Sahadaki Durum
Plesk Obsidian tarafında 2026 güvenlik gündemi yalnızca panel sürümünden ibaret değildir. Roundcube webmail, ModSecurity, kernel yamaları, extension güncellemeleri ve servis rebuild süreçleri aynı bakım takviminde ele alınmalıdır.
Bu başlıkta amaç, güvenlik duyurusunu yalnızca haber gibi okumak değil; hosting operasyonunda hangi servislerin, hangi müşterilerin ve hangi bakım adımlarının etkileneceğini netleştirmektir. Kritik CVE dönemlerinde başarılı ekipler önce etki alanını daraltır, sonra yamayı uygular ve en son kullanıcı deneyimini ölçer.
Güncel Bulgular
Plesk release notlarında panel güncellemeleri, extension uyumluluğu ve webmail bileşenleri ayrı ayrı takip edilir. Bu ayrım önemlidir çünkü Plesk güncel görünürken Roundcube, PHP handler veya web server bileşeni farklı bir risk taşıyabilir.
ModSecurity tarafında 2025 sonunda duyurulan parser kaynaklı güvenlik problemleri, 2026 bakım listelerinde hâlâ dikkate alınmalıdır. WAF motoru güncel değilse kural seti güçlü olsa bile istek ayrıştırma katmanı zayıf kalabilir.
Linux kernel tarafındaki Copy Fail sınıfı açıklar, Plesk gibi çok kullanıcılı panellerde yerel kullanıcı etkisini büyütebilir. Bu yüzden kernel düzeyi yama veya reboot kararı web panel güncellemesinden ayrı planlanmamalıdır.
Uygulama Notları
İlk adım aktif Plesk sürümünü, extension listesini, Roundcube paketlerini ve web server yapılandırmasını aynı raporda toplamaktır. Panel ekranında görünen sürüm ile işletim sistemi paket yöneticisinin gösterdiği sürümler karşılaştırılmalıdır.
Güncelleme öncesi Plesk backup, abonelik yedeği ve web server config dump alınmalıdır. Özellikle Nginx reverse proxy, Apache handler ve PHP-FPM havuzları kullanan sunucularda rebuild sonrası küçük farklar site davranışını değiştirebilir.
Güncelleme sonrası yalnızca panelin açılması yeterli değildir. Webmail login, mail gönderimi, SSL yenileme, abonelik listesi, dosya yöneticisi, veritabanı bağlantısı ve WordPress Toolkit akışı test edilmelidir.
Denetim Notları
Plesk panel erişimini mümkünse sabit yönetim IP’leriyle sınırlayın. Webmail ve müşteri panel erişimi gerekiyorsa rate limit ve brute force korumasını ayrıca ölçün.
Roundcube, Dovecot, Postfix veya MailEnable tarafındaki logları bakım sonrası ilk saat içinde izleyin. Webmail hataları çoğu zaman PHP, session veya permission değişikliğinden sonra ortaya çıkar.
ModSecurity aktifse yalnızca “çalışıyor” durumuna bakmayın. Audit log üretimi, false positive oranı ve kural seti güncelliği ayrıca doğrulanmalıdır.