Bloga geri dön
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Botlardan, tarayıcılardan ve ayrıştırıcılardan korumak için ters proxy nasıl ayarlanır: kapsamlı rehber

Botlar ve tarayıcılar sitenizi 7/24 saldırıyor, içerik çalıyor ve sunucuyu aşırı yüklüyor. Programcı kiralamadan işinizi nasıl koruyacağınızı öğrenin.

📅24 Nisan 2026
```html

Her gün siteniz yüzlerce bot tarafından saldırıya uğruyor: bazıları fiyatları ve içeriği çalıyor, diğerleri sunucuyu isteklerle aşırı yüklüyor, üçüncüsü ise zayıflıkları arıyor. Eğer Wildberries veya Ozon'da bir çevrimiçi mağaza sahibiyseniz, Facebook Reklamları için açılış sayfaları yönetiyorsanız veya müşteri sitelerini yönetiyorsanız — bu sorun doğrudan sizi ilgilendiriyor. Ters proxy (reverse proxy) — derin teknik bilgi gerektirmeden ayarlanabilen ilk savunma hattıdır.

Ters proxy nedir ve normalden ne farkı var

Çoğu insan proxy'yi IP adresini değiştirmek için bir araç olarak bilir: bir proxy sunucusuna bağlanıyorsunuz ve siteler sizin adresiniz yerine onun adresini görüyor. Buna doğrudan proxy (forward proxy) denir — bu kullanıcıyı korur.

Ters proxy (reverse proxy) ise diğer tarafta çalışır. Sunucunuzun önünde durur ve tüm gelen istekleri onun yerine kabul eder. Ziyaretçi, sitenizle doğrudan iletişim kurduğunu düşünür — ancak aslında önce istekleri kontrol eden, şüpheli etkinlikleri filtreleyen ve yalnızca meşru trafiği gerçek sunucunuza ileten proxy sunucusuna ulaşır.

Basit bir benzetme:

Sitenizi bir depo olarak düşünün. Doğrudan proxy — tedarikçilerden ürünleri anonim olarak alan kuryenizdir. Ters proxy — deponun kapısındaki güvenlik görevlisidir: içeri girmek isteyen herkesi kontrol eder, müşterileri geçirir ve hırsızları ürünlere ulaşmadan önce durdurur.

Normal proxy'den temel fark, gerçek sunucu IP adresinizin gizli kalmasıdır. Kötü niyetli kişiler ve botlar sitenizin fiziksel olarak nerede olduğunu bilemez — yalnızca ters proxy adresini görürler. Bu, kendiliğinden önemli bir saldırı kısmını keser.

Çevrimiçi mağaza sahipleri, pazarlamacılar ve onlarca açılış sayfası yöneten aracıların bu konuda dikkatli olmaları kritik önem taşır: rakipler gerçek barındırmanızı bulamaz ve korumayı atlayarak doğrudan saldıramazlar.

Botlar ve tarayıcılar işiniz için neden tehlikeli

Birçok site sahibi, botların tehditini "teknik bir sorun" olarak küçümsemektedir. Aslında, bu doğrudan iş kaybıdır. Okuyucularımızın karşılaştığı belirli senaryoları inceleyelim.

Rakiplerin fiyatları parselaması

Eğer pazar yerlerinde satış yapıyorsanız veya kendi çevrimiçi mağazanız varsa, rakipler her 15-30 dakikada bir fiyatlarınızı çeken bir parselayıcı başlatabilir ve kendi fiyatlarını %1-2 daha düşük olarak otomatik olarak ayarlayabilir. Neden satış kaybettiğinizi anlamadan kaybediyorsunuz. Botlar ayrıca sunucuyu aşırı yüklüyor: dakikada yüzlerce istek, gerçek alıcılar için siteyi yavaşlatıyor, bu da doğrudan dönüşüm oranını etkiliyor.

Reklam tıklama dolandırıcılığı (click fraud)

Facebook Ads ve Google Ads ile çalışan aracı ve pazarlamacılar, tıklama dolandırıcılığı ile sık sık karşılaşmaktadır. Tıklama botları, reklamlarınıza tıklayarak bütçenizi tüketir, ancak hiçbir dönüşüm sağlamaz. Araştırmalara göre, bazı nişlerde reklam trafiğinin %20-30'u botlardan oluşmaktadır. Doğru kurallarla ters proxy, bu tür kaynakları tespit etmeye ve engellemeye yardımcı olur.

