Sahte trafiği GA4, sunucu kayıtları ve CDN sinyalleriyle tespit edin; bilinen botları, iç trafiği, yönlendirme spamini ve yetkili QA ziyaretlerini doğru ayırın.
Sahte trafik, ölçüm veya iş kararlarında gerçek insan talebi gibi yorumlanmaması gereken ziyaret ve olaylardır. Her otomatik istek zararlı değildir; arama motoru tarayıcıları, izleme servisleri ve yetkili QA araçları da otomatiktir. Güvenilir inceleme tek bir GA4 metriğine dayanmaz. Tarayıcı analitiğini CDN ve sunucu kayıtları, uygulama olayları, CRM sonuçları ve açık test etiketleriyle karşılaştırır. Öne çıkan noktalar GA4 bilinen botları otomatik dışlar, ancak dışlanan miktarı göstermez ve bu ayar kapatılamaz. Ani oturum artışı tek başına bot kanıtı değildir; kampanya, yönlendirme ve etiket hataları da aynı görünümü yaratabilir. İç trafik filtresi kalıcı olabilir; Google önce Testing durumunda doğrulamayı önerir. CDN bot skoru bir karar sinyalidir, insan olduğuna dair tek başına kesin kanıt değildir. Yetkili QA ziyaretleri ayrı kimlik, hız, üst sınır ve durdurma kuralıyla raporlardan çıkarılmalıdır. Araştırma notu: Google, Cloudflare, IAB Tech Lab ve OWASP'a ait sekiz birincil kaynak 18 Temmuz 2026 tarihinde erişilen sürümleriyle incelendi. Eski yazıdaki doğrulanamayan bot oranları, kesin tespit vaatleri ve tek bir davranış sinyalinden kötü niyet çıkaran ifadeler kaldırıldı. Sahte trafik için doğru tanım Sahte trafik, raporda gerçek kullanıcı ilgisi veya iş değeri gibi görünse de bu yorumu destekleyen kanıtı olmayan ziyaret ve olayları kapsar. Kötü amaçlı botlar, yönlendirme spamı, ölçüm protokolü suistimali, şirket içi ziyaretler ve test otomasyonu farklı nedenlere sahiptir. Hepsini aynı sepete koymak, yararlı tarayıcıları engelleyebilir ve gerçek sorun kaynağını saklayabilir. Önce sınıfları belgeleyin: doğrulanmış arama tarayıcısı, izleme hizmeti, çalışan trafiği, geliştirici testi, yetkili QA, şüpheli otomasyon ve doğrulanmış kötüye kullanım. Cloudflare, doğrulanmış botu kimliğini ve amacını şeffaf biçimde kanıtlayan otomatik istemci olarak tanımlar. Böyle bir istek insan değildir, fakat otomatik olarak kötü niyetli de değildir. Pratikte “bot mu?” sorusu yerine “bu isteğin ölçümde ve güvenlikte hangi yetkiye sahip olması gerekir?” sorusu daha kullanışlıdır. Arama tarayıcısı erişebilir ama dönüşüm üretmemelidir. QA aracı belirlenen yolu test edebilir ama müşteri talebi sayılmamalıdır. Kötüye kullanım ise oran sınırı, challenge veya engelleme gerektirebilir. Hangi kanıt katmanları birlikte kullanılmalıdır? GA4 yalnızca etikete ulaşan olayları görür; CDN ve sunucu ise analitik kodu çalışmasa bile istekleri kaydedebilir. Uygulama, ödeme ve CRM kayıtları da bir ziyaretin iş sonucuna dönüşüp dönüşmediğini gösterir. Bu nedenle sahte trafik analizi tarayıcı, ağ, uygulama ve iş katmanlarını aynı zaman aralığında karşılaştırmalıdır. Katman Gözlem Güçlü yanı Sınırı GA4 Oturum, olay, kaynak ve cihaz Kullanıcı yolculuğu bağlamı Etiketsiz istekleri görmez CDN/WAF İstek, IP, ülke, bot skoru Origin öncesi görünürlük İş sonucunu bilmez Sunucu Yol, durum, zaman ve kullanıcı aracısı Gerçek yanıt kaydı İnsan niyetini kanıtlamaz İş sistemi Lead, ödeme, iade ve destek Değer ve zarar kanıtı Bağlantı gecikebilir OWASP, güvenlik olay kayıtlarının süreç izleme ve işlem kayıtlarından farklı amaçları olduğunu ve her kaydın sonraki analiz için yeterli bağlam taşıması gerektiğini belirtir. Zaman damgası, istek kimliği, yol, sonuç, kaynak