Spam trafiği; credential stuffing, carding, scraping, brute force, form spam, API kötüye kullanımı gibi farklı otomasyon davranışlarından oluşur. OWASP’ın Automated Threats to Web Applications (OAT) sınıflandırması, hangi uç noktalar için hangi saldırıların tipik olduğuna dair ortak bir dil sağlar; savunmayı tek bir CAPTCHA’ya indirgemek yerine tehdit odaklı düşünmeyi kolaylaştırır. owasp.org+1

Ana savunma katmanları (özet strateji)

1. WAF + kural setleri: ModSecurity ile OWASP Core Rule Set (CRS) başlangıç bariyeri sağlar; SQLi/XSS gibi klasik istismarlara ek olarak brute force ve hız sınırlamaya yardımcı kurallar içerir. owasp.org+1

2. Oran sınırlama (rate limit) / bağlantı kotası: Nginx’in limit_req ve limit_conn modülleri IP ya da özel anahtarlar (örn. IP+username) üzerinden istek hızını düşürür; leaky-bucket algoritması kullanır. nginx.org+1

3. Risk skorlu doğrulama: Cloudflare Turnstile gibi “sessiz” tarayıcı sinyali tabanlı çözümler; düşük güven hâlinde hafif challenge göstererek sürtünmeyi azaltır. Google reCAPTCHA (Enterprise), OAT kategorilerine göre akış bazlı öneriler sunar. Cloudflare Docs+2Cloudflare Docs+2

4. Honeypot/decoy taktikleri: Görünmeyen form alanları, sahte endpoint’ler ve (Cloudflare tarafında) AI Labyrinth gibi “yönlendirip oyalayan” çözümlemeler, robots.txt’ye uymayan yeni nesil tarayıcılara karşı etkili bir ek katmandır. The Cloudflare Blog

5. Scraper ekosistemi ve robots.txt gerçekliği: 2024–2025’te yayıncılar ve altyapı sağlayıcıları, robots.txt’yi yok sayan ve kimliğini gizleyen AI tarayıcılarına karşı (örn. varsayılan engelleme, “Pay Per Crawl” gibi) daha agresif önlemler duyurdu; robots.txt tek başına yeterli değil. The Verge+2Reuters+2

6. Ölçüm temizliği: Başarıyı ölçmek için GA4’te internal ve developer trafiğini filtrele; aksi hâlde bot azaltma etkisini göremezsin. Google Yardım

7. API’lere özel sıkılaştırma: 2024’te web saldırıları %33 artarken API’ler birincil hedef hâline geldi; rate limit + kimlik doğrulama + davranışsal sinyaller şart. vmblog.com+1

Uygulanabilir kontrol listesi (Hızlı başlangıç)

• Kritik uçları çıkar: /login, /signup, ödeme/form akışları, /search, ürün beslemeleri ve API uçları; her birini OAT kategorisiyle eşleştir. owasp.org

• WAF/CRS’i aç ve tuning yap: Hatalı pozitifleri azaltmak için istisna kuralları tanımla. CRS Project

• Oran sınırla: Nginx ile IP ve akışa özgü anahtarlarla rate limiting uygula. nginx.org

• Riskli akışlarda challenge: Turnstile/reCAPTCHA’yı login, kayıt ve ödeme gibi yüksek riskli akışlarda puan/karar mekanizmasıyla devreye al. Cloudflare Docs+1

• Honeypot/decoy ekle: Form honeypot’ları + (Cloudflare kullanıyorsan) AI Labyrinth. The Cloudflare Blog

• Scraper yönetimi: ASN/ülke/UA sinyalleriyle kurallar, hız limitleri, JSON/Feed uçlarına Accept/Referer hijyeni.

• Ölçüm temizliği: GA4 iç/developer trafiğini dışla. Google Yardım

• Sürekli gözlem: 429/5xx oranları, çerezsiz istek patlamaları, belirli ASN/ülkelerden ani sıçramalar için alarmlar kur.

• Trendleri izle: Akamai’nin yıllık/çeyreklik SOTI raporları API/bot eğilimlerini takip için iyi bir referans. Akamai

Uygulama Taslağı (kopyala–uyarla)

A) Nginx: Oran sınırlama ve basit işaretler

Login akışı için IP + kullanıcı adı birleşik anahtar:

Nginx’in limit_req modülü leaky-bucket yöntemiyle çalışır; anahtar seçiminde IP’nin NAT arkasında paylaşılıyor olabileceğini unutma. nginx.org+1

Form spam için honeypot + hız limiti:

Sık kazınan uçlar (search/feed/sitemap) için dar boğaz:

B) Cloudflare: Turnstile + WAF mantığı + AI Labyrinth

Turnstile entegrasyonu (özet):

Sunucuda (ör. Node) doğrularken token’ı /siteverify ile kontrol et; puan düşükse ek doğrulama iste. Turnstile, Cloudflare CDN’i kullanmasan bile gömülebilir; önce sessiz sinyaller toplar, gerekirse hafif bir challenge gösterir. Cloudflare Docs+1

AI Labyrinth (decoy sayfalarla oyalama): robots.txt’ye uymayan/bilinen AI tarayıcılarına karşı botu “labirente” sokarak kaynaklarını tüketen yeni savunma; Cloudflare üzerinde ücretsiz/opt-in sunuluyor. The Cloudflare Blog

Güncel bağlam: Cloudflare 2025’te AI crawler’ları varsayılan engelleme ve Pay Per Crawl seçeneklerini duyurdu; robots.txt’yi yok sayan botlara karşı altyapı seviyesinde kontrol sağlıyor. The Verge+1

