Ücretsiz Bulut Danışmanlığı
+90 850 346 4821
Bana Ulaşın
Bana Ulaşın
  • Home
  • Alan Adı
  • E-Ticaret Siteleri İçin Hosting Seçimi: SSL, PCI-DSS ve Performans Gereksinimleri
e-ticaret-siteleri-icin-hosting-secimi-ssl-pci-dss-ve-performans-gereksinimleri

E-Ticaret Siteleri İçin Hosting Seçimi: SSL, PCI-DSS ve Performans Gereksinimleri

by Berkay Bulut
Alan Adı Hosting
Kasım 24, 2025
4:41 pm

Sharing is caring!

E-ticaret tarafında danışmanlık verdiğim projelerde, teknik toplantılarda en çok gelen sorulardan biri şu oluyor: “Bu site için nasıl bir hosting altyapısı kurmalıyız?” Özellikle ödeme alacağınız bir sistem kuruyorsanız, konu sadece disk alanı ve trafikle sınırlı kalmıyor; SSL yapınız, PCI-DSS uyumu ve performans gereksinimleri işin gerçek belirleyicileri haline geliyor. Doğru mimariyi kuramadığınızda, ya güvenlik denetimlerinde zorlanıyorsunuz ya da kampanya dönemlerinde sitenin çökmesiyle satışları kaçırıyorsunuz.

Bu yazıda, bir e-ticaret sitesinin teknik gereksinimlerine, bir sistem yöneticisi gözüyle ve sahada yaşadığım gerçek senaryolara dayanarak bakacağız. Hangi durumlarda Paylaşımlı hosting yeter, ne zaman VPS veya Fiziksel Sunucuya geçmek gerekir, SSL tarafında ücretsiz mi yoksa ücretli sertifika mı kullanmalısınız, PCI-DSS sizin için gerçekten zorunlu mu, performans tarafında hangi metriklere bakmalısınız; hepsini adım adım ve sade bir dille toparlayacağım. Amacım, bu yazıyı okuduktan sonra hosting sağlayıcınızla çok daha net konuşabilmeniz ve gereksiz harcama yapmadan, güvenli ve hızlı bir e-ticaret altyapısı kurabilmeniz.

E-Ticaret İçin Hosting Seçimi Neden Bu Kadar Kritik?

Kurumsal bir e-ticaret projesinin mimari tasarım toplantısında, genelde pazarlama ekibi tasarım ve kampanyaları konuşurken, IT tarafı üç temel başlığa odaklanır:

  • Güvenlik: Kart bilgileri, kişisel veriler, giriş oturumları
  • Uyumluluk: PCI-DSS, KVKK/GDPR, loglama ve denetim gereklilikleri
  • Performans: Trafik artışlarında ayakta kalabilen, hızlı yanıt veren altyapı

E-ticaret müşterisi sabırsızdır. Sayfa 3 saniyeden fazla açılmazsa, sepeti bırakıp gider. Tarayıcı “güvenli değil” uyarısı verirse, kart bilgilerini girmeye çekinir. Ödeme adımında en ufak bir hata veya yavaşlama, doğrudan terk edilen sepet olarak geri döner. Bu yüzden, klasik bir kurumsal tanıtım sitesinden farklı olarak, e-ticaret projelerinde hosting seçimi doğrudan ciroyu etkileyen bir karar hâline gelir.

Ayrıca altyapıyı en başta yanlış seçmek, büyüme döneminde mimariyi komple yeniden kurmaya zorlayabilir. Örneğin, küçük bir butik için paylaşımlı hosting yeterliyken, hızlı büyüme potansiyeli olan bir marka için baştan ölçeklenebilir bir VPS veya fiziksel sunucu kurgulamak çok daha mantıklı olabilir. Burada DCHost gibi yönetilebilir VPS ve sunucu hizmeti veren firmalarla çalışmak, teknik yükün önemli kısmını üzerinizden alabilir.

