Giriş: 403 ve 404 ne anlama gelir?

Starora girişinde karşılaşılan 403 veya 404 yanıtları farklı kökenlere işaret eder. Genel olarak 403, isteğin sunucu tarafından reddedildiğini, yani erişime izin verilmediğini; 404 ise hedef URL'nin bulunamadığını gösterir. Bu ayrımı bilmek, sorunu daha hızlı daraltmak için önemlidir. Aşağıdaki adımlar genel sunucu ve uygulama yapılarına göre hazırlanmıştır; değişiklik yapmadan önce yedek almanızı öneririm.

Hızlı kontrol listesi (ilk 5 dakika)

• URL'yi doğru yazdığınızdan emin olun (https, alan adı, yol).
• Tarayıcı önbelleğini ve çerezleri temizleyin veya gizli pencere ile deneyin.
• Farklı ağ (ör. telefon mobil veri) ile deneyin; ağ/ISP engeli olabilir.
• Basit bir curl isteği ile HTTP durum kodunu alın: curl -I -L https://example.com/login
• Eğer yönetilen barındırma kullanıyorsanız sağlayıcı panelindeki "uptime/hatayı göster" bölümlerini kontrol edin.

Adım adım teşhis ve çözüm

1. İstemci tarafı doğrulaması

Tarayıcı konsolunda (Geliştirici Araçları > Network) ilgili isteği bulun. Buradan şu bilgileri alın:

• HTTP durum kodu ve yanıt gövdesi (status, response).
• Yönlendirme (Location) başlığı varsa nereye gittiğini görün.
• Set-Cookie veya ilgili güvenlik başlıkları (HSTS, CSP) varsa not edin.

Ayrıca hızlı bir terminal testiyle durum kodunu görebilirsiniz: curl -I -L https://example.com/login

Çıktıda "HTTP/1.1 403 Forbidden" veya "HTTP/1.1 404 Not Found" gibi satırlar sorun tipini netleştirir.

2. Basit yeniden üretme ve farklı istemci denemesi

Hatanın herkeste mi yoksa sadece sizde mi göründüğünü kontrol edin. Başka bir cihaz, tarayıcı veya ağla deneyin. Eğer sadece belirli IP'lerde görünüyorsa IP tabanlı engelleme ya da WAF (güvenlik duvarı) olasılığı artar.

3. Web sunucusu loglarını inceleyin

Sunucu seviyesindeki ilk ipucu genellikle webserver loglarında bulunur. Yaygın log yolları:

• Nginx access log: /var/log/nginx/access.log
• Nginx error log: /var/log/nginx/error.log
• Apache access log: /var/log/apache2/access.log
• Apache error log: /var/log/apache2/error.log

Örnek arama komutları:

• tail -n 200 /var/log/nginx/error.log
• grep " /login " /var/log/nginx/access.log | tail -n 50

Elde ettiğiniz satırlarda HTTP kodu, istemci IP, istek başlığı ve hata mesajı gibi bilgiler sorunun kaynağını daraltır. Örnek bir access log satırı şu şekilde görünebilir: 127.0.0.1 - - [01/Apr/2026:12:00:00 +0000] "GET /login HTTP/1.1" 403 173 "-" "Mozilla/5.0..."

4. Uygulama (framework) loglarını kontrol edin

404 hatası uygulama düzeyinde de ortaya çıkabilir (ör. yönlendirme eksik). Benzer şekilde 403 çoğu zaman uygulama mantığı (roller, izinler, CSRF) nedeniyle döner. Tipik uygulama log yerleri:

• PHP/Laravel: storage/logs/laravel.log
• Node/Express: uygulama dizinindeki log dosyaları veya systemd journal
• Python/Django: gunicorn veya uygulama log dosyaları

Uygulama loglarında "403" veya "404" ile birlikte istisna (exception) mesajı, stack trace veya middleware uyarıları arayın.

5. Konfigürasyon ve erişim izinleri

Dosya sistemi izinleri, dizin dizinleri veya webroot ayarları 403'e yol açabilir. Sunucu tarafında kontrol edilecekler:

• Belge kökünün (document root) doğru kullanıcı/ grup ile sahiplenildiği (owner) ve uygun izinlere sahip olduğu.
• .htaccess veya nginx rewrite kuralı yanlışsa yönlendirme hataları 404 oluşturabilir.

