WordPress SSL Kurulumu: Adım Adım Rehber

WordPress sitenize SSL (Secure Sockets Layer) sertifikası kurmak, günümüz internet dünyasında artık bir tercihten çok bir zorunluluk haline geldi. Hem kullanıcı güvenliğini sağlamak hem de arama motoru sıralamalarında avantaj elde etmek için HTTPS protokolüne geçiş kritik öneme sahiptir. SSL sertifikası, ziyaretçilerinizin tarayıcısı ile sunucunuz arasında şifreli bir bağlantı kurarak, iletilen tüm verileri (kredi kartı bilgileri, şifreler, kişisel veriler) üçüncü şahısların erişimine karşı korur.

Bu kapsamlı rehberde, WordPress sitenize adım adım SSL sertifikası nasıl kurulur, olası sorunlar ve çözümleri nelerdir ve özellikle e-ticaret siteleri için neden bu kadar önemli olduğunu tüm detaylarıyla öğreneceksiniz.

WordPress SSL kurulumu öncesi bilinmesi gerekenler

SSL kurulumuna başlamadan önce aşağıdaki hazırlıkları yapmak, sorunsuz bir geçiş süreci yaşamanızı sağlayacaktır.

1. SSL Sertifikanızın Hazır Olduğundan Emin Olun

SSL kurulumunun ilk adımı, hosting sağlayıcınızdan bir sertifika edinmek veya Let’s Encrypt gibi bir kaynaktan ücretsiz olarak temin etmektir. Sertifikanın sunucunuzda aktif ve yüklü olduğundan emin olun.

2. Hosting Sağlayıcınızın SSL Desteğini Kontrol Edin

Tüm hosting firmaları SSL sertifikasını destekler. Ancak, özellikle paylaşımlı hosting planlarında bazı kısıtlamalar olabilir. Hosting panelinizde SSL yükleme seçeneği olup olmadığını kontrol edin.

3. WordPress Sitenizin Yedeklerini Alın

Herhangi bir önemli değişiklik öncesinde olduğu gibi, SSL kurulumundan önce de sitenizin tam yedeğini (dosyalar ve veritabanı) almanız şiddetle tavsiye edilir. Bu, bir şeyler ters giderse sitenizi hızlıca eski haline getirmenizi sağlar.

4. Karma İçerik (Mixed Content) Sorunlarına Hazırlıklı Olun

SSL kurulumundan sonra en sık karşılaşılan sorun, karma içerik uyarılarıdır. Bu, HTTPS ile yüklenen bir sayfada, HTTP üzerinden yüklenen resim, CSS veya JavaScript dosyası bulunması durumudur ve tarayıcıda “Güvenli Değil” uyarısına sebep olur.

Karma İçerik Sorunlarını Önlemek İçin:

• Veritabanındaki tüm HTTP bağlantılarını HTTPS olarak güncellemek için gerekli araçları (eklentiler veya arama/değiştirme script’leri) hazır bulundurun.
• Tema ve eklenti ayarlarında tam URL (http://örneksite.com) yerine, protokol bağımsız URL’ler (//örneksite.com) kullanın.

5. SEO ve Trafik Etkilerini Göz Önünde Bulundurun

HTTPS’ye geçiş, bir “taşıma” işlemi olarak görüldüğü için, 301 yönlendirmelerini doğru bir şekilde yapmazsanız arama motoru sıralamalarınızda geçici bir düşüş yaşayabilirsiniz. Tüm HTTP trafiğini HTTPS’ye yönlendirmeye hazırlıklı olun.

6. Tarayıcı ve Sertifika Uyumluluğunu Kontrol Edin

Edindiğiniz SSL sertifikasının modern tarayıcılar (Chrome, Firefox, Safari, Edge) tarafından tanındığından ve güvenilir olarak işaretlendiğinden emin olun.

7. Eklenti ve Tema Uyumluluğunu Kontrol Edin

Nadir de olsa, bazı eski WordPress eklentileri veya temaları HTTPS ile düzgün çalışmayabilir. SSL kurulumu sonrası sitenizi detaylıca test etmeyi unutmayın.

Özet

SSL kurulumu öncesi yedek almak, karma içerik sorununa hazırlıklı olmak ve doğru yönlendirmeleri yapmak, sorunsuz bir geçişin anahtarıdır.

SSL Sertifikası Türleri ve Hangisini Seçmelisiniz?

Piyasada farklı doğrulama seviyelerine ve özelliklere sahip çeşitli SSL sertifikaları bulunur. İhtiyacınız olan sertifika türünü seçmek, hem bütçeniz hem de sitenizin güvenlik ihtiyacı açısından önemlidir.

1. Domain Validation (DV) SSL Sertifikası

• Nedir: En temel ve hızlı alınan sertifika türüdür. Sadece alan adı sahipliğinizi doğrular. Şirket bilgilerinizi kontrol etmez.
• Kim İçin Uygun: Kişisel bloglar, küçük çaplı bilgilendirme siteleri.
• Özellik: Tarayıcıda yeşil kilit simgesi gösterir.

2. Organization Validation (OV) SSL Sertifikası

• Nedir: DV sertifikasına ek olarak, sertifika sağlayıcı kuruluşunuzun (şirketinizin) yasal ve fiziksel varlığını da doğrular.
• Kim İçin Uygun: Kurumsal firmalar, KOBİ’ler.
• Özellik: Sertifika detaylarında şirket bilgileriniz görüntülenir, güvenilirliği artırır.

3. Extended Validation (EV) SSL Sertifikası

• Nedir: En kapsamlı doğrulama sürecine sahip, en üst düzey sertifikadır. Sıkı bir arka plan kontrolü içerir.
• Kim İçin Uygun: Büyük şirketler, bankalar, finans kuruluşları, ödeme sistemleri.
• Özellik: Tarayıcı adres çubuğunda şirket adınızı yeşil renkte gösterir. En yüksek güven sinyalini verir

4. Wildcard SSL Sertifikası

• Açıklama:
  Wildcard SSL sertifikaları, bir alan adı ve tüm alt alan adlarını (subdomain) kapsar. Örneğin, example.com için alınan bir Wildcard SSL sertifikası, blog.example.com, shop.example.com gibi alt alan adlarını da kapsar.
• Özellikler:
  • Alt alan adları için ayrı ayrı sertifika alma ihtiyacını ortadan kaldırır.
  • Maliyet açısından avantajlıdır.
• Kullanım Alanları:
  • Alt alan adları kullanan web siteleri.
  • Büyük içerik platformları veya çoklu hizmet sunan siteler.
• Kimler İçin Uygun?
  • Birden fazla alt alan adı kullanan işletmeler için uygundur.

5. Multi-Domain SSL Sertifikası (SAN SSL)

• Açıklama:
  Multi-Domain SSL sertifikaları, birden fazla alan adını tek bir sertifika altında korur. Subject Alternative Name (SAN) özelliği sayesinde farklı alan adları eklenebilir.
• Özellikler:
  • Birden fazla alan adı için tek bir sertifika.
  • Yönetim kolaylığı sağlar.
• Kullanım Alanları:
  • Birden fazla web sitesi yöneten işletmeler.
  • Farklı alan adlarına sahip projeler.
• Kimler İçin Uygun?
  • Çok sayıda alan adı kullanan şirketler için uygundur.

6. Let’s Encrypt (Ücretsiz SSL Sertifikası)

• Açıklama:
  Let’s Encrypt, ücretsiz ve otomatik SSL sertifikası sağlayan bir hizmettir. Genellikle hosting sağlayıcıları tarafından desteklenir.
• Özellikler:
  • Ücretsizdir.
  • Otomatik yenileme özelliği sunar.
  • Sadece DV (Domain Validation) sertifikası sağlar.
• Kullanım Alanları:
  • Küçük web siteleri ve bloglar.
  • Teknik olarak hassas olmayan içerik sunan siteler.
• Kimler İçin Uygun?
  • Bütçesi sınırlı olan ve temel güvenlik isteyen kullanıcılar için uygundur.

Hangi SSL Sertifikasını Seçmelisiniz?

• Blog/Kişisel Site → Let’s Encrypt (Ücretsiz DV) veya standart DV SSL.
• Kurumsal Web Sitesi → OV SSL.
• E-ticaret Sitesi / Finans Kuruluşu → EV SSL veya OV SSL.
• Alt Alan Adları Olan Site (shop.ornek.com, blog.ornek.com) → Wildcard SSL.
• Birden Fazla Alan Adına Sahip Olanlar → Multi-Domain (SAN) SSL.

Sonuç

İhtiyacınız olan sertifika türü, sitenizin yapısına ve güvenlik ihtiyacınıza bağlıdır. Çoğu kişisel ve kurumsal site için Let’s Encrypt veya standart bir DV/OV sertifikası yeterli olacaktır.