E-Ticaret Siteleri İçin Temel Hosting Mimarileri

Önce hangi tür hosting modelleriyle karşı karşıya olduğunuzu netleştirelim. Detaylı bir mimari karşılaştırmasını daha önce VPS, bulut sunucu ve fiziksel sunucu mimarilerini anlattığım yazıda uzun uzun konuştum, burada e-ticaret açısından özetleyeceğim.

Paylaşımlı Hosting

Bir sunucu üzerinde birden fazla müşterinin barındırıldığı, kaynakların paylaşıldığı en temel modeldir. Yeni başlayan, düşük trafikli, ürün sayısı az olan projeler için başta cazip görünebilir.

  • Artıları: Ucuz, yönetimi kolay, genelde kontrol paneli hazır gelir.
  • Eksileri: Kaynaklar paylaşılır, güvenlik izolasyonu sınırlıdır, PCI-DSS uyumu için genelde uygun değildir, yüksek trafikte performans sorunları yaşanır.

Ciddi karta dayalı ödeme alacaksanız ve uzun vadeli büyüme hedefiniz varsa, paylaşımlı hostingi sadece başlangıç/freelance projeler için düşünmenizi öneririm.

VPS (Sanal Sunucu)

VPS, fiziksel bir sunucunun sanallaştırma ile birden fazla sanal sunucuya bölünmüş hâlidir. Kaynaklar (CPU, RAM, disk) belirli oranlarla size ayrılır ve izole edilir.

  • Artıları: Kök erişim (root), daha iyi güvenlik izolasyonu, özelleştirilebilir konfigürasyon, orta ölçekli e-ticaret için ideal.
  • Eksileri: Yönetim bilgisi gerektirir; bu noktada yönetilen VPS hizmeti almak mantıklı olabilir.

Birçok müşterimde, ilk anlamlı satış hacimlerinde paylaşımlı hostingten yönetimli bir VPS hizmetine geçmek, performans ve güvenlik tarafında ciddi bir rahatlama sağladı. DCHost gibi firmaların sunduğu yönetilen VPS çözümleri, özellikle sistem yönetimi ekibi olmayan KOBİ’ler için hayat kurtarıcı olabiliyor.

Fiziksel Sunucu (Dedicated)

Tüm fiziksel kaynağın tek müşteriye ayrıldığı modeldir. Yüksek trafik, çok sayıda eşzamanlı kullanıcı, yoğun veritabanı operasyonu olan projelerde tercih edilir.

  • Artıları: Maksimum performans, tam izolasyon, PCI-DSS tarafında segmentasyon ve güvenlik duvarı kurgulamak daha esnek.
  • Eksileri: Maliyeti yüksek, yönetimi daha karmaşık, ölçekleme için iyi bir mimari planlama ister.

Eğer markanız için TV reklamı, büyük kampanyalar veya pazaryeri entegrasyonları ile yoğun trafik bekliyorsanız, orta vadede fiziksel sunucu veya birden fazla VPS’ten oluşan bir küme (cluster) mimarisi düşünmekte fayda var.

SSL Gereksinimleri: Sadece Kilit İkonu Değil

SSL, e-ticaret siteleri için artık tartışmaya kapalı bir zorunluluk. Tarayıcıların “güvenli değil” uyarısı, dönüşümleri anında öldürebiliyor. SSL’in ne olduğu, DV/OV/EV farkları gibi konuları SSL sertifikası türlerini detaylı anlattığım yazıda parçalara ayırmıştım; burada e-ticaret odağında kritik noktalara odaklanalım.

Ücretsiz Let’s Encrypt mi, Ücretli SSL mi?

Küçük ve orta ölçekli birçok e-ticaret sitesinde, teknik olarak Let’s Encrypt gibi ücretsiz DV SSL sertifikaları çoğu senaryoda yeterli oluyor. Özellikle kart bilgilerinin sunucunuzda işlenmediği (harici ödeme sayfası veya gömülü ödeme sağlayıcı kullanıyorsanız) durumlarda, tarayıcı tarafında sağlanan şifreleme standardı açısından ücretsiz ve ücretli sertifika arasında fark yok.