Zayıflık tarayıcıları

Shodan, Masscan gibi otomatik tarayıcılar ve daha az bilinen yüzlerce araç, sürekli olarak tüm interneti korumasız siteleri aramak için tarar. Eski CMS sürümlerini, açık portları, standart parolaları kontrol ederler. Eğer siteniz WordPress veya başka bir popüler platformda ise — kesinlikle onların veritabanlarında yer alıyorsunuzdur. Koruma olmadan, zayıflıkların bulunması sadece zaman meselesidir.

DDoS saldırıları ve sunucu aşırı yüklenmesi

Rakipler veya sadece kötü niyetli kişiler, sitenizi en uygunsuz anda — örneğin bir indirim döneminde veya aktif bir reklam kampanyasında — kapatacak bir saldırı düzenleyebilir. Dakikada birkaç bin isteği içeren küçük bir DDoS bile ucuz bir barındırmayı "düşürebilir".

Gerçek istatistik:

Imperva'ya göre, tüm internet trafiğinin %47'sinden fazlası botlar tarafından üretilmektedir. Bunların yaklaşık %30'u kötü niyetli botlardır. Eğer siteniz günde 1000 ziyaretçi alıyorsa, bunlardan yaklaşık 300'ü sunucuyu aşırı yükleyen otomatik betiklerdir ve analitiği çarpıtır.

Ters proxy sitenizi nasıl korur: çalışma mekanizması

Ters proxy, siteyi birkaç seviyede korur. Bu seviyeleri anlamak, sistemi doğru bir şekilde ayarlamanıza ve önemli adımları atlamamanıza yardımcı olacaktır.

Seviye 1 — Gerçek IP'yi gizleme

Trafiği ters proxy üzerinden yönlendirdiğinizde, sunucunuzun gerçek IP adresi kamuya açık olmaktan çıkar. Botlar ve saldırganlar doğrudan sunucuya erişemez — proxy'ye çarparlar. Bu, DDoS saldırılarına karşı koruma için özellikle önemlidir: kötü niyetli kişi sitenizin alan adını bilse bile, korumayı atlayarak sunucuya saldıramaz.

Seviye 2 — İsteklerin analizi ve filtrelenmesi

Her gelen istek, birkaç parametreye göre kontrol edilir: User-Agent (hangi tarayıcı/bot istekte bulunuyor), bir IP'den gelen isteklerin sıklığı, coğrafi konum, davranışsal kalıplar. Botlar genellikle istekleri çok hızlı yapar, standart dışı User-Agent dizeleri kullanır veya veri merkezi IP adreslerinden gelir. Ters proxy, bunların hepsini izleyebilir ve engelleyebilir.

Seviye 3 — Rate limiting (istek sıklığını sınırlama)

Gerçek bir insan dakikada 500 sayfa gezemez. Ters proxy, limitler belirlemenizi sağlar: örneğin, bir IP'den dakikada en fazla 60 istek. Eğer biri limiti aşarsa — geçici bir engelleme veya CAPTCHA kontrolü alır. Bu, çoğu parselayıcıyı ve tarayıcıyı etkili bir şekilde durdurur, normal ziyaretçilere zarar vermeden.

Seviye 4 — Önbellekleme ve yük azaltma

Ters proxy, statik içeriği (görseller, CSS, JavaScript) önbelleğe alır ve bunu doğrudan sunucunuza başvurmadan sunar. Sonuç olarak, botlar filtreleri aşsa bile, önbelleğe alınmış sayfaları alırlar — gerçek sunucu üzerindeki yük minimumdur. Ayrıca, bu gerçek ziyaretçiler için siteyi hızlandırır, bu da SEO ve dönüşüm üzerinde olumlu bir etki yapar.