Küçük ve Orta Ölçekli Web Siteleri İçin Let’s Encrypt Önerisi

İnternet güvenliğinin olmazsa olmazı SSL sertifikaları, artık Let’s Encrypt sayesinde herkes için erişilebilir. Özellikle bütçesini verimli kullanmak isteyen küçük ve orta ölçekli web sitesi sahipleri ile blog yazarları için Let’s Encrypt, vazgeçilmez bir çözümdür. Tamamen ücretsiz olması, otomatik kurulum ve yenileme desteği sunması onu bir adım öne çıkarıyor.

Let’s Encrypt’in Avantajları

Avantaj	Açıklama
💸 Tamamen Ücretsiz	Let’s Encrypt, kar amacı gütmeyen bir organizasyondur. SSL sertifikası için yıllık yüzlerce lira ödemeniz gerekmez. Bu, özellikle start-up’lar ve bireysel kullanıcılar için büyük bir finansal avantajdır.
⚡ Kolay ve Hızlı Kurulum	Çoğu modern hosting sağlayıcısı (cPanel, Plesk, DirectAdmin), kontrol panelinizde birkaç tıklama ile Let’s Encrypt sertifikası kurmanıza olanak tanır. Derin teknik bilgi gerektirmez.
🔄 Otomatik Yenileme	Sertifikalar 90 gün geçerlidir, ancak sistem otomatik olarak yeniler. Bu, sertifikanın süresinin dolması ve sitenizin “Güvenli Değil” uyarısı verme riskini ortadan kaldırır.
🔒 Aynı Güçlü Şifreleme	Ücretli sertifikalarla aynı seviyede (örneğin, 256-bit) şifreleme sunar. Temel güvenlik ihtiyaçlarınızı karşılamakta asla taviz vermez.
🚀 SEO Dostu	Google, HTTPS’yi bir sıralama sinyali olarak kullanır. Let’s Encrypt ile ücretsiz bir şekilde bu SEO avantajından yararlanırsınız.

Let’s Encrypt Hangi Siteler İçin Uygundur?

Let’s Encrypt her ne kadar harika olsa da, her web sitesi için nihai çözüm olmayabilir. İşte Let’s Encrypt’in ideal olduğu site türleri:

• Kişisel Bloglar ve Portfolyolar: Tek yönlü bilgi akışı olan, kullanıcıdan çok hassas veri toplamayan siteler için mükemmeldir.
• Küçük ve Orta Ölçekli İşletme Siteleri: Broşür niteliğindeki, iletişim formu bulunduran şirket sitelerinin temel güvenlik ihtiyacını fazlasıyla karşılar.
• Forumlar ve Topluluk Siteleri: Kullanıcı girişi gerektiren sitelerde, kullanıcı adı/şifre gibi bilgilerin güvenliği için yeterlidir.
• SSL’ye Yeni Başlayanlar: Kurulumu ve yönetimi kolay olduğu için SSL dünyasına giriş yapmak isteyenler için ideal bir başlangıçtır.

Let’s Encrypt, birçok site için mükemmel bir çözümdür.

Kaynak: Let’s Encrypt

Let’s Encrypt Nasıl Kurulur? (Genel Adımlar)

Kurulum süreci hosting sağlayıcınıza göre değişiklik gösterse de genel akış şu şekildedir:

1. Hosting Panelinize Giriş Yapın: cPanel, Plesk veya sağlayıcınızın özel panelini açın.
2. SSL/TLS Bölümünü Bulun: Genellikle “Güvenlik” veya “Web Sitesi” başlığı altında yer alır.
3. Let’s Encrypt Seçeneğini Seçin: Burada genellikle “SSL Sertifikası Yükle”, “Ücretsiz SSL Etkinleştir” veya doğrudan “Let’s Encrypt” butonunu göreceksiniz.
4. Alan Adınızı Seçin: Sertifikayı yüklemek istediğiniz alan adını veya alt alan adını (subdomain) listeden seçin.
5. Kurulumu Başlatın: “Kur”, “Yükle” veya “Etkinleştir” butonuna tıklayın. Sistem otomatik olarak sertifikayı kuracak ve yapılandıracaktır.
6. WordPress’te URL’leri Güncelleyin: Sertifika kurulduktan sonra, WordPress Yönetici Panelinde Ayarlar > Genel kısmına giderek WordPress Adresi (URL) ve Site Adresi (URL) alanlarını https:// olarak güncelleyin.
7. Yönlendirme ve Karma İçerik Sorunlarını Çözün: Tüm trafiği HTTPS’e yönlendirmek için bir eklenti (örneğin, Really Simple SSL) kullanabilir veya .htaccess dosyanıza kural ekleyebilirsiniz. Eklentiler, karma içerik sorunlarını otomatik olarak çözmeye yardımcı olur.

Sonuç

Let’s Encrypt, interneti daha güvenli bir yer haline getirme misyonuyla yola çıkmış ve bu hedefinde oldukça başarılı olmuş bir projedir. Küçük ve orta ölçekli web siteleri için ücretsiz, güvenilir ve son derece pratik bir SSL çözümü sunar.

Eğer siteniz bir bankacılık uygulaması değilse veya çok yüksek düzeyde kurumsal doğrulama gerektirmiyorsa, Let’s Encrypt sizin için kesinlikle yeterli ve doğru tercihtir. Hosting panelinizde birkaç dakika içinde etkinleştirerek sitenizin güvenlik ve itibar seviyesini anında yükseltebilirsiniz.

Kontrol paneli ile WordPress SSL kurulumu

Hosting sağlayıcınızın sunduğu kontrol paneli (cPanel, Plesk, DirectAdmin), SSL sertifikası kurmanın en doğrudan ve etkili yoludur. Bu yöntemde, sertifika doğrudan sunucu seviyesinde yapılandırılır, bu da genellikle en yüksek performans ve uyumluluk anlamına gelir. Aşağıda, en popüler kontrol panelleri için adım adım kurulum rehberini bulacaksınız.

1. cPanel ile WordPress SSL Kurulumu

cPanel, dünyada en yaygın kullanılan web hosting kontrol panelidir. SSL kurulumu oldukça basittir.

📌 Adım 1: cPanel’e Giriş Yapın
Hosting sağlayıcınızın size verdiği giriş bilgileriyle cPanel hesabınıza giriş yapın (genellikle alanadiniz.com/cpanel).

📌 Adım 2: SSL/TLS Yöneticisini Bulun
Ana sayfada “GÜVENLİK” (SECURITY) başlığı altında “SSL/TLS” ikonuna tıklayın.

Kontrol panelinizin ana sayfasındaki ‘SSL/TLS’ sekmesi.

📌 Adım 3: Sertifikayı Yükleyin veya Etkinleştirin
Açılan sayfada, sertifika türünüze göre bir seçim yapın:

• Let’s Encrypt (Önerilen & Ücretsiz): “Let’s Encrypt™ SSL” seçeneğine tıklayın. Kurmak istediğiniz alan adını seçin, “Issue” (Yayınla) butonuna tıklayın. Sistem otomatik olarak sertifikayı kuracak ve yenileyecektir.
• Satın Alınmış/Bring Your Own Certificate: “SSL/TLS Yöneticisi” sayfasında “Sertifikaları Yükle ve Yönet (CRS)” linkine tıklayın. Sertifika yetkilinizden (CA) aldığınız sertifika kodunu (CRT) ilgili kutuya yapıştırın ve “Sertifikayı Yükle” butonuna tıklayın.

📌 Adım 4: Sitenizi Test Edin
Tarayıcınızın adres çubuğunda https://alanadiniz.com yazarak yeşil kilit simgesini kontrol edin.

2. Plesk Panel ile WordPress SSL Kurulumu

Plesk, birçok hosting şirketi tarafından kullanılan bir diğer popüler kontrol panelidir.

📌 Adım 1: Plesk’e Giriş Yapın
Plesk panelinize giriş yapın (genellikle alanadiniz.com:8443).

📌 Adım 2: Websites & Domains Sekmesine Gidin
Ana sayfadan SSL sertifikası eklemek istediğiniz alan adınıza tıklayın.

📌 Adım 3: SSL/TLS Sertifikaları Bölümünü Açın
Açılan alan adı yönetim sayfasında, “SSL/TLS Sertifikaları” sekmesine tıklayın.

📌 Adım 4: Yeni Sertifika Ekleyin

• Let’s Encrypt: “Get it free” yazan “Let’s Encrypt” butonuna tıklayın. E-posta adresinizi girin, sertifikanın geçerli olmasını istediğiniz alan adlarını (www’lu ve www’suz) seçin ve “Install” butonuna tıklayın.
• Kendi Sertifikanız: “Sertifika Ekle” butonuna tıklayın. Sertifikanızı, özel anahtarınızı (KEY) ve CA paketini (CABUNDLE) ilgili alanlara yapıştırın ve “Yükle” butonuna tıklayın.

