WordPress Admin Paneli Güvenliği: 10 Kritik Önlem 2026

WordPress, internetteki sitelerin yaklasik %43’unu calistiran en yaygin icerik yonetim sistemidir. Bu yayginlik onu otomatik saldiri botlarinin birincil hedefi yapar. Sitenizin kalbi olan yonetim paneli (wp-admin) ele gecirildiginde tum iceriginiz, kullanici verileriniz, e-posta listeniz ve marka itibariniz tek seferde risk altina girer. Iyi haber su: WordPress’in kendi cekirdegi son derece guvenlidir ve ciddi aciklarin neredeyse tamami eski eklentiler, zayif parolalar ve korumasiz birakilmis bir giris ekranindan kaynaklanir. Yani savunma buyuk olcude sizin elinizde.

Bu rehberde, hem yeni baslayan site sahibinin uygulayabilecegi hem de bir ajansin musteri projelerinde standart hale getirebilecegi 10 kritik onlemi sirayla ele aliyoruz. Her onlemde neden onemli oldugunu, nasil yapildigini ve hangi katmanin (uygulama mi, sunucu mu) sorumlu oldugunu acikca belirtiyoruz. Guvenligin temeli, saglam bir WordPress hosting altyapisi ve SSL sertifikasi ile baslar; uzerine dogru uygulama ayarlari eklenir.

Tehdit Tablosu: 2026’da WordPress Neyle Karsi Karsiya?

Onlemlere gecmeden once tehdidin boyutunu somut rakamlarla gormekte fayda var. Asagidaki tablo, 2025-2026 doneminde sektor verilerinden one cikan basliklari ve dogrudan ilgili savunmayi gosteriyor.

Tehdit	Durum (2025-2026)	Sizi koruyan onlem
Eklenti acigi	Yeni aciklarin yaklasik %91’i eklentilerden geliyor; haftada 250+ yeni aciklik	Az ve guncel eklenti, kullanilmayani silme
Kimlik dogrulamasiz aciklar	Aciklarin yaklasik %43’u oturum acmadan somurulebiliyor	WAF, hizli guncelleme, sertlestirme
Brute-force (parola deneme)	Guvenlik aglari aylik milyarlarca deneme engelliyor	2FA + deneme limiti + giris URL’i
Somuru hizi	Bir acik aciklandiktan sonra ortalama 5 saat icinde saldirilar basliyor	Otomatik/hizli guncelleme, anlik tehdit istihbarati
Yamasiz aciklar	Aciklarin yaklasik yarisi aciklandiginda henuz resmi yamaya sahip degil	Sanal yamalama yapan WAF (Imunify360 gibi)

Tablodan cikan ders net: tek bir sihirli eklenti yoktur. Guvenlik, ust uste binen katmanlardan olusur. Bir katman asilsa bile digeri devreye girer.

1. Guclu Parola ve Iki Faktorlu Dogrulama (2FA)

Tum giris saldirilarinin baslangic noktasi paroladir. Tahmin edilemez, en az 16 karakterli, sayisal-harf-sembol karisimi bir parola kullanin ve bunu bir parola yoneticisinde saklayin. Ancak parola tek basina yeterli degildir; cunku sizden kaynaklanmayan veri sizintilariyla bile ele gecebilir.

Bu yuzden iki faktorlu dogrulama (2FA), cogu sitenin ekleyebilecegi en etkili tek onlemdir. Parolaniz calinsa bile saldirgan ikinci faktore (telefonunuzdaki kod veya donanim anahtari) sahip olmadan giremez. WordPress cekirdegi 2FA ile birlikte gelmez; bir eklenti (orn. resmi “Two Factor”, WP 2FA) ile etkinlestirilir. Guvenlik siralamasi su sekildedir:

• FIDO2 / passkey (donanim anahtari): Kimlik avina karsi tasarim geregi en dayanikli yontem. Yonetici hesaplari icin idealdir.
• TOTP (Authenticator uygulamasi): Google/Microsoft Authenticator gibi. Guclu ve pratik varsayilan.
• SMS kodu: Hicbir seyden iyidir ama SIM swap riski nedeniyle yonetici icin birincil faktor olarak onerilmez.

En azindan tum yonetici ve editor rolu hesaplarda 2FA’yi zorunlu kilin; bu kullanicilar eklenti kurabildigi ve kod duzenleyebildigi icin en degerli hedeftir.

