Joomla ve Drupal İçin Hosting Rehberi: PHP, Veritabanı ve Güvenlik Ayarları

Joomla veya Drupal ile güçlü bir içerik sitesi, kurumsal portal ya da topluluk platformu kurmak istiyorsanız, iş sadece temayı seçmek ve içerik girmekle bitmiyor. Bu iki CMS, esneklik ve modüler yapı sunarken, arka planda doğru hosting altyapısı, PHP ayarları, veritabanı konfigürasyonu ve güvenlik politikaları gerektiriyor. Biz DCHost ekibi olarak, özellikle ajansların ve kurumsal ekiplerin Joomla/Drupal projelerinde en çok nerede zorlandığını; PHP sürümü, uzantılar, veritabanı karakter seti, dosya izinleri ve HTTPS/güvenlik başlıkları tarafında yapılan küçük hataların nasıl büyük sorunlara dönüşebildiğini pratikte görüyoruz.

Bu rehberde, Joomla ve Drupal’ı paylaşımlı hosting, VPS veya dedicated sunucu üzerinde barındırırken dikkat etmeniz gereken ayarları adım adım toparlayacağız. Hangi PHP sürümünü seçmelisiniz, memory_limit ve max_execution_time hangi seviyede mantıklı, MySQL/MariaDB/PostgreSQL arasında nasıl karar vermeli, HTTPS ve WAF tarafında hangi güvenlik katmanlarını mutlaka açmalısınız gibi soruları, doğrudan uygulayabileceğiniz net değerler ve örnek senaryolarla ele alacağız. Böylece hem yeni bir kurulum yaparken hem de mevcut bir Joomla/Drupal sitesini DCHost altyapısına taşırken, mimariyi baştan sağlam kurabilirsiniz.

Joomla ve Drupal İçin Doğru Hosting Türünü Seçmek

Teknik ayarlara girmeden önce, Joomla ve Drupal için hangi hosting modelinin daha uygun olduğunu netleştirmek önemli. Çünkü PHP ve veritabanı ayarlarını ne kadar iyi yapsanız da, altyapı katmanı zayıfsa performans ve stabilite sorunları kaçınılmaz oluyor.

Paylaşımlı hosting ne zaman yeterli?

Joomla ve Drupal, optimize edilmiş bir sunucu üzerinde gayet verimli çalışabilen sistemlerdir. Aşağıdaki durumlarda iyi yapılandırılmış bir paylaşımlı hosting paketi genelde yeterli olur:

• Aylık 5.000–30.000 arası sayfa görüntülemesi olan kurumsal tanıtım siteleri
• Sınırlı sayıda bileşen/modül kullanan, ağır eklenti yapısına sahip olmayan projeler
• Türkiye veya tek bir bölgede yoğunlaşmış hedef kitle (örneğin sadece TR lokasyonlu ziyaretçi)
• Yoğun arka plan işi (cron, büyük import’lar, toplu e-posta) olmayan siteler

Bu segmentte, DCHost üzerindeki PHP selector, çoklu PHP versiyonu, temel WAF ve HTTP/2/HTTP/3 desteği olan klasik hosting paketleri genellikle fazlasıyla iş görür.

Ne zaman VPS veya dedicated sunucuya geçilmeli?

Aşağıdaki sinyallerden biri veya birkaçı varsa, Joomla/Drupal projenizi bir VPS ya da dedicated sunucu üzerine almayı düşünmelisiniz:

• Yoğun trafik: Aylık 100.000+ sayfa görüntüleme, aynı anda onlarca aktif oturum
• Ağır modüller: Karmaşık arama fonksiyonları, çok sayıda içerik türü, yüz binlerce içerik kaydı
• Entegrasyonlar: Harici API’ler, ERP/CRM bağlantıları, sık cron job’lar, toplu veri import/export işleri
• Güvenlik gereksinimleri: Ayrı veritabanı sunucusu, gelişmiş WAF, özel güvenlik duvarı ve IP kısıtlamaları

Bu durumda, DCHost tarafında yönetilen VPS veya dedicated sunucu çözümleri ile PHP-FPM havuzlarını, veritabanı motorunu ve WAF kurallarını sadece bu projeye göre optimize etmek mümkün hale geliyor.

