Web Hosting Güvenliği: Sunucudan Uygulamaya Pratik Koruma Rehberi
Sunucu katmanı (Imunify360, ModSecurity, CageFS) ve uygulama katmanı (WordPress sertleştirme, TLS, yedekleme) güvenliğini bir arada anlatan pratik rehber.
Web Hosting Güvenliği: Sunucudan Uygulamaya Pratik Koruma Rehberi
WordPress siteniz hacklendi, admin şifreyi değiştirdiniz ama bir hafta sonra yine içeride mi? Bu senaryo aslında şunu söylüyor: saldırgan şifrenizle değil, sitenize bıraktığı backdoor ile geri döndü. Şifre değiştirmek, yalnızca kapının kilidini değiştirmektir; duvarın içindeki gizli geçidi kapatmaz.
Web hosting güvenliği, tek katmanlı bir önlem değil, birbiriyle çalışan katmanlar dizisidir: sunucu altyapısı → uygulama kodu → TLS/SSL → yedekleme → log izleme. Bu rehberde Buyukweb cPanel hosting müşterileri için her katmanı sırasıyla ele alıyorum.
Buyukweb perspektifi: cPanel paketlerimizde Imunify360 + ModSecurity OWASP CRS 4.x + CageFS + CloudLinux LVE + AutoSSL Let's Encrypt + günlük JetBackup standart aktif. Bu katmanlar müşteriden bağımsız çalışır. Ancak WordPress eklenti zafiyeti, zayıf admin şifresi, eski PHP sürümü gibi uygulama seviyesi riskler Buyukweb tarafından otomatik kapatılamaz; bunlar müşteri sorumluluğundadır.
Saldırı Haritası: Hosting Ortamını Hedef Alan Tehditler
Web sitelerine yönelik saldırılar kategorize edilmeden önlenmez.
| Saldırı türü | Hedef | Tipik etki |
|---|---|---|
| Brute-force | cPanel / wp-admin / SSH giriş | Şifre kırarak tam erişim |
| SQL Injection (SQLi) | Uygulama kodu / form girişleri | Veritabanı sızması veya silme |
| XSS (Cross-Site Scripting) | Kullanıcı girişi alanları | Oturum çalma, zararlı kod |
| Remote Code Execution (RCE) | Eski eklenti/tema zafiyeti | Sunucuda komut çalıştırma |
| Malware/Backdoor | Dosya sistemi | Uzaktan erişim, spam, blacklist |
| DDoS | HTTP/TCP katmanı | Site erişilemezliği |
| Credential stuffing | Admin paneli | Sızdırılmış parola koleksiyonu kullanımı |
Her tehdit, farklı bir katmanda önlenir. Sunucu katmanı brute-force ve bilinen imzaları yakalar; uygulama katmanı SQLi ve XSS'i engeller.
Buyukweb Sunucu Katmanı: Müşteriden Bağımsız Çalışan Koruma
Buyukweb cPanel paketlerinde standart olarak gelen güvenlik katmanları:
✓ Imunify360 6.x — Davranış analizi, ML tabanlı tehdit tespiti
✓ ModSecurity + OWASP CRS 4.x — Web Application Firewall (HTTP seviyesi)
✓ ClamAV — Dosya sistemi virüs taraması
✓ CageFS — Kullanıcı başına dosya sistemi izolasyonu
✓ CloudLinux LVE — CPU/RAM/IO limit; çok-kiracılı ortamda kaynak izolasyonu
✓ CPHulk — cPanel brute-force kısıtlaması (5 dakika / 5 deneme)
✓ AutoSSL Let's Encrypt — Otomatik SSL sertifika yenileme
✓ Günlük JetBackup — Harici sunuculara otomatik yedekleme
✓ L3 + L4 + L7 DDoS koruması — Bursa Tier 3 veri merkezi
Imunify360 vs Manuel ModSecurity: Fark Ne?
| Özellik | Imunify360 6.x | Sadece ModSecurity OWASP CRS |
|---|---|---|
| Kural güncellemesi | Otomatik, saatlik | Manuel / WHM üzerinden |
| Davranış analizi | Evet (ML tabanlı) | Hayır (kural imzası) |
| Brute-force ban | Otomatik + IP bazlı | Ayrıca fail2ban/CPHulk gerekir |
| Malware tarama | Gerçek zamanlı + schedule | Yok (ayrıca ClamAV gerekir) |
| Auto-quarantine | Evet | Hayır |
| False positive yönetimi | Whitelist paneli | Kural ID kapatma |
Tercih etmeyin: "Imunify360 var, başka bir şey gerekmez" rahatlığını. Imunify360 sunucu seviyesinde tanınan tehditleri engeller. WordPress eklentisindeki sıfır-gün zafiyeti, zayıf admin şifresi veya hatalı dosya izinleri uygulama katmanındaki açıklardır; Imunify360 bunları kapatamaz.
