cPanel Güvenliği: ModSecurity, IP Bloklama ve Brute Force Koruması
cPanel'i nasıl daha güvenli hale getirirsiniz? ModSecurity WAF, CPHulk brute force koruması, IP bloklama ve iki faktörlü doğrulama ile cPanel güvenlik rehberi.
cPanel Güvenlik Rehberi: ModSecurity, IP Bloklama, Brute Force ve 2FA (2026)
cPanel hosting hesabınız ele geçirilirse sonuçları ağırdır: site ranking düşer, IP blacklist'e girer, müşteri verisi sızar, hosting hesabı askıya alınır. Buyukweb müşteri destek ekibimizin gözlemlediği kadarıyla cPanel ihlallerinin %85'i temel güvenlik adımlarının atlanmasından kaynaklanıyor. Bu rehberde Buyukweb cPanel paketlerinde standart olarak gelen savunma katmanlarını ve sizin yapmanız gereken ek adımları paylaşıyorum.
Buyukweb cPanel Paketlerinde Standart Olan Güvenlik
İlk önce sizin tarafınızda zaten aktif olan koruma katmanlarını listeleyelim — Buyukweb cPanel paketlerinde standart geldikleri için ayrıca yapılandırma gerekmez:
✓ ModSecurity + OWASP CRS (Web Application Firewall)
✓ Imunify360 (sunucu seviyesi koruma + malware tarama)
✓ CageFS (kullanıcı izolasyonu)
✓ CloudLinux LVE (kaynak limit + isolation)
✓ AutoSSL (Let's Encrypt otomatik SSL yenileme)
✓ ImunifyAV+ (malware tarama)
✓ CPHulk (cPanel/WHM brute force koruma)
✓ Günlük otomatik yedekleme (harici sunuculara)
✓ Bursa Tier 3 veri merkezi DDoS koruması (L3-L7)
Bunlar siz hiçbir şey yapmadan aktif. Sizin yapmanız gerekenler ise hesap-seviyesi güçlendirmeler.
ModSecurity — WAF Detayı
ModSecurity, Apache/LiteSpeed üzerinde çalışan açık kaynak Web Application Firewall. Gelen HTTP isteklerini analiz eder; SQL injection, XSS, kötü amaçlı yükleme gibi saldırı paternlerini engeller.
cPanel'de ModSecurity Durumu
cPanel > Security > ModSecurity
→ Her domain için açık/kapalı durumu görürsünüz
→ Varsayılan: Açık (önerilir)
Yanlış Pozitif Sorunlar
ModSecurity bazen meşru istekleri engelleyebilir. Tipik belirti: "403 Forbidden" veya "406 Not Acceptable". Çözüm yolları:
- Geçici devre dışı: Sorunu reproduce edip log'da hangi kuralın engellediğini bulun
- Spesifik kural devre dışı: Etkilenen kural ID'sini cPanel > ModSecurity Tools > Rule List'te bulup bypass listesi
- Domain-bazlı kapatma: Son çare — sadece o domainde ModSecurity kapatılır
WHM > Security Center > ModSecurity Tools (eğer WHM erişiminiz varsa):
- Hit list (engellenen istekler logu)
- Disable rule (kural ID ile)
- Edit rules (CRS özelleştirme)
OWASP CRS — Anomaly Scoring
OWASP Core Rule Set "anomaly scoring" mantığıyla çalışır:
- Her şüpheli kural istekten 5 puan ekler
- Toplam skor eşiği aşılırsa istek bloklanır
- Default eşik: 5 (paranoia level 1)
- Yüksek paranoia (PL2-4) daha sıkı, ama yanlış pozitif daha çok
Buyukweb tarafında: Varsayılan PL1 + WordPress için optimize edilmiş kural seti. Çok agresif değil, çoğu uygulamayı kırmaz. WooCommerce gibi büyük yüklemeli sitelerde nadiren özelleştirme gerekebilir; destek ekibimiz size yardım eder.
CPHulk — Brute Force Koruması
CPHulk, cPanel/WHM/SSH giriş sayfalarına yönelik şifre tahmin saldırılarını engeller.
Buyukweb Sunucusunda Standart Ayar
WHM > Security Center > cPHulk Brute Force Protection (Buyukweb tarafında)
Brute Force Period: 5 dakika
Maximum failures per period: 5
IP Address Block Time: 30-60 dakika
Country-based blocking: Türkiye dışı şüpheli ülkeler (opsiyonel)
Müşteri Tarafında Ne Yapmalısınız?
