cPanel Güvenlik Sertleştirme Kontrol Listesi

Neden cPanel Güvenlik Sertleştirme Artık Bir Lüks Değil, Zorunluluk?

cPanel kullanan neredeyse her sunucuda benzer bir tablo görüyoruz: yönetim paneline, e‑posta servislerine ve popüler uygulamalara (WordPress, Laravel tabanlı projeler vb.) yönelik otomatik brute force denemeleri, zararlı dosya yükleme girişimleri ve zayıf şifrelerle ele geçirilen hesaplar. Bir güvenlik denetimi sırasında birkaç dakikalık log incelemesi bile onlarca yetkisiz oturum denemesini ortaya çıkarabiliyor. İşin can sıkıcı kısmı, bu saldırıların büyük bölümü aslında doğru yapılandırılmış bir güvenlik sertleştirme kontrol listesi ile ciddi oranda azaltılabiliyor. DCHost ekibi olarak, paylaşımlı hosting, VPS ve dedicated sunucularda cPanel yöneten müşterilerde en çok hasar veren üç kategori görüyoruz: şifre deneme saldırıları (brute force), zararlı yazılımlar (malware) ve zafiyetli ya da zayıf korunmuş cPanel hesapları üzerinden gerçekleşen ihlaller. Bu yazıda, cPanel tarafını adım adım sertleştirirken nelere dikkat etmeniz gerektiğini, hangi ayarların kritik olduğunu ve hangi başlıkların kesinlikle atlanmaması gerektiğini yalın ama detaylı bir kontrol listesi halinde toplayacağız. Amaç; teorik güvenlik anlatmak değil, bugün elinizdeki cPanel sunucuda uygulayabileceğiniz pratik bir yol haritası sunmak.

Genel Bakış: cPanel Güvenlik Sertleştirme Kontrol Listesi

Önce büyük resmi netleştirelim. Sağlam bir cPanel güvenlik sertleştirmesi, birkaç dağınık ayar değil, birbirini tamamlayan katmanlardan oluşan bir mimari olmalı. DCHost ortamlarında uyguladığımız pratik kontrol listesini ana başlıklar halinde şöyle özetleyebiliriz:

• Hesap ve kimlik doğrulama güvenliği (şifre politikası, 2FA, IP sınırlamaları)
• Brute force koruması (cPHulk, rate limiting, SSH/FTP kısıtlamaları)
• Malware ve dosya güvenliği (tarama, karantina, PHP sertleştirme, yükleme kısıtları)
• Web uygulaması güvenliği (WAF, ModSecurity, güvenlik başlıkları, uygulama düzeyi sertleştirme)
• E‑posta, DNS ve SSL güvenliği (SPF/DKIM/DMARC, zorunlu HTTPS, TLS ayarları)
• Sunucu seviyesi sertleştirme (firewall, SSH, kernel ve paket güncellemeleri)
• Loglama, izleme ve uyarılar (log rotasyonu, alarm kuralları, anomali takibi)
• Yedekleme ve olay müdahale planı (3‑2‑1 yedekleme, geri dönüş testleri, runbook)

Şimdi bu başlıkların her birini detaylandırıp, cPanel tarafında hangi ayarları nasıl ele almanız gerektiğini adım adım inceleyelim.

Hesap ve Kimlik Doğrulama Güvenliği

Güçlü Şifre Politikası ve Parola Hijyeni

Brute force saldırılarının önemli bir kısmı, kullanıcıların zayıf şifre tercihleri nedeniyle başarıya ulaşıyor. İlk adım, cPanel ve WHM tarafında güçlü bir şifre politikası tanımlamak olmalı.

• WHM içinden Password Strength Configuration bölümünde minimum şifre gücünü yükseltin (örneğin 80 ve üzeri).
• cPanel kullanıcılara rastgele ve uzun şifreler üretmeleri için şifre üreticisini kullanmalarını zorunlu tutun.
• E‑posta, FTP ve MySQL hesaplarında da aynı güçlü parola politikasını uygulayın.
• Belirli aralıklarla (örneğin 6 ayda bir) kritik hesaplar için parola değişimini güvenlik politikanıza ekleyin.