C) AWS WAF: Bot Control + yönetilen kurallar

• AWS WAF Bot Control: Bilinen bot kategorilerini (iyi/kötü) ayıran yönetilen kurallar; özel kurallarla birleştirilebilir. docs.aws.amazon.com+1

Örnek (IP başına /login rate limit + Bot Control):

D) Google reCAPTCHA (Enterprise): OAT uyumlu mimari

Google’ın OAT tehditlerine göre en iyi uygulamalar kılavuzu, kart dolandırıcılığı, credential stuffing vb. senaryolarda puan tabanlı karar akışları ve “ek doğrulama” önerir. Uygulamada, skor/bağlama göre “izin ver / MFA iste / insan doğrulaması iste / reddet” kuralı tanımla. Google Cloud+1

E) GA4: İç/developer trafiğini dışla (ölçüm temizliği)

• Internal traffic: IP’leri “Define internal traffic” ile tanımla, ardından Data Filters’ta Exclude olarak aktif et. Google Yardım

• (İpucu) GA4, iç trafikten gelen vuruşlara tt=internal işareti koyar; validasyonu kolaylaştırır. selnekovic.com

F) İzleme & alarm fikirleri

• 429/5xx oranı ve endpoint başına z-skor sapmaları.

• Cookie-less istek oranı, ASN/ülke bazlı patlamalar.

• Decoy/honeypot isabetleri metriki (AI Labyrinth/honeypot sayfalarına giriş).

• API saldırı trendleri için Akamai’nin SOTI raporlarını periyodik takip. vmblog.com

Neden robots.txt tek başına yetmiyor?

Son 1 yılda; kimliğini gizleyen, robots.txt’yi görmezden gelen ya da UA/başlık taklidi yapan AI tarayıcılarına dair çok sayıda bulgu paylaşıldı. Bu yüzden altyapı seviyesinde engelleme (WAF/ASN/UA/Rate limit/Decoy) gereklidir. arstechnica.com+1

Kullanıcı deneyimi: “kademeli sürtünme” prensibi

• Herkese CAPTCHA göstermek yerine, risk skorlu ve kademeli zorlaştırma kullanın: düşük riskli akışlarda sürtünme yok; risk yükseldikçe MFA / challenge / manuel inceleme. Turnstile ve reCAPTCHA bu modeli destekler. Cloudflare Docs+1

Ek: Somut “kural seti” taslağı (özet)

1. Nginx: /login için IP+username anahtarıyla limit_req; form uçlarına honeypot + saatlik limit; “sıcak” scraping uçlarına 1 r/s sınırı. nginx.org

2. Cloudflare: Turnstile’ı yalnızca login/signup/ödeme gibi riskli akışlara yerleştir; AI Labyrinth’i aç; bilinen AI UA’ları ve “şüpheli oran” için WAF’ta Managed Challenge uygula. Cloudflare Docs+1

3. AWS WAF: Önde Allowlist → Bot Control → Common Rule Set → akışa özel rate limit. docs.aws.amazon.com

4. GA4: Internal/Developer filtreleri Active; bot benzeri oturumlar için ayrı segment oluştur. Google Yardım

5. Sürekli iyileştirme: Hatalı pozitif vakalarını toplayıp istisnalar yaz; eşikleri haftalık gözden geçir.

6. Trend takibi: API saldırıları ve scraper davranışlarına dair Akamai SOTI raporlarını takip et. Akamai

İlk Teşhis: Günlükleri (Log) ve Servis Durumunu Kontrol Edin

1. Plesk arayüzü erişilemiyorsa, sunucuya SSH ile bağlanın ve MariaDB/MySQL durumuna bakın:

   systemctl status mariadb
journalctl -u mariadb -n 200 --no-pager


   (Windows’ta Olay Görüntüleyici ve Plesk SQL Server servisini kontrol edin.) support.plesk.com

2. Geçmiş boot loglarını inceleyin (özellikle beklenmedik yeniden başlatma sonrası):

   journalctl --boot=-1 -n 5000


   (Forumda doğrulanan pratik bir yaklaşım.) Plesk Forum

3. Disk doluluk:

   df -h
du -sh /var/lib/mysql/* | sort -h


   Diskin dolması, MySQL’in başlamasını engeller ve 500 hatasına yol açar. Plesk Forum

Hızlı Onarım: Plesk Repair Utility (Önerilen)

Çalıştırın:

Bu komut Plesk veritabanı tutarlılığını denetler, gerekirse otomatik yedek (dump) alır ve onarım dener. Linux/Windows’ta kullanılabilir. Ek seçenek gerekmez. docs.plesk.com+2plesk.com+2

Not – Geçici 500 Hatası: plesk repair installation gibi geniş onarım çalışırken Plesk kısa süre erişilemez ve 500 hatası görülebilir; bu, bilinen bir Repair Kit davranışı/bug’ıdır ve işlem bitince kaybolur. support.plesk.com

Senaryo A: SQLSTATE[HY000][2002] Connection refused

Belirti:

Neden: MariaDB/MySQL servisinin down olması veya başlayamaması.
Çözüm:

1. Servisi başlatın/yeniden başlatın:

   systemctl restart mariadb
systemctl status mariadb


2. Loglardaki temel sebebi giderin (ör. yapılandırma, port çakışması, izinler).

3. Ardından plesk repair db çalıştırın.
   Kaynak ve aynı hatanın resmi analizi: support.plesk.com

Senaryo B: SQLSTATE[HY000][2002] No such file or directory

Belirti:

Neden: MySQL socket dosyası yok/yanlış yol, servis kapalı veya disk taşması sonucunda soket oluşmuyor.
Çözüm:

1. Servisi yeniden başlatın; /etc/my.cnf içindeki socket yolunu ve /var/lib/mysql/mysql.sock varlığını doğrulayın.

2. Disk doluysa alan açın (bkz. Senaryo D).

3. Gerekirse /tmp izinlerini ve AppArmor/SELinux kısıtlarını kontrol edin.
   Doğrulama: Plesk Forum+1

Senaryo C: Plesk SQL Server Error 1053 (Windows) / Port Çakışması

Belirti: 1053; Event Viewer’da “Bind on TCP/IP port 3306… already in use”.
Neden: Plesk SQL Server servis yapılandırması hatalı ya da 3306 portunu başka bir mysqld kullanıyor.
Çözüm:

1. Hizmetin “Path to executable” ayarını doğru my.ini bilgisiyle güncelleyin.

2. Port çakışması varsa bağlanan diğer MySQL örneğini kapatın/portu değiştirin.
   Kaynak: support.plesk.com

Senaryo D: Disk Dolu (No space left on device)

Belirti: MySQL başlatılamıyor; günlüklerde “No space left on device”.
Çözüm:

1. df -h ile dolu diskleri tespit edin, gereksiz log/backupları temizleyin.

2. MariaDB’yi yeniden başlatın, ardından plesk repair db.
   Resmi Plesk çözüm makalesi: Plesk Forum

Senaryo E: Bozulmuş Plesk Sistem Veritabanları (psa vb.)

Belirti: psa tabloları “crashed”/tutarsız; Plesk arayüzü 500 veriyor.
Çözüm (önce yedek alın):

1. Repair Utility:

   plesk repair db


2. Gerekirse günlük yedekten geri yükleme (Plesk’in otomatik dump’ları):
   Plesk günlük/pre-upgrade dump’tan psa’yı geri yükleme adımları resmi rehberde anlatılır. (Örnek komutlar ve değiştirme notları rehberde mevcut.) plesk.com

3. Alternatif CLI restore notları (ilerseviye): dump’tan apsc/psa geri yükleme pratikleri. (Topluluk deneyimi; dikkatle uygulayın.) The WP Guru

Uyarı: Manuel mysqlcheck --repair veya innodb_force_recovery gibi adımlar verinizi riske sokabilir; önce resmi repair ve resmi geri yükleme yollarını deneyin. docs.plesk.com+1

Senaryo F: Geçici — Repair Çalışırken Plesk İnaccessible

Belirti: plesk repair installation sırasında panel 500 hatası döner.
Çözüm: İşlem tamamlanınca düzelir; bilinen bir davranış/bug kaydı mevcuttur. support.plesk.com

Senaryo G: Eksik/Silinmiş Dosya veya Antivirüs Karantinası (Windows)

Belirti: “500 Internal Server Error – Failed opening required …”
Çözüm: Eksik dosyayı aynı sürüm çalışan bir Plesk’ten geri getirin; antivirüse %plesk_dir% için istisna ekleyin. support.plesk.com

Adım Adım Standart Düzeltme Akışı (Önerilen Playbook)

1. Servisleri kontrol et: systemctl status mariadb → hata varsa log oku. support.plesk.com

2. Disk alanı: df -h → doluysa temizle. Plesk Forum

3. Repair Utility çalıştır: plesk repair db (Linux/Windows). docs.plesk.com+1

4. Socket/Port doğrula: mysql.sock yolu ve 3306 çakışması. (Windows’ta hizmet yapılandırması.) support.plesk.com+1

5. Hâlâ sorun var mı? Plesk sistem DB’lerini dump’tan geri yükle (örn. psa). plesk.com

6. Geçici 500 mi? Repair esnasında oluştuysa görmezden gelebilirsiniz; işlem bitince panel geri gelir. support.plesk.com

SSS

Bu hata neden “genel” gözüküyor?
“500 Plesk\Exception\Database” şemsiye bir hatadır; somut sebep loglarda çıkar. Plesk Forum

Plesk’te veritabanını GUI’den de onarabilir miyim?
Evet; “Websites & Domains → Databases → Check and Repair”. (Sürümünüze göre görünüm değişebilir.) lets-rebuild.com

Repair sırasında 500 görürsem?
Bu beklenen bir davranış olabilir; repair bitince panel geri gelir (EXTPLESK-3451). support.plesk.com

İleri Düzey Notlar ve İpuçları

• Komutları üretimde uygulamadan önce snapshot/backup alın.

• Plesk Repair Utility, tutarsızlık bulursa otomatik dump alıp onarım dener; bu nedenle ilk başvuru aracınız olmalı. docs.plesk.com

• Hata No such file or directory ise socket yolunu ve /tmp izinlerini kontrol edin; Connection refused ise servis gerçekten çalışmıyor demektir. support.plesk.com+1

Bölüm 1: Sorunun Kök Nedenleri (Teknik Analiz)

Yüksek CPU kullanımının ardındaki mekanizmaları daha detaylı inceleyelim.

1. Verimsiz Veritabanı Sorguları: CPU’nun En Büyük Düşmanı

Detay: Bir WordPress sayfası yüklendiğinde, arka planda onlarca SQL sorgusu çalışır. Bu sorgular, yazıları, yorumları, ayarları, eklenti verilerini veritabanından çeker. Sorun, bu sorguların “verimsiz” olmasıyla başlar.