PHP Sürümü, Uzantılar ve Önemli PHP Ayarları

Joomla ve Drupal, PHP tarafına oldukça bağımlı çalışır. Yanlış seçilen sürüm veya kısıtlayıcı php.ini ayarları; beyaz ekran hataları, beklenmedik 500 hataları ve başarısız güncellemeler olarak size geri döner.

Hangi PHP sürümü tercih edilmeli?

Genelde aşağıdaki prensiple ilerlemek güvenlidir:

• PHP 8.1 veya 8.2: Güncel Joomla ve Drupal sürümleri için en dengeli tercih. Güvenlik güncellemeleri devam ediyor ve performans olarak da güçlü.
• PHP 7.x serisi: Eski bir Joomla/Drupal sürümüne mecburen bağlı değilseniz artık tercih etmemeniz gereken seri. Güvenlik perspektifinden risklidir.

Projenizi yeni kuruyorsanız, mümkün olduğunca planlanan Joomla/Drupal versiyonunun desteklediği en güncel PHP 8.x sürümünü kullanın. Sunucu tarafında PHP versiyon migrasyonu yaparken, PHP ayarlarını doğru yapmak ve sürüm geçişini güvenle tamamlamak için hazırladığımız rehbere de göz atabilirsiniz.

Zorunlu ve önerilen PHP uzantıları

Joomla ve Drupal için tipik olarak aşağıdaki uzantılar gereklidir veya güçlü şekilde önerilir:

• pdo_mysql veya mysqli (MySQL/MariaDB bağlantısı için)
• json, mbstring, intl (çok dilli siteler ve metin işlemleri için kritik)
• zip, gd veya imagick (uzantı kurulumları, resim işleme)
• curl, openssl (harici API entegrasyonları, güvenli bağlantılar)

DCHost üzerinde PHP extension yönetimi sunan paylaşımlı hosting veya VPS kullanıyorsanız, proje başında bu uzantıları kontrol etmek kritik. Gereksiz uzantıları aktifleştirmeyerek yüzey alanınızı da daraltmış olursunuz.

php.ini için pratik Joomla/Drupal değerleri

Her proje farklı olsa da, gerçek kurulumlardan yola çıkarak tipik başlangıç değerlerini şöyle özetleyebiliriz:

• memory_limit: Minimum 256M, yoğun içerik ve çoklu modül kullanılan sitelerde 512M
• max_execution_time: Canlı sitede 60–90 sn, büyük import/güncelleme süreçlerinde geçici olarak 180 sn
• upload_max_filesize: En az 32M, çok medya ağırlıklı sitelerde 64M veya 128M
• post_max_size: upload_max_filesize ile uyumlu; genelde 64M veya 128M
• max_input_vars: Menü ve form sayısı fazla Joomla/Drupal sitelerinde 3000–5000

Bu değerleri belirlerken sadece uygulamanın ihtiyacını değil, aynı zamanda hosting planınızın CPU/RAM limitlerini de dikkate almak gerekiyor. Konuyu daha derinlemesine ele aldığımız PHP versiyon ve eklenti seçimi rehberimiz, Joomla ve Drupal gibi PHP tabanlı diğer uygulamalar için de geçerli prensipler sunuyor.

Veritabanı Seçimi, Karakter Seti ve Performans Ayarları

Joomla ve Drupal, geleneksel olarak MySQL/MariaDB üzerinde yaygın şekilde kullanılıyor; ancak bazı kurumsal ekipler PostgreSQL’i de tercih edebiliyor. Doğru veritabanı motoru ve karakter seti seçimi, uzun vadede hem performans hem de veri bütünlüğü açısından kritik.

