T-Soft Önerilen Güvenlik Düzenlemeleri

T-Soft e-ticaret sisteminizde hem yönetici verilerini hem de müşteri bilgilerini dış tehditlere, veri sızıntılarına ve yetkisiz erişimlere karşı korumak için yapılandırılması gereken tüm güvenlik protokollerini kapsayan kapsamlı rehberdir.

Ne İçin Kullanılır

• Yönetici paneline yönelik kaba kuvvet (brute-force) saldırılarını durdurmak.
• Yönetici ve müşteri hesaplarının çalınma riskini minimize etmek.
• KVKK uyumluluğu çerçevesinde veri gizliliğini sağlamak.
• API/Web Servis trafiğini sadece yetkili kaynaklarla sınırlandırarak sistem bütünlüğünü korumak.

1. Yönetici Giriş Güvenliği (Panel Erişimi)

Yönetici panelinin güvenliği, sitenizin en kritik savunma hattıdır.

• İki Faktörlü Doğrulama (2FA): Sadece şifre yeterli değildir. Girişlerde Google Authenticator uygulaması veya SMS ile gönderilen tek kullanımlık kodların kullanılmasını aktif edin.
• IP Kısıtlaması (Beyaz Liste): Panel erişimini sadece firmanızın kullandığı sabit (Statik) IP adreslerine izin verecek şekilde sınırlayın. Bu ayar aktifken, şifreniz çalınsa dahi saldırgan farklı bir IP'den panele giremez.
• Hatalı Giriş Deneme Sınırı: Belirli sayıda (Önerilen: 5) hatalı şifre girişi yapıldığında, ilgili IP adresinin veya kullanıcı hesabının sistem tarafından (Örn: 30 dakika) bloke edilmesini sağlayın.
• Yönetici Panel URL Değişimi: Standart /admin giriş yolunun, sadece sizin bileceğiniz özel bir uzantı ile değiştirilmesi için T-Soft destek ekibi ile iletişime geçin.

2. Gelişmiş Şifre Politikaları

Hem yöneticiler hem de müşteriler için zayıf şifre kullanımını engelleyin:

• Karmaşık Şifre Zorunluluğu: Şifrelerin en az 8-12 karakter olması; büyük harf, küçük harf, rakam ve özel karakter (!, @, # vb.) içermesini zorunlu kılın.
• Şifre Güncelleme Periyodu: Güvenlik politikası gereği, tüm kullanıcıların şifrelerini her 90 günde bir yenilemesini zorunlu tutun.
• Eski Şifrelerin Tekrarı: Kullanıcıların son 3 şifrelerinden birini tekrar kullanmasını engelleyin.

3. Oturum ve Bağlantı Yönetimi

• SSL Sertifikası ve HTTPS: Sitenin her sayfasında HTTPS'in aktif olduğundan emin olun. SSL sertifikası olmayan sitelerde veriler şifrelenmeden taşınır.
• HSTS (HTTP Strict Transport Security): Tarayıcıların sitenizle sadece güvenli (HTTPS) bağlantı kurmasını zorunlu kılan bu protokolü panelden aktif edin.
• Oturum Zaman Aşımı: Yönetici panelinde işlem yapılmadığında (Örn: 15 dakika sonra) sistemin otomatik olarak oturumu kapatmasını sağlayın.
• Aynı Anda Tek Oturum: Bir kullanıcı hesabıyla aynı anda sadece bir cihazdan giriş yapılmasına izin verin.

4. API ve Web Servis Güvenliği

Entegrasyon kanalları (Pazaryeri, Muhasebe vb.) üzerinden gelebilecek saldırılara karşı:

• API IP Beyaz Listesi: Her API kullanıcısı için sadece erişim sağlayacağı yazılımın IP adresini tanımlayın.
• Özel Yetkilendirme: Her servis sağlayıcıya (Örn: Trendyol entegrasyonu) sadece ihtiyacı olan modüllere erişim yetkisi verin.

5. Form ve İçerik Güvenliği

• Google reCAPTCHA: İletişim formları, üye kayıt ve giriş sayfalarına bot saldırılarını engellemek için reCAPTCHA sürüm 3 veya sürüm 2'yi entegre edin.
• Dosya Yükleme Filtreleme: Ürün kişiselleştirme veya iletişim formlarında sadece güvenli uzantıların (.jpg, .png, .pdf) yüklenmesine izin verin; yürütülebilir dosya (.exe, .php, .js) yüklenmesini kesinlikle engelleyin.

Güvenlik Parametreleri ve Fonksiyonları

Beklenen Sonuç

Belirtilen tüm bu adımlar eksiksiz uygulandığında; mağazanız endüstriyel standartlarda bir güvenliğe kavuşur. Yetkisiz giriş denemeleri anında bloklanır, veri trafiği tamamen şifrelenir ve tüm işlemler geriye dönük izlenebilir hale gelir.

Sık Sorulan Sorular