• Döngü İçindeki Sorgular (Queries in Loops): Bir eklenti veya tema, sayfanızdaki her bir yazı için ayrı ayrı veritabanına sorgu gönderiyorsa (örneğin, her yazı için özel bir meta bilgisi çekmek), bu durum CPU üzerinde katlanarak artan bir yük yaratır. 20 yazının olduğu bir sayfada bu, 1 yerine 20+ sorgu anlamına gelebilir.
• JOIN ve Karmaşık Sorgular: Özellikle “İlişkili Yazılar” (Related Posts) gibi özellikler sunan eklentiler, birden fazla tabloyu birleştiren (JOIN) ve metin analizi yapan karmaşık sorgular kullanır. Bu sorgular, basit bir veri çekme işlemine göre CPU’yu çok daha fazla meşgul eder.
• Optimize Edilmemiş Meta Sorguları: wp_postmeta ve wp_usermeta tablolarında arama yapmak, doğru “indekslenmemişse” son derece yavaş olabilir. WordPress bu konuda esnektir ancak bu esneklik, kötü kodlanmış bir eklentinin tüm veritabanını taramasına neden olabilir.

Doğrulama: Bu durumu teşhis etmek için Query Monitor eklentisi en iyi araçtır. Sitenizin her sayfasında çalışan tüm SQL sorgularını, ne kadar sürdüklerini ve hangi eklenti/tema tarafından tetiklendiklerini size gösterir. Eğer bir eklentinin 0.5 saniyeden uzun süren sorgular yaptığını görürseniz, suçluyu buldunuz demektir.

2. WordPress Heartbeat API: Sessiz CPU Tüketicisi

Detay: WordPress yönetici paneline girdiğinizde, tarayıcınız ile sunucunuz arasında düzenli bir iletişim kurulur. Bu iletişim, “Heartbeat API” aracılığıyla gerçekleşir. Her 15-60 saniyede bir, sunucuya küçük AJAX istekleri gönderilir. Bu ne işe yarar?

• Yazı yazarken otomatik taslak kaydı yapar.
• Başka bir yazarın aynı yazıyı düzenleyip düzenlemediğini kontrol eder.
• Panodaki eklenti bildirimlerini günceller.

Sorun: Yönetici panelinde birden fazla sekme açık olduğunda veya birden fazla editör aynı anda çalıştığında, bu küçük istekler birleşerek sunucuya sürekli bir “ping” seli gönderir. Her ping, admin-ajax.php dosyasını çalıştırır ve bu da bir PHP sürecini tetikleyerek CPU kullanır. Bu durum, “admin-ajax.php yüksek CPU kullanımı” sorununun temel nedenidir.

Doğrulama: Hosting firmanızın kaynak kullanım raporlarında admin-ajax.php dosyasının sürekli en üst sıralarda olduğunu görüyorsanız, Heartbeat API’nin kontrolsüz çalıştığına emin olabilirsiniz.

3. WP-Cron: Ziyaretçi Tetiklemeli Zaman Bombası

Detay: WP-Cron, gerçek bir “cron job” (sunucunun belirli zamanlarda otomatik çalıştırdığı görev) değildir. Bu bir “pseudo-cron” yani sahte cron’dur. Çalışması için sitenize bir ziyaretçinin gelmesi gerekir. Ziyaretçi geldiğinde WP-Cron tetiklenir ve “Zamanı gelmiş bir görev var mı?” diye kontrol eder.

Sorun: Yüksek trafikli bir sitede, saniyede onlarca ziyaretçi gelebilir. Bu, WP-Cron’un saniyede onlarca kez tetiklenmesi demektir. Eğer zamanlanmış ağır bir görev varsa (örneğin, büyük bir yedekleme eklentisinin veritabanını taraması), birden fazla süreç aynı anda bu görevi çalıştırmaya çalışabilir. Bu “yarış durumu” (race condition), CPU’yu anında %100’e kilitleyebilir.

Doğrulama: Sunucu erişim loglarınızı (access.log) incelediğinizde, wp-cron.php dosyasına yapılan isteklerin (POST requests) çok sık olduğunu görürseniz, bu durumun sitenizi olumsuz etkilediği doğrulanmış olur.

4. Şişirilmiş wp_options Tablosu ve “Autoloaded Data”

Detay: WordPress’teki wp_options tablosu, sitenizin tüm ayarlarını, eklenti konfigürasyonlarını ve geçici verileri (transients) tutar. Bu tablodaki bazı veriler “autoload” (otomatik yükleme) olarak işaretlenir. Bu, WordPress’in her sayfa yüklemesinde bu verileri otomatik olarak belleğe yüklemesi anlamına gelir.

Sorun: Kullandığınız ve daha sonra sildiğiniz eklentiler, geride yüzlerce gereksiz satır bırakabilir. Zamanla, otomatik yüklenen veri miktarı 1 MB’ı aşıp 5-10 MB’lara çıkabilir. Her bir ziyaretçi için bu kadar büyük verinin sürekli belleğe yüklenmesi, hem bellek (RAM) hem de CPU kullanımını artırır.

Doğrulama: phpMyAdmin gibi bir veritabanı yönetim aracından aşağıdaki SQL sorgusunu çalıştırarak otomatik yüklenen verinin boyutunu görebilirsiniz:

SELECT SUM(LENGTH(option_value)) / 1024 / 1024 FROM wp_options WHERE autoload = 'yes';

Eğer sonuç 1-2 MB’ın üzerindeyse, bu tabloda optimizasyon yapmanız gerektiği doğrulanır.

Bölüm 2: Kapsamlı ve Uygulamalı Çözüm Stratejileri

Artık sorunun teknik kökenlerini bildiğimize göre, her birini hedef alan çözümlere geçebiliriz.

1. Önbellekleme (Caching) Masterclass: Sadece Kurmak Yetmez

Önbellekleme, CPU kullanımını düşürmenin en etkili yoludur. Mekanizmayı daha iyi anlayalım:

• Sayfa Önbellekleme (Page Caching): Bu en temel ve en etkili türdür. Ziyaretçiye sunulan dinamik PHP sayfasının tamamen statik bir HTML kopyasını oluşturur. Sunucu, PHP’yi çalıştırmak ve veritabanı sorguları yapmak yerine, bu hazır HTML dosyasını doğrudan sunar. Bu, CPU kullanımını %80-90 oranında azaltabilir.
  • Araçlar: WP Rocket (premium, en kolayı), LiteSpeed Cache (LiteSpeed sunucularda en iyisi), W3 Total Cache (gelişmiş, çok ayar gerektirir).
• Nesne Önbellekleme (Object Caching): Bu daha ileri bir tekniktir. Sık kullanılan ve tekrar tekrar çalıştırılan veritabanı sorgularının sonuçlarını, disk yerine doğrudan sunucunun belleğinde (RAM) tutar. Redis veya Memcached gibi teknolojilerle çalışır. Bir sorgunun sonucu bellekte varsa, WordPress veritabanına hiç gitmez. Bu, özellikle karmaşık sorgular yapan siteler ve WooCommerce gibi dinamik platformlar için CPU ve veritabanı yükünü ciddi anlamda azaltır.
  • Uygulama: Hosting firmanızın Redis veya Memcached desteği sunması gerekir. Ardından, ilgili eklenti (örn. “Redis Object Cache”) ile WordPress’e entegre edilir.
• Veritabanı Önbellekleme: W3 Total Cache gibi eklentiler, sorgu sonuçlarını diskte saklayarak bir tür nesne önbellekleme simülasyonu yapar, ancak Redis/Memcached kadar etkili değildir.

2. Gerçek Cron Job Kurulumu (Adım Adım)

WP-Cron’un yarattığı CPU artışlarını tamamen ortadan kaldırmak için:

1. WP-Cron’u Devre Dışı Bırakın: Sitenizin kök dizinindeki wp-config.php dosyasını açın ve /* That's all, stop editing! */ satırından önce şu kodu ekleyin:
   PHP

   define('DISABLE_WP_CRON', true);
   

2. Sunucudan Cron Job Ayarlayın: Hosting panelinize (cPanel, Plesk vb.) girin ve “Cron Jobs” bölümünü bulun.
3. Yeni Bir Cron Job Oluşturun: Belirli aralıklarla (örneğin saatte iki kez, yani her 30 dakikada bir) çalışacak şekilde ayarlayın. Çalıştırılacak komut alanına şunu yazın (siteniz.com’u kendi alan adınızla değiştirin):
   Bash

   wget -q -O - https://siteniz.com/wp-cron.php?doing_wp_cron >/dev/null 2>&1
   

   Bu komut, sunucunuzun kendisinin, belirlediğiniz aralıklarla wp-cron.php dosyasını tetiklemesini sağlar. Bu sayede zamanlanmış görevleriniz ziyaretçi trafiğinden bağımsız, düzenli ve kontrollü bir şekilde çalışır.

3. Heartbeat API’yi Kontrol Altına Almak

Bu API’yi tamamen kapatmak bazı işlevleri bozabilir. En iyi çözüm, çalışma aralığını uzatmaktır.

• Eklenti ile Çözüm: Heartbeat Control by WP Rocket gibi bir eklenti kurun. Bu eklenti, Heartbeat API’nin yönetici panelinde, site ön yüzünde ve yazı düzenleyicide hangi sıklıkla çalışacağını (örneğin 15 saniye yerine 120 saniyeye çıkarmak) veya tamamen devre dışı bırakılacağını ayarlamanıza olanak tanır. Genellikle aralığı 60-120 saniyeye çıkarmak çoğu site için güvenli ve etkilidir.

4. Gelişmiş Veritabanı Optimizasyonu

• wp_options Temizliği: “Advanced Database Cleaner” gibi eklentiler, wp_options tablonuzdaki “yetim” kalmış (artık bir eklentiye ait olmayan) satırları bulmanıza yardımcı olur.
• Autoload Verilerini Yönetin: Aynı eklentilerle veya SELECT option_name, LENGTH(option_value) FROM wp_options WHERE autoload = 'yes' ORDER BY LENGTH(option_value) DESC; sorgusuyla en büyük autoload verilerini tespit edip, gereksiz olanları (autoload='no' olarak) değiştirebilirsiniz. Uyarı: Bu ileri düzey bir işlemdir ve sitenizi bozabilir. Ne yaptığınızdan emin değilseniz bir uzmana danışın.
• Veritabanı Tablolarını Optimize Edin: phpMyAdmin üzerinden tüm tabloları seçip “Onar” (Repair) ve “Optimize Et” (Optimize) komutlarını çalıştırmak, tablo verimliliğini artırabilir. WP-Optimize eklentisi bunu sizin için otomatik yapar.