📌 Adım 5: Sertifikayı Alan Adına Atayın
Sertifika yüklendikten sonra, “Websites & Domains” sekmesine geri dönün. “Hosting Ayarları”na tıklayın. “Güvenlik” bölümünden kurduğunuz sertifikayı seçin ve değişiklikleri kaydedin.

3. DirectAdmin ile WordPress SSL Kurulumu

DirectAdmin, hafif ve hızlı bir alternatif kontrol panelidir.

📌 Adım 1: DirectAdmin’e Giriş Yapın
DirectAdmin panelinize giriş yapın.

📌 Adım 2: SSL Sertifikası Yönetimine Girin
Ana sayfada, “SSL Sertifikaları” bağlantısına tıklayın.

📌 Adım 3: Sertifika Oluşturun veya Yükleyin

• Let’s Encrypt: “Ücretsiz sertifika alın & otomatik olarak yenileyin: Let’s Encrypt” bölümüne gidin. Sertifika isteği için gerekli alanları doldurun ve “Save” butonuna tıklayın.
• Kendi Sertifikanız: “Özel bir sertifika yükleyin” bölümüne gidin. Sertifikanızı (CRT), özel anahtarınızı (KEY) ve CA sertifikasını (CABUNDLE) ilgili alanlara yapıştırın ve “Save” butonuna tıklayın.

🛠 Son ve En Önemli Adım: WordPress Ayarlarını Güncelleyin

Kontrol panelinizde SSL’i kurmak işin sadece sunucu tarafındaki kısmıdır. WordPress’inizi de HTTPS kullanacak şekilde yapılandırmanız gerekir.

1. WordPress Adreslerini Değiştirin:
   • WordPress yönetici paneline girin.
   • Ayarlar > Genel sekmesine gidin.
   • WordPress Adresi (URL) ve Site Adresi (URL) alanlarındaki değerleri http:// olarak başlayan adreslerden https:// olacak şekilde güncelleyin.
   • Sayfanın en altındaki “Değişiklikleri Kaydet” butonuna tıklayın. Sistem sizi otomatik olarak yeni HTTPS adresinizdeki giriş sayfasına yönlendirecektir.
2. Karma İçerik Sorunlarını Çözün:
   • Really Simple SSL veya SSL Insecure Content Fixer gibi bir eklenti kurun ve etkinleştirin. Bu eklentiler, temanız ve eklentilerinizdeki eski HTTP bağlantılarını otomatik olarak HTTPS’e çevirerek “karma içerik” uyarılarını ortadan kaldırır.

Sonuç

cPanel, Plesk veya DirectAdmin kullanarak SSL sertifikası kurmak, teknik detaylarla çok fazla uğraşmadan sitenizi güvenli HTTPS protokolüne taşımanın en hızlı yoludur. İşlem genellikle birkaç tıklama ile tamamlanır. Unutmayın, sertifikayı kurduktan sonra WordPress genel ayarlarınızı güncellemek ve karma içerik sorunlarını çözmek sitenizin tarayıcılarda “Güvenli” olarak işaretlenmesi için kritik öneme sahiptir.

Cloudflare ile WordPress SSL Kurulumu

Cloudflare, sitenize ücretsiz, otomatik yenilenen bir SSL sertifikası sağlamanın yanı sıra, bir CDN (İçerik Dağıtım Ağı) ve güvenlik duvarı olarak da çalışan kapsamlı bir hizmettir. Cloudflare’in “Flexible SSL” özelliği, sunucunuzda bile bir SSL sertifikası olmasa bile sitenizi HTTPS olarak göstermenize olanak tanır. Bu, onu özellikle SSL kurulumunda zorluk yaşayan kullanıcılar için ideal bir çözüm haline getirir.

1. Cloudflare Hesabı Oluşturun ve Sitenizi Ekleyin

📌 Adım 1: Hesap Açma
Cloudflare resmi web sitesine gidin ve “Sign Up” butonuna tıklayarak ücretsiz bir hesap oluşturun.

📌 Adım 2: Site Ekleme
Giriş yaptıktan sonra, ana dashboard’da “Add a Site” butonuna tıklayın. Alan adınızı (örneğin, orneksitem.com) yazın ve işleme devam edin.

📌 Adım 3: Plan Seçimi
Cloudflare size bir plan seçmenizi isteyecektir. “Free” plan, SSL, CDN ve temel güvenlik özellikleri sunar ve çoğu site için fazlasıyla yeterlidir. Ücretsiz planı seçin ve devam edin.

2. DNS Ayarlarınızı Cloudflare’e Yönlendirin

Bu, Cloudflare kurulumundaki en kritik adımdır.

📌 Adım 1: DNS Kayıtlarını Onaylama
Cloudflare, otomatik olarak mevcut DNS kayıtlarınızı (A, CNAME, MX kayıtları gibi) tarayacak ve listeleyecektir. Tüm kayıtlarınızın doğru bir şekilde geldiğinden emin olun. Eksik varsa manuel ekleyin. Hepsi doğruysa, devam edin.

📌 Adım 2: Nameserver’ları Değiştirme
Cloudflare, size iki adet nameserver (isim sunucusu) verecektir. Örneğin:

• chad.ns.cloudflare.com
• lucy.ns.cloudflare.com

Bu nameserver’ları kopyalayın. Daha sonra, alan adınızı satın aldığınız şirketin (GoDaddy, Namecheap, vs.) kontrol panelinde, mevcut nameserver’ları silip Cloudflare’den aldıklarınızı eklemeniz gerekmektedir.

Cloudflare’den alınan nameserver’ları domain sağlayıcınızın paneline ekleme.
(Buraya örnek bir nameserver değiştirme ekran görüntüsü eklenebilir)

📌 Adım 3: Yayılma Süreci (Propagation)
Bu değişikliğin tüm internet üzerinde geçerli olması 24-48 saat sürebilir. Bu süreç tamamlanana kadar Cloudflare aktif olmayacaktır. Cloudflare dashboard’unda, nameserver değişikliği onaylandığında size bildirim gelecektir.

3. Cloudflare Dashboard’unda SSL/TLS Ayarlarını Yapın

Siteniz Cloudflare’e bağlandıktan sonra, SSL ayarlarını yapılandırabilirsiniz.

📌 Adım 1: SSL/TLS Sekmesine Gidin
Cloudflare dashboard’unda sol menüden “SSL/TLS” sekmesine tıklayın.

📌 Adım 2: SSL/TLS İşlem Modunu Seçin (ÇOK ÖNEMLİ!)
Buradaki en kritik ayardır. Dört seçenek vardır:

Mod	Açıklama	Kim İçin Uygundur?
Off	SSL devre dışı bırakılır. Siteniz hem HTTP hem HTTPS’de çalışır.	Önerilmez.
Flexible	Ziyaretçi ↔ Cloudflare arası HTTPS, Cloudflare ↔ Sunucunuz arası HTTP‘dir.	Sunucunuzda SSL olmayanlar için. Güvenlik açığı riski taşır.
Full	Ziyaretçi ↔ Cloudflare arası HTTPS, Cloudflare ↔ Sunucunuz arası HTTPS‘tir.	Sunucunuzda (kendinden imzalı dahil) bir SSL sertifikası olanlar için.
Full (Strict)	Full ile aynıdır, ancak Cloudflare sunucunuzdaki SSL sertifikasının geçerli ve güvenilir bir CA tarafından imzalanmış olmasını şart koşar.	En güvenli seçenek. Sunucunuzda geçerli bir SSL (Let’s Encrypt, vs.) olanlar için.

💡 Öneri: Mümkün olan en kısa sürede sunucunuza ücretsiz bir Let’s Encrypt sertifikası kurarak “Full (Strict)” moduna geçiş yapmanız şiddetle tavsiye edilir. “Flexible” modu, sunucunuzla Cloudflare arasındaki iletişim şifrelenmediği için bir güvenlik riskidir.

📌 Adım 3: Her Zaman HTTPS Kullanımını Aktif Edin
“SSL/TLS” sekmesi altında, “Edge Certificates” alt sekmesine gidin. “Always Use HTTPS” seçeneğini bulun ve “On” konumuna getirin. Bu, sitenize HTTP ile gelen tüm ziyaretçileri otomatik olarak HTTPS sürümüne yönlendirecektir.