2. “admin” Kullanici Adindan Kacinin

Brute-force botlari iki bilgiyi dener: kullanici adi ve parola. Kullanici adini “admin” birakirsaniz saldirganin isinin yarisini ona vermis olursunuz. Mevcut sitede admin adli bir hesap varsa, yeni bir yonetici olusturup tum iceriklerin sahipligini ona aktarin ve eski hesabi silin. Ayrica yazar arsiv URL’lerinin ve REST API’nin kullanici adlarinizi sizdirmamasi onemlidir; bunu bir sonraki onlemde ele aliyoruz.

3. Kullanici Sayimini (Enumeration) Engelleyin

Saldirganlar parolayi denemeden once gecerli kullanici adlarini toplar. Bunu iki klasik yoldan yapar: ?author=1 seklindeki yazar URL’leri ve /wp-json/wp/v2/users REST API ucu. Bir guvenlik eklentisi ya da sunucu seviyesinde kural ile bu uclari kimlik dogrulamasiz erisimlere kapatmak, sayimi bosa cikarir ve giris denemelerini en bastan zorlastirir. Boylece bot, kullanici adini dahi bilemeden korelmis olur.

4. Giris Denemelerini Sinirlayin ve CAPTCHA Ekleyin

WordPress varsayilan olarak sinirsiz giris denemesine izin verir; bu da brute-force icin acik davetiyedir. Basarisiz deneme sayisini (orn. 5 deneme sonrasi gecici kilitleme) sinirlayan bir eklenti, otomatik botlari etkili biner sekilde durdurur. Basarisiz denemeden sonra CAPTCHA devreye sokmak, insan olmayan trafigi ayikladigi icin ek bir filtre saglar. Bu iki ayar birlikte, sozluk saldirilarinin maliyetini saldirgan icin karli olmaktan cikarir.

5. Giris Adresini Degistirin veya IP ile Kisitlayin

Botlarin %99’u /wp-login.php ve /wp-admin standart adreslerini dogrudan hedefler. Giris URL’sini ozel bir adrese tasimak (orn. /giris-yap-xyz) bu otomatik trafigin buyuk bolumunu daha ilk adimda yanlis kapiya yonlendirir. Daha guclu bir yontem, sabit IP’niz veya VPN’iniz varsa .htaccess ile wp-admin’i yalnizca o IP araligina acmaktir:

• URL degisikligi: Kolay, herkese uygun, otomatik botlari ciddi olcude azaltir.
• IP kisitlamasi: En guvenlisi; ofis/VPN IP’si olan ekipler icin idealdir.
• Cografi filtre: Is gereksiniminiz uygunsa yuksek riskli ulkelerden gelen giris trafigini engelleyebilirsiniz.

Bu onlemler giris ekranini “gizleme” mantigi tasir; tek basina mutlak guvenlik degildir ama saldiri yuzeyini ve sunucu yukunu hissedilir derecede dusurur.

6. Cekirdek, Tema ve Eklentileri Guncel Tutun

Bir acik kamuya aciklandiktan sonra saldirilarin ortalama bes saat icinde basladigini dusunun. Bu pencerede guncel olmayan her eklenti acik bir kapidir. Kucuk surum (guvenlik) guncellemelerini otomatik birakin; ana surum ve eklenti guncellemelerini ise once bir hazirlik/staging ortaminda test edip uygulayin. Duzenli yedek aldiginiz surece guncelleme korkusu yersizdir; aksine en ucuz guvenlik onlemidir.

7. Eklenti ve Tema Hijyeni

Aciklarin buyuk cogunlugu eklentilerden gelir; dolayisiyla en etkili savunmalardan biri eklenti sayisini azaltmaktir. Su kurallari benimseyin:

• Yalnizca resmi WordPress.org deposundan veya guvenilir, aktif gelistirilen kaynaklardan kurun.
• “Nulled” (kirik/lisanssiz) tema ve eklentilerden kesinlikle uzak durun; bunlarin onemli bir bolumu icine gizlenmis arka kapilarla gelir.
• Kullanmadiginiz eklenti ve temalari devre disi birakmak yetmez, tamamen silin; pasif dosyalar dahi aciktan somurulebilir.
• Bir eklenti aylardir guncellenmiyorsa bakimli bir alternatife gecmeyi degerlendirin.

