🔥 %50 İndirim! Al →
The Domain
WordPress

WordPress Güvenlik Rehberi: Sitenizi Hackerlardan Koruyun

06 Ocak 2026 12 dk okuma 473 görüntülenme
WordPress Güvenlik Rehberi: Sitenizi Hackerlardan Koruyun

WordPress Güvenlik Rehberi: Sitenizi Hackerlardan Koruyun

WordPress, dünya genelinde 800 milyonun üzerinde web sitesine güç veren en popüler içerik yönetim sistemidir. Bu kadar yaygın kullanımı beraberinde ciddi bir güvenlik riski getirmektedir: WordPress siteleri, internet üzerindeki en çok hedef alınan platformların başında gelmektedir. Her gün binlerce WordPress sitesi kötü niyetli saldırılara maruz kalmakta; veri ihlalleri, site ele geçirmeleri ve zararlı yazılım enjeksiyonları yaşanmaktadır.

Peki sitenizi bu tehditlerden nasıl koruyabilirsiniz? Bu kapsamlı rehberde, WordPress güvenliğinin tüm boyutlarını ele alacak; teknik bilginiz ne olursa olsun uygulayabileceğiniz somut adımları paylaşacağız. TheDomain olarak müşterilerimizin sitelerini güvende tutmayı birincil önceliğimiz olarak belirliyoruz ve bu rehber, güvenli bir WordPress deneyimi için ihtiyacınız olan her şeyi kapsıyor.

WordPress Güvenlik Tehditleri: Neyle Karşı Karşıyasınız?

WordPress sitelerini tehdit eden çeşitli saldırı türlerini anlamak, doğru savunma stratejisini geliştirmenin ilk adımıdır. En yaygın tehditler şunlardır:

Brute Force (Kaba Kuvvet) Saldırıları

Saldırganlar, otomatik araçlar kullanarak kullanıcı adı ve şifre kombinasyonlarını deneyerek WordPress yönetici panelinize girmeye çalışır. Dakikada binlerce deneme yapabilen bu botlar, zayıf şifreler kullanan siteleri kolayca ele geçirebilir. Özellikle "admin" kullanıcı adı ve "123456" gibi basit şifreler kullanan siteler bu saldırılara karşı son derece savunmasızdır.

SQL Enjeksiyonu

Güvensiz form alanları veya URL parametreleri aracılığıyla veritabanınıza kötü niyetli SQL komutları gönderilerek hassas verilerinize erişilmeye çalışılır. Başarılı bir SQL enjeksiyonu saldırısı; müşteri bilgilerinin çalınmasına, içerik değiştirilmesine ve hatta sitenizin tamamen ele geçirilmesine yol açabilir.

XSS (Cross-Site Scripting) Saldırıları

Kötü niyetli JavaScript kodlarının sitenize enjekte edilmesiyle ziyaretçilerinizin tarayıcılarında çalıştırılmasını hedefleyen bu saldırılar; kullanıcı verilerini çalmak, oturumları ele geçirmek veya ziyaretçileri zararlı sitelere yönlendirmek amacıyla kullanılır.

Zararlı Yazılım (Malware) Enjeksiyonu

Güvenlik açığı bulunan eklenti veya temalar aracılığıyla sitenize zararlı kod enjekte edilebilir. Bu kod; ziyaretçilerinizi spam sitelere yönlendirebilir, kripto para madenciliği yapabilir veya sitenizi bir botnet ağının parçasına dönüştürebilir.

DDoS Saldırıları

Dağıtık hizmet engelleme saldırıları, sitenize eş zamanlı olarak çok sayıda istek göndererek sunucunuzu çökertmeyi hedefler. Bu saldırılar doğrudan site ele geçirme amacı taşımasa da sitenizi saatlerce, hatta günlerce erişilemez hale getirebilir.

Güçlü Şifre Politikası: Güvenliğin Temeli

Güvenli bir WordPress sitesinin en temel gereksinimi, güçlü şifreler kullanmaktır. Araştırmalar, güvenlik ihlallerinin önemli bir kısmının zayıf veya tahmin edilebilir şifrelerden kaynaklandığını ortaya koymaktadır.

Güçlü Bir Şifre Nasıl Oluşturulur?

  • En az 16 karakter uzunluğunda olmalıdır
  • Büyük ve küçük harf, rakam ve özel karakter içermelidir (örneğin: @, #, $, !, %)
  • Sözlükte bulunan kelimeler veya kişisel bilgiler (doğum tarihi, isim) kullanılmamalıdır
  • Her hesap için farklı ve benzersiz bir şifre belirlenmeli
  • Şifreler düzenli aralıklarla (en az 3 ayda bir) değiştirilmeli

Şifre Yöneticisi Kullanın

Birden fazla güçlü şifreyi akılda tutmak imkânsızdır. Bu nedenle Bitwarden, 1Password veya LastPass gibi güvenilir bir şifre yöneticisi kullanmanızı öneriyoruz. Bu araçlar; güçlü şifreler oluşturmanıza, güvenli şekilde saklamanıza ve tek tıkla otomatik doldurmalarına olanak tanır.

Varsayılan "admin" Kullanıcı Adından Kaçının

WordPress'in eski sürümlerinde varsayılan olarak oluşturulan "admin" kullanıcı adı, saldırganların ilk denediği isimdir. Eğer hâlâ bu kullanıcı adını kullanıyorsanız, derhal değiştirin. Bunun için yeni bir yönetici hesabı oluşturun, içeriklerin sahipliğini bu hesaba aktarın ve eski "admin" hesabını silin.

İki Faktörlü Kimlik Doğrulama (2FA): Ekstra Güvenlik Katmanı

Şifreniz ele geçirilse bile sitenizi koruyabilecek en etkili güvenlik önlemlerinden biri iki faktörlü kimlik doğrulamadır (2FA). 2FA etkinleştirildiğinde, giriş yapmak için hem şifrenizi hem de telefonunuza gelen tek kullanımlık bir kodu girmeniz gerekir.

WordPress'te 2FA Nasıl Etkinleştirilir?

WordPress'e 2FA eklemek için çeşitli eklentiler mevcuttur:

  • Google Authenticator: Google'ın ücretsiz uygulamasıyla TOTP (Time-based One-Time Password) desteği sağlar
  • WP 2FA: Kullanımı kolay arayüzü ve çeşitli kimlik doğrulama yöntemleriyle öne çıkar
  • Wordfence Login Security: Kapsamlı güvenlik paketi içinde 2FA desteği sunar
  • Authy: Birden fazla cihazda kullanılabilen, yedekleme özellikli bir 2FA çözümüdür

2FA'yı yalnızca yönetici hesabı için değil, editör ve yazar gibi diğer kullanıcı rolleri için de etkinleştirmenizi kesinlikle tavsiye ediyoruz.

Eklenti ve Tema Güvenliği: Gizli Tehlikeler

WordPress güvenlik açıklarının büyük çoğunluğu, güncel olmayan veya güvenilmezsiz kaynaklardan indirilen eklenti ve temalardan kaynaklanmaktadır. 2024 yılında raporlanan WordPress güvenlik açıklarının yaklaşık %97'si eklenti ve temalardan kaynaklanmıştır.

Güvenli Eklenti ve Tema Seçimi İçin Kurallar

  • Yalnızca resmi WordPress.org deposundan veya güvenilir premium sağlayıcılardan eklenti/tema indirin
  • Son güncelleme tarihine dikkat edin; 6 aydan uzun süredir güncellenmemiş eklentilerden kaçının
  • Aktif kurulum sayısı ve kullanıcı yorumlarını inceleyin
  • Nulled (kırılmış) eklenti ve tema kullanmayın; bunlar neredeyse her zaman zararlı kod içerir
  • Kullanmadığınız tüm eklenti ve temaları silin; devre dışı bırakmak yeterli değildir
  • Tüm eklenti ve temaları düzenli olarak güncelleyin

Otomatik Güncellemeleri Etkinleştirin

WordPress 5.5 ve sonraki sürümlerinde eklenti ve temalar için otomatik güncelleme özelliği mevcuttur. Kritik güvenlik güncellemelerinin hemen uygulanması için bu özelliği etkinleştirmenizi öneririz. Ancak büyük sürüm güncellemelerini otomatik değil, önce test ortamında deneyerek gerçekleştirmeniz daha güvenlidir.

wp-admin Koruması: Yönetici Panelinizi Kilitleyin

WordPress yönetici paneli (/wp-admin ve /wp-login.php), saldırganların birincil hedefidir. Bu alanı ekstra güvenlik önlemleriyle korumak büyük önem taşır.

Giriş URL'sini Değiştirin

WPS Hide Login gibi eklentilerle WordPress giriş sayfasının varsayılan URL'sini değiştirebilirsiniz. /wp-login.php yerine yalnızca sizin bildiğiniz özel bir URL kullanmak, otomatik botların büyük çoğunluğunu engeller.

IP Tabanlı Erişim Kısıtlaması

Eğer sabit bir IP adresiniz varsa, .htaccess dosyası veya sunucu yapılandırması aracılığıyla yönetici paneline yalnızca kendi IP adresinizden erişime izin verebilirsiniz. Bu yöntem, yetkisiz girişleri neredeyse tamamen engeller.

Giriş Deneme Limitini Belirleyin

Brute force saldırılarına karşı, belirli sayıda başarısız giriş denemesinin ardından IP adresini geçici olarak engelleyen bir limit belirleyin. Limit Login Attempts Reloaded eklentisi bu işlem için kullanıcı dostu bir çözüm sunmaktadır.

HTTP Authentication Ekleyin

Yönetici paneline erişmeden önce sunucu düzeyinde bir kullanıcı adı/şifre doğrulaması eklemek, ek bir güvenlik katmanı oluşturur. Bu işlem için sunucunuzun .htaccess ve .htpasswd dosyalarını düzenleyebilirsiniz.

Dosya İzinleri: Sunucu Güvenliğinin Temeli

Doğru dosya izinleri, yetkisiz erişim ve dosya değişikliklerini önlemenin kritik bir yoludur. WordPress için önerilen dosya izinleri şu şekildedir:

  • Dizinler: 755 (rwxr-xr-x)
  • Dosyalar: 644 (rw-r--r--)
  • wp-config.php: 600 (rw-------) — Bu dosya veritabanı bilgilerini içerdiğinden özellikle önemlidir
  • .htaccess: 644 (rw-r--r--)

wp-config.php Güvenliği

wp-config.php dosyası, veritabanı bağlantı bilgilerini ve güvenlik anahtarlarını içeren en kritik WordPress dosyasıdır. Bu dosyayı bir üst dizine taşıyarak web üzerinden erişimi engelleyebilirsiniz. Ayrıca .htaccess dosyasına şu satırı ekleyerek doğrudan erişimi kapatabilirsiniz:

Güvenlik anahtarlarınızı (secret keys) düzenli aralıklarla yenileyin. WordPress.org'un güvenlik anahtarı üreteci üzerinden yeni anahtarlar oluşturabilirsiniz.

Güvenlik Eklentileri: Wordfence ve Sucuri

Kapsamlı bir WordPress güvenlik çözümü için güvenlik eklentileri vazgeçilmezdir. En popüler ve güvenilir iki seçenek şöyledir:

Wordfence Security

Wordfence, 5 milyonun üzerinde aktif kuruluma sahip en kapsamlı WordPress güvenlik eklentisidir. Temel özellikleri:

  • Gerçek zamanlı Web Uygulama Güvenlik Duvarı (WAF)
  • Zararlı yazılım taraması ve temizleme
  • Brute force koruması ve giriş güvenliği
  • İki faktörlü kimlik doğrulama
  • Gerçek zamanlı trafik izleme
  • Bilinen zararlı IP adreslerini engelleme
  • Ülke bazlı erişim engelleme (Premium)

Sucuri Security

Sucuri, özellikle kurumsal düzeyde güvenlik arayan siteler için tercih edilen güçlü bir güvenlik platformudur:

  • Bulut tabanlı Web Uygulama Güvenlik Duvarı
  • DDoS koruması
  • Zararlı yazılım taraması ve otomatik temizleme
  • Kara liste izleme (Google, Bing vb.)
  • Dosya bütünlüğü izleme
  • Güvenlik olayı günlükleme

Hangi Eklentiyi Seçmeli?

Kişisel blog veya küçük işletme siteleri için Wordfence'in ücretsiz sürümü genellikle yeterlidir. E-ticaret siteleri ve kurumsal projeler için Wordfence Premium veya Sucuri'nin ücretli planlarını değerlendirmenizi öneririz.

Düzenli Yedekleme: Son Savunma Hattı

Tüm güvenlik önlemlerini almış olsanız bile hiçbir sistem yüzde yüz güvenli değildir. Bu nedenle düzenli yedekleme, güvenlik stratejinizin vazgeçilmez bir parçasıdır. Bir saldırı gerçekleştiğinde, temiz bir yedeğe sahip olmak sitenizi saatler içinde kurtarmanızı sağlar.

Etkili Bir Yedekleme Stratejisi

  • Sıklık: Aktif siteler için günlük, az güncellenen siteler için haftalık yedekleme yeterlidir
  • Kapsam: Tüm veritabanını ve dosyaları (wp-content, temalar, eklentiler, yüklemeler) yedekleyin
  • Depolama: Yedekleri sunucunuzun dışında saklayın (Google Drive, Dropbox, Amazon S3)
  • Test: Yedeklerinizi düzenli aralıklarla geri yükleyerek çalıştığını doğrulayın
  • Saklama süresi: En az 30 günlük yedek geçmişi tutun

Önerilen Yedekleme Eklentileri

  • UpdraftPlus: En popüler yedekleme eklentisi; bulut depolama entegrasyonu ve kolay geri yükleme özelliğiyle öne çıkar
  • BackupBuddy: Kapsamlı özellikler sunan premium bir yedekleme çözümü
  • Duplicator: Site taşıma ve yedekleme için güçlü bir araç
  • VaultPress (Jetpack Backup): Gerçek zamanlı yedekleme ve tek tıkla geri yükleme imkânı

SSL Sertifikası: Şifreli Bağlantının Önemi

SSL (Secure Sockets Layer) sertifikası, siteniz ile ziyaretçileriniz arasındaki veri iletişimini şifreler. HTTPS kullanan siteler; hem ziyaretçi güvenini artırır hem de Google'ın sıralama algoritmasında avantaj elde eder. Günümüzde SSL sertifikası olmayan siteler tarayıcılar tarafından "Güvensiz" olarak işaretlenmektedir.

TheDomain hosting planlarının tamamında ücretsiz Let's Encrypt SSL sertifikası dahildir. Sertifikanız otomatik olarak kurulur ve yenilenir; sizin herhangi bir işlem yapmanıza gerek kalmaz.

WordPress Core Güncellemeleri: Güvenliği Ön Planda Tutun

WordPress çekirdeğinin güncel tutulması, bilinen güvenlik açıklarına karşı korunmanın en temel yoludur. WordPress ekibi, keşfedilen güvenlik açıklarını genellikle çok hızlı bir şekilde yamalar; bu nedenle güncellemeler çıktığında mümkün olan en kısa sürede uygulanmalıdır.

  • Küçük güvenlik ve bakım güncellemelerini (otomatik güncelleme ile) hemen uygulayın
  • Büyük sürüm güncellemelerini önce test ortamında deneyin
  • PHP sürümünüzü güncel tutun; WordPress artık PHP 7.4 ve altını resmi olarak desteklememektedir
  • MySQL/MariaDB sürümünüzü de güncel tutmayı unutmayın

TheDomain ile Güvenli WordPress Hosting

Tüm bu güvenlik önlemlerini tek başınıza uygulamak zaman alıcı ve karmaşık görünebilir. TheDomain'in güvenli WordPress hosting hizmetleri, bu karmaşıklığı sizin yerinize yönetmek üzere tasarlanmıştır.

TheDomain WordPress hosting planlarında sunulan güvenlik özellikleri:

  • Sunucu düzeyinde güvenlik duvarı ve DDoS koruması
  • Günlük otomatik yedekleme ve kolay geri yükleme
  • Ücretsiz SSL sertifikası (otomatik kurulum ve yenileme)
  • Zararlı yazılım taraması ve temizleme desteği
  • İzole hosting ortamı (komşu sitelerin güvenlik sorunlarından etkilenmezsiniz)
  • 7/24 teknik destek ekibi
  • Güncel PHP ve MySQL sürümleri
  • ModSecurity Web Uygulama Güvenlik Duvarı

WordPress güvenliği tek seferlik bir görev değil, sürekli devam eden bir süreçtir. Yukarıda paylaştığımız önlemleri uygulamak, sitenizin güvenliğini önemli ölçüde artıracak ve olası saldırılara karşı sizi koruyacaktır. Unutmayın: Güvenlik açısından en büyük risk, "benim sitem saldırıya uğramaz" düşüncesidir. Proaktif olmak her zaman reaktif olmaktan daha az maliyetlidir.

WordPress sitenizin güvenliği hakkında sorularınız varsa veya güvenli bir hosting çözümü arıyorsanız, TheDomain uzman ekibi size yardımcı olmaya hazırdır. Hemen thedomain.com.tr adresini ziyaret edin ve güvenli WordPress hosting planlarımızı inceleyin.

Bu yazıyı paylaş:
İlgili Yazılar

Bunları da Okuyun

WooCommerce Kurulumu: Adım Adım E-Ticaret Rehberi
Blog
21 Aralık 2025 1 dk

WooCommerce Kurulumu: Adım Adım E-Ticaret Rehberi

Devamını Oku
WordPress Hız Optimizasyonu: Core Web Vitals İçin İpuçları
Blog
06 Kasım 2025 1 dk

WordPress Hız Optimizasyonu: Core Web Vitals İçin İpuçları

Devamını Oku
Tüm Yazılar

Sorularınız mı Var?

Uzman ekibimiz size yardımcı olmaktan mutluluk duyar. Hemen iletişime geçin!

İletişime Geç Destek Al

© Copyright 1984 - 2025 theDomain - Tüm Hakları Saklıdır

Sepetim (0)

Toplam 0.00 TRY
Sepeti Gör