Birçok web sitesi sahibi şunu düşünür:
“Hosting firmamda firewall var, güvendeyim.”
Ama burada büyük bir yanlış anlaşılma var.
Çünkü klasik firewall ile WAF aynı şey değildir.
Ve sitelerin büyük çoğunluğu firewall tarafından değil, uygulama katmanı açıkları üzerinden hacklenir.
1. WAF Nedir?
WAF (Web Application Firewall), web sitenize gelen HTTP isteklerini analiz eden ve zararlı olanları engelleyen bir güvenlik katmanıdır.
Normal firewall:
- IP adreslerini engeller
- Portları kapatır
- Sunucuyu korur
WAF:
- SQL Injection saldırılarını engeller
- XSS saldırılarını engeller
- Bot saldırılarını engeller
- Brute force giriş denemelerini engeller
- Zararlı HTTP isteklerini engeller
Yani: Firewall sunucuyu korur, WAF web uygulamasını korur.
2. En Yaygın Saldırılar (WAF Olmadan)
| Saldırı Türü | Ne Olur |
|---|---|
| SQL Injection | Veritabanı çalınır |
| XSS | Siteye zararlı kod eklenir |
| Brute Force | Admin panel kırılır |
| Bot Attack | Sunucu yavaşlar |
| File Upload Attack | Sunucuya zararlı dosya yüklenir |
Bu saldırıların çoğu HTTP üzerinden gelir. Yani normal firewall bunları durduramaz.
3. Gerçek Hayat Senaryosu
Bir WordPress sitesi düşünün:
- /wp-login.php brute force saldırısı
- /xmlrpc.php bot saldırısı
- Yorum formundan XSS
- Arama kutusundan SQL injection
Firewall bunu görmez. Ama WAF bunu görür ve engeller.
4. WAF Nasıl Çalışır?
WAF, siteniz ile ziyaretçi arasında bir filtre gibi çalışır.
Ziyaretçi → WAF → Sunucu
WAF şunları kontrol eder:
- Şüpheli URL
- Zararlı parametre
- SQL komutları
- Script kodları
- Bot davranışı
- Rate limit
Şüpheli ise isteği sunucuya göndermez. Yani saldırı sunucuya hiç ulaşmaz.
5. WAF Olmazsa Ne Olur?
| Durum | Sonuç |
|---|---|
| Brute force | Admin hesabı çalınır |
| SQL injection | Müşteri verileri çalınır |
| Bot saldırısı | Site yavaşlar |
| Exploit | Site hacklenir |
| Spam | SEO zarar görür |
6. Kimler Mutlaka WAF Kullanmalı?
| Site Türü | WAF Gerekli mi? |
|---|---|
| E-ticaret | Evet |
| Üyelik sistemi | Evet |
| WordPress | Evet |
| Kurumsal site | Evet |
| Trafiği yüksek site | Evet |
| Küçük blog | Opsiyonel |
Özet: İnteraktif bir siteniz varsa WAF gerekir.
7. Cloud WAF vs Server WAF
| Tür | Avantaj |
|---|---|
| Cloud WAF | DDoS koruması |
| Cloud WAF | Sunucuya yük bindirmez |
| Cloud WAF | CDN ile çalışır |
| Server WAF | Daha ucuz |
| Server WAF | Daha özelleştirilebilir |
En yaygın çözüm: Cloud tabanlı WAF.
8. Maliyet vs Zarar Karşılaştırması
| Senaryo | Maliyet |
|---|---|
| WAF kullanmak | $10–$30 / ay |
| Site hacklenmesi | $1000–$10.000 |
| Veri ihlali | Çok yüksek |
| SEO kaybı | Çok yüksek |
WAF genelde bir saldırıyı engellediği ilk gün kendini amorti eder.
9. En Büyük Yanlış
Yanlış düşünce: “Benim sitem küçük, kimse hacklemez.”
Gerçek: Saldırıların büyük kısmı otomatik botlar tarafından yapılır.
10. Sonuç: WAF Gerekli mi?
| Eğer sitenizde… | WAF |
|---|---|
| Giriş paneli varsa | Gerekli |
| Form varsa | Gerekli |
| Veritabanı varsa | Gerekli |
| WordPress varsa | Gerekli |
| WooCommerce varsa | Çok gerekli |
Sonuç: Çoğu web sitesi için WAF lüks değil, zorunluluktur.