Bir web sitesinin veya uygulamanın performansı, uptime oranı ve SEO skoru kadar, hatta kimi zaman onlardan daha da kritik olan bir konu var: siber güvenlik. Hosting altyapısı, doğası gereği yüzlerce hatta binlerce farklı sitenin, veritabanının ve servisin aynı ağ üzerinde çalıştığı bir ortam. Bu da saldırganlar için tek seferde çok sayıda hedefe ulaşabilecekleri son derece cazip bir yüzey anlamına geliyor.
Bir güvenlik denetimi, kapasite planlama toplantısı veya yeni bir projeye mimari tasarım yaparken en çok tartıştığımız başlıklardan biri artık şu: “Bu mimariyi saldırıya açık hangi noktaları en aza indirecek şekilde nasıl kurarız?” DCHost ekibi olarak sahada gördüğümüz tablo net: saldırılar daha akıllı, daha hızlı ve daha otomatik hale geliyor; buna karşılık savunma tarafında ise sistematik, tekrarlanabilir ve ölçülebilir bir yaklaşım olmadan ayakta kalmak zorlaşıyor.
Bu yazıda, hosting sektöründe öne çıkan siber güvenlik tehditlerini, paylaşımlı hosting, VPS, dedicated sunucu ve colocation tarafındaki risk farklılıklarını ve hem DCHost tarafında hem de sizin tarafınızda alınması gereken önlemleri detaylı ama anlaşılır bir dille ele alacağız. Hedefimiz, teknik jargonda boğulmadan, elinizde gerçekten uygulanabilir bir güvenlik kontrol listesi bırakmak.
İçindekiler
- 1 Hosting Sektörünü Saldırganlar İçin Cazip Kılan Faktörler
- 2 Hosting Sektöründe En Yaygın Siber Güvenlik Tehditleri
- 2.1 DDoS Saldırıları: Kaynak Tüketerek Hizmet Kesintisi Yaratmak
- 2.2 Brute-Force ve Kimlik Bilgisi Doldurma (Credential Stuffing)
- 2.3 Web Uygulaması Zafiyetleri ve Uzaktan Kod Çalıştırma (RCE)
- 2.4 Zararlı Yazılımlar, Web Shell’ler ve Fidye Yazılımı
- 2.5 E-posta Kötüye Kullanımı, Spam ve Phishing
- 2.6 DNS ve Alan Adı Üzerinden Gelen Tehditler
- 2.7 Sanallaştırma ve İzolasyon Problemleri
- 3 Paylaşımlı Hosting, VPS, Dedicated ve Colocation’da Risk Farkları
- 4 Hosting Sağlayıcısı Tarafında Alınması Gereken Temel Önlemler (Biz Ne Yapıyoruz?)
- 5 Müşteri Tarafında Uygulanabilir Güvenlik Kontrol Listesi
- 6 Gerçekçi Senaryolar: Aynı Tehdit, Farklı Hazırlık Seviyeleri
- 7 Sonuç: Hosting’de Siber Güvenliği Bir Süreç Olarak Görmek
Hosting Sektörünü Saldırganlar İçin Cazip Kılan Faktörler
Önce resmin tamamına bakalım: Neden saldırganlar tek tek şirket ağları yerine hosting altyapılarını hedef almayı bu kadar seviyor?
- Merkezi altyapı: Tek bir veri merkezi veya ağ segmenti üzerinden yüzlerce, binlerce siteye erişim imkânı.
- Çok kiracılı yapı (multi-tenant): Paylaşımlı hosting, reseller, VPS kümeleri; bir zafiyetle birden çok müşteriye yayılabilen riskler.
- Yüksek bant genişliği: Spam, DDoS, brute-force gibi otomatik saldırılar için güçlü çıkış noktaları.
- Heterojen yazılım yığını: WordPress, Laravel, özel PHP uygulamaları, eski CMS’ler, türlü eklentiler… Farklı sürümler, farklı zafiyetler.