4. WordPress Sitenizde Gerekli Ayarları Yapın

📌 Adım 1: WordPress URL’lerini Güncelleyin
WordPress yönetici panelinize gidin (Ayarlar > Genel). “WordPress Adresi (URL)” ve “Site Adresi (URL)” alanlarını http:// olan değerlerden https:// olacak şekilde değiştirin. Değişiklikleri kaydedin.

📌 Adım 2: Karma İçerik Sorunlarını Çözün
Cloudflare SSL’i etkinleştirdikten sonra, sitenizdeki bazı resimler veya script’ler hâlâ HTTP üzerinden yükleniyor olabilir. Bu, tarayıcıda “güvenli değil” uyarısına sebep olur.

• En Kolay Çözüm: Really Simple SSL veya Cloudflare eklentisini kurun ve etkinleştirin. Bu eklentiler sorunu neredeyse anında çözecektir.

5. Sitenizi HTTPS ile Test Edin

• Tarayıcınızda sitenizi https:// önekini kullanarak ziyaret edin. Adres çubuğunda kilit simgesi görmelisiniz.
• SSL Labs SSL Test aracını kullanarak sertifikanızın durumunu ve yapılandırmasını detaylıca test edebilirsiniz.

Sonuç

Cloudflare, WordPress sitenize tek bir yerden ücretsiz SSL, performans artışı ve güvenlik sağlamanın en etkili yollarından biridir. “Flexible SSL” modu, sunucu tarafında hiçbir değişiklik yapmadan hızlı bir başlangıç yapmanıza olanak tanır, ancak nihai hedefiniz sunucunuzda da bir SSL sertifikası kurarak en güvenli mod olan “Full (Strict)”‘e geçmek olmalıdır.

SSL Sertifika Kurulumu Nasıl Kontrol Edilir?

SSL sertifikanızı kurduktan ve WordPress ayarlarınızı güncelledikten sonra, her şeyin doğru çalıştığından emin olmak için kontrol etmeniz çok önemlidir. İşte kurulumunuzu test etmek için kullanabileceğiniz iki temel ve bir ileri seviye yöntem.

1. Tarayıcı Kontrolü (Temel ve Hızlı Kontrol)

Bu, her kullanıcının yapabileceği en hızlı kontrol yöntemidir.

📌 Adım 1: Siteyi Ziyaret Edin
Tarayıcınızın adres çubuğuna sitenizin https:// ile başlayan tam adresini yazın (örn. https://www.orneksiteniz.com) ve enter’a basın.

📌 Adım 2: Kilit Simgesini İnceleyin
Adres çubuğunun en solunda bir kilit simgesi (🔒) görmelisiniz. Bu, temel düzeyde bağlantınızın güvenli olduğunu gösterir.

📌 Adım 3: Sertifika Detaylarını Görüntüleyin

• Chrome/Firefox/Edge’de: Kilit simgesine tıklayın, ardından “Sertifika geçerli” veya benzeri bir bağlantıya tıklayın.
• Açılan pencerede sertifikanızın “Geçerli olduğu kişi” (sitenizin adı olmalı), “Veren” (sertifika yetkilisi, örn. Let’s Encrypt, Sectigo, vs.) ve “Geçerlilik Tarihleri” gibi detaylarını görebilirsiniz. Bu bilgilerin doğru olduğundan emin olun.

⚠️ Ne Anlama Gelir?

• Kilit Yok veya “Güvenli Değil” Uyarısı: SSL kurulumunuz aktif değil veya karma içerik (mixed content) sorunu yaşıyorsunuz demektir.
• Üçgen Sarı Ünlem İşareti (⚠️) ile Kilit: Sertifika kurulu ama sayfada HTTP üzerinden yüklenen öğeler (resim, script) var demektir. Bu, Really Simple SSL gibi bir eklenti ile çözülebilir.
• Kırmızı Çarpı veya Kilit Üstü Çizgi: Sertifikanın süresi dolmuş, geçersiz veya otorite tarafından tanınmıyor olabilir.

2. SSL Labs Testi (İleri Seviye ve Kapsamlı Kontrol)

Tarayıcı kontrolü temel bilgileri verir, ancak sertifikanızın durumu hakkında derinlemesine bir analiz için endüstri standardı olan Qualys SSL Labs aracını kullanmalısınız. Bu test, konfigürasyon hatalarınızı ve potansiyel güvenlik açıklarınızı ortaya çıkarır.

📌 Nasıl Yapılır?

1. SSL Server Test web sitesine gidin.
2. Sitenizin hostname’ini (örn. www.orneksiteniz.com) yazın ve “Submit” butonuna tıklayın.
3. Tarama işleminin tamamlanmasını bekleyin (birkaç dakika sürebilir).

📌 Sonuçları Nasıl Değerlendirirsiniz?
Tarama tamamlandığında, sitenize bir not (A, B, C, D, E, F) verilecektir. Hedefiniz A veya A+ notunu almaktır.

Rapor size şu kritik bilgileri sağlar:

• Sertifika Bilgileri: Veren, geçerlilik süresi, imza algoritması.
• Protokol Desteği: SSL v2/v3 gibi güvensiz eski protokollerin desteklenip desteklenmediği.
• Şifre Paketleri (Cipher Suites): Sunucunuzun desteklediği şifreleme yöntemlerinin gücü.
• Anahtar Değişim Bilgisi: Örneğin, OCSP Zımbalama (Stapling) desteği olup olmadığı (performans ve gizlilik için önemli).
• Zafiyetler: Heartbleed, POODLE gibi bilinen güvenlik açıklarına karşı korunup korunmadığınız.

Sonuç ve Eylem Planı

• Tarayıcıda Kilit + SSL Labs’ten A Notu: Mükemmel! SSL kurulumunuz başarılı ve güvenli.
• Tarayıcıda Kilit + SSL Labs’ten Düşük Not (B veya altı): Kurulum çalışıyor ancak yapılandırmanızı iyileştirmeniz gerekiyor. SSL Labs raporundaki uyarıları hosting sağlayıcınıza göstererek düzeltme talep edebilirsiniz.
• Tarayıcıda Kilit Yok / Hata: Kurulumunuz başarısız olmuş. Hosting sağlayıcınızın teknik desteği ile iletişime geçmeniz gerekir.

Bu iki yöntem, SSL sertifikanızın durumunu anlamak ve profesyonel bir güvenlik seviyesi sağlamak için gereken tüm bilgileri size sunar.

WordPress HTTPS Yönlendirmesi Nasıl Yapılır?

SSL sertifikasını kurmak, işin sadece yarısıdır. Bir sonraki kritik adım, tüm ziyaretçilerinizi ve arama motorlarını sitenizin güvenli (HTTPS) sürümüne kalıcı olarak yönlendirmektir. Bu, kullanıcı güvenliği, SEO (301 yönlendirmesi sayesinde sıralama kaybetmezsiniz) ve tutarlılık için hayati öneme sahiptir. İşte bunu başarmanın birkaç yolu, en iyisiyle başlayarak:

🥇 En İyi ve En Güvenli Yöntem: Sunucu Seviyesinde Yönlendirme

Bu yöntem, .htaccess’e göre daha az kaynak kullanır ve daha güvenlidir çünkü istekler WordPress’e ulaşmadan önce yönlendirilir.

1. cPanel ile HTTPS Yönlendirmesi

📌 Adım 1: cPanel’inize giriş yapın.
📌 Adım 2: Ana sayfada “Domains” bölümüne gidin ve “Redirects” ikonuna tıklayın.
📌 Adım 3: Açılan sayfada:

• Type: “Permanent (301)” seçin.
• Redirect from: http:// seçeneğiyle başlayacak şekilde alan adınızı girin (örneğin, http://www.orneksiteniz.com).
• Redirect to: https:// seçeneğiyle başlayacak şekilde hedef URL’nizi girin (örneğin, https://www.orneksiteniz.com).
• Wildcard Redirect: Bu kutuyu işaretlemeyin.
  📌 Adım 4: “Add Redirect” butonuna tıklayın.

2. Plesk Panel ile HTTPS Yönlendirmesi

📌 Adım 1: Plesk panelinize giriş yapın.
📌 Adım 2: Yönlendirme yapmak istediğiniz domain’e tıklayın.
📌 Adım 3: “Hosting & DNS” menüsünden “Hosting Settings” seçeneğine tıklayın.
📌 Adım 4: Aşağıya doğru kaydırın ve “Permanent SEO-safe 301 redirect from HTTP to HTTPS” kutusunu işaretleyin.
📌 Adım 5: “OK” veya “Apply” butonuna tıklayarak değişiklikleri kaydedin.

Bu, Plesk’in en temiz ve en etkili çözümüdür.