Örnek komutlar (uygulamadan önce yedekleyin):

• ls -la /var/www/uygulama
• sudo chown -R www-data:www-data /var/www/uygulama (Not: www-data, sisteminize göre farklı olabilir)
• sudo find /var/www/uygulama -type d -exec chmod 750 {} \;

Bu işlemleri doğrudan üretimde uygulamadan önce staging ortamında test edin.

6. Güvenlik yazılımları ve proxy/CDN etkileri

WAF/mod_security, IP engelleme, reverse proxy veya CDN (ör. cache) istekleri engelleyebilir veya farklı durum kodu döndürebilir. Kontrol maddeleri:

• Varsa WAF/mod_security audit loglarını inceleyin.
• CDN varsa cache temizleme (purge) deneyin veya doğrudan origin'e istek gönderin.
• Load balancer/Proxy konfigürasyonunda belirli yolların kısıtlanıp kısıtlanmadığını kontrol edin.

7. CSRF, oturum ve başlık (header) sorunları

Giriş istekleri tipik olarak CSRF token, çerez ve oturum verilerine bağlıdır. 403 dönen bir login isteğinde devtools ile POST gövdesinde token olup olmadığını, Set-Cookie başlıklarının beklenen değerleri içerip içermediğini kontrol edin. API isteklerinde eksik veya hatalı Authorization/CSRF başlığı 403 ile sonuçlanabilir.

8. Log örnekleri ve yorumlama

Örnek 1 — Nginx access log 403:

127.0.0.1 - - [01/Apr/2026:12:00:00 +0000] "GET /login HTTP/1.1" 403 173 "-" "curl/7.68.0"

Bu satırda 403 varsa önce webserver error loglarını ve uygulama loglarını kontrol edin; webserver genellikle erişim reddi sebeplerini error.log içinde belirtir.

Örnek 2 — Uygulama logunda route not found (404) örneği:

[2026-04-01 12:01:00] production.ERROR: RouteNotFoundException: No route found for GET /login

Bu tip çıktılar yönlendirme dosyalarınızı (routes) ve uygulama konfigürasyonunu kontrol etmenizi gerektirir.

9. Destek için hangi bilgileri hazırlamalısınız?

Destek ekibine başvururken paylaşılabilecek minimal, gizlilikten arındırılmış bilgi:

• Hata zaman damgası (UTC veya sunucu saati)
• İstemciden curl -I çıktısı veya tarayıcı Network sekmesinden durum kodu ve başlıklar
• İlgili access/error log'tan 10–20 satırlık bağlam (kişisel verileri maskeleyin)
• Hangi adımları denediğiniz (cache temizleme, farklı ağ vb.)

Hızlı komut özeti

• curl -I -L https://example.com/login — HTTP başlıkları ve kodu gör.
• tail -n 200 /var/log/nginx/error.log — Nginx hata loglarını izle.
• grep " /login " /var/log/nginx/access.log | tail -n 50 — ilgili erişimleri filtrele.
• journalctl -u nginx -f — systemd ile çalışan servisi gerçek zamanlı izle.
• sed -E 's/([0-9]{1,3}\.){3}[0-9]{1,3}/REDACTED_IP/g' access.log > access-anon.log — logları anonimleştir.

Uyarılar ve iyi uygulamalar

• Üretim sunucusunda değişiklik yapmadan önce mutlaka yedek alın.
• İzin değişiklikleri (chown/chmod) uygulamadan önce servis hesabını doğrulayın.
• Geçici ayar değişikliklerini (ör. security module devre dışı bırakma) sadece test amaçlı yapın ve hemen geri alın.
• Destek ekibine hassas bilgi (tam IP, kullanıcı verileri, parolalar) göndermeyin; önce anonimleştirin.

Sonuç

403 ve 404 hatalarını çözmek sistematik bir yaklaşım gerektirir: istemci doğrulaması, webserver ve uygulama logları, dosya izinleri ve güvenlik katmanlarının sırayla kontrolü genellikle çözümü getirir. Eğer adımları uygulayıp hâlâ sonuç alamıyorsanız, hazırladığınız anonimleştirilmiş log bölümünü ve curl çıktısını sağlayarak Starora destek ekibi veya barındırma sağlayıcınızla iletişime geçin.