Uygulama Katmanı: WordPress ve CMS Sertleştirme
Sunucu katmanı mükemmel çalışsa bile uygulama katmanı zafiyeti her şeyi sıfırlar.
wp-config.php Sıkılaştırma
// /home/kullanici/public_html/wp-config.php
// Eklenti/tema dosya editörünü kapat — XSS sonrası saldırgan bunu kullanamaz
define('DISALLOW_FILE_EDIT', true);
// Otomatik çekirdek güncellemeleri (minor = güvenlik yamaları)
define('WP_AUTO_UPDATE_CORE', 'minor');
// PHP hata çıktısını production'da gizle — bilgi sızdırmayın
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
// DB prefix varsayılan wp_ yerine rastgele (kurulumda, sonradan değiştirmek riskli)
$table_prefix = 'wpbw_x9k_';
.htaccess Güvenlik Başlıkları
# /home/kullanici/public_html/.htaccess
# wp-config.php'ye doğrudan HTTP erişimi kapat
<Files wp-config.php>
Require all denied
</Files>
# xmlrpc.php — kullanmıyorsanız kapat
<Files xmlrpc.php>
Require all denied
</Files>
# Güvenlik başlıkları
<IfModule mod_headers.c>
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
</IfModule>
# wp-login.php IP kısıtlama (kendi IP'nizi yazın)
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from XX.XX.XX.XX
</Files>
PHP Sürümü — Zafiyet Sayısıyla Doğrudan İlişki
PHP 7.4 ve altı artık güvenlik desteği almıyor:
| PHP Sürümü | Güvenlik desteği | Tavsiye |
|---|---|---|
| 7.4 ve altı | Sona erdi | Derhal geçin |
| 8.0 | Sona erdi | Geçin |
| 8.1 | Kısıtlı | Geçin |
| 8.2+ | Aktif | Önerilen — zafiyet sayısı önemli ölçüde düşük |
Buyukweb cPanel paketlerinde PHP 5.2'den 8.4'e kadar seçim yapılabilir. PHP 8.2+ seçin; aynı WordPress kurulumu için zafiyet yüzeyini ciddi ölçüde azaltır.
PHP sürümünü değiştirmeden önce: test ortamında deneyin, eklentilerin PHP 8.2+ uyumlu olduğunu doğrulayın, sonra production'a geçin. Büyük çoğunluk modern eklenti 8.2'yi destekler.
WP-CLI ile komut satırından versiyon kontrolü ve güncelleme:
# cPanel SSH terminalinde
wp core version --allow-root
wp plugin list --status=active --allow-root
wp plugin update --all --allow-root
# Güncel olmayan tema varsa listele
wp theme list --status=inactive --allow-root
TLS/SSL: Şifreleme ve Zorunlu Yönlendirme
AutoSSL Let's Encrypt — Buyukweb'de Otomatik
Buyukweb cPanel paketlerinde AutoSSL varsayılan aktif; domain cPanel'e eklendiğinde otomatik Let's Encrypt sertifikası üretilir, süresi dolmadan yenilenir. Manuel işlem gerekmez.
TLS 1.0 / 1.1: KAPALI (Buyukweb sunucularında devre dışı, eski + zayıf)
TLS 1.2 / 1.3: AÇIK (Modern şifreleme, tarayıcı uyumlu)
HTTP/2: AÇIK (LiteSpeed 6.x ile otomatik)
HSTS: .htaccess veya sunucu header ile etkinleştirilebilir
HSTS başlığı ile tarayıcıyı her zaman HTTPS'e zorlayın:
# .htaccess — HSTS header (1 yıllık, subdomains dahil)
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
SSL Labs testi ile A+ hedefleyin: https://www.ssllabs.com/ssltest/analyze.html?d=siteniz.com
Yedekleme Stratejisi: Güvenliğin Son Güvencesi
Güvenlik ihlali sonrası en hızlı kurtarma yolu temiz bir yedektir. "Yedek almak" tek başına yeterli değildir; yedeği çalıştırmak da test edilmelidir.
| Yedekleme katmanı | Buyukweb hosting | VDS (unmanaged) | Önerilen aksiyon |
|---|---|---|---|
| Günlük otomatik yedek | JetBackup — harici sunucu | Veeam altyapısı | Ayda 1 test restore yapın |
| Site sahibi yerel yedek | Opsiyonel ek | Müşteri sorumluluğu | cPanel/Plesk download + uzak depo |
| DB snapshot | JetBackup içinde | Müşteri kurulumu | Kritik güncelleme öncesi manuel |
# VDS'te cron ile günlük mysqldump (unmanaged örnek)
0 2 * * * mysqldump --single-transaction -u wpuser -p'PAROLA' wp_db \
| gzip > /backup/wp-$(date +\%F).sql.gz
# 14 günden eski yedekleri temizle
find /backup -name "wp-*.sql.gz" -mtime +14 -delete
Tercih etmeyin: Yedeği test etmeden güvende olduğunuzu düşünmek. Bozuk yedek, yoktan farklı değildir.
