Cloudflare Güvenlik Ayarları Rehberi: Küçük İşletme Siteleri İçin WAF, Rate Limit ve Bot Koruması

Küçük İşletmeler İçin Cloudflare Güvenliğinin Neden Kritik Olduğunu Netleştirelim

Küçük işletme siteleri üzerinde çalışırken en sık gördüğümüz hata, güvenliğin yalnızca “güçlü şifre ve SSL sertifikası” ile sınırlı sanılması. Oysa saldırı trafiği ile gerçek ziyaretçi trafiği artık iç içe geçmiş durumda: form dolduran, giriş yapmaya çalışan, arama yapan ya da ürün görüntüleyen her isteğin yanında; zafiyet tarayan botlar, brute-force saldırılar ve scraping botları da aynı IP havuzlarından gelebiliyor. İşte tam bu noktada Cloudflare gibi bir reverse proxy ve güvenlik katmanı, DCHost üzerindeki sunucunuz ile dış dünya arasında akıllı bir filtre görevi görüyor.

Cloudflare’ın sunduğu WAF (Web Application Firewall), rate limiting (oran sınırlama) ve bot koruması özellikleri, küçük işletme sitelerinde genellikle az birkaç tıklamayla etkinleştirilebilecek kadar pratik; ama doğru kurgulanmadığında gerçek müşterileri engelleyebilecek kadar da güçlüdür. Bu rehberde amacımız, DCHost altyapısı üzerinde çalışan sitenizi Cloudflare’ın bu üç ana özelliği ile nasıl dengeli, performanslı ve güvenli bir noktaya taşıyabileceğinizi adım adım göstermektir. Özellikle WordPress, WooCommerce, küçük SaaS panelleri ve kurumsal siteler için gerçekçi eşik değerleri, kural örnekleri ve sahadan deneyimlenmiş ayar önerileri paylaşacağız.

Cloudflare Güvenlik Mimarisi: DCHost Sunucunuzun Önündeki Akıllı Katman

Önce mimariyi kafada netleştirelim. DCHost’ta barındırılan web siteniz normalde doğrudan ziyaretçiye cevap verir. Cloudflare’ı devreye aldığınızda ise akış şu şekilde değişir:

• Ziyaretçi DNS üzerinden alan adınızı çözer ve Cloudflare’ın IP’lerine ulaşır.
• Cloudflare; WAF, bot koruması, rate limit ve cache kurallarını uygular.
• İzin verilen, filtrelenmiş istekler DCHost üzerindeki origin sunucunuza iletilir.
• Sunucudan dönen yanıt tekrar Cloudflare üzerinden geçerek son kullanıcıya ulaşır.

Bu modelin iki somut avantajı var: Birincisi, saldırıların büyük kısmı daha DCHost sunucunuza dokunmadan Cloudflare katmanında durdurulur. İkincisi, güvenliği geliştirirken sunucunuz üzerinde karmaşık yazılım değişiklikleri yapmak yerine, önemli bir kısmı Cloudflare panelinden yönetilebilir hale gelir.

Cloudflare DNS ve Proxy (Turuncu Bulut) Mantığı

Cloudflare kullanırken DNS kayıtlarınızda iki mod vardır:

• Proxy açık (turuncu bulut): Trafik Cloudflare üzerinden geçer, WAF ve diğer güvenlik özellikleri uygulanır.
• Sadece DNS (gri bulut): Cloudflare sadece DNS çözümlemesi yapar, güvenlik katmanı devrede değildir.

Web sitenizi korumak istiyorsanız, en azından HTTP(S) trafiği için A/AAAA ve CNAME kayıtlarınızın turuncu bulut modunda olması gerekir. Hangi senaryoda Cloudflare DNS’ini birincil, hangi senaryoda hosting DNS’ini kullanmanız gerektiğini daha detaylı anlamak için Cloudflare DNS mi, hosting DNS’i mi tercih etmeniz gerektiğini anlattığımız rehbere de bakmanızı öneririz.

Cloudflare + DCHost Altyapısını Birlikte Düşünmek

DCHost tarafında paylaşımlı hosting, VPS veya dedicated sunucu kullanıyor olabilirsiniz; Cloudflare bu katmanın önünde duran esnek bir güvenlik ve performans perdesi gibi davranır. Bizim önerimiz:

• Sunucu tarafında temel güvenlik duvarı, güncellemeler, PHP ve web sunucu sertleştirmesini uygulamak.
• Cloudflare tarafında ise WAF, bot koruması, rate limit, HTTP/2–HTTP/3 ve cache politikalarını ayarlamak.

