Cloudflare ile WooCommerce Ödeme Sayfası Güvenliğini Artırma

Cloudflare ile WooCommerce Ödeme Sayfası Güvenliğini Artırma

Yasal Uyarı:
Bu sayfada yer alan içerikler yapay zekâ destekli sistemler kullanılarak otomatik olarak oluşturulmuştur. Sunulan bilgiler yalnızca genel bilgilendirme amacı taşımakta olup, doğruluğu garanti edilmemekte ve herhangi bir şekilde profesyonel tavsiye olarak değerlendirilmemelidir. İçeriklerin test edilmemiş olması nedeniyle, bu bilgilerden doğabilecek herhangi bir doğrudan ya da dolaylı zarardan site sahibi sorumlu tutulamaz. Kullanıcılar, bu içerikleri kendi sorumluluklarında değerlendirmelidir.

✅ Sadece Senin Sayfandan Ödeme Alma:

plaintextKodu kopyala(http.request.uri.path contains "/odeme/order-pay/") and 
(http.host ne "arifakyuz.com" and http.host ne "www.arifakyuz.com")

Bu sayede, ödeme sayfası sadece arifakyuz.com veya www.arifakyuz.com üzerinden çağrılabilecek. Sahte domainlerden veya embed eden saldırganlardan gelen trafik doğrudan engellenmiş olur.

🔄 Adım Adım Uygulama (Cloudflare Dashboard)

Deploy rule (yayınla)

Cloudflare paneline gir

Alan adını seç: snahomedesign.com

Sol menüden Security → WAF (veya Firewall Rules)

“Create a firewall rule” butonuna tıkla

Rule adı: Block fake order-pay referrer

Expression kısmına yukarıdaki kodu yapıştır

Action: Block

✅ Senin İçin En Uygun Ayar:

Kural:

(http.request.uri.path contains "/odeme/order-pay/") and 
(ip.src.country ne "TR" or not http.user_agent contains "Mozilla")

Action:

👉 Managed Challenge

Ne Anlama Geliyor?

Bu ifade, şu durumlarda tetiklenir:

Ödeme sayfası (/odeme/order-pay/) çağrılmış VE
Aşağıdakilerden herhangi biri doğruysa:
- IP adresi Türkiye’den değilse
- Veya User-Agent bilgisinde “Mozilla” geçmiyorsa

📱 Mobil Tarayıcılar Mozilla İçerir mi?

Evet, neredeyse tüm mobil tarayıcılar (Chrome, Safari, Firefox, Samsung Internet, Opera) user-agent içinde “Mozilla” ifadesini taşır.

🎯 Önerim:

Şu anki kuralı şimdilik ip.src.country ne "TR" olarak sadeleştir.
Gerçek kullanıcılar sorunsuz ödeme yaparken, dış tehditleri engellemiş olursun.
Daha sonra logları izleyip ihtiyaç varsa User-Agent filtresini tekrar eklersin.

YUKARIDAKİ İKİ KURAL EN UYGUN SEÇENEKLERDİR

✅ Güvenli ve Dengeli Alternatif Kural:

Senin amacın sadece TR dışından gelenleri zorlarken, TR içindekilere dokunmamaksa, bu hali daha risksiz:

(http.request.uri.path contains "/odeme/order-pay/") and 
(ip.src.country ne "TR")

💡 Bu kural sadece Türkiye dışından gelen istekleri etkiler. Gerçek tarayıcı kontrolüne gerek kalmaz, böylece yanlış pozitif riski azalır.

Örnek Kural Uygulama:

✅ Cloudflare Firewall Rule: “İyzico TR Dışı Koruma”

🔤 Rule Name:

İyzico TR Dışı Koruma

🧾 Expression:

(http.request.uri.path contains "/odeme/order-pay/") and 
(ip.src.country ne "TR" or not http.user_agent contains "Mozilla")

🛡️ Action:

Managed Challenge

📑 Sıra (Order):

İkinci sıraya koy (ilk sırada domain kontrol kuralın varsa)

🛠️ Uygulama Adımları:

Cloudflare paneline gir.
Sol menüden: Security → WAF → Custom Rules
“Create Custom Rule” tıkla.
Rule Name kısmına: İyzico TR Dışı Koruma
Expression alanına yukarıdaki kodu yapıştır.
Action: Managed Challenge olarak seç.
Order: Diğer kurallardan sonra olacak şekilde sıraya yerleştir.
Deploy Rule ile kaydet.

✅ Ne Olacak?

Sadece Türkiye dışından gelenler bu güvenlik engeline takılır.
Türkiye içindeki mobil veya masaüstü kullanıcıların ödemeleri etkilenmez.
Gerçek kullanıcılar CAPTCHA’yı geçebilir, botlar engellenir.

Arif Akyüz Sistem Network Yöneticisi ve Siber Güvenlik Uzmanı

Arif Akyüz
Bilgi Teknolojileri
Sistem Network Yöneticisi
ve Siber Güvenlik Uzmanı
[email protected]