3. DirectAdmin ile HTTPS Yönlendirmesi

📌 Adım 1: DirectAdmin panelinize giriş yapın.
📌 Adım 2: “Advanced Features” bölümünden “Redirects” seçeneğine tıklayın.
📌 Adım 3:

• From: http://orneksiteniz.com (veya http://www.orneksiteniz.com)
• To: https://orneksiteniz.com (veya https://www.orneksiteniz.com)
• Type: “Permanent (301)” olarak ayarlayın.
  📌 Adım 4: “Create” butonuna tıklayın.

🥈 Alternatif Yöntem: .htaccess Dosyası ile Yönlendirme

Eğer kontrol panelinizde doğrudan bir yönlendirme seçeneği yoksa veya daha fazla kontrol istiyorsanız, bu yöntemi kullanabilirsiniz.

⚠️ ÇOK ÖNEMLİ UYARI: .htaccess dosyasını düzenlemeden önce MUTLAKA bir yedek alın. Yapılacak küçük bir hata tüm sitenizin çalışmamasına neden olabilir.

📌 Adım 1: FTP (FileZilla gibi) veya hosting kontrol panelinizin Dosya Yöneticisi aracılığıyla, WordPress’inizin kurulu olduğu kök dizine (public_html, www vb.) ulaşın.
📌 Adım 2: Gizli dosyaları gösterdiğinizden emin olun ve .htaccess dosyasını bulun.
📌 Adım 3: Dosyayı düzenlemek için sağ tıklayın.
📌 Adım 4: Dosyanın EN ÜSTÜNE, # BEGIN WordPress etiketinden önce aşağıdaki kodu ekleyin:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

📌 Adım 5: Dosyayı kaydedin ve sunucuya yeniden yükleyin (FTP kullanıyorsanız).

Bu kod, sunucuya “Eğer bağlantı HTTPS değilse, aynı adresi HTTPS olacak şekilde kalıcı olarak (301) yönlendir” talimatını verir.

5. WordPress Admin Panelde Son Kontroller

Yukarıdaki yöntemlerden biriyle yönlendirmeyi yaptıktan sonra, WordPress içindeki ayarları da kontrol etmelisiniz.

📌 Adım 1: WordPress Yönetici Paneline gidin (Ayarlar > Genel).
📌 Adım 2: “WordPress Adresi (URL)” ve “Site Adresi (URL)” alanlarının her ikisinin de https:// ile başladığından emin olun.
📌 Adım 3: “Değişiklikleri Kaydet” butonuna tıklayın.

💡 İpucu: Eğer yönlendirme döngüsü hatası alıyorsanız, bu genellikle hem sunucuda hem de bir eklentide (örneğin Really Simple SSL) yönlendirme aktif olduğunda olur. Çözüm: Yönlendirme işlemini yalnızca bir yerde (tercihen sunucu seviyesinde) yapın ve eklentideki yönlendirme özelliğini kapatın.

Sonuç ve Test

Yönlendirmenin çalıştığını test etmek için:

1. Tarayıcınızın gizli/anonim modunu açın.
2. Sitenizin http:// ile başlayan adresini yazın (örneğin, http://www.orneksiteniz.com).
3. Enter’a bastığınızda, adres çubuğunun otomatik olarak https:// versiyonuna dönüştüğünü ve bir kilit simgesi görmeniz gerektiğini göreceksiniz.

Sunucu seviyesinde yapılan bir 301 yönlendirmesi, en temiz, en hızlı ve en güvenilir çözümdür. Bu işlemi yaptıktan sonra, arama motorları da birkaç hafta içinde indekslerini güncelleyecek ve trafiğinizi sorunsuz bir şekilde güvenli HTTPS sürümünüze yönlendirecektir.

WordPress SSL Kurulumu Sonrası Karşılaşılabilecek Sorunlar ve Çözümleri

SSL’e geçiş her zaman sorunsuz olmayabilir. İşte en sık karşılaşılan sorunlar, nedenleri ve bunları hızla çözmenin yolları. Sorununuzu hızlıca bulmak için aşağıdaki tabloyu kullanın.

Sorun	Olası Neden	Hızlı Çözüm
🔒 Kilit Simgesi Çıkmıyor	Karma İçerik	Really Simple SSL eklentisi kurun
🔄 Sonsuz Yönlendirme Döngüsü	Çakışan Yönlendirmeler	Eklenti yönlendirmesini kapatın
⚠️ Sertifika Geçersiz Uyarısı	www/wwwsüz uyumsuzluk	Doğru sertifikayı kurun
🐢 Site Yavaşladı	TLS El Sıkışması	HTTP/2’yi etkinleştirin
❌ Eklenti Çalışmıyor	Sertifika Doğrulama	Eklentiyi güncelleyin/devre dışı bırakın

1. Karma İçerik Uyarıları (Mixed Content)

Bu, karşılaşılan en yaygın sorundur. Tarayıcı, HTTPS ile yüklenen bir sayfada HTTP üzerinden bir resim, CSS veya JavaScript dosyası bulduğunda “Güvenli Değil” uyarısı verir.

🔍 Belirtiler: Tarayıcıda kilit simgesi görünmez veya yanında ünlem işareti (⚠️) çıkar.

🛠️ Çözüm Adımları:

1. Hızlı Çözüm: Really Simple SSL veya SSL Insecure Content Fixer eklentisini kurun ve etkinleştirin. Bu eklentiler veritabanınızdaki URL’leri otomatik olarak değiştirmez, ancak sayfalar yüklenirken içerikleri gerçek zamanlı olarak HTTPS’e çevirir.
2. Kalıcı Çözüm: Veritabanınızdaki tüm eski http:// bağlantılarını https:// ile değiştirin. Bunun için Better Search Replace eklentisini kullanabilirsiniz. DİKKAT: İşlemden önce mutlaka veritabanınızın yedeğini alın.
   • Aranacak: http://www.orneksiteniz.com
   • Değiştirilecek: https://www.orneksiteniz.com
3. Manuel Kontrol: Tema dosyalarınızda (header.php, footer.php) ve temel eklenti ayarlarında sabit kodlanmış (hardcoded) HTTP URL’leri olup olmadığını kontrol edin.

2. Sonsuz Yönlendirme Döngüsü (Too Many Redirects)

🔍 Belirtiler: Tarayıcı “Bu sayfa çok fazla yönlendirme yapıyor” veya “ERR_TOO_MANY_REDIRECTS” hatası verir.

🛠️ Çözüm Adımları:
Bu sorun genellikle birden fazla yerde yönlendirme yapıldığında ortaya çıkar.

1. Eklenti Çakışmasını Çözün: Really Simple SSL veya benzeri bir SSL eklentisi kullanıyorsanız, bu eklentinin yönlendirme özelliğini kapatın. Zaten .htaccess veya sunucu panelinizden (cPanel, Plesk) 301 yönlendirmesi yaptıysanız, eklentinin aynı işi tekrar yapmasına gerek yoktur.
2. Cloudflare Kullanıcıları: Cloudflare’de “SSL/TLS” ayarlarından “Flexible” modunda mısınız? Sunucunuzda da bir yönlendirme varsa bu döngüye sebep olabilir. Cloudflare modunu “Full” veya “Full (Strict)” olarak değiştirin.
3. WordPress Adreslerini Kontrol Edin: WordPress Yönetici Panelinde (Ayarlar > Genel) her iki URL’nin de (WordPress Adresi ve Site Adresi) https:// ile başladığından emin olun.

3. SSL Sertifikası Hatası

🔍 Belirtiler: Tarayıcı “Sertifika Geçerli Değil”, “NET::ERR_CERT_COMMON_NAME_INVALID” gibi korkutucu uyarılar gösterir.

🛠️ Çözüm Adımları:

1. Alan Adı Eşleşmesi: Sertifikanın www’lu ve www’suz tüm varyasyonlar için geçerli olduğundan emin olun. www.orneksiteniz.com için alınan bir sertifika, orneksiteniz.com adresinde çalışmaz. Çözüm için Wildcard veya Multi-Domain sertifika alın.
2. Sertifika Zinciri (CA Bundle): Özellikle kendi sertifikanızı yüklediyseniz, sertifika yetkilisinin (CA) ara sertifikalarını (CA Bundle) doğru yüklediğinizden emin olun. Eksik ara sertifikalar bu hataya neden olur.
3. Sunucu Saati: Sunucunuzun tarih ve saati doğru değilse, sertifikanın geçerli olup olmadığı doğrulanamaz. Hosting panelinizden veya teknik destekle iletişime geçerek sunucu saatini kontrol edin.

4. HTTPS Bağlantısı Yavaş

🔍 Belirtiler: SSL öncesine göre site açılış hızında hissedilir bir düşüş.

🛠️ Çözüm Adımları:
SSL şifrelemesi ekstra bir işlem yükü getirir, ancak bu modern sunucularda minimaldir.