Böylece hem DCHost sunucunuz saldırılara karşı daha az yük altında kalır hem de gerçek kullanıcılar, Cloudflare’ın global ağı sayesinde daha hızlı bir deneyim yaşar.

Cloudflare WAF Ayarları: Küçük İşletmeler İçin Pratik Profil

Cloudflare WAF, web uygulamanıza gelen istekleri analiz ederek SQL injection, XSS, LFI/RFI gibi klasik web saldırılarını otomatik olarak engelleyen bir katmandır. WAF konusuna ilk defa giriyorsanız, kavramsal arka plan için web uygulama güvenlik duvarı (WAF) nedir ve Cloudflare WAF ile ModSecurity karşılaştırmasını anlattığımız yazıya da göz atabilirsiniz.

Managed Rulesets ile Hızlı Başlangıç

Cloudflare panelinde Security → WAF → Managed rules bölümüne girdiğinizde, Cloudflare tarafından yönetilen hazır kurallar göreceksiniz. Küçük işletme siteleri için önerilen temel adımlar:

1. Cloudflare Managed Rules setini etkinleştirin.
2. Varsayılan mod genellikle Block ya da Challenge olarak gelir; başlangıç için Block uygundur.
3. Uygulama türünüze göre (WordPress, PHP, API) ilgili ek ruleset’leri de aktif edin.

Bu managed kurallar, OWASP Top 10 kategorisindeki birçok saldırıyı otomatik olarak engeller. Özellikle WordPress ve WooCommerce sitelerde, bilinen zafiyet vektörlerine yönelik imzalar sayesinde eski eklentilerinizdeki açıklara karşı ek bir kalkan oluşturur.

WordPress ve WooCommerce İçin Tipik WAF Kuralları

Küçük işletme sitelerinin önemli bir kısmı WordPress ve WooCommerce kullanıyor. Cloudflare WAF ile bu tür sitelerde uyguladığımız tipik kurallar şunlar:

• wp-login.php ve xmlrpc.php isteklerini daha sıkı denetlemek, gerekirse ülke/IP bazlı kısıtlamak.
• wp-admin dizinine gelen anonim (oturumsuz) istekleri challenge’a almak.
• Şüpheli user-agent’lardan gelen istekleri engellemek veya JS challenge uygulamak.

Bu konuyu özellikle WordPress ekseninde ayrıntılı anlattığımız Cloudflare WAF kuralları ve oran sınırlama ile WordPress’i botlardan koruma rehberinde gerçek kural örnekleriyle görebilirsiniz. Aynı mantığı kurumsal panel, SaaS uygulaması veya özel yazılımınızda da login, profil, ödeme gibi kritik uç noktalara uyarlayabilirsiniz.

False Positive’ler: Yanlış Pozitifleri Yönetmek

Her WAF’ta olduğu gibi, Cloudflare WAF’ın da zaman zaman “yanlış pozitif” üretmesi (yani aslında zararlı olmayan bir isteği şüpheli görmesi) mümkündür. Küçük işletme sitelerinde sık gördüğümüz yanlış pozitif örnekleri:

• Yönetim panelinde SQL benzeri sorgu parametreleri kullanan raporlama ekranları.
• URL parametresinde “select, union, insert” gibi kelimeler geçen sağlıklı istekler.
• Geliştirici araçlarıyla test edilen API uçları.

Bu durumda yapılması gereken, ilgili kuralı tamamen kapatmak değil, istisna (exception) tanımlamaktır. Örneğin belirli bir URL yolu için (örneğin /admin/reports) veya belirli bir kaynaktan (örneğin ofis IP bloğunuz) gelen istekler için bir WAF kuralının devre dışı bırakılmasını sağlayabilirsiniz. Böylece güvenlik seviyesini tüm site için düşürmeden; sadece sorun çıkaran uç noktayı “beyaz listeye” almış olursunuz.

