Yıllar içinde paylaşımlı hosting'in en kritik üç sorunu netleşti: yavaş yüklenen siteler, kullanıcılar arası kaynak çakışması ve güvenlik olayları.
Bu yığın; her birine birer bileşenle cevap veriyor. LiteSpeed hız, CloudLinux kaynak izolasyonu, Imunify360 ise güvenlik kapısını tutuyor.
Yedekleme — 3-2-1 Kuralı
Profesyonel yedekleme stratejisinin standardı 3-2-1 kuralıdır: en az 3 kopya, 2 farklı medyada, 1 kopya off-site (uzak lokasyonda). AIOR olarak müşteri sitelerini şu şekilde yedekliyoruz: 1) Yerel sunucuda saatlik snapshot (R1Soft), 2) Aynı veri merkezinde günlük yedek (JetBackup), 3) Avrupa veri merkezinde haftalık off-site yedek. Yedek stratejisinin tek testi — geri yükleme tatbikatı — ayda bir yapılıyor. Yedek almak değil, geri yükleyebilmek önemli.
DDoS Koruması ve WAF
Türkiye'de orta ölçekli bir e-ticaret sitesi yılda 3-4 ciddi DDoS saldırısıyla karşılaşır. AIOR sunucu altyapısı 4 katmanlı koruma kullanır: 1) Edge — CloudFlare Pro veya BunnyCDN; volumetric saldırıların %95'i burada filtrelenir, 2) Network — Imunify360 + ConfigServer Firewall (CSF); ICMP flood, SYN flood gibi network-level saldırılar, 3) Application — ModSecurity WAF; SQL injection, XSS, file inclusion gibi uygulama katmanı saldırıları, 4) Behavioural — fail2ban; brute-force login denemelerini IP banlarıyla durdurur.
Performans İzleme ve TTFB
Sunucu performansının en önemli metriği TTFB (Time To First Byte). Google'ın hedefi 200ms altı; iyi optimize edilmiş AIOR sunucularında ortalama 80-120ms. TTFB'yi artıran tipik nedenler: 1) Slow MySQL queries (her sayfada 50+ query), 2) PHP OPcache'in kapalı olması, 3) Object cache'in (Redis/Memcached) eksikliği, 4) DNS lookup süreleri. Her sunucumuzda Lighthouse + WebPageTest + GTmetrix nightly cron testi otomatik çalışıyor; TTFB 300ms'i aşan siteler için otomatik alarm.
SSL ve Sertifika Yönetimi
SSL sertifikası yenilemesi unutulduğunda site 24 saat erişilemez kalabilir; arama motorlarında ciddi sıralama kaybı yaşar. AIOR'un standardı: tüm sertifikalar 90 gün önce otomatik yenilenir (Let's Encrypt için 60 gün, ticari sertifikalar için 90 gün). Yenileme öncesi 7-3-1 gün uyarıları mühendise gönderilir. Ek olarak HSTS (HTTP Strict Transport Security) header'ı ile tarayıcı zorla HTTPS'e yönlendirilir; mixed content uyarıları otomatik tespit edilir.
