Neden SSL Sertifikası Avukat Siteleri İçin Tartışılmaz?
\n2026'da SSL sertifikası olmayan bir web sitesi, kapısı kilitlenmeyen bir avukatlık bürosu gibidir. Google Chrome, Firefox ve Safari gibi tarayıcılar HTTPS olmayan siteleri "Güvenli değil" uyarısıyla işaretliyor. Adres çubuğunda kırmızı uyarı gören bir müvekkil adayı, hukuki sorununu o siteye emanet etmeyecektir.
\nAvukat-müvekkil ilişkisi gizlilik üzerine kuruludur. İletişim formundan gönderilen mesajlar, paylaşılan kişisel bilgiler ve hukuki detaylar — bunların tamamının güvenli aktarılması gerekir. SSL sertifikası bu güvenliğin teknik altyapısıdır ve ücretsiz olarak 5 dakikada kurulabilir.
\n\nSSL/TLS Nedir ve Nasıl Çalışır?
\nSSL (Secure Sockets Layer) ve güncel versiyonu TLS (Transport Layer Security), web sitesi ile ziyaretçinin tarayıcısı arasındaki veri aktarımını şifreleyen bir güvenlik protokolüdür. Teknik olarak bugün kullanılan protokol TLS 1.3'tür ama sektörde hâlâ "SSL" ifadesi yaygın olarak kullanılır.
\nHTTPS'in çalışma prensibi basit:
\n- \n
- Ziyaretçi sitenize bağlandığında tarayıcı ve sunucu bir "el sıkışma" (handshake) gerçekleştirir. \n
- Sunucu SSL sertifikasını gösterir — bu sertifika sitenin kimliğini doğrular. \n
- Tarayıcı sertifikayı doğrular ve şifrelenmiş bir bağlantı kurulur. \n
- Bu noktadan sonra tüm veri aktarımı (form verileri, şifreler, kişisel bilgiler) şifrelidir — araya giren üçüncü taraflar içeriği okuyamaz. \n
HTTP vs HTTPS Farkı
\n| Özellik | HTTP | HTTPS |
|---|---|---|
| Veri şifreleme | Yok — düz metin olarak iletilir | Var — TLS ile şifrelenir |
| Tarayıcı gösterimi | "Güvenli değil" uyarısı | Kilit simgesi |
| Google sıralaması | Dezavantaj | Avantaj (sıralama sinyali) |
| Form verileri | Açık metin — ele geçirilebilir | Şifreli — güvenli aktarım |
| Müvekkil güveni | Düşük | Yüksek |
| KVKK uyumu | Riskli | Teknik güvenlik önlemi sağlar |
SSL Sertifikası Türleri
\n| Tür | Doğrulama Düzeyi | Maliyet | Avukat Sitesi İçin Uygunluk |
|---|---|---|---|
| DV (Domain Validation) | Sadece domain sahipliği doğrulanır | Ücretsiz (Let's Encrypt) - 500 TL/yıl | Bireysel avukatlar ve küçük bürolar için yeterli |
| OV (Organization Validation) | Kuruluş kimliği doğrulanır | 1.000 - 5.000 TL/yıl | Orta-büyük hukuk büroları |
| EV (Extended Validation) | Kapsamlı kurumsal doğrulama | 3.000 - 15.000 TL/yıl | Büyük kurumsal bürolar (genellikle gereksiz) |
| Wildcard SSL | DV/OV + tüm alt alan adları | 2.000 - 8.000 TL/yıl | Birden fazla alt alan adı kullanan bürolar |
Çoğu avukat web sitesi için DV (Domain Validation) sertifikası yeterlidir. Let's Encrypt ile ücretsiz DV sertifikası alabilirsiniz. OV veya EV sertifikası daha yüksek güven sağlar ama maliyet-fayda açısından bireysel avukatlar ve küçük bürolar için genellikle gerekli değildir.