1. HTTP/2: Hosting sağlayıcınızdan HTTP/2 protokolünü etkinleştirmesini isteyin. HTTP/2, HTTPS’nin getirdiği yükü büyük ölçüde telafi eder ve hatta bazen HTTP’den daha hızlı hale getirebilir.
2. OCSP Zımbalama (Stapling): Sunucunuzda OCSP zımbalamanın etkin olduğundan emin olun. Bu, tarayıcının sertifikanın geçerliliğini doğrulamak için ekstra bir sorgu yapmasını engelleyerek hızı artırır.
3. Önbelleğe Alma: İyi bir önbellekleme eklentisi (WP Rocket, W3 Total Cache) kullanarak sunucu yükünü azaltın.

5. Eklenti veya Tema Uyumsuzlukları

🔍 Belirtiler: Sitenizin belirli bir özelliği (ödeme, form gönderme) çalışmıyor veya tema düzgün görüntülenmiyor.

🛠️ Çözüm Adımları:

1. Tümünü Güncelle: Tüm WordPress eklentilerinizi ve temanızı en son sürümlere güncelleyin.
2. Çakışma Testi: Tüm eklentileri devre dışı bırakın ve temayı varsayılan bir WordPress temasına (Twenty Twenty-Four) geçin. Sorun düzelirse, eklentileri teker teker etkinleştirerek sorunlu olanı bulun.
3. Geliştiriciye Ulaşın: Sorunlu eklenti veya temanın geliştiricisine destek bileti açarak HTTPS ile uyumluluk sorunu yaşadığınızı bildirin.

Genel Öneriler ve Son Tavsiyeler

• Tarayıcı Geliştirici Araçları: Chrome’da F12 tuşuna basarak “Console” sekmesini açın. Bu sekme, karma içerik uyarılarını ve diğer JavaScript hatalarını size tam olarak gösterecektir.
• SSL Test Araçları: Kurulumunuzun sağlıklı olduğundan emin olmak için SSL Labs SSL Test aracını mutlaka kullanın. A veya A+ notunu hedefleyin.
• Sabırlı Olun: Yönlendirmelerin ve önbelleklerin (tarayıcı, Cloudflare) tamamen temizlenmesi biraz zaman alabilir. Tarayıcınızın gizli modunda test yapmak, önbellek sorunlarını ortadan kaldırmanın iyi bir yoludur.

Bu adımları takip ederek, SSL kurulumu sonrası çıkan sorunların büyük çoğunluğunu kısa sürede çözebilir ve sitenizi sorunsuz bir şekilde güvenli HTTPS’e taşıyabilirsiniz.

SSL Sertifikasının Performansa Etkisi ve Optimizasyon

SSL/TLS şifrelemesi, kullanıcı ile sunucunuz arasındaki iletişimi güvence altına alırken kaçınılmaz olarak küçük bir ek yük getirir. Ancak, modern teknolojiler ve doğru optimizasyonlarla bu ek yük neredeyse hissedilemez seviyelere indirgenebilir ve hatta HTTP/2 gibi avantajlarla performansınızı artırabilirsiniz. İşte performansı en üst düzeye çıkarmanın yolları.

Performansa Etkisi: Gerçekten Yavaşlatır mı?

Evet, teknik olarak küçük bir etkisi vardır, ancak bu genellikle abartıldığı kadar değildir.

• TLS El Sıkışması (Handshake): Bir kullanıcı sitenize ilk kez bağlandığında, sunucu ve tarayıcı güvenli bir bağlantı kurmak için bir dizi mesaj alışverişi yapar. Bu işlem, bağlantının kurulmasına birkaç milisaniye ekler. Ancak, bu ek yük sonraki ziyaretlerde büyük ölçüde ortadan kalkar.
• Şifreleme/Şifre Çözme: Gönderilen ve alınan her veri paketinin şifrelenmesi ve şifresinin çözülmesi gerekir. Modern sunucular, bu işlem için donanım hızlandırma kullandığından, CPU kullanımı üzerindeki etkisi minimaldir.
• Algılanan Performans: Kullanıcılar için asıl önemli olan, içeriğin ne kadar hızlı görüntülendiğidir (algılanan performans). HTTP/2 ve doğru optimizasyonlarla, SSL’in getirdiği küçük gecikme, sağladığı büyük güven ve modern protokol avantajlarıyla kolayca telafi edilir.

Performans Optimizasyonu: Adım Adım Rehber

SSL performansını artırmak, sunucunuzu doğru şekilde yapılandırmakla ilgilidir.

Optimizasyon	Açıklama	Nasıl Yapılır?
🚀 HTTP/2’yi Etkinleştirin	En önemli optimizasyondur. HTTP/2, birçok dosyayı aynı anda (multiplexing) aktararak, SSL’in ek yükünü fazlasıyla telafi eder ve genelde HTTP/1.1’den çok daha hızlıdır.	Hosting sağlayıcınızın kontrol panelinden veya teknik desteğine başvurarak etkinleştirin. Neredeyse tüm modern sunucular HTTP/2’yi destekler.
📌 OCSP Zımbalama (Stapling)	Tarayıcının, sertifikanızın geçerliliğini doğrulamak için sertifika yetkilisine (CA) sorması gerekmez. Bu, bağlantı kurulum süresini kısaltır ve gizliliği artırır.	Sunucu yapılandırmanızda (nginx.conf veya httpd.conf) etkinleştirilir. Hosting sağlayıcınızdan bunu etkinleştirmesini isteyin.
💾 TLS Oturum Önbelleği	Bir kullanıcı sitenizi tekrar ziyaret ettiğinde, sunucu önceden paylaşılan anahtarı hatırlar ve el sıkışma sürecini atlar, böylece bağlantı anında kurulur.	Sunucu düzeyinde yapılandırılır. Varsayılan olarak genelde açıktır, ancak yapılandırmasını kontrol etmek iyidir.
🌍 CDN (İçerik Dağıtım Ağı) Kullanın	Cloudflare veya benzeri bir CDN, SSL sonlandırmayı kendi sunucularında yapar. Bu, sunucunuzdaki şifreleme yükünü azaltır ve içeriği kullanıcıya çok daha yakın bir noktadan servis eder.	Bir CDN sağlayıcısına kaydolun ve DNS ayarlarınızı bu sağlayıcıya yönlendirin. Cloudflare ücretsiz bir başlangıç seçeneğidir.
📦 Kaynak Optimizasyonu	Şifrelenecek veri ne kadar küçükse, işlem o kadar hızlı olur.	Görselleri optimize edin, CSS/JS dosyalarını sıkıştırın ve birleştirin, önbellekleme stratejileri uygulayın.

Genel Öneriler ve Son Kontroller

• Güncel Protokoller ve Şifreler: Eski ve güvensiz olan SSLv2, SSLv3 ve TLS 1.0/1.1’i devre dışı bırakın. TLS 1.2 ve 1.3 ve güçlü şifre paketleri (cipher suites) kullandığınızdan emin olun. SSL Labs testi bu konuda size detaylı rapor verir.
• Performans Testi: Optimizasyonlarınızın işe yarayıp yaramadığını ölçmek için GTmetrix, Google PageSpeed Insights veya WebPageTest gibi araçları kullanın. HTTPS sürümünüzü test ettiğinizden emin olun.
• Sunucu Donanımı: Yoğun trafiğe sahip bir siteniz varsa, daha modern bir CPU’ya yükseltmek SSL şifreleme/şifre çözme performansını doğrudan artıracaktır.

Sonuç

SSL sertifikasının performans üzerindeki olumsuz etkisi, doğru yapılandırma ve modern protokollerle büyük ölçüde ortadan kaldırılabilir. Hatta HTTP/2 desteği sayesinde, HTTPS kullanan bir sitenin HTTP’den daha hızlı olması mümkündür. Güvenliği sağlamanın getirdiği minimal ek yük, kesinlikle göz ardı edilebilecek bir bedeldir. Önceliğiniz her zaman güvenlik olmalı, ardından bu rehberdeki optimizasyon adımlarını uygulayarak sitenizin son derece hızlı ve güvenli çalışmasını sağlamalısınız.

OCSP Zımbalama

OCSP Zımbalama (OCSP Stapling), web sitenizin hem performansını artıran hem de ziyaretçi gizliliğini koruyan, genellikle gözden kaçan bir sunucu optimizasyonudur. İşleyişini ve nasıl uygulayacağınızı basitçe açıklayalım.

OCSP Zımbalama (OCSP Stapling) Nedir?

Normalde, bir tarayıcı (istemci) SSL sertifikanızı güvenilir bulduğunda, o sertifikanın iptal edilip edilmediğini kontrol etmek ister. Bunun için, her bağlantıda sertifika yetkilinizin (CA – Certificate Authority) OCSP (Online Certificate Status Protocol) sunucusuna bir sorgu gönderir.

