Sahadaki Durum
Cloudflare arkasındaki LiteSpeed sunucularda 403 ve 522 hataları çoğu zaman saldırıdan, yanlış origin kuralından veya aşırı agresif WAF ayarından kaynaklanır. Sorunu çözmek için cache, firewall ve gerçek IP katmanı birlikte ele alınmalıdır.
Bu başlıkta amaç, güvenlik duyurusunu yalnızca haber gibi okumak değil; hosting operasyonunda hangi servislerin, hangi müşterilerin ve hangi bakım adımlarının etkileneceğini netleştirmektir. Kritik CVE dönemlerinde başarılı ekipler önce etki alanını daraltır, sonra yamayı uygular ve en son kullanıcı deneyimini ölçer.
Güncel Bulgular
LiteSpeed yüksek trafikte güçlüdür; fakat Cloudflare origin only kuralı uygulanırken Cloudflare IP listesi güncel tutulmazsa gerçek ziyaretçi de engellenebilir.
522 hatası genellikle Cloudflare ile origin arasındaki bağlantının zamanında tamamlanmadığını gösterir. Bu her zaman web server kapalı demek değildir; connection backlog, firewall drop veya PHP worker sıkışması da aynı sonucu üretebilir.
403 hatası ise çoğu zaman bilinçli kural sonucudur. Sorun, bu kuralın saldırganı mı yoksa gerçek kullanıcıyı mı etkilediğini loglardan ayırabilmektir.
Uygulama Notları
Önce Cloudflare IP aralıkları, LiteSpeed ACL, CSF/iptables ve .htaccess kuralları aynı anda incelenmelidir.
Gerçek IP header doğru ayarlanmamışsa tüm trafik Cloudflare IP’si gibi görünür. Bu durumda rate limit gerçek saldırganı değil tüm ziyaretçileri etkileyebilir.
LSCache tarafında cache hit oranı, bypass nedenleri ve POST istekleri ayrıştırılmalıdır. Dinamik endpointler cache ile gizlenemez; ayrıca korunmalıdır.
Denetim Notları
403 alan domain için origin logunda hangi kuralın tetiklendiğini bulun. Tahminle kural silmeyin.
522 için aynı dakikada load average, lsphp process, network connection ve firewall counter verilerini karşılaştırın.
Cloudflare açık domainlerde doğrudan origin IP erişimini kapatırken ACME, monitoring ve özel API endpointleri için kontrollü istisna tanımlayın.