Ülke Bazlı Engelleme ve Jeo-Filtreleme

Eğer işletmeniz sadece Türkiye pazarına hizmet veriyor ve yurt dışı trafiğinin neredeyse tamamı zararlı veya spam olarak görünüyorsa, ülke bazlı kurallar ciddi anlamda rahatlatıcı olabilir. Cloudflare WAF ve firewall kurallarında:

• Belirli ülkelerden gelen isteklere Block (engelleme)
• Daha az güvenilir ülkelerden gelen isteklere JS Challenge (JavaScript doğrulaması)
• Yönetim paneli için sadece belirli ülkeleri Allow (izin ver)

gibi senaryolar kurabilirsiniz. Örneğin yalnızca Türkiye’den erişilmesini istediğiniz bir yönetim paneli için, firewall kuralında (http.request.uri.path contains "/wp-admin" and ip.geoip.country ne "TR") gibi bir koşulla yurt dışını tamamen engellemek mümkün.

Rate Limiting: Login, Arama ve API Uçlarını Sakinleştirmek

Rate limiting, belirli bir süre aralığında bir IP’nin kaç istekte bulunabileceğini sınırlayarak brute-force, scraping ve basit DDoS denemelerini törpüleyen güçlü bir mekanizmadır. Küçük işletme sitelerinde en büyük farkı genellikle üç yerde görürüz:

• Giriş (login) sayfaları
• Arama kutuları ve filtreleme sorguları
• API uç noktaları (mobil uygulama, entegrasyonlar vb.)

Hangi Endpoint’lere Rate Limit Koymalı?

Her endpoint’e rate limit koymak mantıklı değildir; çünkü sayfa görüntülemeleri ve statik içeriklerde fazla sıkı limitler gerçek kullanıcıları rahatsız eder. Bizim saha deneyimimize göre en verimli kullanım alanları:

• Login URL’leri: /wp-login.php, /login, /account/login vb.
• Yoğun sorgu üreten arama URL’leri: /search, /?s=, gelişmiş filtreleme sayfaları.
• Kritik API’ler: ödeme, sepet işlemleri, stok/ürün detay sorguları.

Statik dosyalara (CSS, JS, görseller) ya da tüm site geneline çok düşük limitler koymak, özellikle kampanya dönemlerinde ve mobil kullanıcı trafiğinde gereksiz hata sayfalarına yol açabilir.

Gerçekçi Rate Limit Eşik Değerleri

Cloudflare panelinde Security → WAF → Rate limiting rules bölümünden yeni bir kural eklerken şu alanlarla karşılaşırsınız:

• URL veya desen: Örneğin /wp-login.php* veya /search*.
• Eşik: Belirli bir süre içinde izin verilen maksimum istek sayısı.
• Süre: Eşik değerinin ölçüldüğü zaman aralığı (saniye cinsinden).
• Eylem: Block, Challenge (CAPTCHA veya JS), Log vb.

Küçük işletme siteleri için pratik örnekler:

• Login sayfası: 30 saniyede 5 isteği aşan IP’leri 5 dakika JS Challenge ile sınırla.
• Arama sayfası: 60 saniyede 30’dan fazla arama isteği yapan IP’leri 1 dakika Block et.
• API oku işlemleri: 10 saniyede 50 isteği geçen IP’leri 1 dakika Challenge.

Bu değerler elbette sitenizin trafiğine göre değişir. İyi bir yaklaşım, önce eylemi Log veya Simulate (sadece izleme) modunda çalıştırıp, gerçek kullanıcı trafiğini gözlemledikten sonra Block/Challenge’a geçmektir. Özellikle yüksek trafikli kampanya dönemlerinde limitleri bir miktar esnetmeniz gerekebilir.

Bot Koruması: İyi Botu Öldürmeden Kötü Botu Dışarıda Bırakmak

Cloudflare’ın bot koruma özellikleri, kaba kuvvet brute-force saldırılarından daha ince ayarlı tehditlerle de başa çıkmanızı sağlar: fiyat/ürün scraping’i yapan botlar, spam yorum gönderen script’ler, otomatik hesap açma denemeleri gibi. Burada kritik nokta, arama motoru botları gibi iyi botları rahatsız etmeden kötü botları filtreleyebilmektir.

Bot Fight Mode ve Dikkat Etmeniz Gerekenler

Cloudflare panelinde Security → Bots bölümünde göreceğiniz Bot Fight Mode, basit ama etkili bir başlangıçtır. Etkinleştirildiğinde, bilinen kötü bot ve tarayıcı dışı istemcilere karşı ek kontroller uygular. Küçük işletme sitelerinde sık gördüğümüz etki alanları:

• Brute-force deneyen basit script’ler ciddi oranda azalır.
• Ucuz scraping botlarının bir kısmı daha sayfa yüklenmeden engellenir.
• Şüpheli user-agent’lar ve garip tarayıcı profilleri JS challenge ile sınanır.