\n\nLet's Encrypt ile Ücretsiz SSL Kurulumu
\nLet's Encrypt, Internet Security Research Group (ISRG) tarafından işletilen ücretsiz, otomatik ve açık bir sertifika otoritesidir. Günde 300 milyondan fazla aktif sertifika sağlıyor. Let's Encrypt sertifikaları 90 gün geçerlidir ama otomatik yenileme mekanizması sayesinde bu süreç manuel müdahale gerektirmez.
\n\ncPanel Üzerinden Kurulum (En Kolay Yöntem)
\n- \n
- Hosting kontrol panelinize (cPanel) giriş yapın. \n
- "Güvenlik" veya "Security" bölümünde "SSL/TLS" veya "Let's Encrypt" seçeneğini bulun. \n
- Alan adınızı seçin ve "Issue" veya "Kur" butonuna tıklayın. \n
- Birkaç dakika içinde sertifika aktif olur. \n
- Otomatik yenilemenin açık olduğunu kontrol edin — çoğu hosting firmasında varsayılan olarak açıktır. \n
Plesk Üzerinden Kurulum
\n- \n
- Plesk paneline giriş yapın. \n
- "Websites & Domains" bölümüne gidin. \n
- "SSL/TLS Certificates" seçeneğine tıklayın. \n
- "Let's Encrypt" seçeneğini işaretleyin ve sertifika oluşturun. \n
- Wildcard sertifika isterseniz DNS doğrulama yöntemi gerekebilir. \n
Kurulum Sonrası Kontrol Listesi
\n- \n
- HTTPS yönlendirmesi: HTTP'den HTTPS'e otomatik 301 redirect kurulmalı. Ziyaretçi http:// yazsa bile otomatik olarak https:// versiyonuna yönlendirilmeli. \n
- Mixed content kontrolü: Sayfadaki tüm kaynaklar (görseller, CSS, JS) HTTPS üzerinden yüklenmeli. Tek bir HTTP kaynağı bile "mixed content" uyarısına sebep olur. \n
- Google Search Console güncelleme: HTTPS versiyonunu Search Console'a ekleyin veya mevcut property'de adres değişikliği bildirin. \n
- Sitemap güncelleme: XML sitemap'teki URL'lerin HTTPS olduğundan emin olun. \n
- İç linkler: Sayfalar arası linklerin HTTPS kullandığını kontrol edin. \n
SSL Ötesinde: Avukat Web Sitesi Güvenlik Katmanları
\nSSL sadece başlangıç. Kapsamlı web sitesi güvenliği birden fazla katman gerektirir:
\n\n1. Güçlü Şifre Politikası
\nAdmin paneli şifreniz en az 16 karakter, büyük-küçük harf, rakam ve özel karakter içermeli. "avukat123" veya "mehmet2026" gibi tahmin edilebilir şifreler kullanmayın. Şifre yöneticisi (Bitwarden, 1Password gibi) kullanarak her hesap için benzersiz şifre oluşturun.
\n\n2. İki Faktörlü Kimlik Doğrulama (2FA)
\nAdmin paneline giriş için şifre + ikinci doğrulama faktörü ekleyin. Google Authenticator veya Authy gibi uygulamalar ücretsiz 2FA sağlar. SMS yerine uygulama tabanlı 2FA daha güvenlidir — SIM swap saldırılarına karşı korur.
\n\n3. Düzenli Yedekleme
\nSitenizin tam yedeğini (dosyalar + veritabanı) düzenli olarak alın. Minimum haftalık, ideal olarak günlük otomatik yedek. Yedekleri sunucu dışında da saklayın — sunucu çökerse yedeğe erişebilmelisiniz. Yedekten geri yükleme testini yılda en az bir kez yapın.
\n\n4. Yazılım Güncellemeleri
\nWordPress, eklentiler ve temalar güncel tutulmalı. Güncellemeler genellikle güvenlik yamaları içerir. Eski versiyon yazılım bilinen açıkları olan yazılımdır — saldırganlar bu açıkları aktif olarak tarar. Otomatik güncelleme mümkünse aktifleştirin, değilse haftalık kontrol rutini oluşturun.