sınıfı ve uygulanan kuralı saklayın. Gereksiz kişisel veri toplamadan olayları katmanlar arasında eşleştirin. Hangi sinyaller şüpheyi artırır? Tek bir sinyal kesin hüküm vermez. Çok kısa oturumlar, aynı yol dizisinin tekrarı, gerçekçi olmayan hız, beklenmeyen ülke, yüksek hata oranı veya gelir olmadan olay artışı inceleme başlatabilir. Ancak bir haber paylaşımı, izleme testi, yanlış UTM, ödeme sağlayıcısı dönüşü veya etiket hatası da benzer bir desen oluşturabilir. Sinyal Alternatif açıklama İkinci kanıt İlk eylem Ani kaynak artışı Gerçek kampanya veya spam Kampanya ve yönlendiren kayıtları Kaynağı ayrı segmentte incele Tekrarlanan yol İzleme veya otomasyon İstek kimliği ve hız Kimlik sahibini doğrula Düşük etkileşim İçerik uyumsuzluğu Sunucu ve dönüşüm sonucu Tek başına engelleme yapma Olay sayısı artışı Çift etiket veya protokol isteği Debug doğrulaması ve CRM Ölçümü yeniden test et Kaynak etiketlerini kontrol etmek için UTM takip rehberini kullanın. “direct / none” veya tanınmayan yönlendirme otomatik olarak bot demek değildir. Yönlendirme kaybı, URL kısaltıcı, reklam engelleyici veya domain geçişi de kaynak bilgisini değiştirebilir. GA4 bilinen botları nasıl ele alır? Google Analytics, bilinen bot ve örümcek trafiğini Google araştırması ile IAB International Spiders and Bots List verilerini kullanarak otomatik olarak dışlar. Google, bu dışlamanın kapatılamadığını ve ne kadar trafiğin dışlandığının görülemediğini açıkça belirtir. Bu koruma yararlıdır, fakat bilinmeyen otomasyon için tam kapsama garantisi değildir. GA4 raporundaki her ziyaret insan değildir; aynı şekilde GA4'te görünmeyen her istek de kötü bot değildir. Analitik etiketi çalıştırmayan arama tarayıcıları sunucu kayıtlarında görünürken GA4'te görünmeyebilir. Ölçüm protokolüyle gönderilen bir olay ise tarayıcı sayfası olmadan rapora ulaşabilir. Şüpheli olay yüklerini üretime göndermeden önce Google'ın Measurement Protocol doğrulama sunucusunu veya Event Builder'ı kullanın. Doğrulama sunucusuna gönderilen olaylar raporlara girmez ve alan yolu, açıklama ile doğrulama kodu döndürür. Böylece hatalı olayları bot saldırısı sanmadan önce yapılandırma kusuru bulunabilir. İç ve geliştirici trafiği nasıl filtrelenir? Çalışan, ajans, izleme ve geliştirme ziyaretleri kötü niyetli olmayabilir, fakat müşteri analizini bozabilir. GA4 iç trafiği IP veya CIDR kuralıyla tanımlar ve gelen olaya traffic_type parametresi ekler. Veri filtresi bu sınıfı dahil edebilir veya dışlayabilir. Uygulama kullanıcıları için aynı IP tabanlı yöntem desteklenmez. Google, dışlama filtresinin etkisinin kalıcı olduğunu; çıkarılan verinin Analytics veya BigQuery'de bulunmayacağını söyler. Önce Testing durumunu kullanın, Explore içinde “Test data filter name” boyutunu doğrulayın ve yalnız beklenen ziyaretlerin işaretlendiğini kontrol edin. Daha sonra değişikliği, sahibi ve geri dönüş planını kaydedin. Yetkili testler için tek bir genel “internal” etiketi yerine amaca göre değerler kullanmak incelemeyi kolaylaştırır. Ofis, geliştirici, uptime monitor ve kontrollü QA ayrı tanımlanabilir. Böylece bir filtre hatası gerçek müşteriyi silmeden önce hangi sınıfın etkilendiği anlaşılır. Yönlendirme spamı ile gerçek kampanya nasıl ayrılır? Yönlendirme raporundaki bilinmeyen domain, ziyaretin gerçekten o sitedeki bir insan linkinden geldiğini tek başına kanıtlamaz. Önce landing page, zaman, ülke, oturum kaynağı, sunucu isteği ve iş sonucunu