Ancak çok kapsamlı entegrasyonlarınız (örneğin özel mobil uygulama, B2B API müşterileri, üçüncü parti entegrasyonlar) varsa, Bot Fight Mode’un bu istekleri yanlışlıkla zorlamadığından emin olmak için bir süre Firewall Events ekranını yakından izlemenizi öneririz.

Bot Skoru ile İnce Ayarlı Firewall Kuralları

Cloudflare, her isteğe içsel bir bot score atar (0–99 arası). Düşük skorlar daha bot-vari davranışları, yüksek skorlar ise gerçek kullanıcıyı ifade eder. Firewall kurallarında bu skoru kullanarak daha rafine politikalar tanımlayabilirsiniz. Örneğin:

• Login sayfası için: (http.request.uri.path contains "/wp-login.php" and cf.client.bot_score <= 30) koşuluyla düşük skorlu trafiğe JS Challenge uygulamak.
• Arama sayfası için: Hem yüksek istek sayısı hem de düşük bot skoru olan IP’leri direkt engellemek.

Bu yaklaşım, sadece IP veya ülke temelli filtrelerden çok daha esnek ve etkilidir. Özellikle yoğun API veya AJAX kullanan modern sitelerde, bot skoruna dayalı kurallar yanlış pozitifleri azaltmada oldukça işe yarar.

İyi Botları (SEO, Analiz vb.) Korumak

Google, Bing gibi büyük arama motoru botları ile bazı güvenilir izleme ve uptime botlarının engellenmemesi gerekir. Cloudflare, bilinen arama motoru botlarını otomatik olarak tanımada genelde oldukça başarılıdır. Yine de emin olmak için:

• Firewall kurallarınızı yazarken Known Bots filtresini kullanabilir, bu botları istisna tanımlayabilirsiniz.
• Örneğin kural koşuluna and not cf.client.bot ekleyerek bilinen iyi botları hariç tutabilirsiniz.

Cloudflare’ı sunucu tarafı WAF’lar ve Fail2ban ile birlikte kullanma senaryolarını, pratik hikâyeler üzerinden görmek isterseniz WAF ve bot korumasını Cloudflare, ModSecurity ve Fail2ban ile birlikte kullanma senaryolarını anlattığımız yazıya göz atabilirsiniz.

Cloudflare Güvenlik Ayarlarını Test Etme, İzleme ve Loglama

WAF, rate limit ve bot koruması ne kadar iyi olursa olsun; gözlemlenmeyen hiçbir sistem gerçekten güvenli sayılmaz. Küçük işletme siteleri için bile asgari düzeyde görünürlük şart.

Firewall Events ve Security Analytics’i Takip Etmek

Cloudflare panelindeki Security → Events ekranı, WAF, firewall ve rate limit kurallarınızın nasıl çalıştığını anlamak için birincil referans noktasıdır. Burada:

• Hangi kuralın kaç kez tetiklendiğini,
• Hangi IP, ülke veya user-agent’ların en çok engellendiğini,
• Gerçek kullanıcıların etkilenip etkilenmediğini

görebilirsiniz. Özellikle yeni bir kural ekledikten sonraki ilk 24–48 saatte bu ekranı sık sık kontrol etmek, yanlış pozitifleri fark etmenin en hızlı yoludur.

Sunucu Logları ile Birlikte Yorumlamak

Cloudflare sizin için trafiği filtrelese bile, DCHost üzerindeki sunucunuzun loglarını okumak hâlâ çok değerlidir. Özellikle:

• 4xx ve 5xx hata oranları artıyorsa, bunun sebebinin uygulama kodu mu yoksa Cloudflare kaynaklı bir engelleme mi olduğunu anlamak için.
• Belirli bir IP veya ülke kaynaklı saldırıyı hem Cloudflare hem sunucu loglarında eşleştirebilmek için.

Apache veya Nginx loglarını okumaya yeni başlıyorsanız, Apache ve Nginx ile 4xx–5xx hatalarını teşhis etmeyi anlattığımız log okuma rehberimizi özellikle tavsiye ederiz. Cloudflare ile birlikte okunduğunda, hangi hatanın uygulama, hangisinin güvenlik kuralı kaynaklı olduğunu çok daha net ayırt edebilirsiniz.