- İnsan faktörü: Zayıf parolalar, güncellenmeyen paneller, yanlış yapılandırılmış DNS ve güvenlik duvarı kuralları.
Özetle, hosting tarafı hem büyük saldırı yüzeyi hem de <strongyüksek saldırı getirisi sunuyor. Bu yüzden siber güvenlik tehditlerindeki artışı detaylı anlattığımız sunucu ve hosting tarafında ne yapmanız gerektiğini ele alan rehber ile birlikte okumanız da ciddi fayda sağlıyor.
Hosting Sektöründe En Yaygın Siber Güvenlik Tehditleri
Tehditleri soyut kavramlar olarak değil, sahada en sık gördüğümüz başlıklar üzerinden konuşalım.
DDoS Saldırıları: Kaynak Tüketerek Hizmet Kesintisi Yaratmak
DDoS (Distributed Denial of Service), bir siteyi veya sunucuyu aşırı trafik göndererek erişilemez hale getirme saldırısıdır. Hosting tarafında bu saldırılar:
- Tüm IP bloğunu veya paylaşımlı sunucuyu etkileyerek birden fazla müşteriyi aynı anda devre dışı bırakabilir.
- Uygulama katmanında (L7) belirli URL’leri hedef alarak, sadece bir API endpoint’ini çökertmeye odaklanabilir.
- TCP/UDP flood, SYN flood gibi düşük seviyeli yöntemlerle ağ cihazlarını ve firewall’ları zorlayabilir.
DDoS saldırılarını ve korunma yöntemlerini daha teknik seviyede ele aldığımız detaylı DDoS rehberimize mutlaka göz atın; burada ise büyük resimden devam edelim.
Brute-Force ve Kimlik Bilgisi Doldurma (Credential Stuffing)
En sevilen hedefler:
- cPanel, Plesk, DirectAdmin gibi kontrol panelleri
- WordPress wp-login.php ve XML-RPC
- SSH, FTP, SFTP servisleri
Saldırganlar, daha önce sızmış kullanıcı adı/parola listelerini otomatik araçlarla deneyerek parola tahmini yapmaktan çok daha hızlı şekilde giriş denemeleri gerçekleştiriyor. Aynı parolayı birden fazla yerde kullanan kullanıcılar, bu saldırıların en kolay avı oluyor.
Web Uygulaması Zafiyetleri ve Uzaktan Kod Çalıştırma (RCE)
Hosting tarafında en fazla hasara yol açan saldırı türlerinden biri, doğrudan web uygulamasının içinden gelen zafiyet istismarıdır. Örneğin:
- Güvenlik açığı bulunan bir WordPress eklentisi üzerinden dosya yükleme ve keyfi kod çalıştırma
- SQL injection ile veritabanındaki tüm müşteri verilerinin çekilmesi
- XSS (Cross-Site Scripting) ile yönetici oturum çerezlerinin çalınması
Bu tür saldırılarda, saldırgan genellikle sunucuya doğrudan değil, uygulamanın kendisine hedeflenir. Dolayısıyla sadece sunucuyu değil, kodu ve kullanılan eklentileri de güvenlik perspektifiyle ele almak gerekir.
Zararlı Yazılımlar, Web Shell’ler ve Fidye Yazılımı
Başarılı bir istismar sonrası saldırganın ilk işi genellikle bir web shell veya arka kapı yerleştirmektir. Böylece:
- İleride tekrar bağlanabileceği kalıcı bir erişim noktası oluşturur.
- Sunucuyu spam, phishing veya DDoS amaçlı botnet’in bir parçası haline getirebilir.
- Dosyaları şifreleyerek fidye talep eden ransomware türevlerini çalıştırabilir.
Bu noktada 3-2-1 yedekleme stratejisi hayat kurtarır. Ayrıntılarını 3-2-1 yedekleme stratejisini anlattığımız yazıda detaylı anlattık; burada vurgulamak gereken, fidye yazılımına karşı en etkili savunmanın çoğu zaman doğrulanmış, offline veya immutable yedekler olduğudur.
E-posta Kötüye Kullanımı, Spam ve Phishing
Hosting altyapıları, genellikle e-posta gönderimi için de kullanılır. Zayıf parolalı bir e-posta hesabının ele geçirilmesi veya güvenliksiz bir script ile:
- Büyük miktarda spam gönderilebilir.
- Sahte fatura, banka bildirimi gibi phishing kampanyaları yapılabilir.
- Sunucu IP’leri kara listeye girerek tüm müşterilerin e-posta teslimi zarar görebilir.
Bu yüzden SPF, DKIM, DMARC ve rDNS gibi kayıtları doğru kurmak, saldırıların etkisini azaltmak kadar, itibar yönetimi açısından da kritik. Bu başlık için e-posta teslim edilebilirliğini artırma rehberimizi ayrıca incelemenizi öneririz.
DNS ve Alan Adı Üzerinden Gelen Tehditler
Alan adı ve DNS tarafı da saldırı yüzeyinin önemli bir parçası:
- Yanlış yapılandırılmış DNS kayıtlarıyla sahte sitelere yönlendirme
- DNS cache poisoning (önbellek zehirleme) saldırıları
- DNS hizmetine yönelik DDoS ile alan adının tamamen erişilemez hale gelmesi
Bu noktada DNSSEC, özel ad sunucusu, Anycast DNS gibi çözümler devreye girer. DCHost olarak DNS tarafını da mimari tasarımın bir parçası olarak ele alıyor, müşterilerimizi de DNSSEC ile DNS güvenliğinin nasıl artırılabileceği konusunda bilgilendiriyoruz.
Sanallaştırma ve İzolasyon Problemleri
VPS ve bulut altyapısında temel güvenlik varsayımı, her sanal sunucunun diğerlerinden izole olduğudur. Ancak:
- Hatalı hypervisor yapılandırmaları
- Zayıf container/VM izolasyonu
- Paylaşılan depolama ve ağ segmentlerinde yanlış yetkilendirme
gibi sorunlar, teorik olarak bir VPS’ten diğerine atlama riskini gündeme getirebilir. Bu nedenle hypervisor güvenliği, host node’ların patch yönetimi ve ağ segmentasyonu, DCHost gibi altyapı sağlayıcılarının omuzlarındaki en kritik sorumluluklardan biridir.
Paylaşımlı Hosting, VPS, Dedicated ve Colocation’da Risk Farkları
“Hangi hizmet türü daha güvenli?” sorusuna tek cümlede cevap vermek zor. Ama risk türleri ve sorumluluk dağılımı açısından bakarsak tablo netleşiyor.
Paylaşımlı Hosting
Avantajları:
- Düşük maliyet, kolay yönetim
- Sunucu güncellemesi, güvenlik duvarı, temel WAF gibi konuların büyük kısmı DCHost tarafından yönetilir
Riskler:
- Aynı sunucudaki diğer sitelerin güvenlik seviyesinden dolaylı olarak etkilenme ihtimali
- Kaynak izolasyonunun VPS kadar esnek olmaması
- Özelleştirme seviyesinin sınırlı oluşu
Paylaşımlı hosting’te güvenliği artırmak için kontrol paneli tarafında alabileceğiniz önlemleri, cPanel güvenlik sertleştirme kontrol listemizde adım adım anlattık.
VPS (Sanal Sunucu)
Avantajları:
- Daha güçlü izolasyon, özelleştirilebilir güvenlik duvarı ve servis yapılandırması
- Uygulama gereksinimlerinize özel firewall, WAF, IDS/IPS kurgulama imkânı
Riskler:
- Güvenlik güncellemeleri, servis konfigürasyonu ve izleme sorumluluğunun daha büyük bölümü size geçer
- Yanlış yapılandırılmış SSH, açık yönetim portları, zayıf parolalar çok daha tehlikeli hale gelir
VPS tarafında kapıyı açık bırakmamak için, VPS sunucu güvenliği rehberimizde paylaştığımız pratik adımları özellikle uygulamanızı öneriyoruz.
Dedicated Sunucu
Dedicated (fiziksel) sunucularda:
- Tüm kaynaklar size aittir, sanallaştırma katmanı ortadan kalkar.
- Network, firewall, işletim sistemi, panel, yedekleme mimarisini dilediğiniz gibi kurabilirsiniz.
Buna karşılık:
- Yanlış yapılandırmaların etkisi daha büyüktür, tüm kaynaklar tek noktada risk altındadır.
- Yedekleme ve felaket kurtarma stratejisini kurmamak, tek seferde tamamen veri kaybı anlamına gelebilir.
Colocation
Colocation senaryosunda, fiziksel sunucu size ait, barındırma ortamı ise DCHost veri merkezidir. Bu modelde:
- Fiziksel güvenlik, iklimlendirme, enerji, omurga ağ gibi konular DCHost’un sorumluluğundadır.
- Sunucu donanımı, RAID, işletim sistemi, yedekleme kurgusu büyük ölçüde sizin tasarımınıza bağlıdır.
Colocation’ın avantajlarını ve dikkat edilmesi gerekenleri, colocation ile kendi sunucunuzu barındırmanın avantajlarını anlattığımız yazıda daha derinlemesine anlattık.
Hosting Sağlayıcısı Tarafında Alınması Gereken Temel Önlemler (Biz Ne Yapıyoruz?)
Güvenlik, hosting sağlayıcısı ve müşteri arasında paylaşılan bir sorumluluk. DCHost olarak kendi tarafımızda odaklandığımız başlıca alanlardan bazılarını özetleyelim.
Ağ Segmentasyonu ve Güvenlik Duvarı Politikaları
- Yönetim ağları (management network) ile müşteri trafiğinin ayrılması
- Veritabanı, uygulama ve web katmanlarının farklı VLAN’larda konumlandırılması
- Sunucu rolleri bazında (web, mail, DB vb.) ayrı güvenlik politikaları uygulanması
Böylece tek bir servisteki zafiyetin, ağ içinde yatayda yayılmasını olabildiğince sınırlandırıyoruz.
Düzenli Güncelleme, Zafiyet Yönetimi ve Sertleştirme
Sunucu işletim sistemleri, hypervisor’ler, kontrol panelleri ve kritik altyapı bileşenleri için:
- Düzenli patch takibi
- Güvenlik odaklı temel sertleştirme (gereksiz servislerin kapatılması, güvenli şifreleme protokollerinin zorunlu kılınması vb.)
- Önemli zafiyetler (CVE’ler) için hızlandırılmış güncelleme süreçleri
uyguluyoruz. Bu sayede, bilinen ve istismar aracı haline gelmiş açıklara karşı sunucularınızı koruma altında tutmayı hedefliyoruz.
DDoS Koruma ve Trafik Analizi
Omurga seviyesinde ve sunucu seviyesinde:
- Şüpheli trafik desenlerini tespit edip otomatik filtreleme
- Oran sınırlama (rate limiting) ve bağlantı sayısı kısıtları
- Belirli servisler için uygulama katmanı (L7) koruma politikaları
uygulanıyor. Bu sayede, özellikle kısa süreli ve yoğun DDoS dalgalarında sitelerin tamamen erişilemez hale gelmesini engellemeyi hedefliyoruz.
Yedekleme, Felaket Kurtarma ve Testler
Yedek almak tek başına yeterli değil; geri yüklemenin gerçekten çalıştığından emin olmak gerekiyor. Bu yüzden:
- Otomatik yedekleme politikaları (günlük, haftalık, aylık)
- Farklı lokasyonlara veya farklı depolama sistemlerine kopyalanan yedekler
- Düzenli geri yükleme testleri ve rastgele senaryo tatbikatları
ile sahada gerçekten işe yarayan bir felaket kurtarma yaklaşımını benimsiyoruz.
İzleme, Loglama ve Olay Müdahalesi
Performans kadar güvenlik göstergelerini de izliyoruz:
- Kaynak kullanımı anomalileri (aniden artan CPU, RAM, disk I/O)
- Brute-force girişimlerini gösteren başarısız oturum açma logları
- Şüpheli outbound trafik (örn. kısa sürede çok sayıda SMTP bağlantısı)
Bu sayede yalnızca çöküşleri değil, saldırı hazırlığına işaret eden sinyalleri de yakalamaya çalışıyoruz.
Müşteri Tarafında Uygulanabilir Güvenlik Kontrol Listesi
Şimdi gelelim sizin doğrudan kontrol edebileceğiniz kısma. Aşağıdaki kontrol listesini, siteniz veya sunucunuz için adım adım uygulayabilirsiniz.
1. Kimlik ve Erişim Yönetimi
- Tüm paneller (müşteri paneli, cPanel/Plesk, WordPress admin, SSH) için farklı ve güçlü parolalar kullanın.
- Mümkün olan her yerde iki faktörlü kimlik doğrulama (2FA) etkinleştirin.
- SSH için parola ile giriş yerine SSH anahtarı kullanın.
- Panel erişim IP’lerini, mümkünse sabit ofis IP’leri ile sınırlandırın.
- Eski, kullanılmayan hesapları (eski ajans, developer vb.) düzenli olarak kaldırın.
2. Web Uygulaması Güncellemeleri ve Sertleştirme
- CMS (özellikle WordPress), eklentiler ve temalarınızı güncel tutun.
- Kullanmadığınız eklentileri devre dışı bırakmakla kalmayın, silin.
- Yönetim paneli URL’lerini varsayılan değerlerden farklılaştırın (özellikle WordPress için).
- wp-admin, wp-login.php ve XML-RPC gibi noktalara rate limiting ve IP sınırlaması ekleyin.
Bu alanda adım adım ilerlemek için, WordPress güvenlik sertleştirme kontrol listemiz iyi bir başlangıç noktası olacaktır.
3. Sunucu ve Panel Güvenliği
- cPanel/Plesk gibi panellerde gereksiz servisleri kapatın.
- Güncellemeleri aksatmayın; panel ve PHP sürümlerinin desteklenen versiyonlarda olmasına dikkat edin.
- SSH portunu değiştirmek tek başına çözüm değildir, ama brute-force gürültüsünü azaltabilir.
- Güvenlik duvarı (UFW, nftables vb.) ile sadece ihtiyaç duyulan portları açın.
Kontrol paneli tarafında detaylı bir rehbere ihtiyacınız varsa, cPanel güvenlik sertleştirme rehberimize göz atabilirsiniz.
4. Şifreleme, SSL ve HTTPS
- Tüm sitelerinizde HTTPS’i zorunlu hale getirin.
- Ücretsiz veya kurumsal fark etmeksizin, SSL sertifikanızın süresini takip edin ve otomatik yenilemeyi mümkünse etkinleştirin.
- Mixed content ve tarayıcı uyarılarını hızlıca giderin; bunlar çoğu zaman daha büyük yapılandırma sorunlarının habercisidir.
HTTP’den HTTPS’e geçişte 301 yönlendirme, HSTS ve SEO tarafını korumak için detaylı HTTPS geçiş rehberimizi inceleyebilirsiniz.
5. Yedekleme Stratejisi
- Yedeklerinizin otomatik alındığından emin olun (dosya + veritabanı).
- Yedeklerin farklı bir fiziksel lokasyonda veya depolama üzerinde tutulmasını sağlayın.
- Geri yükleme testlerini (restore) düzenli aralıklarla yapın.
- Mümkünse immutable veya sürümlendirilmiş yedek kullanın (özellikle fidye yazılımlarına karşı).
6. İzleme, Loglama ve Olay Müdahale Planı
- En azından uptime ve temel performans ölçümlerini izleyen bir sistem kurun.
- Kritik logları (web sunucusu, SSH, e-posta) belirli bir süre saklayın.
- Şüpheli durumlar için basit bir aksiyon planı oluşturun: Kimi arayacaksınız, hangi erişimleri kapatacaksınız, hangi yedekten döneceksiniz?