Log İzleme ve Anomali Tespiti
Saldırılar genelde anlamlı log izleri bırakır; izlerseniz erkenden fark edersiniz. Günlük 2-3 dakika log taraması, reaktif müdahalenin önüne geçer.
Nelere bakmalısınız?
- Aynı IP'den kısa sürede çok sayıda başarısız giriş denemesi (brute-force belirtisi)
- Gecenin geç saatlerinde yüksek bant genişliği tüketimi (veri sızıntısı veya spam gönderimi)
- Bilinmeyen User-Agent'lardan gelen POST istekleri (bot tarama)
- Olağandışı PHP dosyası isim kalıpları (
wp-temp.php,adminn.php,images/x.phpgibi)
# cPanel / LiteSpeed erişim logu son 50 satır
tail -n 50 /home/kullanici/access-logs/siteniz.com
# ModSecurity engelleme logları (Imunify360 da buraya yazar)
journalctl -u lsws --since "1 hour ago" | grep -i "modsec\|block\|deny"
# fail2ban aktif ban listesi (VDS)
fail2ban-client status sshd
fail2ban-client status wordpress-auth
# Brute-force ban edilen IP'ler
fail2ban-client banned
Imunify360 cPanel panelinde engellenen IP'leri ve tarama bulgularını görsel olarak da inceleyebilirsiniz: cPanel → Security → Imunify360. Tarama sonucunda karantinaya alınmış dosya varsa Buyukweb destek hattı (0850 302 60 70) açıklama ve temizlik konusunda yardımcı olur.
Incident Response: 5 Adımda İhlal Müdahalesi
Sitenizin ele geçirildiğini fark ettiğinizde panik değil, sıralı eylem:
Adım 1 — Kontrol Al (0-1 saat)
• Siteyi bakım moduna alın (.htaccess 503 veya WP bakım eklentisi)
• Hosting şifrenizi + WordPress admin şifrenizi derhal değiştirin
• Buyukweb destek hattını arayın: 0850 302 60 70
Adım 2 — Tespit (1-4 saat)
• cPanel → File Manager → Son değiştirilme tarihine göre sırala
• Imunify360 → Malware scan başlat
• Wordfence (eklenti) → File diff taraması
Adım 3 — Temizlik (4-12 saat)
• Şüpheli dosyaları sil (önce yedek al)
• WordPress core dosyalarını temiz sürümle değiştir
• Tüm eklenti + temayı güncelle; kullanılmayanları sil
Adım 4 — Şifre Rotasyonu (12-24 saat)
• cPanel + WordPress + FTP/SFTP + veritabanı şifrelerini değiştir
• wp-config.php güvenlik anahtarlarını yenile
• 3. taraf API anahtarlarını (ödeme, SMS) yenile
Adım 5 — Doğrulama + Önlem (24-72 saat)
• Imunify360 tarama temiz çıkmalı
• Google Search Console → Güvenlik sorunları seksiyonu kontrol et
• 2FA aktif et (cPanel + WordPress)
• KVKK 12. madde: kişisel veri ihlali olduysa 72 saat içinde bildirim zorunlu
Güvenlik Katmanları Genel Özeti
| Katman | Sorumlu | Araç |
|---|---|---|
| Sunucu seviyesi WAF | Buyukweb | ModSecurity + OWASP CRS 4.x |
| Malware & davranış analizi | Buyukweb | Imunify360 6.x |
| Kullanıcı izolasyonu | Buyukweb | CageFS + CloudLinux LVE |
| SSL/TLS otomasyonu | Buyukweb | AutoSSL Let's Encrypt |
| Yedekleme | Buyukweb (hosting) | JetBackup — günlük |
| DDoS koruması | Buyukweb | L3 + L4 + L7 |
| Uygulama kodu güvenliği | Müşteri | Prepared statement, input validation |
| CMS/eklenti güncellemeleri | Müşteri | WordPress dashboard / WP-CLI |
| Admin şifre + 2FA | Müşteri | TOTP uygulaması + güçlü parola |
| CDN + DNS proxy (opsiyonel) | Müşteri | Cloudflare |
Bu tablodaki "Müşteri" satırları, Imunify360 ne kadar iyi olursa olsun kapatamayacağı açıklıklardır.
VDS ile Daha Fazla Kontrol — Ama Sorumluluk da Fazla
Paylaşımlı hosting'de CageFS kullanıcıları birbirinden izole eder; kendi güvenlik yapılandırmanız sınırlıdır ama platform katmanı Buyukweb tarafından yönetilir.