Öte yandan daha kurumsal imaj, sigorta kapsamı veya ek doğrulama süreçleri istiyorsanız, ücretli OV/EV sertifikalar mantıklı olabilir. Bu konuyu artıları ve eksileriyle “Ücretsiz Let’s Encrypt mi, ücretli SSL mi?” yazısında karşılaştırmıştım; e-ticaret projesi planlarken kesinlikle göz atmanızı öneririm.

Teknik Olarak Dikkat Etmeniz Gereken SSL Ayarları

  • TLS sürümü: TLS 1.0 ve 1.1 devre dışı bırakılmalı; TLS 1.2 ve mümkünse 1.3 aktif olmalı.
  • Güncel şifre takımları (cipher suites): Zayıf şifreler kapatılmalı, modern tarayıcılarla uyumlu güçlü şifreler kullanılmalı.
  • HSTS: HTTP Strict Transport Security ile tarayıcılara sitenize her zaman HTTPS üzerinden bağlanmaları söylenmeli.
  • Otomatik yenileme: Özellikle Let’s Encrypt kullanıyorsanız sertifika yenileme otomatik ve izlenir olmalı; süresi dolan SSL yüzünden e-ticaret sitesinin durmasını defalarca gördüm.
  • HTTP → HTTPS yönlendirmesi: Tüm trafiğin doğru şekilde HTTPS’e yönlendiğinden emin olun.

HTTP’den HTTPS’ye geçişi planlı ve SEO dostu yapmak için daha önce hazırladığım HTTP’den HTTPS’ye geçiş rehberine de mutlaka göz atın; e-ticaret sitelerinde organik trafiği riske atmaya değmez.

PCI-DSS Uyumlu E-Ticaret Hosting Nasıl Olmalı?

PCI-DSS, kredi kartı verisi işleyen, saklayan veya ileten tüm sistemler için geçerli bir güvenlik standardıdır. Kısaca, kart bilgisine dokunan herkes için katı kurallar koyar. Burada kritik soru şu: Siz kart verisine gerçekten dokunuyor musunuz?

Ödeme Mimarisine Göre PCI-DSS Kapsamı

  • Harici ödeme sayfası: Kullanıcı ödeme aşamasında 3D Secure veya ödeme sağlayıcısının sayfasına yönleniyor, kart bilgisi sizin sitenize hiç gelmiyorsa PCI kapsamınız ciddi şekilde daralır.
  • Gömülü form/iframe: Form sizin sitenizde görünse de kart verisi doğrudan ödeme sağlayıcısına gidiyorsa, yine kapsam sınırlı olur; ancak tarayıcı tarafındaki güvenlik önem kazanır.
  • Sunucuda kart verisi işleme/saklama: En riskli ve en ağır PCI-DSS yükümlülüklerine sahip senaryodur. Genelde KOBİ seviyesinde önermediğim bir yaklaşım.

Çoğu küçük ve orta ölçekli e-ticaret işletmesi için en mantıklı yol, kart verisini hiçbir şekilde sunucuda tutmamak ve ödeme sağlayıcı üzerinden çözüme gitmektir. Böylece PCI-DSS kapsamınız daha yönetilebilir hâle gelir ve hosting tarafındaki yük azalır.

Hosting Sağlayıcınızdan Sormanız Gereken PCI-DSS Soruları

  • Veri merkeziniz ve ağ mimariniz PCI-DSS uyumlu mu veya bu yönde sertifikalı referanslarınız var mı?
  • Ağ segmentasyonu ve güvenlik duvarı (firewall) yapınız nasıl kurgulanmış?
  • Loglama, saldırı tespiti (IDS/IPS) ve WAF (Web Application Firewall) altyapınız var mı?
  • Sunucular için düzenli güvenlik yamaları ve güncellemeler kim tarafından, hangi sıklıkla yapılıyor?
  • Veri yedekleme ve felaket kurtarma planınız nasıl?

