E-Ticaret Güvenliği: SSL, PCI-DSS Uyumluluğu ve Dolandırıcılık Önleme

E-ticaret güvenliği müşteri güveni ve yasal uyumluluk için kritiktir. Bir güvenlik ihlali hem mali kayıp hem de marka itibarına ciddi zarar verir.

E-Ticaret Güvenlik Tehditleri

1. Kredi Kartı Saldırıları:
   - Carding (kartın geçerliliğini test etme)
   - Skimming (form veri hırsızlığı - Magecart)
   - Brute force ödeme denemeleri

2. Hesap Ele Geçirme (ATO):
   - Credential stuffing
   - Brute force login
   - Sosyal mühendislik

3. Bot Saldırıları:
   - Stok tüketen botlar
   - Fiyat kazıma (scraping)
   - Sahte sipariş bırakma

4. SQL Injection / XSS:
   - Veritabanı saldırısı
   - Sepet manipülasyonu

SSL ve TLS Güvenlik Yapılandırması

# Nginx - Maksimum SSL güvenliği
server {
    listen 443 ssl http2;
    server_name magazaniz.com;

    ssl_certificate /etc/letsencrypt/live/magazaniz.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/magazaniz.com/privkey.pem;

    # Sadece TLS 1.2 ve 1.3
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;

    # HSTS (2 yıl)
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

    # Güvenlik başlıkları
    add_header X-Frame-Options "SAMEORIGIN" always;
    add_header X-Content-Type-Options "nosniff" always;
    add_header X-XSS-Protection "1; mode=block" always;
    add_header Referrer-Policy "strict-origin-when-cross-origin" always;

    # CSP (Content Security Policy)
    add_header Content-Security-Policy "default-src 'self' https:; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://js.stripe.com https://iyzipay.com; style-src 'self' 'unsafe-inline' https:; img-src * data:; frame-src https://js.stripe.com https://iyzipay.com;" always;
}

PCI-DSS Uyumluluğu

PCI-DSS Seviyeleri:
Seviye 1: 6 milyon+ kart işlemi/yıl → Yıllık denetim
Seviye 2: 1-6 milyon işlem/yıl
Seviye 3: 20,000-1 milyon işlem/yıl
Seviye 4: < 20,000 işlem/yıl → Öz değerlendirme

Temel PCI-DSS gereksinimleri:
1. Güvenli ağ (firewall)
2. Kart veri koruma
3. Düzenli açık tarama
4. Erişim kontrolü
5. Güvenlik politikası

Kart verisi SAKLAMAYINIZ:
✗ CVV/CVC asla saklanmaz
✗ PIN asla saklanmaz
✓ Token kullanın (Stripe, iyzico)

SAQ-A (En basit): Ödemeyi tamamen gateway'e bırakırsanız
→ iframe veya redirect ödeme sayfası
→ Kart verisi sitenize gelmez
→ Yıllık öz değerlendirme formu

Dolandırıcılık Tespiti

// Şüpheli sipariş tespiti
function detect_fraud($order_id) {
    $order = wc_get_order($order_id);
    $risk_score = 0;
    $flags = [];

    // 1. Hız kontrolü: Aynı IP'den çok sipariş
    $ip = $order->get_customer_ip_address();
    $recent_orders = count(wc_get_orders([
        'meta_key'   => '_customer_ip_address',
        'meta_value' => $ip,
        'date_after' => date('Y-m-d', strtotime('-1 hour')),
    ]));

    if ($recent_orders > 3) {
        $risk_score += 30;
        $flags[] = 'Çok fazla sipariş (IP: ' . $ip . ')';
    }

    // 2. Adres uyumsuzluğu
    $billing_city = $order->get_billing_city();
    $shipping_city = $order->get_shipping_city();
    if ($billing_city !== $shipping_city) {
        $risk_score += 15;
        $flags[] = 'Farklı fatura/teslimat şehri';
    }

    // 3. Yüksek değerli sipariş + yeni müşteri
    $customer_id = $order->get_customer_id();
    $order_total = $order->get_total();
    $is_guest = $customer_id === 0;

    if ($order_total > 5000 && $is_guest) {
        $risk_score += 25;
        $flags[] = 'Yüksek değer + misafir alışveriş';
    }

    // 4. Proxy/VPN kontrolü (API servisi)
    // ipqualityscore.com veya ipinfo.io

    // Risk skoru eşiği
    if ($risk_score > 50) {
        $order->update_status('on-hold', 'Fraud şüphesi: ' . implode(', ', $flags));
        // Admin'e bildirim gönder
        wp_mail(get_option('admin_email'), 'Şüpheli Sipariş #' . $order_id, implode("
", $flags));
        return false;
    }

    return true;
}

3D Secure ve Güçlü Müşteri Kimlik Doğrulama (SCA)

3D Secure (3DS):
- Visa: Verified by Visa
- Mastercard: Mastercard SecureCode
- Türkiye'de zorunlu (BDDK düzenlemesi)

SCA (Strong Customer Authentication):
PSD2 direktifi kapsamında AB'de zorunlu:
- Sahip olunan (telefon OTP)
- Bilinen (şifre)
- Biyometrik (parmak izi)

Entegrasyon (Stripe 3DS2):
stripe.confirmCardPayment ile otomatik 3DS yönetimi

// Stripe 3DS entegrasyonu
const stripe = Stripe('pk_live_...');

const {paymentIntent, error} = await stripe.confirmCardPayment(
  clientSecret,
  {
    payment_method: {
      card: cardElement,
      billing_details: {
        name: 'Müşteri Adı'
      }
    }
  }
);

if (error) {
  // 3DS başarısız veya kart reddedildi
  console.log(error.message);
} else if (paymentIntent.status === 'succeeded') {
  // Ödeme başarılı
  window.location.href = '/siparis-tamamlandi/';
}

WAF ve Bot Koruması

# Cloudflare WAF kuralları (e-ticaret için)

# Kural 1: Hızlı alışveriş botu engelle
# IP başına 60 saniyede 10'dan fazla /add-to-cart isteği
HTTP istek hızı > 10/dakika VE URI /add-to-cart içeriyorsa → Engelle

# Kural 2: Scraping engellemesi
# User-Agent boş veya şüpheli ise
(not cf.client.bot) AND (http.user_agent eq "") → Challenge

# Kural 3: Admin güvenliği
# /wp-admin sadece Türkiye'den
(ip.geoip.country ne "TR") AND (http.request.uri contains "/wp-admin") → Block

Sonuç

E-ticaret güvenliği çok katmanlı bir yaklaşım gerektirir. SSL, PCI-DSS uyumluluğu, 3D Secure, fraud tespiti ve WAF birlikte müşterilerinizin ve işletmenizin güvenliğini sağlar. Buyukweb'in güvenlik odaklı hosting altyapısı, e-ticaret güvenliğiniz için sağlam bir temel oluşturur.

---

Ilgili Buyukweb Hizmetleri:

• Yuksek trafik icin dedicated sunucu
• Guvenli hosting ile online magaza kurun
• Tum hosting ve sunucu paketlerimiz

---

E-Ticaret Altyapi Rehberi

Platform Secimi

WooCommerce: Esnek, genis eklenti. Kucuk-orta isletmeler.
PrestaShop: Guclü stok, coklu dil.
OpenCart: Hafif, kolay kurulum.
Shopify: Hosted, teknik bilgi gerektirmez.

Odeme

iyzico, PayTR, Param sanal pos. 3D Secure zorunlu. Kapida odeme onemli. Taksit seceenekleri donusumu arttirir.

Marketplace Entegrasyonu

Amazon, Trendyol, Hepsiburada, N11 icin entegrator yazilimi. Stok senkronizasyonu kritik. Coklu kanal strateji.

Performans

4 GB RAM, 2 vCPU, NVMe SSD minimum. CDN ile gorsel hizi. Yuksek trafik donemlerinde kaynak artirin.

Guvenlik

PCI DSS uyumu. Odeme bilgisi saklamayin. SSL, WAF, KVKK uyumlulugu zorunlu.

SEO

Product schema ekleyin. Gorsel optimize edin. Meta bilgilerini ozellestirin. Google Shopping entegrasyonu.

Sik Sorulan Sorular

Hosting mi VDS mi?

500 altinda ziyaretci hosting yeterli. 1000+ veya marketplace entegrasyonu icin VDS oneriyoruz.

Marketplace entegrasyonu icin ne gerekir?