VDS sunucu'da tam root erişiminiz var; güvenliği istediğiniz gibi yapılandırırsınız. Ama bu aynı zamanda sunucu güvenliğinin tümüyle size ait olduğu anlamına gelir — Buyukweb VDS unmanaged sunar. Ek WAF, fail2ban, CSF, SSH key-only auth, port değişikliği hepsi sizin sorumluluğunuzdadır.
# VDS — SSH sertleştirme temel ayarları
# /etc/ssh/sshd_config
Port 22222 # Varsayılan 22 yerine
PermitRootLogin no # Root girişi kapat
PasswordAuthentication no # Sadece SSH key
PubkeyAuthentication yes
# fail2ban SSH + WordPress için
apt install fail2ban -y
# /etc/fail2ban/jail.local
# [sshd]
# enabled = true
# maxretry = 3
# bantime = 3600
# findtime = 600
Sıkça Sorulan Sorular
Imunify360 tam olarak ne yapar, benden bağımsız mı çalışır?
Imunify360, sunucu seviyesinde gerçek zamanlı malware koruması, brute-force ban, davranış analizi (ML) ve Web Application Firewall kurallarını otomatik olarak yönetir. Buyukweb cPanel paketlerinde standart kurulu; siz hiçbir şey yapmadan aktif. Bununla birlikte uygulama seviyesindeki açıklar (eski eklenti, zayıf şifre) sunucu katmanının erişemediği alanlardır.
Imunify360 meşru istekleri engelliyor (false positive), ne yapmalıyım?
cPanel → Security → Imunify360 → Rules → Whitelist bölümünden sorunlu isteğin kaynağını veya kural ID'sini beyaz listeye ekleyebilirsiniz. Kalıcı false positive için Buyukweb destek hattından kural özelleştirmesi isteyebilirsiniz.
Brute-force ban süresi ne kadar, yanlışlıkla kendimi engelledim ne yapayım?
Buyukweb sunucularında CPHulk varsayılan 5 deneme / 5 dakika penceresi; ban süresi 30-60 dakika. Kendi IP'nizi engellediyseniz 0850 302 60 70 arayın, IP adresinizi söyleyin, whitelist eklenir.
AutoSSL sertifika yenilemesi başarısız olursa SSL gidecek mi?
AutoSSL yenileme başarısız olduğunda cPanel otomatik olarak tekrar dener. Sürekli başarısızlıkta cPanel e-posta bildirimi gönderir. Buyukweb destek ekibi yapılandırma sorunlarında yardım eder. HSTS aktifse SSL süresi dolana kadar tarayıcı uyarı verir; bu yüzden HSTS öncesinde SSL'in düzenli yenilendiğini teyit edin.
Imunify360 malware taraması ne sıklıkla çalışır?
Buyukweb cPanel paketlerinde Imunify360 gerçek zamanlı dosya izleme (yüklenme anında tarama) + haftalık tam disk taraması yapar. Tarama sonuçlarını cPanel → Security → Imunify360 → Malware Scanner bölümünden görebilirsiniz.
WordPress eklenti zafiyeti bulundu ama güncelleme çıkmadı, ne yapmalıyım?
Önce eklentiyi deactivate edin (sil değil, veri kaybı olabilir). Geliştirici sayfasını ve WordPress.org güvenlik duyurularını takip edin. Güncelleme yoksa alternatif eklentiyi değerlendirin. Imunify360 ve ModSecurity OWASP CRS saldırının bir kısmını imza düzeyinde yakalayabilir ama tam koruma için eklentinin güncellenmesi şarttır.
WAF kuralları (ModSecurity) sitenizi yavaşlatır mı?
LiteSpeed 6.x üzerinde çalışan ModSecurity OWASP CRS düşük ek yük üretir; çoğu WordPress sitesinde ölçülemez gecikme. Çok yüksek frekanslı API veya büyük POST payload kullanan özel uygulamalarda spesifik kural bypass'ı gerekebilir; Buyukweb destek ekibi bu konuda yardım eder.
İlgili Büyükweb Hizmetleri
Web hosting güvenliği için Imunify360 + ModSecurity + CageFS + AutoSSL standart gelen paketler:
- cPanel Web Hosting — Imunify360 + JetBackup dahil
- WordPress Hosting — WP optimize LiteSpeed + Imunify360
- Plesk Web Hosting — Plesk panel güvenlik araçları
- VDS Sunucu — Özelleştirilebilir güvenlik, root erişim
- Linux Web Hosting
Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.
Web Hosting Rehberi İlgili Hizmetlerimiz
Bu yazıda anlatılan teknik konuyu profesyonel altyapıyla deneyimleyin
Etiketler:
