WordPress Güvenliği: Web Sitenizi Nasıl Korursunuz?

Kisaca

WordPress’in cekirdegi guvenlidir; risklerin neredeyse tamami guncellenmemis eklenti ve temalardan, zayif sifrelerden gelir. Bu rehber tehditlerin nereden geldigini gosteriyor ve guncelleme, guclu kimlik dogrulama, wp-config sertlestirmesi ile sunucu katmanini birlestiren katmanli bir savunma plani sunuyor.

  • Acigin acilmasiyla kitlesel sömuru arasi sure ortalama bes saate dustu; otomatik guncelleme ve hizli yama sart.
  • Temel adimlar: her seyi guncel tutmak, 14+ karakter benzersiz sifre, 2FA/passkey, “admin” kullaniciyi birakmak, duzenli yedek ve HTTPS.
  • Ileri sertlestirme: DISALLOW_FILE_EDIT, salt anahtarlarini yenilemek, gereksizse XML-RPC’yi kapatmak, dogru dosya izinleri (wp-config 600/440).
  • Tek bir guvenlik eklentisi secip dogru yapilandirin; ayni anda birden fazla guvenlik duvari calistirmayin.
  • Sunucu katmani da onemli: Imunify360, CageFS izolasyonu, anti-DDoS ve LiteSpeed tehditlerin cogunu siteye ulasmadan durdurur.

WordPress güvenliği, internetin en yaygın içerik yönetim sistemini kullanan herkesin gündeminde olması gereken bir konu. Web genelindeki sitelerin kabaca yarısının WordPress ile çalıştığını düşünürsek, saldırganların neden bu platforma bu kadar yoğunlaştığı da anlaşılıyor. İyi haber şu: WordPress’in kendisi (yani çekirdek yazılım) aslında oldukça güvenli. Sorunların büyük çoğunluğu eklentilerden, temalardan, zayıf şifrelerden ve ihmal edilen güncellemelerden kaynaklanıyor. Yani önlemler büyük ölçüde sizin kontrolünüzde.

Bu rehberde, bir sitenin gerçekten nereden ele geçirildiğini, hangi önlemlerin işe yaradığını ve hangilerinin zaman kaybı olduğunu somut verilerle anlatacağız. Önce tehdidin gerçek boyutuna bakalım, sonra adım adım sertleştirme (hardening) yöntemlerine geçelim.

WordPress Saldırıları Nereden Geliyor? Güncel Tablo

Saldırıların hangi yüzeyden geldiğini bilmeden doğru önlem alınmaz. 2025 yılı boyunca WordPress ekosisteminde yaklaşık 11.300 yeni güvenlik açığı raporlandı; bu, bir önceki yıla göre yaklaşık %42’lik bir artış demek. Kritik olan nokta şu: bu açıkların %91’i eklentilerden, %9’u temalardan kaynaklandı. WordPress çekirdeğinde tüm yıl boyunca yalnızca bir avuç düşük öncelikli açık bulundu.

Bu rakam tek başına çok şey anlatıyor. Sitenizin asıl risk yüzeyi, yüklediğiniz eklenti ve temalardır. Ortalama bir WordPress sitesi 20’den fazla eklenti çalıştırıyor ve ele geçirilen sitelerin %90’ından fazlasında güncelliğini yitirmiş bir eklenti veya tema bulunuyor.

Mail hosting 1 ay ücretsiz

Saldırganların en sık başvurduğu yöntemleri ve karşılarına çıkarabileceğiniz savunmaları aşağıdaki tabloda topladık:

Saldırı Türü Nasıl İşler? Birincil Savunma
Eklenti/Tema Açıkları Güncellenmemiş veya kötü kodlanmış bir eklentideki açığın otomatik botlarla taranıp sömürülmesi. Açıkların büyük çoğunluğu buradan. Düzenli güncelleme, kullanılmayan eklentiyi silme, güvenilir kaynak
Kaba Kuvvet (Brute Force) wp-login.php veya XML-RPC üzerinden binlerce şifre kombinasyonunun denenmesi. Artık yapay zekâ destekli botlar insan davranışını taklit ediyor. Güçlü şifre, 2FA, giriş denemesi sınırı, giriş URL’sini gizleme
XSS (Siteler Arası Betik) Yorum, form veya URL üzerinden zararlı JavaScript enjekte edilmesi. 2025’te en sık raporlanan açık türü. Girdi temizleme, WAF, eklentileri güncel tutma
SQL Enjeksiyonu Veritabanı sorgularına müdahale ederek veri çalma veya yönetici oluşturma. Genelde eklenti açıklarından gelir. WAF, güncel eklenti, veritabanı izolasyonu
XML-RPC İstismarı Eski bir API olan xmlrpc.php’nin kaba kuvvet ve DDoS yükseltme için kötüye kullanılması. İhtiyaç yoksa XML-RPC’yi kapatma

