Web Uygulama Güvenlik Duvarı (WAF) Nedir? Cloudflare WAF ve ModSecurity ile Web Sitesi Koruma Rehberi

Web siteniz ister küçük bir kurumsal tanıtım sayfası, ister yoğun trafikli bir e‑ticaret ya da SaaS uygulaması olsun; artık hepsi aynı ortak riskle karşı karşıya: HTTP üzerinden çalışan web uygulamalarına yönelik otomatik ve hedefli saldırılar. Güvenlik denetimleri sırasında en sık gördüğümüz tablo şu: Sunucu tarafında temel güvenlik duvarı (firewall), güncel bir işletim sistemi ve SSL/TLS var; ama uygulama katmanını filtreleyen bir Web Uygulama Güvenlik Duvarı (WAF) yok. Sonuçta SQL injection, XSS, brute‑force, spam bot’lar ve L7 DDoS gibi saldırılar doğrudan uygulamaya çarpıyor.

Bu rehberde WAF kavramını sadeleştirerek anlatacağız: WAF nedir, neyi çözer, neyi çözmez; Cloudflare WAF ile network perimetresinde neler yapabilirsiniz; sunucu tarafında ModSecurity ile hangi ek korumaları kurabilirsiniz ve ikisini birlikte kullanarak DCHost altyapısı üzerinde katmanlı bir savunma mimarisini nasıl kurgulayabilirsiniz, adım adım konuşacağız.

Web Uygulama Güvenlik Duvarı (WAF) Nedir?

Web Uygulama Güvenlik Duvarı, kısaca WAF, HTTP/HTTPS trafiğini inceleyerek zararlı istekleri uygulamanıza ulaşmadan önce engelleyen bir güvenlik katmanıdır. Geleneksel firewall’lar genellikle IP, port ve protokol seviyesinde karar verirken; WAF, URL, parametre, header, cookie, body içeriği gibi uygulama katmanı (Layer 7) detaylarına bakar. Örneğin bir saldırgan /product?id=1;DROP TABLE users gibi bir istek gönderdiğinde, klasik firewall bu isteği görür ama ne anlama geldiğini bilmez; WAF ise bunun bir SQL injection denemesi olduğunu anlayıp engelleyebilir.

Geleneksel güvenlik duvarından farkı

• Odak noktası: Firewall, ağı ve portları; WAF ise uygulamayı ve HTTP isteklerini korur.
• Detay seviyesi: Firewall IP ve port bazlı çalışırken, WAF parametre, cookie, path, user‑agent gibi detaylara bakar.
• Kural seti: Firewall kuralları çoğunlukla statikken; modern WAF’lar davranışsal analiz, imza tabanlı koruma ve öğrenen kurallarla çalışabilir.
• Yerleşim: Firewall genellikle ağ kenarında; WAF ise reverse proxy (Cloudflare gibi) veya web sunucusu (ModSecurity gibi) üzerinde konumlanır.

WAF hangi saldırı türlerini engeller?

Doğru yapılandırılmış bir WAF, OWASP Top 10’da listelenen kritik zafiyetlerin büyük kısmına karşı ciddi bir koruma sağlar:

• SQL Injection: URL parametreleri veya form alanları üzerinden veritabanına zararlı sorgu enjekte edilmesi.
• Cross‑Site Scripting (XSS): Ziyaretçinin tarayıcısında çalışacak zararlı JavaScript kodlarının siteye enjekte edilmesi.
• Remote File Inclusion / Local File Inclusion (RFI/LFI): Uygulamanın harici ya da yerel dosyaları kontrolsüz şekilde include etmesi.
• Komut enjeksiyonu (RCE): Sunucuda komut çalıştırmaya yönelik girişimler.
• Brute‑force ve kimlik bilgisi doldurma (credential stuffing): Giriş formlarında çok sayıda kullanıcı adı/şifre denemesi.
• L7 DDoS: Aynı endpoint’e saniyede yüzlerce istek atarak uygulamayı yormaya yönelik HTTP seviyesinde saldırılar.
• Spam bot ve form istismarı: İletişim formları, yorum alanları, arama kutuları üzerinden otomatik spam akışları.

WAF Neden Bu Kadar Kritik Hale Geldi?

Bugünün web uygulamaları; WordPress, Laravel, Node.js gibi framework’ler üzerine kurulu, çok sayıda eklenti ve entegrasyon içeren karmaşık sistemler. Her eklentinin, her API entegrasyonunun kendi zafiyet riski var. Uygulamanızı tamamen hatasız geliştirdiğinizi varsaysak bile, üçüncü parti bileşenlerden gelecek açıklara karşı kendinizi garantiye almanız gerekiyor.

Özellikle ödeme alan e‑ticaret siteleri ve kişisel veri işleyen sistemler için WAF, sadece teknik bir tercih değil, KVKK / GDPR ve PCI‑DSS gibi regülasyonlar açısından da beklenen bir güvenlik kontrolü haline geldi. Bu noktada, ödeme tarafındaki gereklilikleri daha derinlemesine incelemek isterseniz PCI‑DSS uyumlu WooCommerce ve e‑ticaret hosting ortamlarının nasıl kurgulanabileceğini anlattığımız rehbere göz atabilirsiniz.

Cloudflare WAF ile Perimetre Güvenliği

Cloudflare WAF, trafiği DNS düzeyinde kendi ağına yönlendiren bir reverse proxy mantığıyla çalışır. Ziyaretçileriniz aslında önce Cloudflare edge sunucularına bağlanır; burada WAF, DDoS, bot filtreleme ve CDN katmanı devreye girer, ardından temizlenmiş trafik asıl origin sunucunuza (örneğin DCHost üzerindeki VPS veya dedicated sunucunuza) iletilir.

Cloudflare mimarisinde WAF nereye oturur?

Cloudflare kullanırken genellikle domain’inizin nameserver’larını Cloudflare’a yönlendirirsiniz. Bu mimariyi ve hosting tarafındaki DNS seçeneklerini detaylandırdığımız Cloudflare DNS mi, hosting DNS’i mi sorusunu ele aldığımız yazıyı da okumanızı öneririz. Bu yapı kurulduğunda:

• Kullanıcı DNS çözümlemesi sonucunda Cloudflare IP’lerine ulaşır.
• HTTP(S) isteği Cloudflare edge’ine gelir; burada WAF, rate limiting, bot koruması ve önbellek devreye girer.
• Cloudflare, temiz ve optimize edilmiş trafiği origin sunucunuza iletir.

Böylece WAF, saldırıları daha sunucuya gelmeden, ağın kenarında durdurmuş olur. Bu hem güvenlik hem de kaynak tüketimi açısından ciddi avantaj sağlar.

Managed kurallar ve OWASP Top 10 koruması

Cloudflare WAF, çoğu senaryoda kutudan çıkar çıkmaz iş gören hazır kural setleri (Managed Rules) sağlar. Bu kural setleri, OWASP Top 10 zafiyetleri temel alarak düzenli şekilde güncellenir. Siz sadece hangi kural gruplarını aktif edeceğinize ve hassasiyet seviyesine karar verirsiniz.

Örneğin:

• Genel OWASP kural seti ile SQL injection, XSS, RFI/LFI gibi saldırıları filtreleyebilirsiniz.
• WordPress veya diğer popüler CMS’lere özel kural setlerini aktif ederek bilinen exploit’lere karşı ek katman oluşturabilirsiniz.
• Known bot’ları ve şüpheli user‑agent’ları hedefleyen kuralları devreye alabilirsiniz.

Özel Cloudflare WAF kuralları oluşturma

Gerçek dünyada sadece hazır kurallara güvenmek çoğu zaman yeterli olmuyor. Cloudflare WAF’ın gücü, esnek kural motorundan geliyor. Şu kriterlere göre özel kurallar yazabilirsiniz:

• URL yolu: Örneğin sadece /wp-login.php veya /xmlrpc.php için kural yazmak.
• HTTP metodu: Sadece POST istekleri için daha sıkı denetim uygulamak.
• Ülke / ASN: Belirli ülkelerden gelen isteklere CAPTCHA göstermek ya da tamamen engellemek.
• Header / cookie: Belirli bir token’a sahip olmayan istekleri engellemek.
• IP / IP aralığı: Kurumsal ofis IP’nizi allowlist’e alıp, geri kalan herkes için ekstra doğrulama istemek.

Örneğin, WordPress giriş sayfanız için aşağıdaki stratejiyi kurabilirsiniz:

• /wp-login.php yoluna dakikada 5’ten fazla istekte bulunan IP’ler için CAPTCHA zorunlu olsun.
• Belirli bir ülke dışından gelen tüm /wp-admin istekleri bloklansın.
• Giriş denemeleri başarısız oldukça, IP’nin güven skoru düşsün ve bir eşik aşıldığında tamamen engellensin.

Bu konuyu özellikle WordPress özelinde daha derin anlattığımız Cloudflare WAF kuralları ve oran sınırlama rehberine mutlaka göz atmanızı öneririz.

Oran sınırlama (Rate Limiting) ve L7 DDoS savunması

Cloudflare’in en güçlü özelliklerinden biri de Rate Limiting ve otomatik L7 DDoS korumasıdır. Basit bir örnekle:

• Aynı IP adresi, 1 dakika içinde aynı endpoint’e 60’tan fazla istek atıyorsa, bu IP 10 dakika boyunca bloklansın.
• Veya limit aşıldığında tamamen bloklamak yerine, ziyaretçiye JavaScript challenge ya da CAPTCHA gösterilsin.

Böylece hem brute‑force saldırıları hem de yoğun bot trafiğini, uygulama kodunuza dokunmadan, sadece edge seviyesinde yönetebilirsiniz.

WordPress ve PHP siteler için pratik Cloudflare WAF ayarları

DCHost’ta barındırdığımız WordPress ve PHP tabanlı sitelerde en sık uyguladığımız pratik Cloudflare WAF ayarlarından bazıları şunlar:

• Giriş sayfası koruması: /wp-login.php ve /wp-admin için rate limiting + ülke/IP bazlı kısıtlama.
• XML‑RPC kapatma veya sınırlandırma: Bu endpoint çoğu brute‑force ve DDoS saldırısının hedefi. Kullanılmıyorsa bloklamak, gerekiyorsa sıkı limit koymak iyi pratik.
• Admin IP allowlist: Yönetim paneline sadece ofis IP’lerinizden erişim izni vermek; geri kalan için challenge veya blok.
• Bot yönetimi: Bilinen arama motoru bot’larını allowlist’e alıp, bilinmeyen tarayıcı agent’larını daha sıkı kurallarla karşılamak.

Cloudflare WAF, özellikle paylaşımlı hosting veya tek VPS üzerinde birden fazla site barındırdığınız senaryolarda, uygulama başına ekstra geliştirme yapmadan merkezi bir güvenlik kalkanı sağlamasıyla öne çıkıyor.

Sunucu Tarafında WAF: ModSecurity

Cloudflare gibi edge tabanlı çözümler, trafiği perimetrede filtrelemek için harika; ancak bazı durumlarda uygulamaya çok yakın, sunucu içinde çalışan bir WAF katmanına da ihtiyaç duyarsınız. İşte burada devreye ModSecurity giriyor.

ModSecurity nedir, nasıl çalışır?

ModSecurity, Apache, Nginx ve bazı diğer web sunucularıyla entegre çalışan, açık kaynaklı bir WAF motorudur. Trafik doğrudan web sunucunuza geldiği için, ModSecurity istekleri:

• URL yolu
• Query string
• Header ve cookie’ler
• POST body ve dosya yüklemeleri

seviyesinde inceleyebilir. Tanımladığınız kurallara göre isteği kabul edebilir, engelleyebilir, loglayabilir ya da sadece uyarı üretebilir.

OWASP Core Rule Set (CRS) ile standart koruma

ModSecurity’nin en büyük gücü, OWASP Core Rule Set (CRS) ile birlikte kullanıldığında ortaya çıkar. CRS, güvenlik topluluğu tarafından sürekli güncellenen, OWASP Top 10 odaklı kapsamlı bir kural kümesidir. CRS ile:

• SQLi, XSS, RFI/LFI, RCE gibi klasik web saldırılarına karşı geniş bir imza tabanı elde edersiniz.
• Bilinen exploit pattern’lerine ve şüpheli istek davranışlarına göre filtreleme yaparsınız.
• Güncellemelerle birlikte yeni ortaya çıkan saldırı tekniklerine karşı da koruma sağlarsınız.

ModSecurity ve OWASP CRS’in pratikte nasıl uysallaştırılacağını, yanlış pozitiflerin nasıl azaltılacağını detaylı anlattığımız ModSecurity ve OWASP CRS rehberimize mutlaka göz atın; bu yazıda daha çok genel stratejiye odaklanacağız.

Yanlış pozitiflerle başa çıkma ve tuning süreci

WAF tarafında en sık karşılaştığımız sorunlardan biri yanlış pozitifler; yani aslında zararsız olan isteklerin saldırı gibi algılanıp engellenmesi. Özellikle CRS’i yüksek hassasiyetle açtığınızda, admin panelleri, API istekleri veya bazı arama sorguları yanlışlıkla bloklanabilir.

Pratik bir tuning süreci genellikle şöyle işler:

1. Önce sadece “Detection Only” modunda çalıştırın: İstekler engellenmesin, sadece loglansın.
2. Logları analiz edin: Gerçek saldırıları ve yanlış pozitifleri ayırt edin.
3. Whitelist/exception yazın: Belirli endpoint’ler veya parametreler için istisna kuralları tanımlayın.
4. Sonra “Blocking” moduna geçin: Ayıklanmış kural setiyle sadece gerçek saldırılar bloklansın.

Bu süreci bir kerelik değil, sürekli bir iyileştirme döngüsü olarak görmek önemli. Uygulamanız geliştikçe, yeni endpoint’ler ve özellikler geldikçe WAF tarafını da güncellemek gerekiyor.

Performans etkisi ve ölçeklendirme

ModSecurity, her isteği detaylı analiz ettiği için doğal olarak bazı CPU ve bellek tüketir. DCHost tarafında gözlemlediğimiz deneyimlerden özetle:

• Basit sitelerde doğru ayarlanmış bir ModSecurity kural seti, fark edilir bir yavaşlama yaratmaz.
• Yoğun trafikli uygulamalarda, gereksiz ağır kuralları devre dışı bırakmak ve sadece ihtiyaç duyulan rule set’leri açık tutmak çok önemlidir.
• Sunucu kaynaklarını sınırlı kullanan paylaşımlı hosting senaryolarında, ModSecurity kural setini daha konservatif tutmak gerekir. Bu ortamlar için paylaşımlı hosting’de WordPress güvenliği rehberimizde pratik öneriler bulabilirsiniz.

Cloudflare WAF ve ModSecurity’yi Birlikte Kullanmak

En sağlıklı yaklaşım, güvenlikte tek bir sihirli mermi aramamak. Cloudflare WAF ve ModSecurity’yi birlikte kullanarak, hem perimetrede hem de sunucu tarafında katmanlı bir savunma kurabilirsiniz.

Katmanlı savunma mimarisi örneği

DCHost üzerinde sıkça önerdiğimiz mimari şöyle:

1. DNS ve edge katmanı: Domain’inizi Cloudflare’a yönlendirip, Cloudflare WAF + DDoS + Rate Limiting + Bot Management katmanlarını aktif edin.
2. Origin sunucu: DCHost üzerinde bir VPS veya dedicated sunucu kullanın; burada Apache/Nginx + ModSecurity + OWASP CRS çalışsın.
3. Sunucu firewall ve ek korumalar: nftables/iptables, Fail2ban, SSH sertleştirme gibi host‑seviyesi önlemleri devreye alın.

Bu yaklaşımda:

• Cloudflare WAF, kaba L7 saldırıları, DDoS ve bot trafiğinin büyük kısmını daha edge seviyesinde keser.
• ModSecurity, Cloudflare’dan süzülüp gelen daha hedefli veya sofistike saldırıları uygulama seviyesinde filtreler.
• Sunucu firewall ve Fail2ban gibi araçlar da SSH, SMTP, FTP gibi diğer servisleri korur.

WAF ve bot korumasının birlikte nasıl orkestre edilebileceğini daha hikayeli ve derin bir dille anlattığımız Cloudflare, ModSecurity ve Fail2ban’ı aynı masada barıştırma yazımıza da mutlaka zaman ayırın.

Loglama ve olay takibi

WAF’ı kurmak işin yarısı, ne yaptığını izlemek ise diğer yarısı. Aksi halde gerçek saldırılarla yanlış pozitifleri ayırt edemez, kural setinizi iyileştiremezsiniz. Önerdiğimiz pratikler:

• Cloudflare tarafında firewall event’lerini düzenli olarak inceleyin; en çok tetiklenen kurallara bakın.
• ModSecurity loglarını merkezi bir loglama sistemine (örneğin Loki, ELK vb.) toplayın.
• Belirli kural ID’leri çok sık tetikleniyorsa, bunların gerçekten saldırı mı yoksa normal trafik mi olduğunu analiz edin.
• Anormal artışlarda uyarı verecek alarm kurallarını tanımlayın.