Yanlışlıkla kendinizi bloke ederseniz:
- Buyukweb destek hattını arayın (0850 302 60 70)
- IP'nizi söyleyin, beyaz listeye eklenir
- SSH erişiminiz varsa:
/etc/cphulk/whitelistdosyasına IP eklenebilir
Müşterinin Eklenebilir Önlemler
- Güçlü cPanel şifresi: 16+ karakter, özel sembol içersin
- 2FA aktif: Güçlü ek katman (aşağıda detay)
- wp-login.php IP kısıtlama:
.htaccessile WordPress login sınırlama
İki Faktörlü Doğrulama (2FA) — En Önemli Adım
cPanel 2FA destekler, kesinlikle aktif edin. Şifre sızdırılsa bile 2FA kodu olmadan giriş yapılamaz.
cPanel'de 2FA Aktivasyon
- cPanel > Security > Two-Factor Authentication
- Set Up Two-Factor Authentication tıklayın
- Telefonunuzdan Google Authenticator, Authy veya 1Password gibi TOTP uygulamasını açın
- QR kodu tarayın (veya secret key'i manuel girin)
- Uygulama 6 haneli kod üretir, cPanel'e girin → onay
- Yedek kodları kâğıda yazın ve güvenli yere saklayın
Artık her cPanel girişinde:
1. Kullanıcı adı + şifre
2. Telefon uygulamasından 6 haneli kod
Yedek Kodları Kaybetmek
Telefon kaybolursa veya uygulamayı sildiyseniz yedek kod gerekir. Yedek kod yoksa Buyukweb destek ekibi domain sahipliği doğrulaması ile 2FA'yı sıfırlayabilir; ama bu süreç gün alır. Yedek kodları kaybetmeyin.
IP Adresi Engelleme
cPanel IP Blocker — Web Sitenize Erişimi Bloklar
cPanel > Security > IP Blocker
Engelleme türleri:
Tek IP: 192.168.1.100
IP aralığı: 192.168.1.0-192.168.1.255
CIDR: 192.168.0.0/24
Wildcard: 192.168.*
Domain: ornek.com (DNS lookup ile)
.htaccess ile Daha Esnek Kurallar
# /home/kullanici/public_html/.htaccess
# Belirli IP'leri yasakla
<RequireAll>
Require all granted
Require not ip 192.168.1.100
Require not ip 10.0.0.0/8
</RequireAll>
# Sadece Türkiye IP'lerine izin ver (örnek; geofence)
# Bu komplexli, GeoIP modülü gerekir; çok pratik değil
# /wp-admin/ sadece kendi IP'me
<Directory "/home/kullanici/public_html/wp-admin">
<RequireAll>
Require ip XX.XX.XX.XX
Require all granted
</RequireAll>
</Directory>
Cloudflare ile IP Yönetimi (Daha Akıllı)
cPanel öncesi katman olarak Cloudflare:
- IP geofence (sadece Türkiye)
- ASN engelleme (datacenter IP havuzlarını)
- Rate limit (IP başına dakikada N istek)
- CAPTCHA challenge
Cloudflare ücretsiz plan bile çoğu site için yeterli koruma sağlar.
Hotlink Koruması
Başka sitelerin görsellerinizi kendi sitelerinde göstermesini engeller (bant genişliği hırsızlığı).
cPanel > Security > Hotlink Protection
URLs to allow access:
https://siteniz.com
https://www.siteniz.com
Block direct access for these extensions:
jpg, jpeg, gif, png, bmp, webp, mp4
Allow direct requests: ✓ (search engine için)
Pratik: WordPress kullanıyorsanız "WP Hotlink Protection" eklentisi ile Cloudflare imageresizing özelliği daha güçlü çözüm.
SSH Güvenliği (VDS müşterileri için)
cPanel paylaşımlı hosting'de SSH erişimi sınırlıdır; ama VDS sahibiyseniz:
# /etc/ssh/sshd_config
# Standart 22 portu yerine yüksek port
Port 22222
# Root girişini kapat
PermitRootLogin no
# Şifre yerine sadece SSH key
PasswordAuthentication no
PubkeyAuthentication yes
# Belirli kullanıcılar
AllowUsers buyukweb-deploy admin
# Boşta kalma süresi
ClientAliveInterval 300
ClientAliveCountMax 2
# X11 forwarding kapat (gereksiz)
X11Forwarding no
# Yapılandırmayı test et + restart
sshd -t
systemctl restart sshd
# fail2ban ile ek koruma
apt install fail2ban
# /etc/fail2ban/jail.local
[sshd]
enabled = true
maxretry = 3
bantime = 3600
SSL/TLS Sıkılaştırma
WHM erişiminiz varsa modern TLS yapılandırması:
WHM > SSL/TLS > Manage SSL Hosts:
- TLS 1.0 ve 1.1: KAPALI (eski, güvensiz)
- TLS 1.2 ve 1.3: AÇIK (modern)
- HSTS: Etkin (Strict-Transport-Security header)
- HTTP/2 ve HTTP/3: Etkin (LiteSpeed otomatik)
Müşteri tarafından SSL Labs testi: https://www.ssllabs.com/ssltest — A+ rating hedefi.