\n\n5. Web Application Firewall (WAF)
\nCloudflare (ücretsiz plan dahil), Sucuri veya Wordfence gibi güvenlik araçları web sitenizi yaygın saldırılara karşı korur: SQL injection, XSS (Cross-Site Scripting), brute force giriş denemeleri. Cloudflare'in ücretsiz planı bile temel DDoS koruması ve WAF sağlar.
\n\n6. Dosya İzinleri ve Dizin Güvenliği
\nSunucudaki dosya izinlerini doğru ayarlayın. PHP dosyaları genellikle 644, klasörler 755 olmalı. uploads/ dizininde PHP çalıştırmayı engelleyin (.htaccess ile). config/, includes/, classes/ gibi hassas dizinlere doğrudan erişimi kapatın.
\n\n7. .htaccess Güvenlik Kuralları
\nApache sunucu kullanan siteler için temel güvenlik kuralları:
\n- \n
- .env dosyası koruması: Yapılandırma dosyalarına web üzerinden erişimi engelleyin. \n
- Dizin listelemeyi kapatın:
Options -Indexes— dizin içeriğinin görüntülenmesini önler. \n - SQL injection koruması: URL'deki şüpheli SQL kalıplarını engelleyen RewriteRule'lar. \n
- Güvenlik başlıkları: X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, Content-Security-Policy gibi HTTP güvenlik başlıkları. \n
KVKK ve Güvenlik İlişkisi
\n6698 sayılı KVKK, veri sorumlusunun (avukat) kişisel verileri korumak için gerekli teknik ve idari tedbirleri almasını zorunlu kılıyor. SSL sertifikası bu teknik tedbirlerden biridir.
\n| KVKK Yükümlülüğü | Teknik Karşılığı |
|---|---|
| Veri aktarımının güvenliği (m.12) | SSL/TLS şifreleme |
| Yetkisiz erişimi önleme | Güçlü şifre + 2FA + WAF |
| Veri bütünlüğünü koruma | Düzenli yedekleme |
| Güncel güvenlik önlemleri | Yazılım güncellemeleri |
| Erişim kontrolü | Dosya izinleri + admin paneli güvenliği |
KVKK uyumu rehberimizde hukuki yükümlülüklerin tamamını detaylı ele aldık.
\n\nSiber Tehditler: Avukat Sitelerini Hedefleyen Saldırılar
\n| Saldırı Türü | Ne Yapar? | Korunma Yöntemi |
|---|---|---|
| Brute Force | Admin şifresini deneme-yanılma ile kırmaya çalışır | Güçlü şifre + 2FA + giriş deneme sınırı |
| SQL Injection | Veritabanına yetkisiz erişim sağlar | Prepared statements + WAF + input doğrulama |
| XSS (Cross-Site Scripting) | Zararlı kod enjekte eder, kullanıcı verilerini çalar | Input sanitization + CSP başlıkları |
| Phishing | Sahte giriş sayfasıyla şifre çalar | SSL + 2FA + personel eğitimi |
| DDoS | Siteyi aşırı trafikle çökertir | Cloudflare + rate limiting |
| Ransomware | Dosyaları şifreler, fidye ister | Düzenli yedekleme + güncelleme |
| Man-in-the-Middle | İletişimi dinler, verileri ele geçirir | SSL/TLS şifreleme (HTTPS) |
Avukat siteleri özellikle hedef alınabilir çünkü hassas müvekkil bilgileri barındırır. Bir veri sızıntısı hem müvekkil güvenini yıkar hem de KVKK kapsamında idari yaptırım riski doğurur.