Seviye 5 — SSL/TLS sonlandırması

Ters proxy, trafiğin şifrelenmesini üstlenir. Sunucunuz, her isteği şifrelemek için kaynak harcamadığından daha hızlı çalışır. Ziyaretçiler, güvenli HTTPS bağlantısını görür — bu, hem güven için hem de Google'da sıralama için önemlidir.

Çözüm incelemesi: Cloudflare, Nginx, Caddy — hangisini seçmeli

Ters proxy düzenlemek için birkaç popüler çözüm bulunmaktadır. Seçim, teknik seviyenize, bütçenize ve görevin ölçeğine bağlıdır.

Çözüm Zorluk Maliyet Kimler için Bot koruması
Cloudflare Düşük Ücretsiz / ayda 20$'dan itibaren Herkes, özellikle yeni başlayanlar ⭐⭐⭐⭐⭐
Nginx Orta Ücretsiz (sunucu gerekiyor) Teknik kullanıcılar ⭐⭐⭐⭐
Caddy Düşük–orta Ücretsiz (sunucu gerekiyor) Geliştiriciler, startuplar ⭐⭐⭐
AWS CloudFront Yüksek Kullanıma göre Kurumsal segment ⭐⭐⭐⭐⭐
HAProxy Yüksek Ücretsiz (sunucu gerekiyor) Yüksek trafikli projeler ⭐⭐⭐⭐

Çoğu site sahibi, pazarlamacı ve sunucu ayarlarıyla uğraşmak istemeyen aracı için Cloudflare en iyi seçimdir. Ücretsiz plan, botlar ve tarayıcılara karşı koruma için %90'ı kapatır. Adım adım kılavuzumuza buradan başlayacağız.

Cloudflare'ı ters proxy olarak ayarlama: adım adım

Cloudflare, DNS sunucularını basit bir şekilde değiştirdikten sonra siteniz için ters proxy haline gelen bir bulut hizmetidir. Hiçbir programlama, sunucu erişimi yok — sadece tarayıcıda ayarlar.

Adım 1 — Kayıt ve site ekleme

cloudflare.com adresine gidin ve bir hesap oluşturun. Giriş yaptıktan sonra "Add a Site" butonuna tıklayın ve sitenizin alan adını girin (örneğin, myshop.ru). Ücretsiz Free planını seçin — başlangıç için fazlasıyla yeterlidir.

Cloudflare, DNS kayıtlarınızı otomatik olarak tarayacak ve bir liste gösterecektir. Tüm kayıtların yerinde olduğundan emin olun (genellikle sunucunun IP'si ile A kaydı ve e-posta için MX kayıtlarıdır). "Continue" butonuna tıklayın.

Adım 2 — Alan adı kaydedicisinde DNS sunucularını değiştirme

Cloudflare size iki nameserver adresi verecektir — bir şeyler gibi alex.ns.cloudflare.com ve diana.ns.cloudflare.com. Alan adı kaydedicinizin kontrol paneline (RU-CENTER, Reg.ru, Namecheap vb.) gidin ve mevcut nameserver'ları bu iki adresle değiştirin.

DNS güncellenmesi 15 dakikadan 48 saate kadar sürebilir. Her şey güncellendiğinde, sitenize gelen tüm trafik Cloudflare sunucuları üzerinden geçmeye başlayacak — ters proxy otomatik olarak çalışacaktır.

Adım 3 — Gerekirse "Under Attack" modunu etkinleştirme

Cloudflare panelinde Security → Overview bölümüne gidin. Burada koruma seviyesini (Security Level) göreceksiniz. Çoğu site için "Medium" seviyesi uygundur. Eğer sitenize aktif bir saldırı varsa — geçici olarak "Under Attack Mode" seçeneğine geçin: tüm ziyaretçiler, botların genellikle geçemediği JS kontrolünden geçecektir.

Adım 4 — Bot Fight Mode'un ayarlanması

Security → Bots bölümüne gidin. "Bot Fight Mode" anahtarını açın — bu, otomatik botlara karşı temel koruma sağlar ve ücretsizdir. Cloudflare, bilinen kötü niyetli botlardan gelen trafiği otomatik olarak tespit eder ve engeller, milyarlarca isteği içeren bir veritabanı kullanır.