karşılaştırın. Gerçek kampanyanın reklam platformu, yayın kaydı veya bilinen bir bağlantı izi olmalıdır. GA4 “unwanted referrals” ayarı, belirli domainlerden gelen olaylara ignore_referrer=true uygular ve bunların yeni trafik kaynağı olarak görünmesini önler. Bu ayar kötü isteği güvenlik katmanında engellemez; atfı düzenler. Ödeme sağlayıcısı veya parola kurtarma alan adı gibi meşru akışlar da bu listenin kullanım örnekleridir. Organik ve ücretli trafik karşılaştırması , her kanal için gereken kanıtı açıklar. Organik iddia Search Console tıklaması ve gerçek arama yoluyla; ücretli iddia platform ile maliyet kaydıyla desteklenmelidir. URL etiketi kanal kimliğinin yerine geçmez. CDN ve sunucuda nasıl güvenli bir kural kurulur? Önce gözlemleyin, sonra kademeli müdahale edin. Cloudflare bot skoru 1 ile 99 arasındadır; 1 otomasyon olasılığının çok yüksek, 99 insan olasılığının çok yüksek olduğunu ifade eder. Skor 0, isteğin değerlendirilmediğini gösterir ve güvenli ya da insan anlamına gelmez. Ayrıntılı skorların plan erişimine bağlı olduğunu da hesaba katın. Doğrulanmış botları ayrı ele alın. Cloudflare doğrulama için kriptografik Web Bot Auth, yayımlanmış IP listesi ve kararlı user-agent veya ters DNS gibi yöntemler kullanır. Arama tarayıcısını sırf otomatik diye engellemek keşfedilebilirliği bozabilir. Buna karşılık sahte user-agent doğrulanmış kimlik değildir. Yeni kuralı önce log veya challenge modunda dar bir yol ve kısa süreyle deneyin. Hata oranı, müşteri dönüşümü, destek talebi ve doğrulanmış bot erişimini izleyin. Ardından oran sınırı, managed challenge veya engelleme seviyesini kanıta göre yükseltin. Kural kimliği, kapsamı, sahibi ve geri alma koşulu kayıtta bulunmalıdır. Yanlış pozitifleri önleyen olay akışı nedir? Olay akışı tespit, doğrulama, sınıflandırma, müdahale ve gözden geçirme adımlarından oluşur. Önce etkilenen süreyi ve yolları dondurun; sonra GA4, CDN, sunucu ve iş kayıtlarını aynı saat diliminde dışa aktarın. Kaynakları tek tek değil, ortak istek veya kampanya kimliğiyle eşleştirin. Aşama Çıktı Sahip Durdurma koşulu Tespit Zaman ve etkilenen yollar Analitik Veri farkı açıklanır Doğrulama Çapraz katman kanıtı Mühendislik İkinci sinyal bulunur Müdahale Filtre, challenge veya limit Güvenlik Gerçek kullanıcı zararı başlar İnceleme Karar ve geri alma kaydı İş sahibi Risk kabul edilir Yanlış pozitif, bot kaçırmak kadar maliyetli olabilir. Ödeme, kayıt, destek ve arama tarayıcısı yollarına koruma metrikleri ekleyin. Gerçek kullanıcı hatası veya gelir kaybı yükselirse kuralı durdurun. Geniş IP engeli yerine mümkün olan en dar davranış, yol ve hız koşulunu tercih edin. Yetkili QA trafiği nasıl ayrı tutulur? QA trafiği, sayfa teslimini, UTM korumasını, olayları ve yetkili yük altında istikrarı kontrol edebilir. Müşteri talebi, satış, SEO veya reklam performansını kanıtlayamaz. Test başlamadan önce yazılı yetki, sayfa kapsamı, hız, ülke, QA kimliği, beklenen olay, üst sınır ve durdurma kuralı belirleyin. Traffic Creator kullanılıyorsa ayrı kampanya adı ve traffic_type veya özel QA parametresi kullanın. Segmenti dönüşüm, remarketing, social proof ve yönetim raporlarından çıkarın. traffic bot QA kontrol listesi , araç seçimini müşteri veya sıralama vaadine dönüştürmeden teknik kapsamı açıklar. Bizim incelemelerimizde yararlı bir QA çalışması ziyaret sayısıyla değil pass, fail veya rerun kaydıyla biter. Kaybolan parametre, çift olay, mobil form hatası ya da gecikme sınırı gerçek çıktıdır. Bu kayıtların müşteri davranışı gibi kullanılmaması, daha sonraki sahte trafik incelemesini de kolaylaştırır. 