Sabit IP VDS, entegrator yazilimi, API erisimleri. Buyukweb E-Ticaret VDS bu icin tasarlanmistir.

Sonuc

Basarili e-ticaret guclü altyapi, dogru platform ve etkili pazarlama birlesimdir. VDS ile isletmenizi olceklendirin.

E-Ticaret Baslangic Kontrol Listesi

Yasal

• Sirket/sahis kurulumu
• Vergi levhasi
• Mesafeli satis sozlesmesi
• KVKK aydinlatma metni
• Cerez politikasi
• Iade kosullari

Teknik

• Hosting/VDS secimi
• SSL sertifikasi
• E-ticaret platformu
• Sanal pos (3D Secure)
• Kargo entegrasyonu
• E-fatura entegrasyonu
• Google Analytics + Search Console

Pazarlama

• Google Business Profile
• Sosyal medya hesaplari
• Google Shopping
• Facebook/Instagram Shop
• E-posta pazarlama

E-Ticaret VDS vs Ev Interneti

Ozellik	Ev Interneti	E-Ticaret VDS
IP	Dinamik	Sabit
Temizlik	Bilinmiyor	Temiz
Kesinti	Elektrik/internet	%99.8 uptime
Hiz	Degisken	1 Gbps
Guvenlik	Dusuk	DDoS korumali

Marketplace islemleri icin sabit ve temiz IP kritik. Ban riski en aza iner.

Neden Buyukweb?

Buyukweb, 2009 yilindan bu yana Turkiye'nin guvenilir hosting firmasidir. Bursa Pendc Tier 3 veri merkezinde profesyonel barindirma hizmetleri sunmaktadir.

Teknik Altyapi Avantajlari

• NVMe SSD Diskler: Geleneksel disklere gore 10x daha hizli okuma/yazma
• LiteSpeed Web Server: Apache'ye kiyasla 10x performans artisi
• CloudLinux Izolasyonu: Her hesap icin ayri kaynak limiti
• Imunify360 Guvenlik: Otomatik malware tarama ve engelleme
• DDoS Korumasi: L3, L4, L7 katmanlarinda kapsamli koruma

Musteri Memnuniyeti

5.200'den fazla aktif musteri ile %99.8 uptime garantisi sunuyoruz. 7/24 Turkce teknik destek ekibimiz tum sorulariniza hizla yanit verir. Ucretsiz site tasima hizmeti ile mevcut hosting saglayicinizdan kolayca gecis yapabilirsiniz.

Fiyat-Performans Dengesi

Rekabetci fiyatlarla profesyonel hosting altyapisi sunuyoruz. Yillik odemede ek indirimler, ucretsiz SSL sertifikasi ve gunluk otomatik yedekleme tum paketlerde standarttir.

Kolay Yonetim

cPanel ve Plesk kontrol panelleri ile web sitenizi, e-postalarinizi ve veritabaninizi tek panelden kolayca yonetin. Softaculous ile 400'den fazla uygulamayi tek tikla kurun.

Hosting Sektoru ve Gelecek Trendleri

Dijitallesme ile birlikte hosting sektoru hizla donusuyor. Edge computing, serverless mimariler ve container teknolojileri geleneksel hosting yaklasimlarini tamamliyor. Ancak guvenilir bir fiziksel altyapi her zaman temel gereksinim olmaya devam edecek.

Yapay Zeka ve Hosting

AI destekli guvenlik sistemleri, otomatik optimizasyon araclari ve akilli izleme cozumleri hosting kalitesini artiriyor. Imunify360 gibi AI tabanli guvenlik yazilimlari, saldiri kaliplarini ogrenererek proaktif koruma sagliyor.

Surdurulebilir Hosting

Yesil enerji kullanan veri merkezleri, enerji verimli sunucular ve karbon notr barindirma hizmetleri gelecekte daha onemli hale gelecek. Verimli donanim ve akilli sogutma sistemleri ile enerji maliyetleri azaltiliyor.

5G ve Mobil Oncelik

5G teknolojisinin yayginlasmasi ile mobil trafik daha da artacak. Mobile-first hosting cozumleri, edge caching ve AMP destegi onemini koruyacak. Web sitelerinin mobilde 2 saniyenin altinda yuklenmesi standart beklenti haline geliyor.