Malware Tarama (Imunify360)
Imunify360 cPanel paketlerinde standart kuruludur. Aktiviteleri:
- Real-time malware koruması (yüklemeden önce kontrol)
- Schedule scan (haftalık tüm dosyalar)
- Quarantine: Şüpheli dosyaları izole eder
- Auto-fix: Bilinen WordPress kötü kod paternlerini otomatik temizler
- Deobfuscation: Şifrelenmiş malware'i çözer
cPanel > Security > Imunify360 menüsünden:
- Tarama sonuçlarını gör
- Şüpheli dosyaları yönet
- Whitelist (yanlış pozitif için)
WordPress'e Özel Güvenlik
wp-config.php Sıkılaştırma
// /home/kullanici/public_html/wp-config.php
// Güvenlik anahtarlarını yenile (https://api.wordpress.org/secret-key/1.1/salt/)
define('AUTH_KEY', 'rastgele uzun string');
define('SECURE_AUTH_KEY', '...');
// ... 8 anahtarı da yenile
// Eklenti/tema editör kapatma (XSS sonrası kötü etkiyi azaltır)
define('DISALLOW_FILE_EDIT', true);
// Otomatik güncellemeler
define('WP_AUTO_UPDATE_CORE', 'minor');
// XML-RPC kapatma (eğer kullanmıyorsanız)
add_filter('xmlrpc_enabled', '__return_false');
// Database prefix değiştirme (yeni kurulumda)
$table_prefix = 'wp_xY7_'; // varsayılan wp_ yerine
.htaccess ile WordPress Sıkılaştırma
# /home/kullanici/public_html/.htaccess
# wp-config.php koruma
<Files wp-config.php>
Require all denied
</Files>
# wp-includes klasör direct access
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# wp-login.php IP kısıtlama
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from XX.XX.XX.XX # Sizin IP'niz
</Files>
# xmlrpc.php blokla
<Files xmlrpc.php>
Require all denied
</Files>
# Author archive enumeration koruması
RewriteCond %{QUERY_STRING} author=\d+
RewriteRule ^ - [F]
Wordfence vs Solid Security vs Sucuri
WordPress için ek güvenlik eklentileri (sunucu seviyesi Imunify360'ın üstüne):
| Eklenti | Güçlü Yön | Zayıf Yön | Ücret |
|---|---|---|---|
| Wordfence | Detaylı log, malware scan | Kaynak yoğun | Ücretsiz + Premium |
| Solid Security (eski iThemes) | Hafif, basit ayar | Daha az detay | Ücretsiz + Premium |
| Sucuri | Cloud WAF entegre | DNS değişikliği gerek | Premium |
Tavsiye: Buyukweb cPanel'de Imunify360 zaten var; ek olarak Wordfence (ücretsiz) yeterli. Hem hem'i çalıştırmak performans yiyor; biri seçin.
Güvenlik Kontrol Listesi
Aşağıdaki listeyi her cPanel hesabınız için kontrol edin:
- cPanel şifresi 16+ karakter, özel sembol
- 2FA aktif (en kritik adım!)
- AutoSSL aktif (Buyukweb'de standart)
- WordPress admin kullanıcı adı "admin" değil (değiştirildi)
- WordPress admin şifresi güçlü
- WordPress 2FA aktif (eklenti ile)
- wp-login.php için IP kısıtlama (.htaccess)
- xmlrpc.php devre dışı (kullanmıyorsanız)
- DISALLOW_FILE_EDIT wp-config.php'de
- Düzenli yedek alıyor + test ediyorsunuz
- Eklenti/tema güncellemeleri haftalık check
- Eski/kullanılmayan eklenti silindi (sadece etkin değil)
- FTP yerine SFTP/SSH kullanın
- Cloudflare DNS proxy + WAF aktif
- Imunify360 tarama uyarılarını takip edin
Hesap Hacklendiğinde Müdahale Planı
Saldırı tespit ettiğinizde 5 adımlık playbook:
1. İlk 1 saat — Bakım Modu
- WordPress: Maintenance plugin veya .htaccess ile site kapat
- "Site bakımda, yarın açılacak" mesajı
2. 1-4 saat — Tespit
- cPanel > File Manager > tüm dosyaları yeni tarihli dosyalar için tara
- Imunify360 tarama
- Wordfence "Diff" tarama (vs orijinal WordPress dosyaları)
- Access log analiz: /home/kullanici/access-logs/
3. 4-12 saat — Temizlik
- Şüpheli dosyaları silin (önce yedeği alın)
- DB dump alın → SQL inject izlerini arayın
- Tüm WordPress core, eklenti, tema güncelleyin
- Tüm güvenlik anahtarlarını yenileyin
4. 12-24 saat — Şifre Değişimi
- cPanel şifresi yenile + 2FA aktif
- WordPress admin şifresi yenile
- FTP/SSH şifre yenile
- DB kullanıcı şifresi yenile (wp-config.php güncelle)
- 3. taraf API anahtarları yenile
5. 24-72 saat — Doğrulama + Yenilenme
- Site açılırken Imunify360 + Wordfence tarama temiz olmalı
- Google Search Console "Security Issues" check
- Müşterilere bildirim (KVKK 72 saat kuralı, sadece veri ihlali varsa)
Sık Sorulan Sorular
Hesabıma sürekli yabancı IP'ler giriş deniyor, normal mi?