VPS tarafında log yönetimini sistematik şekilde kurmak için VPS log yönetimi rehberimizi de inceleyebilirsiniz.
Gerçekçi Senaryolar: Aynı Tehdit, Farklı Hazırlık Seviyeleri
Senaryo 1: WordPress Zafiyeti ve Yaygın Bulaşma
Senaryo A’da, eski bir eklentideki zafiyet üzerinden saldırgan siteye web shell yerleştiriyor. Yedek yok, güncelleme yapılmamış, loglama yok. Sonuç:
- Tüm dosyalar bozuluyor veya şifreleniyor.
- Google, siteyi zararlı yazılım içeriyor diye işaretliyor.
- Temizlik maliyeti + marka itibar kaybı ciddi boyuta ulaşıyor.
Senaryo B’de ise:
- WordPress ve eklentiler düzenli güncelleniyor.
- Günlük otomatik yedek var, haftalık olarak geri yükleme testi yapılıyor.
- WAF ve rate limiting etkin.
Bu durumda saldırı fark edilir edilmez, ilgili tarihli yedekten dönülüyor, zafiyetli eklenti kaldırılıyor ve olay, birkaç saatlik sınırlı bir kesintiyle kapanıyor. Aynı tehdit, bambaşka etkiler.
Senaryo 2: DDoS Saldırısı
Senaryo A’da, herhangi bir DDoS hazırlığı olmayan bir sitede ani trafik artışı yaşanıyor:
- Sunucu kaynakları tükeniyor, site ve hatta aynı sunucudaki diğer siteler erişilemez hale geliyor.
- Loglar yeterli değil, saldırının kaynağı ve şekli anlaşılamıyor.
Senaryo B’de ise:
- Altyapı seviyesinde DDoS filtreleme mevcut.
- Uygulama katmanında oran sınırlama ve cache stratejileri uygulanıyor.
- İzleme sistemi, anomaliyi tespit edip teknik ekibe otomatik alarm üretiyor.
Sonuçta, saldırı süresince kısmi performans düşüşü yaşansa da, hizmet büyük ölçüde ayakta kalıyor ve kullanıcılar ciddi bir kesinti fark etmiyor.
Sonuç: Hosting’de Siber Güvenliği Bir Süreç Olarak Görmek
Siber güvenlik, bir kez yapılandırılıp unutulacak bir ayar değil; sürekli yaşayan, güncellenen bir süreç. Hosting sektöründe bu süreç, hem altyapı sağlayıcısının hem de müşterinin üzerine düşen sorumlulukların doğru tanımlanmasıyla anlam kazanıyor. DCHost olarak biz, ağ segmentasyonu, DDoS koruma, yedekleme, loglama ve patch yönetimi gibi temel taşları sağlam kurmaya odaklanıyoruz; sizden beklediğimiz ise uygulama katmanındaki güvenlik pratiklerini ciddiye almanız.
İster paylaşımlı hosting, ister NVMe tabanlı VPS, ister dedicated sunucu veya colocation kullanın; temel prensipler değişmiyor: güncel kalmak, en az ayrıcalık prensibini uygulamak, şifreleme ve yedeklemeyi ihmal etmemek. Bu yazıdaki kontrol listesini kendi ortamınıza uyarlayarak başlayabilir, ihtiyaç duyduğunuz noktada DCHost ekibine danışarak mimarinizi birlikte gözden geçirebilirsiniz.
Eğer mevcut siteniz sık sık saldırıya maruz kalıyor, kaynak limitlerini zorluyor veya büyüyen işiniz için daha ölçeklenebilir ve güvenli bir altyapıya geçmeyi düşünüyorsanız, DCHost’un domain, hosting, VPS, dedicated sunucu ve colocation çözümlerini değerlendirebilirsiniz. Doğru tasarlanmış bir hosting mimarisi, yalnızca performans değil, siber güvenlik tarafında da uzun vadeli bir yatırım anlamına gelir.