MySQL, MariaDB ve PostgreSQL arasında seçim

Pratikte çoğu Joomla/Drupal kurulumu için MySQL veya MariaDB gayet yeterlidir. PostgreSQL tarafına daha çok şu durumlarda gitmeyi öneriyoruz:

• Kurumsal tarafta PostgreSQL standartlaştırılmışsa
• Çok karmaşık sorgular ve gelişmiş veri türleri kullanılıyorsa
• Mevcut veritabanı ekibi PostgreSQL’e hâkimse

Farklı motorların avantajlarını ve senaryolarını karşılaştırırken, Joomla/Drupal değil ama benzer PHP uygulamaları üzerinden ilerlediğimiz MariaDB vs MySQL vs PostgreSQL karşılaştırma rehberimiz, karar verirken size iyi bir çerçeve sunacaktır.

Karakter seti ve sıralama (collation) ayarları

Yeni bir Joomla/Drupal kurulumu yaparken mutlaka:

• Karakter seti: utf8mb4
• Collation: utf8mb4_unicode_ci veya utf8mb4_turkish_ci (Türkçe ağırlıklı siteler için)

seçilmesini öneriyoruz. Böylece hem emoji ve özel karakter desteğini sorunsuz kullanır, hem de ileride çok dilli içeriklerde bozulma riskini azaltırsınız. Eski bir latin1 veritabanını Joomla/Drupal ile birlikte taşırken, canlıya almadan önce test ortamında karakter seti dönüşümlerini denemek kritik.

Veritabanı kaynak planlama ve tipik limitler

Tek VPS üzerinde çalışan orta ölçekli bir Joomla/Drupal site için genelde şu taban değerler makul bir başlangıç sağlar:

• 2–4 vCPU, 4–8 GB RAM (uygulama + veritabanı aynı VPS’teyse)
• InnoDB buffer pool: Toplam RAM’in %30–40’ı civarı
• max_connections: 100–200 arası (paylaşımlı ortamda çok agresif davranmamak önemli)

Daha büyük kurumsal portallar ve belediye siteleri gibi 7/24 yoğun trafiğe açık Drupal/Joomla kurulumlarında, veritabanını ayrı bir VPS veya dedicated sunucuya taşıyıp uygulama sunucusundan ayırmak, ölçeklendirmeyi ciddi ölçüde kolaylaştırır.

HTTPS, HTTP Güvenlik Başlıkları ve WAF Ayarları

Joomla ve Drupal, giriş panelleri, kullanıcı oturumları, form gönderimleri ve yönetici işlemleri açısından güvenlik kritik CMS’lerdir. Sadece SSL sertifikası kurup HTTPS’e geçmek yeterli değil; HTTP güvenlik başlıkları, WAF ve sunucu sertleştirme de devreye girmeli.

Modern HTTPS ve TLS ayarları

Öncelikle tüm Joomla/Drupal sitelerinde:

• Zorunlu HTTPS yönlendirmesi (HTTP → HTTPS kalıcı 301)
• Güncel bir TLS 1.2/1.3 konfigürasyonu
• Geçerli ve otomatik yenilenen SSL sertifikası (Let’s Encrypt veya kurumsal SSL)

olduğundan emin olmak gerekiyor. TLS tarafındaki güncellemeleri, eski sürümlerin kapatılmasını ve modern şifre takımlarının nasıl seçileceğini, SSL/TLS protokol güncellemeleri için hazırladığımız modern HTTPS rehberinde ayrıntılı biçimde ele aldık.

HTTP güvenlik başlıklarını Joomla/Drupal ile birlikte kullanmak

Özellikle şu başlıkları sunucu veya .htaccess üzerinden tanımlamayı öneriyoruz:

• Strict-Transport-Security (HSTS): Tarayıcılara siteyi her zaman HTTPS üzerinden açmalarını söyler.
• Content-Security-Policy (CSP): Hangi domain’lerden script, stil, görsel vb. yüklenebileceğini sınırlar.
• X-Frame-Options veya eşdeğer CSP kuralı: Clickjacking saldırılarına karşı korur.
• Referrer-Policy, X-Content-Type-Options, X-XSS-Protection gibi yardımcı başlıklar.