Evet, internet üzerinde her sunucuya bot tarama yapılıyor. CPHulk + 2FA aktif olduğu sürece tehlikesiz; saldırgan tahmin edemez. Loglara takılmayın.
"Site Health" eklentisi WordPress'te güvenlik puanım kaç olmalı?
80+ tavsiye edilir. Birinci öncelik kritik (red) sorunları çözmek; recommended (orange) sonra.
cPanel'de düşük disk kullanımı görüyorum ama "kota dolu" hatası alıyorum?
/home/kullanici/.cagefs/cache veya log dosyaları dolmuş olabilir. cPanel > File Manager > "Disk Usage" detaylı tarama. Logrotate yapılandırma + eski log temizlik.
Buyukweb hosting'de KVKK ihlali oldu, ne yapmalı?
72 saat içinde KVKK Kurumu'na bildirim (online portal). Müşterilere yine 72 saat içinde bilgilendirme. Buyukweb destek ekibimize başvurun, log/forensic destek için.
WordPress eklentisinde kritik zafiyet bildirildi, ne yapmalı?
Hemen güncelle. Eklenti güncellemesi geç gelirse: eklentiyi devre dışı bırak, yedek alıp eklentiyi sil, alternatifini bul.
"Geçici" malware temizledim, geri geliyor; sebebi?
Backdoor temizlenmemiş. Saldırgan ana kötü kodu sildiyseniz ama yedeklediği farklı dosyalar var; bunlar sonradan tekrar enjekte ediyor. Tüm WordPress'i temiz wedge'den yeniden kur (zaman alır ama tek garantili çözüm).
Penetrasyon test gerekli mi?
Kritik (banka, kamu) seviyesinde evet, e-ticaret için gerekli ama opsiyonel. Yıllık veya çeyrekte bir, sertifikalı pentester. Buyukweb müşterilerimize deneyimli pentester yönlendirebiliriz.
Hosting paketi dışında ek WAF servisi gerek var mı?
Buyukweb cPanel paketlerinde Imunify360 + ModSecurity yeterli çoğu site için. Ek katman: Cloudflare ücretsiz WAF (kritik kurallar Pro+ planda). Düşük maliyetle güçlü ek koruma.
"Login attempts" eklentisi (Login Lockdown) gerek var mı?
Wordfence/Solid Security içinde zaten var. Tek başına ek eklenti gerekmez; Wordfence "Login Security" sekmesinden 2FA + sınırlama yapın.
Hangi eklentileri kesinlikle yüklemeyim?
Bilinmeyen kaynaklı, "ücretsiz premium" denen pirate sürümler — büyük çoğunluğu malware içeriyor. Her zaman resmi WordPress.org veya direkt geliştirici sitesinden indirin.
Sonuç ve Buyukweb Tavsiyemiz
cPanel güvenliği çok katmanlı olmalı. Buyukweb cPanel paketlerinde standart 8 katman koruma sunulur (ModSecurity, Imunify360, CageFS, CloudLinux, AutoSSL, ImunifyAV+, CPHulk, Tier 3 DDoS); siz hesap-seviyesinde 2FA + güçlü şifre + WordPress sıkılaştırma yaptıkça koruma katlanır.
Buyukweb tarafında cPanel Web Hosting, WordPress Hosting, Plesk Web Hosting, E-Ticaret VDS farklı güvenlik ihtiyaç seviyelerine cevap verir.
Soru ve teknik destek için: 0850 302 60 70.
İlgili Büyükweb Hizmetleri
cPanel ve hosting güvenliği için Türkiye lokasyonlu paketler:
- cPanel Web Hosting (Imunify360 + ModSec)
- WordPress Hosting
- Plesk Web Hosting
- E-Ticaret VDS
- VDS Sunucu (özelleştirilebilir güvenlik)
Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.
cPanel & Plesk İlgili Hizmetlerimiz
Bu yazıda anlatılan teknik konuyu profesyonel altyapıyla deneyimleyin
Etiketler:
