Ajans çalışmalarında hosting hesabı için güvenli yetki ayrımı nasıl yapılır? Panel, FTP, veritabanı ve WordPress erişimleri için pratik kontrol adımları.
Ajansla çalışırken web sitesinin güvenliği, sürekliliği ve operasyonel kontrolü yalnızca teknik ekibin konusu değildir. Yanlış verilen bir erişim izni; e-posta hesaplarından veritabanına, dosya yapısından yedeklere kadar kritik alanları etkileyebilir. Bu nedenle hosting hesabında yetki ayrımı, ajans iş birliğinin en başında netleştirilmesi gereken kurumsal bir güvenlik adımıdır.
Yetki ayrımı yapılırken amaç ajansın işini zorlaştırmak değil, ihtiyacı olan alana kontrollü ve izlenebilir erişim sağlamaktır. Böylece hem proje hızlı ilerler hem de hesap sahibi gereksiz riskleri üstlenmez.
Web tasarım, yazılım geliştirme, SEO, bakım veya performans optimizasyonu gibi hizmetlerde ajansların farklı erişim ihtiyaçları olur. Ancak her çalışma için tam yönetici erişimi vermek doğru bir yaklaşım değildir. Özellikle cPanel, Plesk, FTP, veritabanı ve WordPress yönetici paneli gibi alanlarda yetkiler ayrı ayrı değerlendirilmelidir.
Kurumsal açıdan doğru model, en az yetki prensibi ile ilerlemektir. Yani ajansa yalnızca görevini yerine getirmek için gerekli izinler tanımlanmalıdır. Örneğin içerik düzenleyecek bir ekip üyesinin veritabanı silme yetkisine sahip olması gerekmez.
Yetki planı oluştururken tüm erişimleri tek bir şifre altında toplamak yerine, görev bazlı hesaplar açmak daha güvenlidir. Bu yaklaşım hem sorumluluk takibini kolaylaştırır hem de iş bitiminde erişimlerin hızlıca kapatılmasını sağlar.
Kontrol paneli, alan adı yönlendirmeleri, e-posta hesapları, dosya yöneticisi, yedekler ve veritabanları gibi kritik alanları kapsar. Ajansın bu panele erişmesi gerekiyorsa ana hesap bilgileri paylaşılmamalı; mümkünse alt kullanıcı veya sınırlı yetkili panel hesabı oluşturulmalıdır.
Panelde kullanıcı bazlı izin verilemiyorsa, erişim süresi sınırlandırılmalı ve işlem tamamlandıktan sonra şifre mutlaka değiştirilmelidir. Bu basit uygulama, ileride yaşanabilecek yetkisiz erişim tartışmalarını azaltır.
Dosya düzenleme yapılacaksa tüm sunucu dizinlerine erişim vermek yerine yalnızca ilgili web sitesi klasörü için FTP hesabı açılmalıdır. Özellikle aynı hesap altında birden fazla site barınıyorsa bu ayrım kritik hale gelir.
FTP yerine mümkün olduğunda SFTP tercih edilmelidir. Şifrelerin e-posta veya mesajlaşma uygulamalarında açık şekilde paylaşılmaması, kurumsal parola kasası kullanılması daha sağlıklı bir yöntemdir.
Veritabanı erişimi yalnızca gerçekten ihtiyaç varsa verilmelidir. Tema düzenleme, içerik girişi veya temel SEO çalışmaları için çoğu zaman doğrudan veritabanı erişimi gerekmez. Gerekli durumlarda ayrı bir veritabanı kullanıcısı oluşturulmalı ve bu kullanıcıya sadece ilgili veritabanı üzerinde yetki tanımlanmalıdır.
Ajans geçici bir işlem yapacaksa işlem öncesinde güncel yedek alınması gerekir. Hatalı bir sorgu, yanlış tablo silme veya karakter seti problemi sitenin çalışmasını doğrudan etkileyebilir.
WordPress yönetim panelinde her kullanıcıya yönetici rolü vermek pratik görünse de risklidir. İçerik ekibi için “Editör”, SEO uzmanı için ihtiyaca göre “Editör” veya özel rol, teknik geliştirme içinse geçici “Yönetici” erişimi tercih edilebilir.
Ajansın eklenti kurması, tema düzenlemesi veya kullanıcı yönetmesi gerekiyorsa yönetici rolü gerekebilir. Ancak bu erişim kalıcı olmamalıdır. İş tamamlandığında rol düşürülmeli veya kullanıcı pasifleştirilmelidir. Ayrıca her kullanıcı için ayrı hesap açılmalı; tek bir ortak kullanıcı adı paylaşılmamalıdır.
En yaygın hata, ajansa ana panel bilgilerini doğrudan iletmektir. Bu durumda hangi işlemi kimin yaptığı netleşmez. Ayrıca ajans tarafında ekip değişikliği yaşanırsa erişim bilgisinin kimlerde kaldığı bilinmeyebilir.
Bir diğer hata, aynı hosting hesabında bulunan tüm sitelere erişim açmaktır. Ajans yalnızca tek bir site üzerinde çalışacaksa, diğer projelerin dosyaları ve veritabanları izole edilmelidir. Bu izolasyon mümkün değilse en azından işlem öncesinde yedek alınmalı ve erişim süresi kısa tutulmalıdır.
Sunucu tarafında önbellek, PHP sürümü, DNS kayıtları veya SSL ayarları değiştirilecekse bu işlemler planlı yapılmalıdır. Canlı sitede beklenmeyen kesinti yaşanmaması için ajansla işlem saati, geri alma yöntemi ve sorumlu kişi önceden belirlenmelidir.
Kurumsal işleyişte erişim vermeden önce kısa bir yazılı mutabakat büyük fark yaratır. Ajansa hangi panele, hangi süreyle, hangi amaçla erişim verildiği kayıt altına alınmalıdır. Bu yaklaşım hem güvenlik hem de operasyonel sorumluluk açısından koruyucudur.
“Hangi dosyalara müdahale edilecek?”, “Veritabanında işlem yapılacak mı?”, “Yedek kim tarafından alınacak?”, “İş tamamlandığında erişimler kim tarafından kapatılacak?” gibi sorular net cevaplanmalıdır. Bu çerçeve çizildiğinde ajans daha kontrollü çalışır, site sahibi de teknik süreçleri yönetilebilir seviyede tutar.
Yetki ayrımı düzenli bir alışkanlık haline getirildiğinde, ajans iş birlikleri daha güvenli, izlenebilir ve sürdürülebilir ilerler. Özellikle bakım, geliştirme ve SEO süreçlerinde doğru erişim modeli; hem iş hızını korur hem de gereksiz güvenlik risklerinin önüne geçer.