ModSecurity WAF Kurulumu ve OWASP Kuralları

ModSecurity, web uygulamalarını SQL injection, XSS, path traversal ve diğer saldırılardan koruyan açık kaynaklı bir WAF (Web Application Firewall) motorudur.

ModSecurity Nedir?

WAF, HTTP trafiğini analiz ederek kötü niyetli istekleri engeller. ModSecurity ile birlikte kullanılan OWASP Core Rule Set (CRS), binlerce saldırı imzası içerir.

Apache'ye ModSecurity Kurulumu

Ubuntu/Debian:

apt install libapache2-mod-security2
a2enmod security2
systemctl restart apache2

# Temel yapılandırma dosyası
cp /etc/modsecurity/modsecurity.conf-recommended /etc/modsecurity/modsecurity.conf

/etc/modsecurity/modsecurity.conf:

# Önce Detection Only modunda çalıştırın
SecRuleEngine DetectionOnly

# Logları etkinleştir
SecAuditEngine On
SecAuditLog /var/log/apache2/modsecurity_audit.log
SecAuditLogParts ABIJDEFHZ

# İstek gövdesini işle
SecRequestBodyAccess On
SecRequestBodyLimit 13107200
SecRequestBodyNoFilesLimit 131072

# Yanıt gövdesini işle
SecResponseBodyAccess On
SecResponseBodyLimit 524288

OWASP Core Rule Set (CRS) Kurulumu

cd /etc/modsecurity
git clone https://github.com/coreruleset/coreruleset
cp coreruleset/crs-setup.conf.example coreruleset/crs-setup.conf

# Apache yapılandırmasına dahil et
# /etc/apache2/mods-enabled/security2.conf

<IfModule security2_module>
    SecDataDir /var/cache/modsecurity
    IncludeOptional /etc/modsecurity/*.conf
    IncludeOptional /etc/modsecurity/coreruleset/crs-setup.conf
    IncludeOptional /etc/modsecurity/coreruleset/rules/*.conf
</IfModule>

systemctl restart apache2

Nginx ile ModSecurity

# ModSecurity-nginx connector kurulumu
apt install libnginx-mod-security

# /etc/nginx/nginx.conf

http {
    modsecurity on;
    modsecurity_rules_file /etc/modsecurity/modsecurity.conf;
}

Detection Only → Enforcement Mode

Test aşamasında DetectionOnly kullanın, sorun yoksa aktif edin:

# /etc/modsecurity/modsecurity.conf
SecRuleEngine On   # DetectionOnly yerine

Log İzleme

# Gerçek zamanlı log takibi
tail -f /var/log/apache2/modsecurity_audit.log

# Engellenen istekleri filtrele
grep "Access denied" /var/log/apache2/modsecurity_audit.log

# Hangi kurallar tetiklenmiş
grep "id:" /var/log/apache2/modsecurity_audit.log | sort | uniq -c | sort -rn | head -20

False Positive Yönetimi

Meşru istekler engelleniyorsa kural devre dışı bırakın:

# Belirli kural devre dışı
SecRuleRemoveById 942100

# Belirli alan için devre dışı
<Location "/wp-admin">
    SecRuleRemoveById 942100 941100
</Location>

# Belirli IP için devre dışı
SecRule REMOTE_ADDR "@ipMatch 192.168.1.100"     "id:1000,phase:1,pass,nolog,ctl:ruleEngine=Off"

Özel Kural Yazma

# /etc/modsecurity/custom-rules.conf

# Belirli User-Agent'ı engelle
SecRule REQUEST_HEADERS:User-Agent "sqlmap"     "id:9001,phase:1,deny,status:403,msg:'SQLMap Detected'"

# Belirli parametre uzunluğunu sınırla
SecRule ARGS_NAMES "@gt 100"     "id:9002,phase:2,deny,status:400,msg:'Too many parameters'"