Özellikle çok kullanıcılı sunucularda, tek bir zayıf şifrenin tüm sunucunun itibarını ve kara liste durumunu etkileyebileceğini unutmayın.

İki Faktörlü Doğrulama (2FA) Zorunlu Hale Getirin

Parola ne kadar güçlü olursa olsun, phishing veya veri sızıntıları nedeniyle ele geçirilebilir. Bu nedenle cPanel ve WHM girişlerinde 2FA kurmak, brute force ve hesap ele geçirme saldırılarına karşı çok güçlü bir bariyer oluşturur.

• WHM üzerinde root ve reseller hesapları için 2FA kullanımını zorunlu hale getirin.
• Mümkünse tüm cPanel kullanıcılarına, giriş yaparken 2FA etkinleştirmeden devam edemeyecekleri bir süreç tasarlayın.
• 2FA kurtarma kodlarını güvenli bir yerde saklamalarını kullanıcılara açıkça anlatın.

DCHost tarafında kritik yönetim hesaplarında 2FA kullanımı, operasyonel standartlarımızdan biri. Siz de kendi ekibiniz için benzer bir kural seti belirlemelisiniz.

IP Bazlı Sınırlamalar ve Oturum Ayarları

Özellikle WHM ve root erişimi olan paneller için IP kısıtlaması hayat kurtarır.

• WHM erişimini yalnızca yönetim ağlarınızın IP aralıklarına sınırlayın.
• cPanel ve webmail girişlerinde çok agresif olmasanız da, en azından şüpheli bölgelerden gelen erişimleri firewall ile sınırlamayı düşünün.
• Oturum zaman aşımını düşük tutun; uzun süre açık kalan panel oturumları saldırganlar için fırsattır.

Bu noktada sunucu seviyesinde firewall kuralları da devreye girer. Firewall tarafını detaylı ele aldığımız VPS sunucu güvenliği rehberine göz atmanız iyi bir tamamlayıcı adım olacaktır.

Brute Force Saldırılarına Karşı Sertleştirme

cPHulk Brute Force Protection Doğru Yapılandırılmış mı?

cPHulk, cPanel ekosistemindeki brute force saldırılarına karşı en kritik savunma bileşenlerinden biridir. Sadece aktif etmek yetmez, politikanın doğru kurgulanması gerekir.

• WHM üzerinden cPHulk özelliğini etkinleştirin ve tüm giriş vektörlerini (WHM, cPanel, SSH, e‑posta servisleri) kapsadığından emin olun.
• Belirli bir IP veya kullanıcı için izin verilen başarısız giriş sayısını makul bir seviyeye çekin (örneğin 5 denemenin üzerinde otomatik ban).
• Ban süresini saldırı yoğunluğunuza göre ayarlayın; çok kısa ban süreleri etkisiz, çok uzun süreler ise meşru kullanıcıları mağdur edebilir.
• Güvendiğiniz yönetim IP bloklarını whitelist listesine ekleyin ancak bunu abartmayın; geniş whitelist aralıkları zafiyet yaratabilir.

cPHulk loglarını düzenli kontrol ederek, saldırı örüntülerini ve yanlış pozitifleri tespit etmek de önemlidir.

SSH, FTP ve E‑posta Oturumlarında Rate Limiting

Brute force sadece cPanel arayüzüne yapılmaz; SSH, FTP, IMAP/POP3 ve SMTP servisleri de yoğun şekilde hedef alınır.

• SSH için varsayılan portu değiştirmek tek başına çözüm değildir ama gürültüyü azaltır.
• Sunucu seviyesinde firewall veya ek araçlarla IP başına eşzamanlı bağlantı ve bağlantı deneme sayısını sınırlandırın.
• FTP kullanımı yerine mümkün olduğunca SFTP ve SSH anahtar tabanlı erişimi teşvik edin.
• IMAP/POP3 ve SMTP giriş denemeleri için de rate limiting kuralları tanımlayın.