Bu durumun iki büyük dezavantajı vardır:

1. Performans: Her yeni ziyaretçi için ekstra bir sorgu yapılması, bağlantının kurulma süresini (TLS handshake) yavaşlatır.
2. Gizlilik: Kullanıcının hangi siteyi ziyaret ettiği, CA’nın OCSP sunucusuna yapılan sorguyla açığa çıkar.

OCSP Zımbalama, bu sorunu şöyle çözer:
Sunucunuz, belirli aralıklarla (örneğin 24 saatte bir) sertifika durumunu CA’nın OCSP sunucusundan sizden bağımsız olarak sorgular ve alınan yanıtı “zımbalayarak” (iliştirerek) saklar. Bir tarayıcı bağlandığında, sertifikanızla birlikte bu önceden alınmış, taze ve imzalı OCSP yanıtını da sunarsınız. Tarayıcı, CA’ya sormaya gerek kalmadan sertifikanızın geçerli olduğunu bu zımbalanmış yanıtla doğrular.

Avantajları:

• Daha Hızlı Bağlantı: Tarayıcının ek bir sorgu beklemesi gerekmez.
• Gizlilik: Kullanıcı aktivitesi CA’ya gönderilmez.
• Güvenilirlik: CA’nın OCSP sunucusu çökmüş olsa bile, sunucunuzdaki önbelleklenmiş yanıt sayesinde bağlantılar kesilmez.

OCSP Zımbalama Nasıl Uygulanır?

Bu işlem büyük ölçüde sunucu düzeyinde yapılandırma gerektirir ve çoğu durumda hosting sağlayıcınızın teknik desteği ile iletişime geçmeniz gerekebilir.

1. Ön Koşulları Kontrol Edin

• Sunucu Desteği: Modern web sunucuları (Apache 2.3.3+, Nginx 1.3.7+) OCSP zımbalamayı destekler.
• Sertifika: Sertifikanız, OCSP sorgusu yapılabilen bir Sertifika Yetkilisi (Let’s Encrypt, Sectigo, DigiCert, vs.) tarafından verilmiş olmalıdır. Neredeyse tüm modern CA’lar bunu destekler.
• CA Kök Sertifikası: Sunucunuzda, sertifikanızı veren CA’nın kök ve ara sertifikalarının doğru yüklü olduğundan emin olun.

2. Sunucu Yapılandırması (Teknik Detay)

Apache için:
httpd-ssl.conf veya sanal host yapılandırma dosyanıza aşağıdaki direktifleri eklemeniz gerekir:

# OCSP önbellek dosyası için bir yol tanımla
SSLStaplingCache "shmcb:/path/to/stapling_cache(128000)"

# OCSP Zımbalama'yı etkinleştir
SSLUseStapling on

# Zımbalanmış yanıtın doğrulanmasını zorunlu kıl (isteğe bağlı, önerilir)
SSLStaplingStandardCacheTimeout 3600

Nginx için:
nginx.conf veya sunucu blok (server block) yapılandırma dosyanıza aşağıdaki direktifleri ekleyin:

ssl_stapling on;
ssl_stapling_verify on;

# OCSP doğrulaması için CA'nın kök/ara sertifikasının yolunu belirtin
ssl_trusted_certificate /path/to/your/trusted_ca_certificates.pem;

# OCSP sorgusu için DNS çözümleyici
resolver 8.8.8.8 8.8.4.4 valid=300s;
resolver_timeout 5s;

3. Yapılandırmayı Test Edin ve Doğrulayın

1. Sunucuyu Yeniden Yükleyin: Yapılandırma değişikliklerini yaptıktan sonra Apache veya Nginx’i yeniden başlatın.
2. Komut Satırı ile Test: Sunucunuzda aşağıdaki OpenSSL komutunu çalıştırarak OCSP yanıtının geldiğini doğrulayabilirsiniz:bashopenssl s_client -connect yourdomain.com:443 -status -servername yourdomain.comÇıktıda OCSP response: successful veya benzeri bir ifade ve bir yanıt görüyorsanız, OCSP zımbalama çalışıyor demektir.
3. SSL Test Aracı ile Doğrula: En kolay yöntem, sitenizi Qualys SSL Labs test aracında test etmektir. Sonuç raporunda “OCSP stapling” başlığını arayın. Yanında “Yes” yazıyorsa, başarıyla yapılandırılmış demektir.

Sonuç

OCSP Zımbalama, güvenlikten ödün vermeden performansı ve gizliliği artıran profesyonel bir optimizasyondur. Kurulumu sunucu düzeyinde bir işlem gerektirse de, özellikle yoğun trafiğe sahip siteler için sağladığı fayda çok büyüktür. Hosting sağlayıcınızla iletişime geçerek veya sunucu yöneticinize danışarak bu optimizasyonu sitenize mutlaka uygulatın.

E-ticaret Siteleri için SSL’in Önemi ve PCI DSS Uyumluluğu

E-ticaret siteleri için SSL/TLS sertifikası sadece teknik bir gereklilik değil, aynı zamanda müşteri güveni, yasal uyumluluk ve iş sürekliliği açısından hayati öneme sahip stratejik bir yatırımdır. Özellikle kredi kartı bilgileri gibi hassas verileri işleyen e-ticaret platformları için SSL, modern dijital ticaretin olmazsa olmaz bileşenlerinden biridir.

E-ticaret Sitelerinde SSL’in Önemi

1. Müşteri Güveni ve Marka İtibarı

• Güven Göstergesi: Tarayıcı adres çubuğunda beliren kilit simgesi ve “Güvenli” ibaresi, müşterilerinize sitenizin güvenilir olduğuna dair görsel bir kanıt sunar
• Marka Değeri: Güvenli alışveriş deneyimi, müşterilerinizin markanıza olan güvenini pekiştirerek uzun vadeli müşteri ilişkileri kurmanızı sağlar
• Rekabet Avantajı: SSL sertifikası, sektörünüzdeki diğer oyunculardan sizi olumlu şekilde ayıran önemli bir rekabet avantajı sağlar

2. Veri Güvenliği ve Koruma

• Şifreleme Standardı: SSL/TLS, müşteri bilgilerini (kredi kartı numaraları, kişisel veriler, giriş bilgileri) 256-bit şifreleme ile korur
• Saldırı Önleme: Man-in-the-middle (ortadaki adam) saldırılarına karşı etkili koruma sağlayarak veri ihlali riskini minimize eder
• Veri Bütünlüğü: Verilerin transferi sırasında değiştirilmesini veya bozulmasını engeller

3. SEO ve Performans Avantajları

• Arama Motoru Sıralaması: Google, HTTPS kullanan sitelere arama sonuçlarında öncelik verdiğini açıkça belirtmiştir
• Trafik Artışı: Daha yüksek sıralamalar, organik trafikte ölçülebilir artışlar sağlar
• Sayfa Yükleme Hızı: HTTP/2 desteği ile modern tarayıcılarda sayfa yükleme sürelerinde iyileşme sağlar

4. Yasal ve Regülasyon Uyumu

• KVKK/GDPR Uyumluluğu: Kişisel verilerin korunması kanunlarına uyum için zorunludur
• Yasal Sorumluluk: Veri ihlali durumunda oluşabilecek yasal sorumlulukları sınırlandırır
• Sektörel Standartlar: E-ticaret sektöründe beklenen minimum güvenlik standardını karşılar

PCI DSS Uyumluluğu ve SSL

PCI DSS Nedir?

PCI DSS (Payment Card Industry Data Security Standard), kredi kartı bilgilerini işleyen, depolayan veya ileten tüm işletmeler için geçerli olan küresel bir güvenlik standardıdır. Ana hedefi, kart sahibi verilerinin güvenliğini sağlamak ve kart dolandırıcılığını önlemektir.