DCHost gibi yönetimli hizmet veren sağlayıcılarda, bu soruların önemli bir kısmına hazır süreçlerle yanıt alabiliyorsunuz. Özellikle PCI-DSS değerlendirmesi geçirecekseniz, süreçlere ve loglamaya hâkim bir ekip ile çalışmak ciddi zaman kazandırıyor.

Küçük ve Orta Ölçekli Siteler İçin Pratik Strateji

Küçük ve orta ölçekli e-ticaret projelerinde, çoğu zaman aşağıdaki yaklaşım yeterli ve verimli oluyor:

  • Kart verisini asla sunucuda saklama.
  • Güvenilir bir ödeme sağlayıcısı kullan ve mümkünse harici ödeme sayfası ya da güvenli JS SDK ile entegrasyon yap.
  • Sunucuda sadece zorunlu kullanıcı verilerini (adres, sipariş bilgisi vb.) tut.
  • Sunucuyu sağlam SSL/TLS ayarları, güvenlik duvarı, WAF ve düzenli güncellemelerle koru.

Böylece PCI-DSS kapsamını daraltır, hosting maliyetini kontrol altında tutar ve teknik karmaşıklığı azaltırsın.

Performans Gereksinimleri: Hız Doğrudan Satış Demektir

E-ticaret projelerinde, performans tarafında en çok baktığım metrikler şunlar:

  • TTFB (Time To First Byte): Sunucunun ilk byte’ı ne kadar sürede döndürdüğünü gösterir, 200 ms civarı iyi bir hedeftir.
  • Sayfa yüklenme süresi: Özellikle ana sayfa, kategori ve ürün sayfaları için 2-3 saniye bandında kalmak ideal.
  • Eşzamanlı kullanıcı kapasitesi: Kampanya dönemlerinde aynı anda binlerce kullanıcının sisteme yüklenmesi durumunda ne olacağını simüle etmek gerekir.

Performans sadece “sunucu güçlü olsun” demek değil; yazılım mimarisi, veritabanı tasarımı, önbellekleme (caching) ve coğrafi dağıtım (CDN) gibi birden fazla katmanın uyumlu çalışmasıyla ortaya çıkar.

Sunucu Kaynakları ve Ölçekleme

E-ticaret projelerinde minimum düzeyde dikkat etmeniz gereken kaynaklar:

  • CPU: PHP veya başka bir backend dili kullanıyorsanız, eşzamanlı istek sayısı arttıkça CPU yükü hızla yükselir. Özellikle kampanyalarda CPU %90 üzerini görüyorsa ölçekleme zamanı gelmiş demektir.
  • RAM: PHP-FPM, veritabanı (MySQL/PostgreSQL), Redis/Memcached gibi servisler RAM tüketir. Yetersiz RAM, swap kullanımını artırarak siteyi hissedilir şekilde yavaşlatır.
  • Disk ve IOPS: NVMe veya hızlı SSD diskler, e-ticaret için büyük avantaj. Özellikle büyük ürün kataloglarında veritabanı sorguları disk I/O’ya ciddi yük bindirir.

Bu yüzden başta DCHost üzerinde küçük bir VPS ile başlasanız bile, yatay veya dikey ölçekleyebileceğiniz bir plan seçmek mantıklı. Trafiğiniz ve satış hacminiz büyüdükçe, kaynakları artırarak ilerlemek en sağlıklı yol.

Web Sunucusu, HTTP/2 ve HTTP/3 Tercihi

Web sunucusu seçimi (Apache, Nginx, LiteSpeed) e-ticaret sitelerinde ciddi fark yaratabiliyor. Özellikle statik dosyaların (CSS, JS, görseller) servis edilmesi, HTTP/2/HTTP/3 desteği ve connection yönetimi tarafında web sunucusu kritik rol oynuyor. Bu konuyu detaylı şekilde LiteSpeed, Nginx ve Apache karşılaştırması yaptığım yazıda anlatmıştım.