Burada altını çizmek istediğimiz bir gerçek var: Bir güvenlik açığının kamuya açıklanmasıyla, internet genelinde kitlesel olarak sömürülmeye başlanması arasındaki süre ortalama beş saat kadar kısaldı. Yani “yarın güncellerim” düşüncesi, çoğu zaman çok geç kalmak demek. Otomatik güncelleme ve hızlı yama bu yüzden bu kadar kritik.

WordPress Sitenizi Korumanın Temel Adımları

Aşağıdaki adımlar, herhangi bir WordPress sitesi için savunmanın bel kemiğini oluşturur. Hepsini uygulayan bir site, saldırıların ezici çoğunluğunu daha kapıdan çevirir.

  • Her şeyi güncel tutun: Çekirdek, tema ve eklentiler. Güncellemeler çoğunlukla bilinen güvenlik açıklarını kapatmak için yayınlanır. Mümkünse otomatik güncellemeyi açın; en azından küçük (minor) sürüm güncellemeleri otomatik olsun.
  • Güçlü ve benzersiz şifreler: Her hesap için en az 14-16 karakterlik, tahmin edilemez şifreler kullanın. Bir parola yöneticisi bu işi sizin yerinize yapsın.
  • İki aşamalı doğrulama (2FA): Özellikle yönetici ve editör hesapları için zorunlu hale getirin. Şifreniz çalınsa bile, ikinci faktör olmadan giriş yapılamaz. 2025 itibarıyla WebAuthn/FIDO2 tabanlı passkey (geçiş anahtarı) çözümleri, oltalamaya karşı en dirençli yöntem olarak öne çıkıyor.
  • “admin” kullanıcı adından kaçının: Varsayılan veya tahmin edilebilir kullanıcı adları, kaba kuvvet saldırısının yarısını saldırgana hediye eder. Özgün bir kullanıcı adı seçin ve yazar arşivi URL’sinde görünen takma adı (nickname) ayrı tutun.
  • Düzenli yedekleme: Tam site (dosya + veritabanı) yedeği alın ve yedekleri sunucudan ayrı bir yerde saklayın. Bir ihlal anında sizi kurtaracak tek şey, çalışan bir yedektir.
  • Ücretsiz SSL ve HTTPS zorunluluğu: Tüm trafiği şifreleyin ve HTTP’den HTTPS’e yönlendirin. Bu hem güvenlik hem de SEO için artık standarttır.
  • Kullanmadığınızı silin: Pasif bir eklenti bile açık barındırabilir. “Belki lazım olur” diye duran her eklenti ve tema, gereksiz bir risk yüzeyidir. Devre dışı bırakmak yetmez, silin.
  • Yalnızca güvenilir kaynaklar: Eklenti ve temaları resmî WordPress deposundan veya tanınmış geliştiricilerden alın. “Bedava sürüm” diye dağıtılan korsan (nulled) temalar, neredeyse her zaman içine gizlenmiş arka kapılarla gelir.

İleri Düzey Sertleştirme: wp-config.php ve Sunucu Tarafı

Temel adımları geçtiyseniz, sitenizi gerçekten zorlu bir hedef haline getirecek birkaç teknik ayar var. Bunların çoğu wp-config.php dosyasına eklenecek birkaç satırdan ibaret, ama etkisi büyük.

Dosya düzenlemeyi kapatın

Bir saldırgan yönetici paneline girmeyi başarırsa, ilk yapacağı işlerden biri Görünüm > Tema Düzenleyici üzerinden doğrudan koda zararlı kod eklemektir. Bunu tamamen engellemek için wp-config.php dosyanıza şu satırı ekleyin:

  • define(‘DISALLOW_FILE_EDIT’, true); — Panel içinden tema ve eklenti kodu düzenlemeyi kapatır.

Güvenlik anahtarlarını (salt) tanımlayın

WordPress’in oturum çerezlerini şifrelemek için kullandığı güvenlik anahtarları, wp-config.php içinde tanımlıdır. Bunları rastgele ve uzun değerlerle doldurmak, çalınan bir çerezle oturum ele geçirmeyi neredeyse imkânsız kılar. WordPress’in resmî salt üreteci ile yenilerini oluşturup eski değerlerin yerine koyabilirsiniz; bu işlem mevcut tüm oturumları da sonlandırır, yani bir ihlal şüphesinde ilk yapılacak şeylerden biridir.

İhtiyaç yoksa XML-RPC’yi kapatın

xmlrpc.php, uzaktan yayın gibi eski işlevler için var olan bir API. Modern sitelerin büyük kısmı buna ihtiyaç duymaz, ama bu dosya kaba kuvvet saldırılarında ve DDoS yükseltmesinde sık sık kötüye kullanılır. Mobil uygulama veya Jetpack gibi bir entegrasyon kullanmıyorsanız, sunucu yapılandırması ya da bir güvenlik eklentisiyle XML-RPC’yi tamamen devre dışı bırakın.

Dosya izinlerini doğru ayarlayın

Dosya ve dizin izinleri, yetkisiz değişiklikleri önlemenin sessiz ama etkili bir yoludur. Genel kural şudur:

Öğe Önerilen İzin Açıklama
Dizinler 755 Klasörlerin standart, güvenli izni
Dosyalar 644 Genel dosyalar için varsayılan
wp-config.php 600 veya 440 En hassas dosya; sadece sunucu okuyabilsin

Ek olarak, sunucu ortamınız destekliyorsa wp-config.php dosyasını web kök dizininin bir üstüne taşımak ve .htaccess ile bu dosyaya doğrudan erişimi engellemek, sertleştirmenin klasik ama hâlâ geçerli yöntemlerindendir.

Güvenlik Eklentileri: Hangisi Ne İşe Yarar?

Bir güvenlik eklentisi, yukarıdaki manuel adımların çoğunu tek arayüzden yönetmenizi sağlar; güvenlik duvarı, kötü amaçlı yazılım taraması ve giriş koruması gibi katmanları bir araya getirir. Öne çıkan seçenekleri kısaca karşılaştıralım:

Eklenti Güçlü Yönü Kime Uygun?
Wordfence Security Güçlü güvenlik duvarı, gerçek zamanlı tehdit istihbaratı, giriş denemesi sınırı, kötü amaçlı yazılım taraması Kapsamlı koruma isteyen çoğu site
Sucuri Security Bütünlük denetimi, güvenlik raporları, ihlal sonrası temizleme odağı İzleme ve denetim önceliği olanlar
iThemes / Solid Security 2FA, parola politikası, dosya değişikliği izleme, kullanıcı sertleştirme Erişim güvenliğine ağırlık verenler
All In One WP Security Görsel arayüz, kademeli sertleştirme seçenekleri, ücretsiz Yeni başlayanlar ve bütçe dostu çözüm arayanlar
MalCare Sunucu yükü bindirmeyen tarama, tek tıkla temizleme, otomatik yedek Tarama performansı önemli olan siteler

Önemli bir uyarı: Aynı anda birden fazla güvenlik duvarı eklentisi çalıştırmayın. Çakışmalara ve performans sorunlarına yol açar. Birini seçin, doğru yapılandırın ve düzenli takip edin. Eklenti, ihmal edilen bir altyapının üzerine örtülen bir battaniye değildir; güncel ve sağlıklı bir kurulumun tamamlayıcısıdır.

Hosting Katmanı: Güvenliğin Görünmeyen Yarısı

WordPress güvenliği yalnızca sitenizin içinde alınan önlemlerden ibaret değil. Sitenizin üzerinde durduğu sunucu altyapısı, savunmanın belki de en kritik ama en az konuşulan katmanı. Çünkü kaba kuvvet ve DDoS saldırıları gibi bazı tehditler, daha sizin WordPress’inize ulaşmadan, ağ ve sunucu seviyesinde durdurulabilir.

Bu noktada hosting sağlayıcınızın sunduğu altyapı doğrudan belirleyici oluyor. WordPress hosting tarafında Alastyr, sunucu seviyesinde çok katmanlı bir savunma kurar. Imunify360 güvenlik motoru ve CloudLinux CageFS izolasyonu, paylaşımlı bir ortamda bile hesapları birbirinden yalıtarak bir sitedeki sorunun komşulara sıçramasını engeller. Buna Alastyr’in kendi honeypot ve tehdit istihbaratı (AbuseIPDB, RBL kaynaklı) eklendiğinde, ortaya bilinen saldırgan IP’lerini siteye ulaşmadan eleyen çift katmanlı bir WAF çıkar.

Ağ katmanında ise Voxility 1 Tbps üzeri kapasiteli L3-L4 anti-DDoS koruması, hacimsel saldırıların sitenizi çökertmesini önler. Performans tarafında LiteSpeed web sunucusu ve LSCache, sayfaları hem hızlandırır hem de sunucuyu kaba kuvvet kaynaklı yük altında daha dayanıklı kılar. Tüm bunlar, Alastyr’in İzmir’deki kendine ait, N+1 yedekli (jeneratör, UPS, klima) veri merkezinde, Tier III standartlarında bir altyapıda barınır. Şirket, TÜRKAK onaylı ISO 9001 ve ISO 27001 sertifikalarına sahiptir; yani bilgi güvenliği yönetimi denetimli bir çerçevede yürütülür.

Pratikte bu şu demek: Doğru yapılandırılmış bir WordPress kurulumu ile güvenlik odaklı bir hosting altyapısı bir araya geldiğinde, saldırı yüzeyinizin büyük kısmı daha siz fark etmeden kapanmış olur.

Bir İhlal Yaşandığında Ne Yapmalısınız?

En iyi savunmaya rağmen kötünün de bir senaryosu olmalı. Sitenizin ele geçirildiğinden şüpheleniyorsanız, panik yapmadan şu sırayı izleyin:

  • Siteyi geçici olarak bakım moduna alın ki ziyaretçilere zarar yayılmasın ve arama motorları zararlı içeriği indekslemesin.
  • Tüm şifreleri değiştirin: Yönetici hesapları, FTP/SSH, veritabanı ve hosting paneli. Ardından güvenlik anahtarlarını (salt) yenileyerek tüm oturumları sonlandırın.
  • Temiz bir yedeğe dönün ya da bir kötü amaçlı yazılım tarayıcısı ile zararlı dosyaları temizleyin. Yetkisiz oluşturulmuş yönetici kullanıcılarını mutlaka kontrol edin.
  • Açığın kaynağını bulun: Genellikle güncellenmemiş bir eklentidir. Kaynağı kapatmadan temizlik kalıcı olmaz.
  • Profesyonel destek alın: Emin değilseniz, hosting sağlayıcınızın teknik ekibinden yardım isteyin. Alastyr’in 7/24 Türkçe destek ekibi bu tür durumlarda yanınızdadır.

Özetle WordPress güvenliği tek bir eklenti kurup unutulacak bir iş değil; güncel tutma, güçlü kimlik doğrulama, akıllı sertleştirme ve sağlam bir hosting altyapısının bir araya geldiği sürekli bir disiplindir. Bu katmanları birlikte uyguladığınızda, sitenizi internetteki saldırıların büyük çoğunluğu için fazlasıyla zahmetli bir hedef haline getirirsiniz.

Sitenizi Güvenli Bir Altyapıya Taşıyın

WordPress güvenliğinin yarısı sunucuda başlar. Imunify360, CageFS izolasyonu, anti-DDoS ve LiteSpeed altyapısıyla donatılmış Alastyr WordPress Hosting ile sitenizi hız ve güvenliği bir arada sunan bir ortamda barındırın. Ücretsiz SSL, günlük yedekleme, ücretsiz taşıma ve 7/24 Türkçe destek dahil.

WordPress Hosting Paketlerini İncele

Sıkça Sorulan Sorular

WordPress güvenli bir platform mu?

Evet, WordPress çekirdeği oldukça güvenli ve düzenli olarak yamalanıyor. Güvenlik sorunlarının çoğu çekirdekten değil, güncellenmemiş eklentilerden, temalardan ve zayıf şifrelerden kaynaklanıyor. 2025 verilerine göre WordPress açıklarının yaklaşık %91’i eklentilerden, %9’u temalardan geldi; çekirdekte ise yalnızca birkaç düşük öncelikli sorun bulundu. Yani güvenlik büyük ölçüde sizin aldığınız önlemlere bağlı.

WordPress güvenliği için en önemli adım nedir?

Tek bir adım seçmek gerekirse, her şeyi güncel tutmaktır. Çekirdek, tema ve eklentileri güncel tutmak, bilinen açıkların ezici çoğunluğunu kapatır. Bunu güçlü şifreler ve iki aşamalı doğrulama ile birleştirdiğinizde, otomatik saldırıların büyük kısmını daha kapıdan çevirmiş olursunuz.