Bu başlıkların paylaşımlı hosting ve VPS ortamlarında nasıl ayarlanacağını, örnek Nginx/Apache yapılandırmalarıyla anlattığımız HTTP güvenlik başlıkları rehberimiz, Joomla ve Drupal projelerinize de birebir uygulanabilir.

WAF (Web Application Firewall) ve temel kısıtlama kuralları

Joomla ve Drupal, eklenti/modül ekosistemleri nedeniyle zaman zaman güvenlik açıklarına maruz kalabiliyor. Bu yüzden WAF kullanımı özellikle önem taşıyor:

• ModSecurity + OWASP CRS tabanlı bir WAF profili ön yüzde etkin olmalı.
• Yönetici paneli URL’leri (örn. /administrator, /user/login vb.) mümkünse IP kısıtlaması veya ilave kimlik doğrulama ile korunmalı.
• Brute-force ve form spam’ine karşı rate limiting ve basit CAPTCHA/anti-spam çözümleri devrede olmalı.

DCHost altyapısında hem paylaşımlı hosting hem de VPS/dedicated mimarilerde WAF’ı, özellikle Joomla/Drupal için tipik atak yüzeylerini (admin panel, dosya upload alanları, XML-RPC benzeri endpoint’ler) hedef alacak şekilde sertleştiriyoruz.

Dosya İzinleri, Güncelleme Stratejisi ve Eklenti/Modül Güvenliği

Birçok Joomla ve Drupal hack vakası, aslında çok basit operasyonel hatalardan kaynaklanıyor: Yanlış dosya izinleri, güncellenmeyen çekirdek ve uzantılar, FTP şifrelerinin üçüncü kişilerle paylaşılması gibi.

Güvenli dosya izinleri

Linux tabanlı DCHost sunucularında aşağıdaki izin seti, çoğu Joomla/Drupal sitesi için güvenli ve işlevsel bir temel sunar:

• PHP dosyaları: 640 veya 644
• Klasörler: 750 veya 755
• Hiçbir dosya veya klasör için 777 (tam yetki) kullanılmamalı

Bu konuda daha genel ama doğrudan uygulanabilir bir bakış için, Linux dosya izinleri ve güvenli ayarlar rehberimize göz atabilirsiniz.

Güncelleme ve staging ortamı kullanımı

Joomla veya Drupal çekirdeğini güncellemeden önce şu adımları alışkanlık haline getirmek, sizi birçok olaydan korur:

1. Dosya + veritabanı tam yedeği almak
2. Mümkünse DCHost üzerindeki başka bir alt alan adında staging/test kopyası oluşturmak
3. Güncellemeyi önce staging üzerinde test etmek, kritik formları ve kullanıcı akışlarını denemek
4. Her şey sorunsuzsa canlıya geçmek

Özellikle ajanslar ve büyük ekipler için staging/test ortamı, sadece Joomla/Drupal değil tüm PHP uygulamaları için standart bir pratik olmalı; bunun mimarisini genel anlamda anlattığımız geliştirme, test ve canlı ortamlar için hosting mimarisi rehberimiz, Joomla/Drupal projelerine de kolayca uyarlanabilir.

Eklenti ve modül seçerken dikkat edilecekler

Joomla ve Drupal’daki üçüncü parti eklentiler, fonksiyonellik kadar risk de taşır. Bu yüzden:

• Mümkün olduğunca çok kullanılan, aktif geliştirilen, yıldız/puanlaması yüksek eklentileri tercih edin.
• Uzun süredir güncellenmeyen veya geliştiricisi kaybolmuş modülleri canlı projelerde kullanmaktan kaçının.
• Her yeni eklenti kurulumundan sonra error_log ve erişim loglarını birkaç gün izleyin.