Ayrıca HTTP/2 ve HTTP/3 (QUIC) desteği modern tarayıcılar için büyük avantaj sağlıyor. Paralel istekler, header sıkıştırma ve bağlantı yönetimi gibi iyileştirmeler sayesinde, özellikle mobil kullanıcı tarafında hissedilir hız kazanımı elde edersiniz. Hosting seçerken sunucunun HTTP/2 ve mümkünse HTTP/3 destekli olmasına mutlaka dikkat edin.

CDN ve Coğrafi Lokasyon

Trafiğiniz tek bir ülkeden (örneğin ağırlıklı Türkiye) geliyorsa, veri merkezi lokasyonunu kullanıcıya mümkün olduğunca yakın seçmek, gecikmeyi (latency) ciddi şekilde azaltır. Bu konuyu veri merkezi lokasyonu seçimi rehberinde oldukça detaylı anlatmıştım.

Buna ek olarak, CDN kullanımı ile statik içerikleri (görseller, JS, CSS) kullanıcıya en yakın POP üzerinden servis ederek sayfa açılış hızlarını iyileştirebilirsiniz. Özellikle yurt dışı trafiğiniz varsa, CDN neredeyse zorunlu hâle geliyor. Hosting seçerken CDN entegrasyonunun kolay olması ve HTTP/2/3 ile sorunsuz çalışması önemli bir kriter.

Güvenlik, Yedekleme ve İzleme Boyutu

Performansı çözdünüz, SSL’iniz düzgün, PCI kapsamınızı sadeleştirdiniz. Yine de işiniz bitmiyor; güvenlik, yedekleme ve izleme konularını da ciddiye almanız gerekiyor. Bir saldırı sonrası veritabanı çökmesi veya yanlışlıkla silinen ürün görselleri, yedekleriniz yoksa ciddi gelir kaybına dönüşebilir.

  • Güvenlik duvarı ve WAF: Uygulama seviyesinde SQL injection, XSS gibi saldırıları engelleyen WAF çözümleri e-ticaret için kritik.
  • Düzenli güncellemeler: İşletim sistemi, web sunucusu, PHP, veritabanı ve e-ticaret yazılımı (örneğin WooCommerce, OpenCart vb.) her zaman güncel tutulmalı.
  • Yedekleme stratejisi: Günlük otomatik yedek, farklı lokasyonda tutulan periyodik tam yedekler ve geri dönülebilir test restore senaryoları planlanmalı.
  • İzleme (monitoring): CPU, RAM, disk, network, HTTP yanıt kodları ve uygulama logları merkezi bir izleme sistemiyle takip edilmeli.

Yönetilen hizmet aldığınızda, bu operasyonların önemli bir kısmı DCHost gibi sağlayıcılar tarafından üstlenilir. Kendi sunucunuzu yönetiyorsanız, bu süreçleri en baştan dokümante edip rutin hâline getirmeniz şart.

DCHost Üzerinde Örnek E-Ticaret Hosting Senaryoları

Sık karşılaştığım üç tip senaryoyu, DCHost gibi yönetilebilir çözümler üzerinde nasıl kurguladığımı özetleyeyim.

Senaryo 1: Yeni Başlayan Küçük Butik

Ürün sayısı az, trafik düşük, bütçe sınırlı. Bu durumda:

  • Başlangıç seviyesinde ama izole bir VPS (örneğin 2 vCPU, 4 GB RAM, NVMe disk)
  • Let’s Encrypt SSL, otomatik yenileme aktif
  • Harici ödeme sayfası kullanan bir ödeme altyapısı ile basit PCI kapsamı
  • Temel WAF, günlük otomatik yedek ve temel izleme

Bu yapı, büyüyene kadar fazlasıyla yeterli oluyor; trafik arttıkça sadece kaynakları yukarı çekerek ilerlemek mümkün.