SSH odağında daha derinleşmek isterseniz, sunucu tarafındaki adımlar için SSH güvenliği rehberimizi cPanel ortamlarınızda da referans olarak kullanabilirsiniz.

Malware ve Dosya Güvenliği

Otomatik ve Talep Üzerine Malware Taramaları

Birçok zararlı yazılım, zayıf şifreler, güvenlik açığı olan eklentiler veya güncel olmayan CMS sürümleri üzerinden cPanel hesaplarına sızar. İlk savunma hattı, düzenli malware taramalarıdır.

• cPanel sunucunuza güvenilir bir antivirüs ve malware tarama aracı kurun.
• Tüm hesapları düzenli periyotlarla (örneğin günlük veya haftalık) otomatik olarak tarayın.
• Yeni açılan hesapları otomatik tarama kapsamına dahil edin.
• Şüpheli dosyaları karantinaya taşıyan, raporlayan ve gerekirse otomatik silen politikalar geliştirin.

Tarama raporlarını, sadece var mı yok mu diye bakmak yerine, hangi hesapların sık sık sorun çıkardığını tespit etmek için de kullanın. Bu hesaplar için ek güvenlik eğitimleri veya ek sertleştirme adımları planlayabilirsiniz.

PHP Sertleştirme ve Tehlikeli Fonksiyonların Kısıtlanması

Birçok malware, PHP fonksiyonlarını kullanarak sistem komutu çalıştırmaya, uzaktan dosya indirmeye veya zararlı kod enjekte etmeye çalışır. PHP tarafında yapılacak sertleştirmeler bu riskleri ciddi oranda azaltır.

• php.ini veya cPanel MultiPHP Manager üzerinden tehlikeli fonksiyonları disable listesine ekleyin (örneğin exec, shell_exec, system, passthru gibi).
• open_basedir kısıtlaması ile her hesabın sadece kendi home dizini içinde çalışabilmesini sağlayın.
• display_errors ayarını üretim ortamlarında kapalı tutun; hata mesajlarında hassas bilgi sızmasını engelleyin.
• upload_max_filesize ve post_max_size değerlerini ihtiyaca göre sınırlandırın; gereksiz büyük yükleme limitlerinden kaçının.

Uygulama düzeyinde özellikle WordPress kullanan projelerde, ek olarak WordPress güvenlik sertleştirme kontrol listemizde anlattığımız dosya izinleri, salt keys ve XML‑RPC kısıtlamalarını da devreye almanız etkili olacaktır.

Dosya İzinleri ve İzolasyon

Yanlış dosya izinleri, saldırganlar için altın madeni gibidir. cPanel ortamlarında aşağıdaki prensiplere dikkat edin:

• Web kök dizinlerinde 644 (dosyalar) ve 755 (dizinler) dışına pek çıkmayın.
• config dosyalarını okuma yazma haklarını minimumda tutun, gerekirse web kökü dışına taşıyın.
• Her cPanel hesabının kendi kullanıcı ID si ile çalıştığından ve hesaplar arası izolasyonun aktif olduğundan emin olun.

İzolasyon bozulduğunda bir sitenin hacklenmesi, aynı sunucudaki diğer sitelere de sıçrayabilen zincirleme bir probleme dönüşebilir.

Web Uygulaması Güvenliği: WAF, ModSecurity ve Güvenlik Başlıkları

ModSecurity ve OWASP CRS ile WAF Katmanı

cPanel altyapısında web uygulamalarını korumanın en pratik yollarından biri, ModSecurity tabanlı bir WAF katmanı kullanmaktır. Özellikle OWASP Core Rule Set ile birlikte çalıştırıldığında, SQL injection, XSS ve benzeri birçok saldırı vektörünü otomatik olarak filtreler.

• ModSecurity yi aktif hale getirin ve mümkünse güncel OWASP CRS kural seti ile birlikte kullanın.
• Başlangıçta sadece algılama (detection only) modunda çalıştırıp yanlış pozitifleri analiz edin.
• Gerekli istisnaları tanımladıktan sonra engelleme (blocking) moduna geçin.
• Özellikle yönetim panelleri, giriş formları ve ödeme sayfaları için ek özel kurallar yazmayı düşünün.

WAF tarafını daha derinlemesine anlamak için, panelden bağımsız prensipleri anlattığımız ModSecurity ve OWASP CRS rehberine mutlaka göz atın; oradaki yaklaşımın büyük bölümünü cPanel ortamına da doğrudan uyarlayabilirsiniz.

HTTP Güvenlik Başlıkları ve Zorunlu HTTPS

cPanel üzerinde barındırdığınız sitelerde, sadece SSL sertifikası almak yeterli değil; tarayıcı seviyesindeki korumaları da devreye almanız gerekiyor.

• Tüm sitelere ücretsiz veya ticari bir SSL sertifikası sağlayın; HTTP den HTTPS ye otomatik yönlendirme yapın.
• HSTS (Strict Transport Security) başlığını devreye alarak tarayıcıların hep HTTPS kullanmasını zorunlu kılın.
• Content Security Policy (CSP), X‑Frame‑Options, X‑Content‑Type‑Options, Referrer‑Policy gibi başlıkları sitenin ihtiyaçlarına göre yapılandırın.

HTTP güvenlik başlıkları konusunda daha kapsamlı bir bakış için, panel bağımsız ilkeleri anlattığımız HTTP güvenlik başlıkları rehberimizi cPanel projelerinizin üstüne bir katman olarak düşünebilirsiniz.

E‑posta, DNS ve SSL Güvenliğini Sıkılaştırmak

E‑posta İtibarı: SPF, DKIM, DMARC ve RBL Riskleri

cPanel sunucularda ele geçirilen hesapların önemli bir kısmı, spam gönderimi için suistimal ediliyor. Bu hem IP itibarını düşürüyor hem de meşru e‑postalarınızın spam klasörüne düşmesine yol açıyor.

• Her alan adı için SPF, DKIM ve mümkünse DMARC kayıtlarını doğru şekilde yapılandırın.
• cPanel üzerinden outbound e‑posta sınırları (günlük, saatlik mesaj limiti) belirleyin.
• Şüpheli büyük hacimli e‑posta çıkışlarını izleyip, ilgili hesabı hızla askıya alabilecek süreçler tasarlayın.

Bu başlık, kendi başına detaylı bir konu. Adım adım DNS tarafındaki ayarlarla birlikte görmek isterseniz, SPF, DKIM, DMARC ve rDNS rehberimizi okumanız, cPanel ortamınızdaki e‑posta güvenliğine doğrudan katkı sağlayacaktır.

DNS ve CAA Kayıtları ile Sertifika Güvenliği

cPanel, SSL sertifikalarını yönetmeyi kolaylaştırsa da, alan adı düzeyinde ek önlemler almak mümkün.

• DNSSEC desteği olan alan adlarında DNSSEC i etkinleştirerek DNS zehirleme saldırı riskini azaltın.
• CAA kayıtları ile hangi sertifika otoritelerinin alan adınız için sertifika üretebileceğini sınırlandırın.
• cPanel deki AutoSSL süreçlerinin düzenli işlediğini ve başarısız denemeler için uyarı mekanizmalarının çalıştığını kontrol edin.

Bu adımlar, sahte sertifika alma girişimlerine karşı ek bir savunma hattı oluşturur.

Sunucu Seviyesi Sertleştirme: cPanel in Ötesi

Firewall, Port Yönetimi ve En Az Yetki Prensibi

cPanel ne kadar iyi yapılandırılmış olursa olsun, altındaki sunucu katmanında zafiyetler varsa risk devam eder. Bu nedenle firewall ve port yönetimi kritik önem taşır.

• Gereksiz tüm servisleri ve portları kapatın; sadece gerçekten kullanılanları açık bırakın.
• Yönetim arayüzlerine (WHM, SSH) sadece belirli IP aralıklarından erişime izin verin.
• Outbound trafik için de gerekirse sınırlamalar getirin; zararlı yazılımlar genelde dışarıya haberleşme yapmak ister.

