Geçen ay bir arkadaşımin WordPress sitesi hacklendi. Ana sayfa yerine garip bir yazi görünüyordu, yönetici paneline giremiyordu, Google’da site arandiginda “bu site zararli yazilim içerebilir” uyarisi çikiyordu. Olayi çözmek için tam iki gün harcadik. Bu deneyim bana WordPress güvenliginin ne kadar kritik oldugunu bir kez daha hatirlatti. Eger siz de WordPress kullaniyorsaniz, güvenlik açiklarini bilmek ve dogru korunma yöntemlerini uygulamak zorundasiniz.
Konu İçeriği
En Yaygin WordPress Güvenlik Açiklari
WordPress, dünyanin en çok kullanilan CMS’i ve bu da onu saldirilarin bir numarali hedefi yapiyor. 2026 verilerine göre WordPress sitelerin yillik %13’ü en az bir saldiriya uğruyor. Işte karsilasacaginiz en yaygin tehditler.
1. Zayif Yönetici Parolalari
Bunu duymaktan sikildiginizi biliyorum ama hâlâ en yaygin güvenlik açigi. “admin” kullanicisi, “123456” ya da “sifre” gibi parolalar kullanan binlerce site var. Brute-force saldirilari otomatik olarak milyonlarca WordPress sitesini tarayip zayif giris bilgilerini bulmaya çalisiyor. Arkadaşımın sitesi de tam bu sekilde ele geçirilmisti — parolasi dogum tarihiydi.
2. Eklenti ve Tema Güvenlik Açiklari
WordPress sitelerindeki güvenlik açiklarinin %60’i eklenti ve temalardan kaynaklaniyor. Güncellenmemis bir eklenti, hackerlarin sitenize sizmasi için en sik kullanilan yoldur. Her güncelleme sadece yeni özellik degil, bilinen güvenlik açiklarinin kapatilmasi anlamina gelir. Ben bu konuda çok hassasim: güncelleme çiktigi gün uygularim, ertelemem.
3. SQL Enjeksiyonu
Kötü kodlanmis eklentiler, veritabaniniza dogrudan erisim saglayabilir. SQL enjeksiyonu ile kullanic verileri çalinabilir, yazi içerigi degistirilebilir, hatta yönetici hesabi olusturulabilir. Özellikle ücretsiz ve bilinmeyen kaynaklardan indirdigim eklentilerde bu risk çok yüksek.
4. Cross-Site Scripting (XSS)
Sitenize eklenen zararli JavaScript kodlari, ziyaretçilerin tarayicilarinda çalistirilerek veri hirsizligi yapilabilir. Bir ziyaretçi sitenize girdiginde, haberi olmadan zararli bir kod çalisir ve bilgileri çalinir. Bu tür saldirilari fark etmek zor olabilir çünkü site görüntüsü degismez.
5. Dosya Yükleme Açiklari
Güvenli olmayan dosya yükleme mekanizmalari, saldirganlarin sunucunuza PHP veya zararli dosyalar yüklemesine olanak taniyor. Bir kez zararli dosya sunucuya girdi mi, saldirgan site üzerinde tam kontrol sahibi olabilir. Yorum formu, iletisim formu gibi alanlar bu açik için potansiyel giris noktalaridir.
Korunma Yöntemleri
Tehditleri taniyip korkmak ise yaramaz. Asil önemli olan dogru korunma adimlarini zamaninda uygulamaktir. Işte kategorilere ayirdigim önlemler.
Temel Güvenlik Önlemleri
- WordPress çekirdeğini, tüm eklentileri ve temalari sürekli güncelleyin — ben otomatik güncellemeleri açtım, en azindan küçük güncellemeler için
- Güçlü ve benzersiz yönetici parolasi kullanin — en az 12 karakter, büyük/küçük harf, rakam ve özel karakter içermeli
- Iki faktörlü dogrulama (2FA) aktif edin — telefonunuza gelen kod olmadan kimse giremez
- “admin” kullanici adini degistirin — bu en ilk adim olmali
- wp-login.php sayfasina erisimi sinirlayin — belirli IP adreslerinden girise izin verin
- Kullanmadiginiz eklentileri silin — devre disi birakmak yetmez, tamamen kaldirin
Gelismis Güvenlik Önlemleri
- WAF (Web Application Firewall) kullanin: Cloudflare veya Sucuri fena degil
- Düzenli yedekleme alin (UpdraftPlus veya BlogVault) — ben haftalik otomatik yedek aliyorum
- Güvenlik eklentisi kurun: Wordfence veya Solid Security
- Dosya izinlerini dogru ayarlayin — klasörler 755, dosyalar 644 olmali
- wp-config.php dosyasini koruyun — .htaccess ile erisimi engelleyin
- XML-RPC ve REST API erisimini sinirlayin — kullanmiyorsaniz kapatın
- PHP hata gösterimini kapatin — üretim ortaminda hata mesajlari güvenlik açigi olabilir
- wp-admin dizinine parola korumasi ekleyin — çift katmanli koruma
Önerilen Güvenlik Eklentileri
Piyasada onlarca güvenlik eklentisi var ama benim deneyimime göre su üç-çörtü denemek mantikli. Karsilastirma tablosu asagida.
| Eklenti | Ücret | Öne Çikan Özellik |
|---|---|---|
| Wordfence | Ücretsiz + Premium | Firewall, malware tarayici, giris güvenligi |
| Solid Security | Ücretsiz + Pro | Kapsamli güvenlik paketi, 2FA |
| Sucuri | $199/yil | Cloud-based firewall, CDN, temizleme |
| Limit Login Attempts Reloaded | Ücretsiz | Brute-force korumasi |
Ben uzun süre Wordfence kullandim, ücretsiz versiyonu bile çogu kisi için yeterli. Sucuri ise bütçeniz varsa en profesyonel çözüm, özellikle siteniz hacklenirse temizleme hizmeti dahil.
Güvenlik Kontrol Listesi
Sitenizi güvene almak için su adimlari tek tek kontrol edin. Ben her ay basinda bu listeyi gözden geçiriyorum.
- WordPress ve eklentileri güncel mi?
- Güçlü parola ve 2FA aktif mi?
- Güvenlik eklentisi kurulu mu?
- Düzenli yedekleme ayarlandi mi?
- SSL sertifikasi aktif mi?
- WAF kullaniyor musunuz?
- Kullanilmayan eklentiler silindi mi?
- Dosya izinleri dogru mu?
- Yönetici paneli erisimi sinirli mi?
- Yasal sayfalariniz (gizlilik politikasi, kullanim sartlari) mevcut mu?
Sonuç
WordPress güvenligi tek bir eklentiyle saglanmaz, katmanli bir yaklaşim gerektirir. Ama seferinde haberiniz bile olmadan siteniz ele geçirilebilir. Temel önlemleri alarak sitenizi saldirilarin %95’ine karsi koruyabilirsiniz. Güçlü parola, düzenli güncelleme ve bir güvenlik eklentisi — bu üç adim sizi çok uzun yola götürür. Benim ögrettigim en önemli ders: yedek almayi birakmayin. En kötü senaryoda bile yedeginiz varsa her seyi geri getirebilirsiniz.