5. Hosting ve Altyapısal İyileştirmeler

• PHP Sürümünün Önemi: PHP 7.4’ten PHP 8.1’e geçmek, aynı donanımda saniyede işlenebilen istek sayısını neredeyse iki katına çıkarabilir. Çünkü PHP 8.x sürümleri, JIT (Just-In-Time) compiler gibi verimliliği artıran devrimsel teknolojiler içerir. Bu, CPU’nun aynı işi daha az “düşünerek” yapmasını sağlar. Hosting panelinizden tek tıkla PHP sürümünüzü yükseltebilirsiniz.
• Doğru Hosting Seçimi: Paylaşımlı hosting, bir apartman dairesi gibidir; komşunuzun (aynı sunucudaki başka bir site) yarattığı gürültü (yüksek CPU kullanımı) sizi de etkiler. VPS (Virtual Private Server) ise size özel kaynaklar (garantili CPU çekirdeği ve RAM) sunan bir dubleks daire gibidir. Siteniz iş yapıyor ve düzenli trafik alıyorsa, bu yatırım kaçınılmazdır.

Sonuç ve Eylem Planı

Yüksek CPU kullanımı, tek bir butona basarak çözülecek bir sorun değil, bir dizi optimizasyon ve doğru altyapı seçiminin sonucudur.

1. Acil Durum (İlk 1 Saat): Bir önbellekleme eklentisi (WP Rocket veya LiteSpeed Cache) kurup temel ayarlarını yapın. Bu, kanamayı durdurmak gibidir.
2. Teşhis (İlk Gün): Query Monitor kurarak yavaş sorguları ve sorunlu eklentileri tespit edin. Heartbeat Control ile AJAX isteklerini yavaşlatın.
3. Kalıcı İyileştirme (İlk Hafta): WP-Cron’u devre dışı bırakıp gerçek cron job kurun. Veritabanınızı WP-Optimize ile temizleyin. PHP sürümünüzü güncelleyin.
4. Geleceğe Yatırım (İlk Ay): Eğer sorunlar devam ediyorsa, trafiğiniz ve ihtiyaçlarınız mevcut hosting paketinizi aşmış demektir. VPS’e geçişi ve Redis gibi bir nesne önbellekleme sistemini planlayın.

Bu detaylı ve doğrulanmış adımları izleyerek, sunucunuzun “beynini” rahatlatabilir, sitenizi hızlandırabilir ve ziyaretçilerinize kesintisiz bir deneyim sunabilirsiniz.

İlk 5 Dakikalık Teşhis

1. Hata kayıtları: cPanel: Metrics → Errors; Plesk: alan adında Logs; CWP: HTTPD/Nginx, PHP, AutoSSL ve servis log’ları.
2. DNS kontrolü: A/AAAA, MX, TXT (SPF/DKIM/DMARC)
3. SSL/AutoSSL: Let’s Encrypt’i yenile; 80/TCP erişilebilir olmalı (HTTP-01 doğrulaması).
4. PHP limitleri: upload_max_filesize + post_max_size + max_execution_time
5. Mail teslimi: SPF/DKIM/DMARC + rDNS(PTR)

DNS / Alan Adı Hataları

Belirti: Site bazı bölgelerde açılıyor/hiç açılmıyor, e-postalar gelmiyor.

Panel yolları: cPanel: Domains → Zone Editor; Plesk: Websites & Domains → DNS Settings; CWP: DNS Functions.

dig +short example.com A
dig +short example.com AAAA
dig +short example.com MX
dig +short NS example.com

Not: NS değişiminde TTL/propagasyon 24–48 saat sürebilir.

SSL/TLS (HTTPS) ve AutoSSL

Belirti: “Not secure”, “expired”, “hostname mismatch”, LE başarısız.
Kritik: Let’s Encrypt HTTP-01 yalnızca 80/TCP’ten doğrular.

• cPanel/WHM: AutoSSL (sağlayıcı: Let’s Encrypt)
• Plesk: Let’s Encrypt / SSL It! (site + mail + Plesk arayüzü)
• CWP: Loglar → /var/log/cwp/autossl.log, /root/.acme.sh/acme.sh.log

Öneri: HTTP→HTTPS yönlendirmesi kalsın; fakat .well-known/acme-challenge dosyalarına 80’den erişim bozulmasın.

echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -issuer -subject -dates

Web Sunucusu & Uygulama Hataları (500/502/503/504)

İzlenecek yol: cPanel Errors → ip

Kime göre? Yeni–orta seviye kullanıcı, WordPress ağırlıklı, paylaşımlı hosting kullananlar.
Amaç: Hızlı uygulanan, hatayı çözen, arama niyeti yüksek konularla organik trafik toplamak.

🔍 Neden paylaşımlı hostta güvenlik kritik?

Aynı fiziksel sunucuda birçok site bir aradadır. İzolasyon zafiyetleri, log dosyaları üzerinden bilgi sızdırma (log snooping) ve log zehirleme (log poisoning) gibi saldırı yüzeyleri doğurabilir. Bu yüzden temel korumalar + doğru yapılandırma şarttır. arXiv+1

1) 🧱 ModSecurity (WAF) açık mı? (cPanel → Security → ModSecurity)

Ne sağlar? HTTP isteklerini imza/kurallarla filtreleyip yaygın web saldırılarını kırpar. cPanel’de her domain için aç/kapat yapılabilir; erişemiyorsan sağlayıcından etkinleştirmesini iste. Kurallar için en yaygın set OWASP Core Rule Set (CRS)’tir. cPanel & WHM Documentation+1

İpucu: WAF bazen yanlış pozitif üretebilir. Gerekirse alan adına özel kural istisnası veya geçici kapatma ile test edebilirsin (kalıcı kapatma önerilmez). cPanel & WHM Documentation