Bu yaklaşımı, DCHost altyapısında uyguladığımız en az yetki prensibinin bir uzantısı olarak düşünebilirsiniz. Paylaşımlı hosting, VPS veya dedicated sunucu fark etmeksizin, mümkün olan en az açık kapı ile yaşamak hedef olmalı.

Güncellemeler, Kernel ve cPanel Sürüm Yönetimi

Eskimiş bir kernel, güncellenmemiş PHP veya eski bir cPanel sürümü, bilinen zafiyetler üzerinden istismar edilmeye çok açıktır.

• Otomatik güvenlik güncellemelerini etkinleştirin; kritik yamaları ertelemeyin.
• cPanel sürümünüzün desteklenen ve güvenlik güncellemesi alan bir dalda olduğundan emin olun.
• PHP, MySQL/MariaDB ve diğer bileşenleri hem güvenlik hem de uygulama uyumluluğu açısından dengeli şekilde güncelleyin.

Yeni cPanel kurulumlarında güvenli bir temel atmak için, AlmaLinux üzerinde cPanel kurulumu rehberimizdeki adımları uygulamak, sertleştirmeye daha ilk günden avantajlı başlamanızı sağlar.

Loglama, İzleme ve Olay Müdahale

Logları Sadece Toplamak Değil, Anlamlandırmak

cPanel ve WHM, çok sayıda log dosyası üretir: Apache logları, e‑posta logları, cPHulk kayıtları, ModSecurity audit logları ve daha fazlası. Ancak bu loglar sadece diskte birikiyorsa, gerçek anlamda güvenlik sağlamaz.

• Önemli log dosyalarını merkezi bir loglama sistemine veya en azından ayrı bir diske gönderin.
• Brute force denemeleri, olağan dışı outbound e‑posta trafiği, beklenmeyen dosya yüklemeleri gibi olaylar için alarmlar tanımlayın.
• Log rotasyonu ve saklama sürelerini belirleyin; gerekiyorsa KVKK ve benzeri mevzuatla uyumlu hareket edin.

Bu sayede, hesabı ele geçirilen bir kullanıcıyı günler sonra değil, dakikalar içinde tespit edip aksiyon alabilirsiniz.

Olay Müdahale Runbook u ve Sorumluluklar

En iyi sertleştirme bile yüzde yüz güvenlik sunamaz. Önemli olan, bir ihlal yaşandığında ne kadar hızlı ve ne kadar kontrollü reaksiyon verebildiğinizdir.

• Hesap ihlali şüphesinde atılacak adımları adım adım yazılı hale getirin (hesabı askıya alma, şifre resetleme, log analizi, yedekten geri dönüş vb.).
• Hangi durumda kimi bilgilendireceğiniz, hangi ekiple nasıl koordinasyon kuracağınız net olmalı.
• Mümkünse bu runbook u periyodik olarak tatbikatlarla test edin.

DCHost tarafında, yönetilen hizmetler kullanan müşterilerimiz için bu runbook süreçleri operasyonel standardın bir parçasıdır; benzer bir yaklaşımı kendi ekibinizde de benimsemeniz ciddi fark yaratır.

Yedekleme ve Geri Dönüş: İhlal Sonrasının Sigortası

3‑2‑1 Yedekleme Stratejisini cPanel e Uygulamak

Hesabınız hacklendi, dosyalarınız şifrelendi veya silindi diyelim. İşte o noktada gerçek kurtarıcı, düzenli ve test edilmiş yedeklerdir. cPanel deki yerleşik yedekleme mekanizmasını doğru kurgulamak, güvenlik sertleştirmenin vazgeçilmez bir parçasıdır.

• Yedeklerinizi sadece aynı sunucu içinde tutmayın; harici bir depolama veya ayrı bir sunucuya da kopyalayın.
• Günlük, haftalık ve aylık yedek katmanları oluşturun; hepsini aynı anda silmeyecek bir yapı kurun.
• Yedekten geri dönüş testlerini düzenli olarak yapın; çalışmayan yedek, aslında yedek değildir.