Ücretli planlarda (Pro ve üstü) daha ayrıntılı ayarlarla Super Bot Fight Mode mevcuttur: arama botları için (Googlebot, Yandexbot geçmelidir!) ayrı davranış ayarları, doğrulanmış botlar (uptime izleme) ve şüpheli otomatik istekler için ayarlar yapılabilir.

Adım 5 — Güvenlik Duvarı Kuralları (Firewall Rules) oluşturma

Security → WAF → Firewall Rules bölümüne gidin ve görevlerinize uygun kurallar oluşturun. İşte hemen eklemeniz gereken bazı kural örnekleri:

Kural örneği 1 — Boş User-Agent'ları engelleme:

Koşul: http.user_agent eq "" → Eylem: Block. Gerçek tarayıcılar her zaman User-Agent gönderir. Boş User-Agent — neredeyse her zaman bir bottur.

Kural örneği 2 — Bilinen tarayıcıları engelleme:

Koşul: http.user_agent contains "sqlmap" or http.user_agent contains "nikto" or http.user_agent contains "nmap" → Eylem: Block. Bunlar zayıflık arama araçlarıdır.

Kural örneği 3 — Coğrafi engelleme (gerekirse):

Koşul: ip.geoip.country in {"CN" "KP" "IR"} → Eylem: Challenge (CAPTCHA). Eğer işiniz yalnızca Rusya'da çalışıyorsa — çoğu saldırının geldiği ülkeleri engelleyebilirsiniz.

Adım 6 — Rate Limiting ayarlama

Security → WAF → Rate limiting rules bölümünde istek sıklığı sınırlama kuralı oluşturun. Örneğin: bir IP adresinden dakikada en fazla 100 istek. Eğer limit aşılırsa — CAPTCHA göstermek veya geçici olarak engellemek. Bu, sitenizin tüm sayfalarını hızlı bir şekilde toplamaya çalışan çoğu parselayıcıyı durdurur.

Nginx ters proxy ayarı: temel yapılandırma

Eğer kendi VPS sunucunuz varsa (örneğin, Timeweb, Selectel veya DigitalOcean'da), Nginx'i ters proxy olarak ayarlayabilirsiniz. Bu, daha fazla kontrol ve esneklik sağlar, ancak temel komut satırı becerileri gerektirir.

Tipik bir şemada: bir uygulama (örneğin, 8080 portunda bir çevrimiçi mağaza) ile ana sunucunuz var ve tüm trafiği kabul eden ve uygulamaya ileten Nginx ile ayrı bir sunucu veya aynı sunucu 80/443 portunda bulunuyor.

Nginx'in bot koruması ile ters proxy olarak temel yapılandırması şöyle görünmektedir:

server {
    listen 80;
    server_name mysite.ru www.mysite.ru;

    # HTTPS'ye yönlendirme
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name mysite.ru www.mysite.ru;

    ssl_certificate /etc/letsencrypt/live/mysite.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mysite.ru/privkey.pem;

    # Boş User-Agent'ları engelleme (UA'sı olmayan botlar)
    if ($http_user_agent = "") {
        return 403;
    }

    # User-Agent ile bilinen tarayıcıları engelleme
    if ($http_user_agent ~* (sqlmap|nikto|nmap|masscan|zgrab|python-requests)) {
        return 403;
    }

    # Rate limiting — sınırlama bölgesini uygulama
    limit_req zone=one burst=20 nodelay;

    # İstekleri gerçek sunucuya iletme
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Gerçek sunucu bilgilerini gizleme
        proxy_hide_header X-Powered-By;
        proxy_hide_header Server;
    }
}

# Rate Limiting bölgesinin tanımlanması (http bloğuna ekleyin)
# limit_req_zone $binary_remote_addr zone=one:10m rate=60r/m;

proxy_hide_header direktifine dikkat edin — bu, gerçek sunucunuz ve CMS hakkında bilgi veren başlıkları gizler. Bu, zayıflık tarayıcılarının işini zorlaştırır: ne aradıklarını bilmezler.

limit_req_zone bölgesi, her IP adresini dakikada 60 istekle sınırlar. burst=20 parametresi, kısa süreli patlamalara izin verir (gerçek bir kullanıcı birkaç sayfayı hızlıca açabilir), ancak uzun süreli yüksek yük engellenir.