WordPress’e en çok hangi yolla saldırılıyor?

En büyük giriş kapısı, güncellenmemiş eklenti ve temalardaki açıklardır; ele geçirilen sitelerin %90’ından fazlasında eski bir eklenti bulunuyor. Bunun yanında kaba kuvvet (brute force) saldırıları, XSS (siteler arası betik) ve SQL enjeksiyonu en sık görülen saldırı türleridir. 2025’te yapay zekâ destekli botlar bu saldırıları daha da etkili hale getirdi.

Güvenlik eklentisi kurmak yeterli mi?

Hayır, tek başına yeterli değildir. Wordfence, Sucuri veya iThemes gibi eklentiler önemli bir koruma katmanı sağlar ama güncel olmayan bir kurulumun ya da zayıf bir hosting altyapısının yerini tutamaz. Güvenlik; güncelleme, güçlü kimlik doğrulama, sertleştirme ve sağlam bir sunucu altyapısının bir araya geldiği katmanlı bir yaklaşımdır. Ayrıca aynı anda birden fazla güvenlik duvarı eklentisi çalıştırmaktan kaçının.

İki aşamalı doğrulama (2FA) gerçekten gerekli mi?

Evet, özellikle yönetici ve editör hesapları için kuvvetle önerilir. 2FA, şifreniz çalınsa veya tahmin edilse bile, ikinci bir doğrulama faktörü olmadan girişi engeller. Kaba kuvvet ve kimlik bilgisi sızıntısı saldırılarına karşı en etkili savunmalardan biridir. 2025 itibarıyla passkey (WebAuthn/FIDO2) çözümleri, oltalamaya karşı daha da dirençli bir alternatif sunuyor.

wp-config.php dosyasını nasıl güvenli hale getiririm?

Birkaç temel önlem var: Dosya iznini 600 veya 440 yapın, içine define(‘DISALLOW_FILE_EDIT’, true); satırını ekleyerek panel üzerinden kod düzenlemeyi kapatın ve güvenlik anahtarlarını (salt değerlerini) rastgele uzun değerlerle doldurun. Sunucunuz destekliyorsa dosyayı web kök dizininin bir üstüne taşımak ve .htaccess ile erişimi engellemek ek koruma sağlar.

XML-RPC’yi kapatmalı mıyım?

Çoğu modern site için evet. xmlrpc.php eski bir API’dir ve kaba kuvvet ile DDoS yükseltme saldırılarında sık kötüye kullanılır. Mobil uygulama, Jetpack veya benzeri bir uzaktan bağlantı kullanmıyorsanız, bir güvenlik eklentisi ya da sunucu yapılandırmasıyla XML-RPC’yi devre dışı bırakmak güvenli yüzeyinizi daraltır.

Hosting seçimi WordPress güvenliğini etkiler mi?

Kesinlikle, hem de düşünülenden çok daha fazla. Kaba kuvvet ve DDoS gibi bazı saldırılar daha WordPress’inize ulaşmadan sunucu ve ağ katmanında durdurulabilir. Imunify360, CageFS izolasyonu, anti-DDoS koruması ve LiteSpeed gibi teknolojiler sunan bir altyapı, sitenizin savunmasını siz kod yazmadan güçlendirir. Alastyr WordPress Hosting bu katmanları standart olarak sunar.

Sitem hacklenirse ne yapmalıyım?

Önce siteyi bakım moduna alın, ardından tüm şifreleri (yönetici, FTP/SSH, veritabanı, panel) değiştirin ve güvenlik anahtarlarını yenileyerek oturumları sonlandırın. Temiz bir yedeğe dönün veya bir tarayıcıyla zararlı dosyaları temizleyin, yetkisiz oluşturulmuş yönetici hesaplarını silin ve açığın kaynağını (genelde eski bir eklenti) kapatın. Emin değilseniz hosting sağlayıcınızın teknik destek ekibinden yardım alın.

Türkiye'nin En Çok Tavsiye Edilen Domain, Hosting ve Bulut Servis Sağlayıcısı
İnternet sitesi Alastyr İnternet Sitesi
Yazı oluşturuldu 503

Benzer yazılar

Aramak istediğinizi üstte yazmaya başlayın ve aramak için enter tuşuna basın. İptal için ESC tuşuna basın.

Üste dön