Bu konuda hem cPanel hem de VPS tarafını kapsayan daha geniş bir çerçeve için, 3‑2‑1 yedekleme stratejisi rehberimiz pratik bir referans olacaktır.

İhlal Sonrası Temiz Geri Dönüş Stratejisi

İhlal yaşandığında doğrudan tam yedekten dönmek çoğu zaman en pratik çözümdür ancak birkaç kritik noktaya dikkat etmek gerekir:

• Hangi tarihte ihlalin başladığını loglar üzerinden yaklaşık olarak belirleyin.
• İhlal öncesi olduğundan emin olduğunuz bir yedekten geri dönün.
• Geri dönüşten sonra tüm parolaları, API anahtarlarını ve erişim bilgilerini yenileyin.
• Aynı zafiyetin tekrar suistimal edilmemesi için kök sebebi (örneğin zafiyetli bir eklenti) mutlaka ortadan kaldırın.

Bu adımlar atlanırsa, temizlediğinizi sandığınız ortamda aynı saldırının yeniden yaşanması işten bile değildir.

DCHost Ortamında cPanel Güvenlik Sertleştirme Nasıl İşliyor?

DCHost olarak cPanel kullanan müşterilerimiz için güvenlik sertleştirmesini tek seferlik bir işlem değil, yaşam döngüsünün parçası olarak görüyoruz. Paylaşımlı hosting, yönetilen VPS, dedicated sunucu veya colocation fark etmeksizin benzer prensipleri uyguluyoruz.

• Yeni cPanel sunucularında güvenli bir temel imaj ve varsayılan sertleştirme ayarları ile başlıyoruz.
• cPHulk, ModSecurity, SSL/TLS yapılandırmaları ve temel firewall kuralları kurulum aşamasında devreye giriyor.
• Güncelleme, yedekleme ve log takibi süreçlerini otomasyona bağlıyoruz.
• Yönetilen hizmetlerde, ihlal şüphesi durumunda müşterilerle birlikte hareket eden bir olay müdahale süreci işletiyoruz.

Eğer şu an başka bir sağlayıcıda cPanel sunucunuz varsa ve DCHost altyapısına taşınmayı düşünüyorsanız, cPanel den cPanel e canlı taşıma rehberimizde anlattığımız stratejilerle, kesinti yaşamadan daha güvenli bir ortama geçiş yapabilirsiniz.

Özet ve Yol Haritası: Bugün Ne Yapmalısınız?

cPanel güvenlik sertleştirme konusu ilk bakışta uzun bir yapılacaklar listesi gibi görünse de, aslında üç ana hedef etrafında toplanıyor: brute force saldırılarını azaltmak, malware riskini düşürmek ve hesap ihlallerini hızlı tespit edip sınırlamak. Bu yazıda anlattığımız kontrol listesi, bu üç hedefi pratik adımlara dönüştürmek için tasarlandı.

Kısa vadede atabileceğiniz adımları şöyle özetleyebiliriz:

• cPHulk u etkinleştirip, agresif ama makul eşiklerle yapılandırın.
• cPanel ve WHM hesapları için 2FA yı zorunlu hale getirin.
• Malware taramalarını otomatikleştirin, PHP ve dosya izinlerini sertleştirin.
• ModSecurity ve HTTP güvenlik başlıklarını devreye alın.
• 3‑2‑1 prensibine uygun, test edilmiş yedekleme kurgusu oluşturun.

Orta vadede ise firewall, loglama, olay müdahale runbook u ve uygulama düzeyi sertleştirme gibi konulara daha fazla yatırım yapmanız gerekecek. DCHost olarak, ister paylaşımlı cPanel hosting, ister yönetilen VPS veya dedicated sunucu kullanın, bu kontrol listesini kendi ortamınıza uyarlamanız için teknik ekibimizle birlikte çalışmaya hazırız. Mevcut cPanel yapınızı birlikte gözden geçirip, aşama aşama uygulanabilir bir sertleştirme planı çıkarmak isterseniz, bize ulaşmanız yeterli.