Birden fazla sunucuda log yönetimini nasıl merkezi hale getirebileceğinizi merak ediyorsanız, ELK ve Loki stack ile merkezi loglama rehberimize mutlaka göz atın.

DCHost Üzerinde WAF Stratejisi Nasıl Kurulur?

Her projenin ihtiyaçları farklı. Ancak DCHost tarafında gördüğümüz en yaygın senaryolara göre genel bir yol haritası çıkarabiliriz.

Paylaşımlı hosting kullananlar için

• Cloudflare’ın ücretsiz planıyla başlayıp temel WAF ve DDoS korumasını devreye almak çoğu basit site için iyi bir ilk adımdır.
• Hosting tarafında, panelinizde sunulan ModSecurity veya temel WAF seçeneklerini aktif edin; varsayılan kural setlerini kapatmak yerine, yanlış pozitif gördükçe istisna tanımlayın.
• WordPress, Joomla gibi CMS’lerde güvenlik eklentilerini WAF ile çakıştırmadan, sadece ek katman olarak kullanın.

VPS ve dedicated sunucu kullananlar için

Daha yüksek trafik alan, kritik veriler işleyen veya özel geliştirilmiş uygulamalar barındıran yapılar için önerimiz:

• DCHost üzerindeki VPS veya dedicated sunucunuzu Cloudflare WAF arkasına alın.
• Sunucu tarafında ModSecurity + OWASP CRS kurun, önce Detection Only modunda çalıştırıp log’ları analiz edin.
• SSH, panel girişleri ve diğer yönetim arayüzleri için IP kısıtlaması ve 2FA uygulayın.
• nftables/iptables, Fail2ban gibi host‑seviyesi güvenlik araçlarıyla brute‑force ve port taramalarını erkenden kesin.

VPS güvenliğini bütüncül olarak ele almak isterseniz, VPS sunucu güvenliği rehberimizde kapıyı açık bırakmadan yaşamanın pratik yollarını detaylı anlattık.

WAF, SSL/TLS ve HTTP güvenlik başlıkları birlikte düşünülmeli

WAF tek başına yeterli değildir; mutlaka güçlü bir SSL/TLS yapılandırması ve doğru HTTP güvenlik başlıkları ile desteklenmelidir:

• SSL/TLS: Modern protokoller (TLS 1.2/1.3), güçlü şifre kümeleri, doğru sertifika yönetimi. Bu konuda modern HTTPS için net yol haritası yazımız size iyi bir çerçeve sunar.
• HTTP Security Headers: HSTS, CSP, X‑Frame‑Options, Referrer‑Policy gibi başlıklarla tarayıcı tarafında ek koruma katmanları oluşturmak. Bunun için de HTTP güvenlik başlıkları rehberimizi inceleyebilirsiniz.

Sonuç: WAF Bir Lüks Değil, Altyapının Temel Parçası

Web uygulamalarına yönelik saldırılar artık “büyük markaların sorunu” olmaktan çıktı; en küçük kişisel blog’dan yeni açılmış bir e‑ticaret sitesine kadar herkesin gündeminde. Otomatik tarayıcılar ve botnet’ler, internette açık buldukları her hedefi istisnasız yokluyor. Böyle bir tabloda, Web Uygulama Güvenlik Duvarı (WAF) kullanmamak, kapınızı kilitlemeden evden çıkmakla neredeyse aynı anlama geliyor.

Cloudflare WAF ile ağın kenarında, ModSecurity ile sunucu içinde; DCHost’un sağladığı güvenli VPS ve dedicated altyapısı üzerinde katmanlı bir savunma kurduğunuzda, riskinizi dramatik şekilde düşürebilirsiniz. Elbette hiçbir sistem yüzde yüz güvenli değil; ama WAF, SSL/TLS, güvenlik başlıkları, düzenli yedekler ve log takibiyle birlikte makul ve sürdürülebilir bir güvenlik seviyesine ulaşmak mümkün.

Altyapınızda WAF stratejisini nasıl konumlandıracağınız, Cloudflare WAF ile ModSecurity’yi birlikte nasıl kullanacağınız veya DCHost üzerinde projeniz için en uygun mimariyi nasıl seçeceğiniz konusunda sorularınız varsa, ekibimizle iletişime geçmekten çekinmeyin. İsterseniz mevcut sitenizi birlikte analiz edelim, riskleri çıkaralım ve size özel, gerçekçi bir güvenlik yol haritasını beraber oluşturalım.