Aracı ve pazarlamacılar için önemli:

Eğer rezidans proxy'leri kullanıyorsanız ve açılış sayfalarınızın farklı bölgelerden nasıl göründüğünü kontrol ediyorsanız — kendi proxy'lerinizin engellenmediğinden emin olun. Proxy sunucularınızın IP adreslerini Cloudflare veya Nginx ayarlarında beyaz listeye ekleyin.

Bot ve tarayıcıları engelleme kuralları: kontrol listesi

Ters proxy'nin temel ayarlarından sonra, korumanın kapsamlı bir şekilde ayarlandığından emin olmak için bu kontrol listesini kullanın. Her bir madde, kapatılması gereken ayrı bir saldırı vektörüdür.

✅ Temel koruma (herkes için zorunlu)

  • Cloudflare'da Bot Fight Mode etkin
  • Rate Limiting ayarlandı: bir IP'den dakikada en fazla 60-100 istek
  • Boş User-Agent'larla gelen istekler engellendi
  • Bilinen tarayıcılar engellendi: sqlmap, nikto, nmap, masscan
  • Server ve X-Powered-By başlıkları gizlendi (sunucu ve CMS sürümünü göstermiyoruz)
  • HTTPS ayarlandı, HTTP otomatik olarak HTTPS'ye yönlendiriliyor
  • Gerçek sunucu IP'si kamu veritabanlarında görünmüyor (Shodan, Censys)

✅ Gelişmiş koruma (aktif saldırıya uğrayan siteler için)

  • Honeypot ayarlandı — yalnızca botların görebileceği gizli bir sayfa (gerçek kullanıcılar buraya girmez). Honeypot'u ziyaret eden IP'ler otomatik olarak engellenir
  • Tarayıcı bütünlüğü kontrolü etkin (Cloudflare'da Browser Integrity Check)
  • Şüpheli trafik için CAPTCHA ayarlandı (herkes için değil — yalnızca şüpheli olanlar için)
  • Meşru trafik beklenmeyen ülkelerin coğrafi engellenmesi
  • Logların izlenmesi: 403/429 hatalarının ani artışında uyarılar ayarlandı
  • Büyük bulut sağlayıcılarının (AWS, Azure, GCP) IP aralıklarının engellenmesi — çoğu bot bulutlardan çalışır
  • Agressif botlar için yasaklama içeren robots.txt ayarlandı

✅ Özel sayfaların korunması

  • Giriş sayfası (/admin, /wp-admin, /login) — sert Rate Limiting (dakikada 5-10 deneme) ve iki faktörlü kimlik doğrulama
  • API uç noktaları — API anahtarı veya token ile zorunlu kimlik doğrulama
  • Fiyatların bulunduğu sayfalar — sık istekler için ek kontroller (parselamaya karşı koruma)
  • Kayıt/başvuru formu — CAPTCHA veya botlar için görünmez bir honeypot tuzağı

Faydalı botları engellemeyin!

Googlebot ve Yandexbot'un geçmesine izin verilmelidir — bunlar sitenizi indeksler. Cloudflare'da, doğru ayarlarla "Verified Bots" kategorisine otomatik olarak girerler ve engellenmezler. Bunu Security → Bots → Bot Analytics bölümünde kontrol edin.

İzleme için proxy: sitenizin korumasını nasıl kontrol edersiniz

Ters proxy ayarlandıktan sonra, korumanın düzgün çalıştığından ve gerçek kullanıcıları engellemediğinden emin olmak önemlidir. Burada, sıradan proxy'ler devreye girer — artık "dış kullanıcı" olursunuz ve sitenin davranışını kontrol edersiniz.

Pazarlamacılar ve aracıların sitelerini proxy üzerinden kontrol etmeleri neden önemlidir

Bir durumu düşünün: botlara karşı koruma ayarladınız, coğrafi engelleme yaptınız ve birden dönüşüm oranının düştüğünü fark ettiniz. Muhtemelen, belirli bölgelerden veya cihazlardan gerçek kullanıcıları yanlışlıkla engellediniz. Bunu, farklı ülkelerden ve farklı bağlantı türlerinden proxy ile siteye girerek kontrol edebilirsiniz.