DCHost tarafında, özellikle hack sonrası temizleme sürecinde sık karşılaştığımız backdoor’ların önemli bir kısmı, eski ve yamalanmamış eklentiler üzerinden sisteme sızmış kodlar oluyor.

Önbellekleme, CDN ve Performans İyileştirmeleri

Joomla ve Drupal, çekirdek olarak oldukça esnek; ancak yoğun trafik altında veritabanı ve PHP üzerinde ciddi yük oluşturabiliyorlar. Bu yüzden çok katmanlı bir önbellekleme ve gerekirse CDN entegrasyonu, ölçeklenebilir bir mimarinin vazgeçilmez parçası.

CMS içi önbellek seçenekleri

Her iki CMS de şu seviyelerde önbellekleme sunar:

• Sayfa önbelleği (tam HTML çıktı önbelleği)
• Görünüm / blok / modül bazlı önbellek
• Veri ve yapılandırma önbelleği (config cache vb.)

Özellikle “sık değişmeyen içerik ağırlıklı” Joomla/Drupal sitelerinde tam sayfa önbelleği, TTFB’yi dramatik şekilde düşürür ve veritabanı yükünü ciddi ölçüde azaltır. Kullanıcı oturumları ve rol bazlı içerik gösterimi olan durumlarda ise daha akıllı, rol veya cookie temelli önbellek stratejileri kullanmak gerekir.

PHP seviyesinde OPcache ve obje cache

Sunucu tarafında:

• OPcache mutlaka aktif olmalı; PHP 8.x ile çok net performans kazanımı sağlar.
• Redis veya Memcached tabanlı bir obje önbelleği, büyük Joomla/Drupal sitelerinde çok sayıda tekrar eden sorgunun yükünü azaltır.

DCHost VPS veya dedicated sunucularda, Joomla/Drupal projeleri için PHP-FPM + OPcache + Redis üçlüsünü çoğu zaman varsayılan mimari olarak öneriyoruz.

CDN ve statik dosya dağıtımı

Özellikle çok sayıda resim, CSS/JS ve dosya indirme trafiği olan Drupal/Joomla sitelerinde CDN kullanmak, hem son kullanıcı deneyimini iyileştirir hem de origin sunucunun CPU/IO yükünü azaltır. Burada kritik olanlar:

• Statik içerikler (resim, CSS, JS, font) için uzun süreli cache-control başlıkları
• Versiyonlama (query string yerine dosya ismine gömülü versiyon numarası) ile cache busting
• CDN ile origin arasındaki HTTPS ve güvenlik başlıklarının doğru kurgulanması

CDN ve tarayıcı önbelleğinin neden bu kadar kritik olduğunu ve pratik stratejileri, cache busting ve önbellek stratejileri rehberimizde detaylı şekilde anlatıyoruz; aynı prensipler Joomla/Drupal için de geçerli.

Örnek Senaryolar: Joomla ve Drupal İçin Mimarileri Netleştirmek

Teoriyi somutlaştırmak için DCHost tarafında sık gördüğümüz üç senaryoyu özetleyelim.

Senaryo 1: Orta ölçekli kurumsal Joomla sitesi

• Aylık ~20.000 sayfa görüntüleme
• TR odaklı ziyaretçi kitlesi
• Temel iletişim formları, haberler, kurumsal sayfalar

Önerilen mimari:

• DCHost paylaşımlı hosting (Türkiye lokasyon)
• PHP 8.1, memory_limit 256M, OPcache aktif
• MySQL/MariaDB, utf8mb4 karakter seti
• Basit WAF profili, zorunlu HTTPS, temel HTTP güvenlik başlıkları

Senaryo 2: Drupal tabanlı belediye veya dernek portalı

• Aylık 150.000+ sayfa görüntüleme
• Yoğun içerik, çok sayıda içerik türü, arşiv ve dosya indirme
• Yetki bazlı erişim, kayıtlı kullanıcılar

Önerilen mimari:

• 4–8 vCPU, 8–16 GB RAM’li DCHost yönetilen VPS
• PHP 8.1/8.2, ayrı PHP-FPM havuzu, OPcache + Redis obje cache
• Ayrılmış MariaDB servisi (aynı VPS’te veya ayrı veritabanı VPS’i)
• HTTP/2/HTTP/3 desteği, gelişmiş WAF kural seti, rate limiting
• Statik dosyalar için CDN entegrasyonu ve uzun süreli tarayıcı önbelleği

Senaryo 3: Çok dilli, yüksek trafikli Drupal içerik ağı

• Birden fazla dilde içerik, global ziyaretçi kitlesi
• Yoğun arama trafiği, binlerce içerik ve karmaşık taksonomi

Önerilen mimari:

• Birden fazla DCHost VPS veya dedicated sunucu ile uygulama ve veritabanını ayırmak
• Uygulama katmanında en az 2 VPS, önde Nginx/HAProxy ile basit load balancer
• Veritabanı tarafında primary-replica replikasyon veya Galera Cluster gibi HA çözümleri
• Global ziyaretçiler için çok bölgeli CDN ve uygun DNS/GeoDNS stratejisi

Bu senaryo, klasik “tek sunucu” yapısından çıkıp yüksek erişilebilir mimarilere yaklaşan bir yapı olduğu için, DCHost mühendislerinin de içinde olduğu mimari tasarım ve kapasite planlama süreci ile başlanması en sağlıklısıdır.

DCHost Üzerinde Joomla ve Drupal Barındırırken Pratik Öneriler

Joomla/Drupal projelerinizi DCHost’a taşırken veya sıfırdan kurarken, aşağıdaki kontrol listesi oldukça işinizi kolaylaştıracaktır:

• Alan adınızı bağladıktan sonra, DNS ve SSL ayarlarını adım adım kontrol etmeniz
• Doğru PHP sürümünü ve gerekli uzantıları seçmeniz (PHP selector veya VPS’te manuel kurulum)
• Veritabanınızı utf8mb4 karakter seti ve uygun collation ile oluşturmanız
• HTTP→HTTPS yönlendirmesi, HSTS ve temel güvenlik başlıklarını etkinleştirmeniz
• Düzenli otomatik yedekler (dosya + veritabanı) kurmanız ve periyodik olarak geri yükleme testleri yapmanız

Güvenlik ve süreklilik tarafında aklınızda daha geniş bir çerçeve oluşması için, yeni açılan web siteleri için hazırladığımız güvenlik check-list’ine de mutlaka göz atmanızı öneririz; listede anlattıklarımızın önemli bir kısmı Joomla ve Drupal siteleri için de birebir geçerli.

Sonuç ve Yol Haritası

Joomla ve Drupal, doğru kurulduğunda yıllarca sorunsuz hizmet verebilen, esnek ve güçlü içerik yönetim sistemleri. Ancak bu potansiyeli ortaya çıkarmak için, projenin başında hosting türü, PHP sürümü ve php.ini ayarları, veritabanı motoru ve karakter seti, HTTPS ve HTTP güvenlik başlıkları, dosya izinleri ve önbellekleme stratejisi gibi temel konuları netleştirmek şart.

Biz DCHost’ta, Joomla ve Drupal barındıran ajanslar, kurumsal ekipler ve topluluk projeleriyle her gün çalışıyoruz. Eğer mevcut sitenizi DCHost altyapısına taşımak istiyor ya da yeni bir proje planlıyorsanız, önce trafik ve büyüme beklentilerinizi, ardından güvenlik gereksinimlerinizi beraber değerlendirip sizin için en uygun paylaşımlı hosting, VPS, dedicated sunucu veya colocation mimarisini birlikte tasarlayabiliriz. Joomla/Drupal sitenizin uzun vadede performanslı, güvenli ve sürdürülebilir çalışmasını istiyorsanız, mimariyi kâğıt üzerinde doğru kurmak ve bu rehberdeki ayarları adım adım uygulamak mükemmel bir başlangıç olacaktır.