SSL’in PCI DSS Uyumluluğundaki Kritik Rolü

1. Veri İletim Güvenliği (Gereklilik 4)

• Şifreleme Zorunluluğu: Açık ağlardan kart sahibi verisi iletirken güçlü şifreleme kullanmak zorunludur
• TLS Protokolü: TLS 1.2 veya üzeri protokollerin kullanımı PCI DSS tarafından şart koşulur
• Güvenli İletişim: SSL/TLS, bu gerekliliği karşılamak için endüstri tarafından kabul gören tek teknolojidir

2. Ağ Güvenliği (Gereklilik 1 ve 2)

• Şifreli İletişim: SSL, ağ katmanında ek güvenlik sağlayarak güvenlik duvarları ve diğer ağ güvenlik önlemlerini destekler
• Veri Bütünlüğü: Verilerin iletilmesi sırasında değiştirilmediğini garanti eder

3. Düzenli Güvenlik Testleri (Gereklilik 11)

• Sertifika Yönetimi: SSL sertifikalarının düzenli olarak yenilenmesi ve yönetimi, PCI DSS denetimlerinin önemli bir parçasıdır
• Güvenlik Açığı Taramaları: SSL/TLS yapılandırması düzenli güvenlik testlerinde kontrol edilir

Uygulama Önerileri ve En İyi Uygulamalar

1. Sertifika Seçimi:
   • EV (Extended Validation) SSL sertifikaları e-ticaret için önerilir
   • Wildcard sertifikaları alt alan adları için ideal çözüm sunar
2. Teknik Yapılandırma:
   • TLS 1.3 veya 1.2 kullanımı
   • Güçlü şifreleme paketleri (cipher suites) yapılandırması
   • OCSP zımbalama etkinleştirilmesi
3. Sürekli İzleme:
   • Sertifika süre sonu takibi
   • Düzenli güvenlik testleri
   • SSL/TLS yapılandırma denetimleri
4. PCI DSS Denetim Hazırlığı:
   • SSL/TLS yapılandırma dokümantasyonu
   • Sertifika yönetim prosedürleri
   • Güvenlik olayı müdahale planı

Sonuç ve Eylem Planı

E-ticaret siteniz için SSL uygulaması sadece teknik bir detay değil, işinizin geleceği için kritik öneme sahip stratejik bir karardır. Aşağıdaki adımları izleyerek süreci yönetebilirsiniz:

1. Hemen Şimdi: SSL sertifikası edinin ve sitenizde etkinleştirin
2. İlk 30 Gün: Tüm içeriği HTTPS’e geçirin ve karma içerik sorunlarını çözün
3. İlk 90 Gün: PCI DSS uyumluluk denetimi için hazırlıklara başlayın
4. Sürekli: Güvenlik yapılandırmalarını düzenli olarak gözden geçirin ve güncelleyin

Unutmayın: SSL yatırımı, müşteri kaybı, yasal yaptırımlar ve itibar zararı risklerine kıyasla çok düşük maliyetli ve yüksek getirili bir koruma yöntemidir.

Önerilen Eylemler:

• EV SSL sertifikası temin edin
• TLS 1.3 desteğini etkinleştirin
• Düzenli güvenlik denetimleri planlayın
• PCI DSS uyumluluk sürecini başlatın

WordPress E-ticaret Siteleri için PCI DSS Uyumluluk Adımları

E-ticaret sitelerinde PCI DSS (Payment Card Industry Data Security Standard) uyumluluğu, sadece yasal bir gereklilik değil aynı zamanda müşteri güveni ve iş sürekliliği için kritik öneme sahiptir. WordPress ve WooCommerce kullanan e-ticaret siteleri için PCI DSS uyumluluğunu sağlamak için aşağıdaki kapsamlı adımları takip etmeniz gerekmektedir.

1. SSL Sertifikası Kurulumu ve Yapılandırması

TLS 1.2/1.3 Yapılandırması:

• En az TLS 1.2, tercihen TLS 1.3 kullanımı
• Güçlü şifreleme paketleri (cipher suites) yapılandırması
• Zayıf şifreleme algoritmalarının devre dışı bırakılması

HTTPS Zorunluluğu:

• Tüm site trafiğinin HTTPS üzerinden yönlendirilmesi
• HTTP Strict Transport Security (HSTS) header’ının eklenmesi
• Mixed Content sorunlarının tamamen çözülmesi

2. Güvenli Ödeme İşlemleri Yönetimi

PCI DSS Seviye Belirleme:

• Yıllık işlem hacmine göre uyumluluk seviyesinin belirlenmesi
• Self-Assessment Questionnaire (SAQ) tipinin seçilimi

Ödeme Verilerinin Yönetimi:

• Kredi kartı verilerinin asla sunucuda saklanmaması
• Tokenization sistemlerinin uygulanması
• PCI DSS uyumlu ödeme ağ geçitleri kullanımı (Stripe, PayPal)

Ödeme Sayfası Güvenliği:

• Hosted payment page kullanımı
• Iframe tabanlı ödeme çözümleri
• 3D Secure zorunluluğunun etkinleştirilmesi

3. WordPress Altyapı Güvenliği

Çekirdek Güncelleme Yönetimi:

• WordPress core’un en son kararlı sürümde tutulması
• Otomatik güvenlik güncellemelerinin etkinleştirilmesi
• Güncelleme öncesi test ortamı kullanımı

Eklenti ve Tema Güvenliği:

• Sadece güvenilir kaynaklardan eklenti ve tema kullanımı
• Kullanılmayan eklenti ve temaların kaldırılması
• Düzenli güvenlik taramaları ve güncellemeler

WooCommerce Özel Güvenlik:

• WooCommerce ve uzantılarının en son sürüme güncellenmesi
• Ödeme işlem loglarının güvenli şekilde saklanması
• Müşteri veri erişim kontrolleri

4. Güvenlik Duvarı ve Erişim Kontrolü

Web Uygulama Güvenlik Duvarı (WAF):

• Cloudflare WAF veya Sucuri Firewall kullanımı
• SQL injection ve XSS saldırılarına karşı koruma
• DDoS koruma yapılandırması

Erişim Kontrol Politikaları:

• İki faktörlü kimlik doğrulama (2FA) zorunluluğu
• Admin erişimlerinin IP bazlı kısıtlanması
• Rol bazlı erişim kontrol (RBAC) uygulanması

Veritabanı Güvenliği:

• WordPress tablo prefix’lerinin özelleştirilmesi
• Database erişim loglarının tutulması
• Düzenli veritabanı güvenlik taramaları

5. Loglama ve İzleme Sistemleri

Kapsamlı Log Yönetimi:

• Tüm admin girişlerinin loglanması
• Ödeme işlem loglarının şifrelenmesi
• 90 gün log saklama politikası

Gerçek Zamanlı İzleme:

• Anormal aktivite tespit sistemleri
• Brute force saldırı tespiti ve engelleme
• File integrity monitoring uygulaması

Güvenlik Olayı Müdahale:

• Incident response planının hazırlanması
• Düzenli güvenlik tatbikatları
• Acil erişim protokollerinin belirlenmesi

6. Düzenli Güvenlik Testleri ve Denetimler

Otomatik Güvenlik Taramaları:

• Haftalık vulnerability scanning
• Quarterly penetration testing
• Annual PCI DSS compliance scanning

Manuel Güvenlik Denetimleri:

• Code review ve security audit
• Configuration review
• Access control review

Üçüncü Taraf Denetimleri:

• Qualified Security Assessor (QSA) ile çalışma
• Internal Security Assessor (ISA) istihdamı
• Yıllık PCI DSS compliance validation

7. Politika ve Dokümantasyon

Güvenlik Politikaları:

• Information Security Policy
• Acceptable Use Policy
• Data Retention Policy

Eğitim ve Farkındalık:

• Düzenli güvenlik eğitimleri
• Phishing awareness training
• Social engineering protection

Sözleşme Yönetimi:

• Third-party service provider agreements
• Data processing agreements
• Service level agreements (SLAs)

Uyumluluk Takip ve Raporlama

Sürekli İzleme:

• Real-time compliance monitoring
• Automated compliance reporting
• Quarterly compliance reviews

Dokümantasyon:

• Evidence collection and retention
• Audit trail maintenance
• Compliance reporting

İyileştirme Planları:

• Remediation planning
• Corrective action tracking
• Continuous improvement processes

Sonuç ve Öneriler

WordPress e-ticaret siteleri için PCI DSS uyumluluğu sürekli bir süreçtir ve aşağıdaki adımlarla yönetilmelidir:

1. Hemen Başlayın: Mevcut durum değerlendirmesi yapın
2. Önceliklendirin: Risk bazlı bir yaklaşım benimseyin
3. Otomatikleştirin: Süreçleri mümkün olduğunca otomatik hale getirin
4. Dokümante Edin: Tüm çalışmaları belgeleyin
5. Sürekli İyileştirin: Düzenli olarak gözden geçirin ve geliştirin

Önemli Uyarı: PCI DSS uyumluluğu karmaşık bir süreçtir ve profesyonel danışmanlık almanız önerilir. Yukarıdaki adımlar genel bir rehber olup, özel durumunuz için uzman görüşü almalısınız.

Bu kapsamlı yaklaşım, WordPress tabanlı e-ticaret sitenizin hem PCI DSS gerekliliklerini karşılamasını hem de müşteri verilerinin güvenliğini etkin şekilde sağlamasını garantileyecektir.

WORDPRESS SSL KURULUMU SIKÇA SORULAN SORULAR