2) 🔒 HTTPS zorunlu + (mümkünse) HSTS

Trafiği şifreleyen HTTPS hem güvenlik hem de SEO tarafında onaylı bir sinyaldir. Sertifikan yoksa kur; varsa HTTP→HTTPS yönlendirmesini zorunlu kıl ve HSTS değerlendir. Google for Developers

3) 🧰 Dosya/klasör izinlerini düzelt (WordPress)

Genel pratik:

• Dosyalar: 644

• Klasörler: 755
  Bu kombinasyon, çoğu WordPress kurulumunda güvenli/çalışır denge sunar. Ayrıntılı izin rehberi için resmi geliştirici dokümantasyonuna bak. WordPress Developer Resources

4) 🧾 .htaccess ile hızlı korumalar

a) Dizin listelemeyi kapat

Bu, klasör içeriğinin listelenmesini durdurur; uygulanabilirliği AllowOverride ayarına bağlıdır. Apache HTTP Server

b) Hassas dosyaları web’den gizle

Apache 2.4’te Require all denied ile eşleşen dosyalar doğrudan sunulmaz. (Yine AllowOverride önemli.) Apache HTTP Server

Not: .htaccess her ortamda her direktifi çalıştırmayabilir; sunucu yapılandırması belirleyicidir. (Apache, .htaccess’in nasıl ve ne zaman kullanılması gerektiğini resmi kılavuzda anlatır.) Apache HTTP Server

5) 🔐 SFTP/SSH kullan; FTP’yi bırak

FTP veriyi ve parolaları şifrelemeden taşır. SFTP/SSH ile güvenli kanaldan aktarım yap. WordPress güvenlik kılavuzları da SSH/SFTP’yi önerir. WordPress Developer Resources+1

6) 🧩 PHP tarafında “sınırlandırma” (mümkün olan yerde)

• open_basedir: PHP’nin erişebileceği dizinleri sınırlar (siteler arası dolaşmayı önlemeye yardım eder). Etkinleştirme şekli hosting ortamına göre değişir. php.net

• disable_functions: exec, shell_exec, system gibi riskli fonksiyonları devre dışı bırakır (destek/etki PHP sürümü ve handler’a bağlıdır). php.net

cPanel’de nereden bakarım? MultiPHP INI Editor üzerinden alan adına tanımlı, panelin izin verdiği yönergeleri düzenleyebilirsin. (Bazı direktifler paylaşımlı hostta kilitli olabilir.) cPanel & WHM Documentation

7) 💾 Yedeklemeyi otomatiğe bağla + geri yüklemeyi test et

cPanel Backup Wizard ile tam veya kısmi yedek alabilir, ihtiyaçta geri yükleyebilirsin. Gerçekten işe yarayıp yaramadığını en az bir kez küçük bir geri yükleme testiyle doğrula. cPanel & WHM Documentation

8) 🚀 CDN ekle (temel hız + saldırı yüzeyi azaltma)

CDN; içeriği kullanıcıya yakın POP’lardan ileterek performans ve erişilebilirlik kazandırır; çoğu CDN aynı zamanda temel DDoS/WAF katmanı da sunar. Başlangıç planları genelde yeterlidir. (Seçim marka bağımsız.) (Genel ilkedir; ürün isimleri değişebilir.)

9) 🧹 Eklenti/tema hijyeni (WordPress)

• Sadece güvenilir kaynaklardan tema/eklenti.

• Güncellemeleri geciktirme (major öncesinde mutlaka yedek).

• Kullanmadıklarını sil (pasif bırakma).
  Bu tavsiyeler WordPress güvenlik kılavuzlarında temel başlıklardır. WordPress Developer Resources

10) 👀 İzleme ve log bilinci

Erişim/hatâ loglarını düzenli kontrol et (403, 404 patlamaları, sıra dışı POST istekleri). Paylaşımlı hostta log izolasyonu yoksa risk büyür; sağlayıcından her alan adının loglarının ayrıldığını teyit et. arXiv

✅ 30 Dakikalık Hızlı Kontrol Listesi

1. ModSecurity: cPanel → Security → ModSecurity → On. (Her domaini kontrol et.) cPanel & WHM Documentation

2. HTTPS: Sertifika kurulu mu? HTTP→HTTPS yönlendirme aktif mi? (SEO + güvenlik) Google for Developers

3. .htaccess:

   • Options -Indexes ekle. Apache HTTP Server

   • FilesMatch ile .env/.ini/.log vb. engelle. Apache HTTP Server

4. İzinler: Dosyalar 644, klasörler 755 mi? (WordPress resmî kaynak) WordPress Developer Resources

5. SFTP: FTP yerine SFTP/SSH kullan. wordfence.com

6. PHP sınırları: (Varsa) open_basedir ve disable_functions durumunu incele. php.net+1

7. Yedek: cPanel Backup Wizard ile kısmi yedek al; küçük bir geri yükleme testi yap. cPanel & WHM Documentation

🧪 Sık karşılaşılan mini sorunlar & hızlı çözümler

“Dizinlerim listeleniyor, herkes görüyor!”
.htaccess dosyana Options -Indexes ekle; sonuç görmüyorsan sunucuda AllowOverride kısıtlı olabilir (destekle kontrol et). Apache HTTP Server

“WAF kapatınca hızlanır mıyım?”
Genelde kapatma; ModSecurity + OWASP CRS yaygın saldırıları daha başta kırpar. Hata yaşıyorsan kural istisnası veya domain bazlı ince ayar yap. cPanel & WHM Documentation+1

“FTP güvenli mi?”
Hayır, parolalar şifresiz gider. SFTP/SSH kullan. wordfence.com