# Admin sayfasına IP kısıtlaması
SecRule REQUEST_URI "@beginsWith /wp-admin"     "id:9003,phase:1,chain,deny,status:403"
SecRule REMOTE_ADDR "!@ipMatch 192.168.1.0/24"

Performans Optimizasyonu

# Statik dosyalar için WAF'ı devre dışı bırak
<FilesMatch ".(jpg|jpeg|png|gif|ico|css|js|woff|woff2)$">
    SecRuleEngine Off
</FilesMatch>

# CRS paranoia seviyesini düşür (varsayılan 1, max 4)
# crs-setup.conf
SecAction "id:900000,phase:1,nolog,pass,t:none,setvar:tx.paranoia_level=1"

Büyükweb cPanel hosting paketlerinde ModSecurity varsayılan olarak etkin gelir. VDS sunucularda özelleştirilmiş WAF kuralları oluşturabilirsiniz.

OWASP Kural Seti Ince Ayar ve False Positive Yonetimi

ModSecurity OWASP Core Rule Set (CRS) kurulduktan sonra false positive uyarilarini yonetmek onemli bir adimdir. Baslangicta kurallari DetectionOnly modda calistirarak uyarilari izleyin ve mesru trafigi engelleyen kurallari tespit edin. Belirli kurallar icin ozel istisnalar tanimlayarak uygulamanizin normal isleyisini bozmadan guvenlik saglayin. SecRuleRemoveById direktifi ile belirli kurallari devre disi birakabilirsiniz.

Paranoia seviyesini uygulamanizin gereksinimlerine gore ayarlayin. Seviye 1 temel koruma saglarken, seviye 4 en katı kurallari uygular. Cogu web uygulamasi icin seviye 2 dengeli bir secimdir. IP beyaz liste yapilandirmasi ile guvenilir kaynaklardan gelen trafigi muaf tutabilirsiniz. ModSecurity audit loglarini duzenli olarak inceleyerek saldiri ornuntularini analiz edin. Sanal yamalama (virtual patching) ile bilinen guvenlik aciklarini uygulama kodu degistirmeden engelleyebilirsiniz. Buyukweb.com hosting paketlerinde ModSecurity varsayilan olarak etkindir ve profesyonel guvenlik korumaniz saglanir.

---

Web Guvenligi Kontrol Listesi

SSL/TLS Yapilandirmasi

TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.

Guvenlik Basliklari

X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.

WAF Korumasi

ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.

Malware Tarama

Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.

Parola Politikasi

Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.

Yedekleme ve Felaket Kurtarma

Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.

Sik Sorulan Sorular

Ucretsiz SSL ile ucretli farki nedir?

Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.

Mixed content nasil cozulur?

Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.

Sertifika suresi doldu ne olur?

Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.

Sonuc

Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.

SSL Sertifika Turleri

Tur	Dogrulama	Kullanim	Fiyat
DV (Domain)	Domain sahipligi	Kisisel site, blog	Ucretsiz-dusuk
OV (Organization)	Sirket dogrulama	Kurumsal site	Orta
EV (Extended)	Detayli dogrulama	Banka, e-ticaret	Yuksek
Wildcard	Tum subdomainler	Coklu subdomain	Orta-yuksek

Let's Encrypt Otomatik Yenileme

Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.

Guvenlik Denetim Kontrol Listesi

• SSL/TLS versiyonlari guncel mi?
• Guvenlik basliklari dogru yapilandirildi mi?
• WAF kurallari aktif mi?
• fail2ban calisiyor mu?
• Gereksiz portlar kapali mi?
• Root girisi devre disi mi?
• 2FA aktif mi?
• Yedekler duzenli aliniyor mu?
• Dosya izinleri dogru mu?
• Kullanilmayan servisler kapatildi mi?

Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.

Neden Buyukweb?

Buyukweb, 2009 yilindan bu yana Turkiye'nin guvenilir hosting firmasidir. Bursa Pendc Tier 3 veri merkezinde profesyonel barindirma hizmetleri sunmaktadir.