Bu tür görevler için mobil proxy'ler mükemmel bir seçimdir — bunlar, bir mobil cihazdan gerçek bir operatör üzerinden bağlanıyormuş gibi görünür. Eğer engelleme kurallarınız mobil trafiği doğru bir şekilde geçiriyorsa, bu demektir ki, normal kullanıcılar akıllı telefonlardan korumadan etkilenmemiştir.

Pratik kontrol senaryoları

Senaryo 1 — Coğrafi erişim kontrolü. Facebook Ads'de birkaç Rus bölgesindeki kitleye reklam verdiniz. Novosibirsk, Yekaterinburg ve Krasnodar'dan gelen proxy ile açılış sayfasının düzgün açıldığını, CAPTCHA göstermediğini ve hızlı yüklendiğini kontrol edin.

Senaryo 2 — Rate Limiting testi. Bir proxy üzerinden birkaç sekme açın ve sayfalar arasında hızlıca geçiş yapın. Normal bir davranışla engelleniyorsanız — limit çok düşük, artırmalısınız.

Senaryo 3 — Farklı IP türlerinden kontrol. Veri merkezi proxy'si üzerinden (bot/sunucu taklidi) giriş yapmayı deneyin — eğer korumanız çalışıyorsa, bu tür bir istek CAPTCHA veya engelleme almalıdır. Ardından rezidans proxy üzerinden giriş yapın (normal bir ev kullanıcısı taklidi) — erişim serbest olmalıdır.

Senaryo 4 — Rakiplerle kontrol. Eğer sitenizi ne kadar zor parselayabileceğinizi kontrol etmek istiyorsanız, bunu basit bir araçla kendiniz deneyin. Eğer parselayıcı 10-20 istektan sonra engelleniyorsa — koruma çalışıyor. Eğer verileri sorunsuz bir şekilde topluyorsa — kuralları sıkılaştırmalısınız.

Koruma etkinliğini izleme

Cloudflare'da Security → Overview bölümüne gidin — burada engellenen isteklerin grafiklerini, tehdit türlerini ve saldırı coğrafyasını göreceksiniz. Dikkat etmeniz gerekenler:

  • Engellenen isteklerde ani bir artış — aktif bir saldırı veya parselama belirtisi
  • Bir ülkeden gelen trafiğin yüksek yüzdesi — belki coğrafi engelleme eklemelisiniz
  • Loglarda 403/429 hatalarının artışı — gerçek kullanıcıların engellenip engellenmediğini kontrol edin
  • /admin, /wp-login.php'ya düzenli istekler — hack girişimleri, bu yolların korumasını artırın

Sonuç: ters proxy bir seçenek değil, bir gerekliliktir

Ters proxy, artık yalnızca büyük şirketler için bir araç olmaktan çıkmıştır. Bugün, küçük bir çevrimiçi mağaza, bir aracı kampanyası için açılış sayfası veya bir SMM ajansı sitesi bile botlardan, tarayıcılardan ve rakiplerin parselama girişimlerinden temel bir korumaya ihtiyaç duymaktadır.

Bu kılavuzdan çıkarılacak ana noktalar: Cloudflare — teknik bilgi gerektirmeden en hızlı başlangıç, Nginx — kendi sunucunuz olduğunda maksimum kontrol. Her iki durumda da, temel koruma 30-60 dakikada ayarlanır ve tipik tehditlerin %80-90'ını kapatır. Faydalı botların (Googlebot, Yandexbot) beyaz listede kaldığından ve gerçek kullanıcıların çok agresif kurallardan etkilenmediğinden emin olmayı unutmayın.

Proxy kullananlar için ayrı bir nokta: reklam kampanyalarını kontrol ediyorsanız, rakipleri izliyorsanız veya sitelerinizin farklı bölgelerden erişilebilirliğini test ediyorsanız — bu görevler için en iyi seçenek rezidans proxy'leridir. Gerçek ev kullanıcılarının IP adreslerine sahip oldukları için, çoğu koruma sisteminden geçerler ve hedef kitlenizin gördüğü nesnel bir tablo sunarlar.

```