📎 Kod şablonları (kopyala–yapıştır)

.htaccess – Dizin listelemeyi kapat + hassas dosyaları engelle

(Apache 2.4 söz dizimi; AllowOverride = All değilse çalışmayabilir.) Apache HTTP Server

wp-content/uploads için örnek izinler

• Klasörler: 755

• Dosyalar: 644 WordPress Developer Resources

📚 Kaynaklar (Güvenilir dokümantasyon)

• cPanel – ModSecurity (kullanıcı arayüzü & WHM kurulumu notları) cPanel & WHM Documentation

• OWASP Core Rule Set (CRS) – proje sayfası owasp.org

• Google – “HTTPS bir sıralama sinyali” duyurusu (resmî) Google for Developers

• WordPress Developer – Dosya izinleri WordPress Developer Resources

• cPanel – Backup Wizard cPanel & WHM Documentation

• WordPress Hardening (SSH/SFTP önerileri dahil) WordPress Developer Resources

• Apache – .htaccess ve yapılandırma bölümleri Apache HTTP Server+1

• Akademik – Paylaşımlı hosting’te log saldırıları (snooping/poisoning) arXiv+1

Linux sistemlerinde paket yönetimi sırasında bazen güncelleme hatalarıyla karşılaşabilirsiniz. Özellikle CentOS, AlmaLinux, Rocky Linux gibi RHEL tabanlı dağıtımlarda kullanılan yum paket yöneticisi, en güncel sürümleri yüklemek ister. Ancak bu her zaman mümkün olmaz.

İşte bu durumda yum update --nobest, uyumlu sürümlere güncelleme yaparak hataları aşmanıza yardımcı olur.

Normal yum update Neden Hata Verebilir?

Standart güncelleme komutu:

Bu komut en güncel paketleri kurmaya çalışır. Ancak bazı durumlarda:

• Bağımlılık sorunları (dependency conflicts) yaşanabilir.

• Yeni sürüm uyumsuz olabilir.

• Üretim ortamında stabilite bozulabilir.

Örnek hata çıktısı:

yum update --nobest ile Çözüm

Komut:

Bu parametre sayesinde:

• En güncel sürüm zorunlu tutulmaz.

• Uyumlu olan en uygun sürüm seçilir.

• Güncellemeler tamamen kesilmez.

Kullanım Senaryoları

1. Üretim Sunucularında

En güncel sürüm bağımlılık hatası verirse, --nobest sayesinde bir alt ama stabil sürüm kullanılabilir.

2. Geliştirme Ortamında

Yeni teknolojiler denerken tüm sistem güncellemeleri sırasında çıkabilecek hatalar --nobest ile aşılabilir.

Avantajları

• ✅ Güncellemeler tamamen engellenmez.

• ✅ Daha esnek güncelleme sağlar.

• ✅ Bağımlılık hatalarını azaltır.

Dezavantajları

• ⚠️ Sistem her zaman en güncel olmayabilir.

• ⚠️ Güvenlik yamaları gecikebilir.

• ⚠️ Uzun vadede uyumluluk sorunları çıkabilir.

Sonuç

yum update --nobest, Linux güncellemelerinde bağımlılık hatalarını çözmek için pratik bir yöntemdir. Ancak güvenlik ve uzun vadeli uyumluluk açısından dikkatli kullanılmalıdır.

1. Gereksinimler ve Ön Hazırlık

• CentOS 7/8 kullanıyor olmanız.
• Nginx 1.26.1 kaynağı.
• SSL sertifikaları (örneğin Let’s Encrypt).
• Virtualhost ile birden fazla siteyi yönetmek için DNS ayarlarının yapılmış olması.

2. Nginx 1.26.1’i QUIC Desteği ile Derleme

Varsayılan Nginx sürümünde QUIC ve HTTP/3 desteği bulunmaz. Bu yüzden Nginx’i yeniden derleyeceğiz.

Gerekli uygulamaları Kurun:

Open SSL Kütüphanesini İndirin:

Nginx 1.26.1 Kaynak Kodunu İndirin ve Derleyin:

3. Nginx VirtualHost Yapılandırması ve HTTP/3 Etkinleştirme

Her bir site için virtualhost yapılandırması oluşturup, HTTP/3 desteğini ekleyeceğiz.

Nginx Ana Yapılandırma Dosyasını Düzenleyin:

Yapılandırma dosyasına şu satırları ekleyin:

VirtualHost Yapılandırmasını Ekleyin:

CWP Panel üzerinden webserver conf editör bölümüne gelip /etc/nginx/conf.d/vhosts/ bölümüne gelip ilgili domainde değişikliği yapabilirsiniz.

Aşağıdaki yapılandırmayı ekleyin:

Güvenlik Duvarı Ayarları:

QUIC UDP üzerinden çalıştığı için aşağıdaki komutlarla 443 UDP portunu açın:

Nginx’i Yeniden Başlatın:

4. HTTP/3 ve QUIC Doğrulaması

HTTP/3’ün etkin olduğunu doğrulamak için şu komutu kullanabilirsiniz:

Tarayıcı geliştirici araçlarını kullanarak Alt-Svc başlıklarını kontrol ederek de HTTP/3’ün etkin olup olmadığını görebilirsiniz.

Sonuç

Bu adımlarla CentOS Web Panel üzerinde Nginx 1.26.1’i HTTP/3 ve QUIC desteği ile derleyip, virtualhost’larla tüm sitelerde etkinleştirdiniz. Bu yapılandırma, sitelerinizin hız ve performansını önemli ölçüde artıracaktır.