Teknik Altyapi Avantajlari

• NVMe SSD Diskler: Geleneksel disklere gore 10x daha hizli okuma/yazma
• LiteSpeed Web Server: Apache'ye kiyasla 10x performans artisi
• CloudLinux Izolasyonu: Her hesap icin ayri kaynak limiti
• Imunify360 Guvenlik: Otomatik malware tarama ve engelleme
• DDoS Korumasi: L3, L4, L7 katmanlarinda kapsamli koruma

Musteri Memnuniyeti

5.200'den fazla aktif musteri ile %99.8 uptime garantisi sunuyoruz. 7/24 Turkce teknik destek ekibimiz tum sorulariniza hizla yanit verir. Ucretsiz site tasima hizmeti ile mevcut hosting saglayicinizdan kolayca gecis yapabilirsiniz.

Fiyat-Performans Dengesi

Rekabetci fiyatlarla profesyonel hosting altyapisi sunuyoruz. Yillik odemede ek indirimler, ucretsiz SSL sertifikasi ve gunluk otomatik yedekleme tum paketlerde standarttir.

Kolay Yonetim

cPanel ve Plesk kontrol panelleri ile web sitenizi, e-postalarinizi ve veritabaninizi tek panelden kolayca yonetin. Softaculous ile 400'den fazla uygulamayi tek tikla kurun.

Hosting Sektoru ve Gelecek Trendleri

Dijitallesme ile birlikte hosting sektoru hizla donusuyor. Edge computing, serverless mimariler ve container teknolojileri geleneksel hosting yaklasimlarini tamamliyor. Ancak guvenilir bir fiziksel altyapi her zaman temel gereksinim olmaya devam edecek.

Yapay Zeka ve Hosting

AI destekli guvenlik sistemleri, otomatik optimizasyon araclari ve akilli izleme cozumleri hosting kalitesini artiriyor. Imunify360 gibi AI tabanli guvenlik yazilimlari, saldiri kaliplarini ogrenererek proaktif koruma sagliyor.

Surdurulebilir Hosting

Yesil enerji kullanan veri merkezleri, enerji verimli sunucular ve karbon notr barindirma hizmetleri gelecekte daha onemli hale gelecek. Verimli donanim ve akilli sogutma sistemleri ile enerji maliyetleri azaltiliyor.

5G ve Mobil Oncelik

5G teknolojisinin yayginlasmasi ile mobil trafik daha da artacak. Mobile-first hosting cozumleri, edge caching ve AMP destegi onemini koruyacak. Web sitelerinin mobilde 2 saniyenin altinda yuklenmesi standart beklenti haline geliyor.

Ozet ve Oneriler

Bu rehberde ele aldigimiz konulari ozetleyelim ve onemli noktalari tekrar vurgulayalim.

Hosting ve sunucu yonetimi suresiz bir ogrenme surecidir. Teknolojiler degisiyor, guvenlik tehditleri evrim geciriyor ve performans beklentileri surekli artiyor. Bu degisime ayak uydurmak icin duzenli arastirma yapmak, topluluk forumlarini takip etmek ve yeni teknolojileri denemek onemlidir.

Profesyonel hosting altyapisi ile:

• Web siteniz daha hizli yuklenecek
• Guvenlik tehditlerinden korunacaksiniz
• Arama motorlarinda daha iyi siralama elde edeceksiniz
• Ziyaretci deneyimi iyilecesek
• Is surekliligi garanti altina alinacak

Buyukweb olarak 2009 yilindan beri binlerce projeye guvenilir hosting altyapisi sagliyoruz. Herhangi bir konuda yardima ihtiyac duyarsaniz 7/24 teknik destek ekibimiz hizmetinizdedir.

Iletisim: 0850 302 60 70 | destek@buyukweb.com | my.buyukweb.com