Test Ortamı, Staging ve Kademeli Yayına Alma

Eğer siteniz kritik işlem yapıyorsa (e-ticaret, B2B panel, SaaS vb.), güvenlik kurallarını tek seferde tüm canlı trafiğe uygulamak yerine kademeli ilerlemeniz daha sağlıklıdır:

• Önce kuralı sadece Log veya Simulate modunda çalıştırın.
• Security Events ve sunucu loglarınızı birkaç gün izleyin.
• Yanlış pozitif yoksa eylemi Challenge veya Block seviyesine yükseltin.
• Mümkünse bir staging alan adı üzerinden, benzer kuralları test edip sonrasında canlıya taşıyın.

Küçük İşletmeler İçin Önerilen Cloudflare Güvenlik Check-list’i

DCHost tarafında sıkça uyguladığımız ve küçük işletme siteleri için iyi bir başlangıç profili oluşturan kontrol listesini aşağıda özetleyelim:

• DNS ve proxy: HTTP(S) trafiği için A/AAAA/CNAME kayıtlarının turuncu bulut modunda olduğundan emin olun.
• SSL/TLS: Cloudflare’da “Full (strict)” mod kullanın; sunucu tarafında geçerli bir SSL sertifikası olduğundan emin olun.
• WAF – Managed Rules: Cloudflare Managed Rules ve gerekiyorsa WordPress/PHP spesifik ruleset’leri etkinleştirin.
• WAF – Özel Kurallar: wp-admin, wp-login, /login, /admin gibi kritik yollar için ülke/IP temelli ek kurallar yazın.
• Rate Limiting: Login ve arama uç noktaları için 30–60 saniyelik aralıklarda makul limitler belirleyin, önce loglayın sonra bloklayın.
• Bot Fight Mode: Basit kötü botlara karşı Bot Fight Mode’u etkinleştirin, ilk günlerde firewall etkinliklerini yakından izleyin.
• İyi bot istisnaları: Known Bots filtresiyle arama motoru botlarını yanlışlıkla engellemediğinizden emin olun.
• Jeo-filtreleme: Yalnızca belirli ülkelerde hizmet veriyorsanız, yönetim paneli için ülke kısıtları ekleyin.
• Log ve gözlem: Security → Events ekranını ve sunucu loglarını düzenli aralıklarla kontrol edin.
• Yıllık gözden geçirme: Yeni iş ihtiyaçları, kampanyalar ve trafik artışlarına göre kuralları yılda en az bir kez revize edin.

Cloudflare katmanını bu şekilde oturttuğunuzda, arka planda çalışan DCHost sunucunuzun kaynaklarını da daha verimli kullanırsınız. Güvenlik tarafını hallettikten sonra uygulama ve veritabanı optimizasyonuna odaklanmak isterseniz, örneğin WordPress veritabanını hafifletmek için WordPress veritabanı optimizasyon rehberimiz size iyi bir sonraki adım olabilir.

Sonuç: DCHost + Cloudflare ile Dengeli, Güvenli ve Hızlı Mimari

Küçük işletme sahiplerinin çoğu, Cloudflare’ı yalnızca “CDN ve hızlandırma aracı” olarak tanıyor. Oysa doğru kurgulanmış bir WAF, iyi ayarlanmış rate limiting kuralları ve dikkatle yapılandırılmış bot koruması ile Cloudflare; DCHost üzerinde barındırdığınız sitenin güvenlik mimarisinin omurgalarından birine dönüşebilir. En güzel tarafı da, bu kazanımlar için devasa bütçelere veya karmaşık güvenlik ekiplerine gerek olmaması: birkaç mantıklı kural ve düzenli gözlemle bile saldırı trafiğinin çok büyük kısmını daha sunucunuza ulaşmadan absorbe edebilirsiniz.

Biz DCHost ekibi olarak, müşterilerimizin hem sunucu tarafında hem de Cloudflare katmanında tutarlı bir güvenlik politikası kurmasına özellikle önem veriyoruz. Dilerseniz mevcut sitenizin trafiğini, login ve kritik uç noktalarını birlikte analiz edip, işinize uygun WAF, rate limit ve bot koruma profilini adım adım çıkarabiliriz. DCHost üzerinde paylaşımlı hosting, VPS, dedicated sunucu veya colocation kullanıyor olun; Cloudflare entegrasyonu ile güvenliği öne alıp performanstan da ödün vermeden ilerlemek mümkün. Sorularınız veya kendi sitenize özel ayar önerileri için teknik ekibimizle her zaman iletişime geçebilirsiniz.