kullanıcıları IP Değişim Kontrolü | Yönetici oturumu sırasında IP adresi değişirse sistemi güvenli çıkışa zorlar. |
Sık Sorulan Sorular
Fraud ayarlarındaki limitler neden önemlidir?
Çalıntı kart denemelerini durdurarak sitenizin banka nezdindeki güvenilirliğini korur ve ters ibraz (chargeback) riskini minimize eder.
Google Recaptcha anahtarlarını nereden alabilirim?
Google Recaptcha yönetim panelinden sitenizi kaydederek Client ve Server anahtarlarını alabilir ve bu tabloya girebilirsiniz.
Bu makale yardımcı oldu mu?