8. wp-config.php ve Dosya Izinlerini Sertlestirin

WordPress’in en hassas dosyasi, veritabani bilgilerini ve guvenlik anahtarlarini tutan wp-config.php‘dir. Birkac satirla bu dosyayi ciddi sekilde guclendirebilirsiniz:

• Pano uzerinden dosya duzenlemeyi kapatin: define('DISALLOW_FILE_EDIT', true); ekleyin. Bir saldirgan panele girse bile tema/eklenti editoru uzerinden kod calistiramaz.
• Admin’i SSL’e zorlayin: define('FORCE_SSL_ADMIN', true); ile yonetim trafigi her zaman sifrelenir.
• Guvenlik anahtarlarini yenileyin: WordPress salt anahtarlarini benzersiz degerlerle doldurun; bu, calinan oturum cerezlerini gecersiz kilar.
• Dosya izinleri: Genel kural olarak klasorler 755, dosyalar 644 olmalidir. wp-config.php icin paylasimli ortamlarda 644 yerine 600/440 daha guvenlidir; boylece sunucudaki diger kullanicilar dosyayi okuyamaz.

Not: Iyi yapilandirilmis bir hosting ortaminda kullanici izolasyonu (orn. CageFS) bu riski zaten buyuk olcude ortadan kaldirir; ama dosya izinlerini dogru ayarlamak yine de iyi bir aliskanliktir.

9. Sunucu Tarafi: WAF, Malware Tarama ve SSL

Uygulama sertlestirmesi tek basina yeterli degildir; trafigin sunucuya ulasmadan once suzulmesi gerekir. Iste burada hosting katmani devreye girer. Web uygulama guvenlik duvari (WAF), bilinen saldiri imzalarini ve henuz yamasi cikmamis aciklara yonelik somuru denemelerini sanal yamalama ile engeller; bu, “yamasiz aciklar” sorununa karsi en pratik cevaptir. Buna eklenen sunucu seviyesinde malware tarama, sitenize sizmis zararli dosyalari erken yakalar.

Alastyr’in WordPress hosting ortaminda bu katman Imunify360 (cift WAF, honeypot tabanli tehdit istihbarati ve malware tarama) ile CageFS kullanici izolasyonu uzerine kuruludur; ag duzeyinde ise Voxility 1 Tbps+ kapasiteli L3-L4 anti-DDoS koruma trafigi temizler. Tum trafigin ucretsiz SSL ile sifrelenmesi de giris bilgilerinizin yolda dinlenmesini engeller. Bu altyapi, izolasyon ve LiteSpeed + LSCache ile birlikte hem guvenlik hem de performans saglar.

10. Gunluk Yedekleme ve Bir Kurtarma Plani

Hicbir savunma %100 degildir; bu yuzden en kotu senaryoya hazirlikli olmak guvenligin ayrilmaz parcasidir. Gunluk otomatik yedekleme alan bir hosting, bir saldiri sonrasinda sitenizi temiz bir surumden dakikalar icinde geri yukleyebilmeniz anlamina gelir. Yedeklerin sunucudan bagimsiz bir kopyasinin da bulunmasi (3-2-1 kurali) idealdir. Alastyr planlarinda gunluk yedekleme standarttir ve bir sorunda destek ekibi 7/24 yaninizdadir.

Saldiri Durumunda Ne Yapmali? Adim Adim

Siteniz ele gecirildiyse panige kapilmadan su sirayi izleyin:

• 1. Izole edin: Mumkunse siteyi bakim moduna alin ya da gecici olarak erisimi kisitlayin ki saldiri yayilmasin.
• 2. Tum parolalari sifirlayin: WordPress yonetici, hosting paneli (cPanel/Plesk), FTP ve veritabani parolalari dahil hepsini degistirin.
• 3. Temiz yedekten geri yukleyin: Sizmanin oncesine ait guncel ve temiz bir yedekten siteyi geri alin.
• 4. Guncelleyin: Cekirdek, tum tema ve eklentileri en son surume getirin; supheli eklentileri kaldirin.
• 5. Tarama yapin: Imunify360 gibi bir araclayla tam malware taramasi calistirin ve kalan zararli dosyalari temizleyin.
• 6. Anahtarlari yenileyin: wp-config.php guvenlik salt anahtarlarini degistirerek tum aktif oturumlari sonlandirin.

Bu surec, gunluk yedek ve sunucu seviyesinde tarama sunan bir hosting kullaniyorsaniz saatler degil dakikalar surer.

Hizli Kontrol Listesi

Onlem	Katman	Zorluk	Etki
Guclu parola + 2FA	Uygulama	Kolay	Cok yuksek
admin kullanici adindan kacinma	Uygulama	Kolay	Orta
Kullanici sayimini engelleme	Uygulama/Sunucu	Orta	Orta
Giris denemesi limiti + CAPTCHA	Uygulama	Kolay	Yuksek
Giris URL/IP kisitlamasi	Uygulama/Sunucu	Orta	Yuksek
Guncel cekirdek/eklenti/tema	Uygulama	Kolay	Cok yuksek
wp-config.php sertlestirme	Uygulama	Orta	Yuksek
WAF + malware tarama	Sunucu/Hosting	Hosting saglar	Cok yuksek
SSL	Sunucu/Hosting	Kolay	Yuksek
Gunluk yedekleme	Sunucu/Hosting	Hosting saglar	Cok yuksek

Sikca Sorulan Sorular

WordPress guvenli mi?

Evet, cekirdegi son derece guvenlidir ve dunya capinda profesyonel bir ekip tarafindan surekli denetlenir. Ciddi aciklarin neredeyse tamami guncel olmayan eklenti/tema, zayif parolalar ve korumasiz birakilan giris ekranindan kaynaklanir; yani guvenlik buyuk olcude sitenin nasil yonetildigine baglidir.

2FA gercekten gerekli mi?

Evet. Iki faktorlu dogrulama, cogu sitenin ekleyebilecegi en etkili tek onlemdir. Parolaniz bir veri sizintisiyla ele gecse bile saldirgan ikinci faktore sahip olmadan giris yapamaz. Ozellikle yonetici ve editor rolundeki tum hesaplarda zorunlu kilinmalidir.

Giris adresini degistirmek ise yarar mi?

Buyuk olcude evet. Otomatik botlarin neredeyse tamami standart /wp-login.php ve /wp-admin adreslerini hedefler; URL’yi ozel bir adrese tasimak bu trafigi yanlis kapiya yonlendirir. Tek basina mutlak koruma degildir ama saldiri yuzeyini ve sunucu yukunu hissedilir sekilde azaltir.

Hangi 2FA yontemi en guvenli?

FIDO2/passkey donanim anahtarlari kimlik avina karsi tasarim geregi en dayanikli yontemdir. Pratik bir varsayilan olarak Authenticator uygulamalarinin urettigi TOTP kodlari oldukca guclidur. SMS ile gelen kodlar SIM swap riski tasidigindan yonetici hesaplari icin birincil yontem olarak onerilmez.

Guvenlik eklentisi sart mi?

Sart olmasa da onerilir. Iyi bir guvenlik eklentisi giris koruma, kullanici sayimi engelleme ve tarama gibi islevleri tek yerden saglar. Ancak sunucu seviyesinde WAF ve malware tarama sunan bir hosting, bu korumanin daha dayanikli bir katmanini zaten saglar; ikisi birbirini tamamlar.

wp-config.php icin DISALLOW_FILE_EDIT ne ise yarar?

Bu satir, WordPress panelindeki tema ve eklenti kod editorunu kapatir. Bir saldirgan panele girmeyi basarsa bile bu editor uzerinden dogrudan zararli kod calistiramaz; cunku kod duzenleme bir saldirganin ilk kullandigi araclardan biridir. Eklemek tek satirdir ve hicbir normal islevi bozmaz.

Eklentileri silmek yerine devre disi birakmam yeterli mi?

Hayir. Devre disi birakilan bir eklentinin dosyalari sunucuda durmaya devam eder ve icindeki bir aciklik dogrudan somurulebilir. Kullanmadiginiz tum eklenti ve temalari tamamen silmek, saldiri yuzeyini gercekten kuculten tek dogru yontemdir.

Hosting guvenlige etki eder mi?

Kesinlikle evet. WAF, malware tarama, kullanici izolasyonu, anti-DDoS ve gunluk yedekleme sunan bir hosting, guvenligin tasiyici katmanidir. Alastyr WordPress hosting ortami Imunify360 cift WAF, CageFS izolasyonu, Voxility anti-DDoS ve gunluk yedekleme ile bu katmani standart olarak saglar.

Saldiriya ugradiysam ilk ne yapmaliyim?

Once mumkunse siteyi izole edip tum parolalari (WordPress, hosting paneli, FTP, veritabani) degistirin. Ardindan temiz bir yedekten geri yukleyin, cekirdek ile tum eklenti/temalari guncelleyin, tam bir malware taramasi yapin ve son olarak wp-config.php guvenlik anahtarlarini yenileyerek tum oturumlari sonlandirin. Gunluk yedek ve tarama sunan bir hosting bu sureci dakikalara indirir.