Senaryo 2: Büyümekte Olan Marka

Aylık on binlerce ziyaretçi, yoğun kampanyalar ve influencer iş birlikleri olan orta ölçekli marka için yaklaşım:

  • Daha güçlü bir VPS veya iki VPS’ten oluşan ayrı web ve veritabanı sunucusu
  • HTTP/2/3 destekli modern web sunucusu (Nginx veya LiteSpeed tercihleri)
  • CDN entegrasyonu, Redis veya Memcached ile caching
  • Gelişmiş WAF kuralları, ayrıntılı loglama ve izleme

Bu seviyede, altyapının kampanya öncesi yük testlerine tabi tutulması ve gerekiyorsa geçici olarak kaynak artırımı planlanması önemli.

Senaryo 3: Yoğun Trafikli Kurumsal E-Ticaret

TV reklamları, büyük kampanyalar, pazaryeri entegrasyonları, B2B/B2C karma yapılar içeren projelerde:

  • Fiziksel sunucular üzerinde çok katmanlı mimari (load balancer + web katmanı + veritabanı katmanı)
  • Ayrı log sunucuları, merkezi izleme ve SIEM entegrasyonu
  • PCI-DSS gereksinimlerine uygun ağ segmentasyonu ve sıkı güvenlik kuralları
  • Aktif-aktif veya aktif-pasif yedek veri merkezi kurguları

Böyle bir yapıyı kurarken mutlaka sistem mimarisi deneyimi olan bir ekiple çalışmak gerekiyor. DCHost gibi veri merkezi ve sistem yönetimi konusunda tecrübeli sağlayıcılar, bu tip projelerde hem danışmanlık hem de operasyonel destek sunabiliyor.

Sonuç ve Yol Haritan

E-ticaret siteleri için hosting seçimi, “kaç GB disk, kaç GB RAM” sorusunun çok ötesinde. SSL yapılandırmanız, PCI-DSS kapsamınız ve performans gereksinimleriniz aslında mimariyi belirleyen temel faktörler. Kart verisine dokunmuyorsanız, harici ödeme sayfası ve sağlam bir SSL kurgusuyla PCI yükünüzü hafifletebilir, bütçenizi performans ve güvenliğe daha fazla ayırabilirsiniz.

Uygulamada çoğu proje için, iyi yapılandırılmış bir VPS üzerinde HTTP/2/3 destekli bir web sunucusu, CDN entegrasyonu, sağlam bir yedekleme ve izleme altyapısı ile başlayıp, trafik ve ciro arttıkça fiziksel sunucuya veya çok katmanlı bir mimariye evrilmek en mantıklı yol oluyor. Hosting seçimi yaparken, burada anlattığım soruları mutlaka sağlayıcınıza sorun; loglama, güvenlik, yedekleme ve ölçekleme tarafında net cevaplar alamadığınız bir altyapıya, hele e-ticaret için, gönül rahatlığıyla geçmeyin.

Eğer kendi projeniz için daha spesifik bir mimari konuşmak isterseniz, yorumlarda senaryonuzu paylaşabilirsiniz; DCHost tarafında kurduğum yapılardan örneklerle birlikte, size en mantıklı yolu teknik açıdan netleştirmenize yardım edebilirim.

Berkay Bulut

More posts by Berkay Bulut
Yeni Paylaşılanlar
Clear Filters
Visual representation of Core Web Vitals Optimization on WordPress Hosting
Core Web Vitals Optimization on WordPress Hosting
Hosting WordPress
By Berkay Bulut
 - 
25 Kasım 2025
Core Web Vitals Optimization on WordPress Hosting

Core Web Vitals are no longer a nice-to-have metric that only performance geeks care about. They directly affect how users…

Read More
Core Web Vitals Odaklı WordPress Hosting Optimizasyonu başlıklı makale görseli
Core Web Vitals Odaklı WordPress Hosting Optimizasyonu
Hosting WordPress
By Berkay Bulut
 - 
25 Kasım 2025
Core Web Vitals Odaklı WordPress Hosting Optimizasyonu

Core Web Vitals ve WordPress Hosting İlişkisi WordPress sitenizde Core Web Vitals skorları (LCP, CLS ve INP) kırmızıya düştüğünde ilk…

Read More

Yorum Yapın

Bağlantılı Makaleler