30 günlük trafik kalitesi planı 1–3. gün: trafik sınıflarını, sahipleri ve iş sonuçlarını tanımlayın. 4–7. gün: GA4, CDN, sunucu, CRM ve ödeme saatlerini eşitleyin. 8–11. gün: iç trafik ve QA etiketlerini Testing durumunda doğrulayın. 12–16. gün: kaynak, ülke, yol, hız ve hata için normal aralıkları kaydedin. 17–20. gün: bir şüpheli deseni en az iki katmanla doğrulayın. 21–24. gün: dar kapsamlı challenge veya oran sınırını deneyin. 25–27. gün: müşteri, gelir ve doğrulanmış bot koruma metriklerini kontrol edin. 28–30. gün: kuralı kabul edin, geri alın veya daha fazla kanıt toplayın. Plan, tüm botları otuz günde yok etme vaadi değildir. Amaç, hangi verinin müşteri raporuna gireceğini ve hangi isteğin güvenlik eylemi gerektirdiğini denetlenebilir hale getirmektir. Tespit kuralı, normal trafiğin değişmesiyle yeniden değerlendirilmelidir. Temizlenen segmentlerin iş kararlarını nasıl etkilediğini ölçmek için trafik dönüşüm optimizasyonu rehberindeki uygunluk, mikro dönüşüm ve koruma metriği ayrımını uygulayın. Sahte veya yetkili test trafiğini dışladıktan sonra yalnız gerçek kullanıcı kohortunu önceki dönemle karşılaştırın. Performans sorunu ile otomasyonu karıştırmamak için web performansı ve QA rehberini kullanın. Rapor, olayın zamanı, kapsamı, kanıtı, uygulanan kuralı, koruma metriklerini ve sonraki gözden geçirme tarihini içermelidir. Kaynaklar ve kontrol tarihi Aşağıdaki birincil kaynaklar 18 Temmuz 2026 tarihinde erişilerek kontrol edildi. GA4 bot dışlama ve filtrelerini, olay doğrulamasını, CDN bot sinyallerini ve güvenlik kayıtlarını kapsar. Google Analytics: Known bot-traffic exclusion . Google Analytics: Filter out internal traffic . Google Analytics: Identify unwanted referrals . Google Analytics: Validate Measurement Protocol events . Cloudflare: Bot scores . Cloudflare: Verified bots . IAB Tech Lab: International Spiders & Bots List best practices . OWASP: Logging Cheat Sheet . Sık sorulan sorular GA4 bütün bot trafiğini otomatik olarak çıkarır mı? Hayır. GA4 bilinen bot ve örümcekleri otomatik dışlar, ancak Google dışlanan miktarı göstermez ve bunun bilinmeyen otomasyonu tamamen kapsadığını söylemez. Sunucu ve CDN kayıtlarını da inceleyin. Yüksek hemen çıkma veya düşük etkileşim bot kanıtı mıdır? Hayır. İçerik uyumsuzluğu, yavaş sayfa, kampanya hedeflemesi veya ölçüm hatası aynı deseni yaratabilir. Engellemeden önce ikinci bir ağ, sunucu veya iş sonucu sinyali arayın. İç trafik filtresi geçmiş verileri temizler mi? Hayır. GA4 veri filtresi oluşturulduğu andan itibaren gelen veriyi etkiler ve aktif dışlama kalıcıdır. Google önce Testing durumunda doğrulama yapılmasını önerir. Düşük Cloudflare bot skoru kesin kötü niyet demek midir? Hayır. Skor otomasyon olasılığı sinyalidir. Doğrulanmış bot durumu, yol, hız, davranış ve iş etkisiyle birlikte değerlendirilmelidir; skor 0 ise istek değerlendirilmemiştir. QA trafiği raporlarda tutulabilir mi? Teknik doğrulama kayıtlarında tutulabilir, fakat ayrı kimlikle müşteri, gelir, SEO, reklam ve remarketing sonuçlarından çıkarılmalıdır. Testin yazılı kapsamı ve durdurma kuralı olmalıdır. Denetlenebilir bir QA testi mi gerekiyor? Yetkili sayfaları, QA kimliğini, hızı, olayları, üst sınırı, rapor dışlamalarını ve durdurma koşullarını önce tanımlayın. Kontrollü QA trafik seçeneklerini inceleyin