Bot Trafiği Nasıl Tespit Edilir? Sahte Ziyaretçi Filtreleme Rehberi

Sitenizdeki her ziyaret gerçek değildir — bir kısmı bot ziyaretçilerdir. Bazıları meşrudur (Googlebot, uptime izleme), bazıları zararlıdır (scraper, hit botu, spam). Bot trafiğini tespit edip filtrelemek; doğru analytics, güvenli reklam geliri ve sağlıklı sunucu yükü için kritik bir beceridir. Bu rehberde bot trafiğini nasıl tespit edeceğinizi açıklıyoruz.

İlgili içerikler: Hit botu nedir · Request hit botu · Google hit botu · Geçersiz trafik ve AdSense

Bot Trafiği Nedir?

Bot trafiği, bir web sitesini gerçek bir insan kullanıcı yerine bir yazılımın ziyaret etmesidir. Web'in büyük bir bölümü aslında bot trafiğidir; raporlara göre internet trafiğinin %40-50'si bot kaynaklıdır. Ancak bu botların hepsi kötü niyetli değildir.

İyi Bot ve Kötü Bot Ayrımı

Bot Trafiği Belirtileri

Bir sitede bot trafiği olduğunun ipuçları analytics ve sunucu loglarında belirgindir:

• Çok yüksek hemen çıkma oranı (%95+): Bot sayfayı açıp hemen ayrılır.
• 0 saniye ortalama oturum süresi: Etkileşim yok.
• Aniden artan trafik kaynağı: Bilinmedik referrer'lardan ani sıçrama.
• Tek IP'den yoğun istek: Bir IP'den dakikada onlarca istek.
• JavaScript çalıştırmayan ziyaretler: Sunucu logunda var, GA4'te yok.
• User-agent anomalileri: Eksik, modası geçmiş veya "bot" içeren UA.
• Anlamsız sayfa sıralaması: Bir kullanıcının gitmeyeceği rastgele sayfa zincirleri.

Tespit Yöntemleri

Server log analizi

Web sunucusunun erişim kayıtları (access log), bot trafiğini tespit etmenin en doğrudan yoludur. grep veya awk ile bilinen kötü bot user-agent'larını sayabilir, anormal IP'leri listeleyebilirsiniz. Aynı IP'den saniyede çok sayıda istek, en güçlü botluk ipucudur.

JavaScript challenge

Bir JavaScript parçası çalıştırılmadan sayfaya erişilemiyorsa, JS çalıştırmayan request hit botları doğal olarak elenir. Modern WAF'ler ve Cloudflare gibi servisler bu mekanizmayı kullanır.

Davranış analizi

Gerçek kullanıcılar fare hareketi, scroll, klavye etkileşimi gibi doğal sinyaller üretir. Botlar bu davranışların hepsini birden taklit edemez veya örüntüleri makinemsi kalır.

TLS ve cihaz parmak izi

Bir HTTP istemcisinin TLS el sıkışma imzası (JA3/JA4) gerçek tarayıcılardan farklıdır. Sunucu tarafında bu parmak izleri tanınır ve şüpheli istemciler işaretlenir.

IP itibar listeleri

Bilinen veri merkezi, VPN, proxy ve botnet IP havuzları itibar listelerinde mevcuttur. Bu havuzlardan gelen yoğun trafik genellikle bot kaynaklıdır.

GA4'te Bot Trafiği Filtreleme

Google Analytics 4 bilinen botları varsayılan olarak filtreler ama gizlenmeye çalışan trafiğin tamamını ayıklayamaz. Yapabilecekleriniz: (1) yönetici/iç trafiği IP filtresiyle hariç tutmak, (2) referrer spam içeren kaynakları manuel hariç tutmak, (3) anomalileri keşif raporlarıyla incelemek. Şüpheli aktivite tespit ederseniz, daha derin koruma için sunucu seviyesinde önlem alın.

Sunucu Tarafı Koruma

• Rate limiting: Bir IP'den dakikada en fazla N istek gibi sınırlar.
• WAF (Web Application Firewall): Cloudflare, AWS WAF, ModSecurity bilinen bot örüntülerini engeller.
• Captcha: Yüksek riskli endpoint'ler için (form, login).
• IP engelleme: Bilinen kötü IP'ler veya CIDR blokları.
• robots.txt: İyi botlar bu kuralı dinler — kötüler dinlemez ama envanteri net olur.

Sıkça Sorulan Sorular

Sitemin trafiğinin yüzde kaçı bot olabilir?

Tipik bir sitede %20-50 arası bot trafiği normaldir; bu rakam siteye, popülerliğe ve sektöre göre değişir. Yüksek otoriteli veya rekabetli sitelerde oran daha yüksek olur.

GA4'ün dahili bot filtresi yeterli mi?

Bilinen botlar için yeterlidir, ama gizlenmeye çalışan veya yeni bot türlerini her zaman yakalamaz. Önemli kararlar için sunucu logları ile çapraz kontrol önerilir.

Bot tespiti reklam gelirimi etkiler mi?

Doğru bot tespiti ve filtreleme aslında reklam gelirinizi korur — geçersiz trafik tespit edilirse AdSense yaptırım uygular. Bot trafiğini önceden engellemek, hesabınızı güvende tutar.