\n\nGüvenlik Kontrol Listesi
\n| Öncelik | Kontrol Maddesi | Durum |
|---|---|---|
| Kritik | SSL sertifikası aktif (HTTPS) | Yapıldı / Yapılmadı |
| Kritik | HTTP → HTTPS yönlendirmesi çalışıyor | Yapıldı / Yapılmadı |
| Kritik | Admin şifresi 16+ karakter ve benzersiz | Yapıldı / Yapılmadı |
| Kritik | CMS ve eklentiler güncel | Yapıldı / Yapılmadı |
| Yüksek | İki faktörlü kimlik doğrulama (2FA) aktif | Yapıldı / Yapılmadı |
| Yüksek | Otomatik yedekleme aktif (günlük veya haftalık) | Yapıldı / Yapılmadı |
| Yüksek | WAF veya Cloudflare aktif | Yapıldı / Yapılmadı |
| Orta | Dosya izinleri doğru (644/755) | Yapıldı / Yapılmadı |
| Orta | Güvenlik başlıkları yapılandırılmış | Yapıldı / Yapılmadı |
| Orta | .env ve config dosyaları korunuyor | Yapıldı / Yapılmadı |
| Orta | uploads/ dizininde PHP çalıştırma engelli | Yapıldı / Yapılmadı |
| Düşük | Login URL'si değiştirilmiş (WordPress) | Yapıldı / Yapılmadı |
Sıkça Sorulan Sorular
\n\nSSL sertifikası ücretsiz mi?
\nEvet. Let's Encrypt ile DV (Domain Validation) sertifikası tamamen ücretsiz. Çoğu hosting firması cPanel veya Plesk üzerinden tek tıkla kurulum sunuyor. 90 günde bir otomatik yenilenir. Ücretli sertifikalar (OV, EV) daha yüksek doğrulama düzeyi sağlar ama çoğu avukat sitesi için ücretsiz sertifika yeterli.
\n\nSSL sertifikası SEO'yu etkiler mi?
\nEvet. Google 2014'ten bu yana HTTPS'i sıralama sinyali olarak kullanıyor. Tek başına büyük bir sıralama artışı yaratmaz ama HTTP ve HTTPS arasındaki fark "tie-breaker" (eşitlik bozucu) olarak çalışır. Daha önemlisi: HTTPS olmayan sitelerde "Güvenli değil" uyarısı ziyaretçiyi kaçırır ve hemen çıkma oranını artırır — bu dolaylı olarak sıralamayı etkiler. SEO rehberimiz teknik SEO faktörlerinin tamamını kapsamlı ele alıyor.
\n\nWordPress sitem hacklendiyse ne yapmalıyım?
\nAdım 1: Siteyi geçici olarak bakım moduna alın. Adım 2: Temiz yedekten geri yükleyin. Adım 3: Tüm şifreleri değiştirin (admin, FTP, veritabanı). Adım 4: WordPress, tüm eklentiler ve temayı güncelleyin. Adım 5: Güvenlik eklentisi kurun (Wordfence veya Sucuri). Adım 6: Google Search Console'da güvenlik sorunlarını kontrol edin.
\n\nCloudflare kullanmalı mıyım?
\nŞiddetle tavsiye edilir. Ücretsiz planı bile SSL, DDoS koruması, WAF, CDN ve performans optimizasyonu sunuyor. Kurulumu 15-20 dakika ve DNS ayarlarını değiştirmekten ibaret. Avukat siteleri için neredeyse hiçbir dezavantajı yok.
\n\nMüvekkil verilerini web sitesinde saklamak güvenli mi?
\nİletişim formundan gelen veriler veritabanında saklanır. Bu verilerin güvenliği için SSL, güçlü şifreler, düzenli yedekleme ve erişim kontrolü zorunlu. Hassas müvekkil dosyaları web sitesinde değil, güvenli bulut depolama veya şifreli yerel sistemde tutulmalı. Web sitesine sadece iletişim bilgileri ve genel mesajlar kayıt edilmeli.
\n\nGüvenlik denetimi ne sıklıkla yapılmalı?
\nHaftalık: yazılım güncellemelerini kontrol edin. Aylık: yedeklerin düzgün çalıştığını test edin. 3 ayda bir: güvenlik taraması yapın (Sucuri SiteCheck gibi ücretsiz araçlarla). Yıllık: kapsamlı güvenlik denetimi — tüm şifreler, erişim yetkileri, dosya izinleri gözden geçirilmeli.