WordPress, dünya genelindeki web sitelerinin %43’üne güç veriyor. Bu yaygınlık, aynı zamanda onu siber saldırganlar için de en çok hedeflenen platform haline getiriyor. Sucuri’nin 2025 yılı raporuna göre, tüm CMS tabanlı saldırıların %96’sında WordPress siteleri hedef alınıyor.
Ancak bu rakam panik sebebi değil, harekete geçme sebebi. WordPress’in güvenlik açığı sayısı diğer platformlardan fazla değil; sorun, kullanıcıların temel güvenlik önlemlerini almadan sitelerini yayına açması. Çoğu WordPress güvenlik ihlali, yazılımın kendisinden değil, yanlış yapılandırmadan, güncellememesizlikten veya zayıf parola kullanımından kaynaklanıyor.
Bu rehberde, bir WordPress sitesini sıfırdan güvenli hale getirmek için gereken tüm teknik adımları, kullanılacak araçları ve sürdürülmesi gereken güvenlik rutinini anlatıyoruz.
Güvenlik önlemlerini almadan önce, hangi tehditlerle karşı karşıya olduğunu bilmek doğru savunma stratejisi oluşturur.
Brute force (kaba kuvvet) saldırıları: Otomatik yazılımlarla binlerce parola kombinasyonu denenerek yönetici paneline erişim sağlanmaya çalışılır. WordPress’te en sık karşılaşılan saldırı türüdür ve “admin” kullanıcı adını kullanan siteler özellikle risk altındadır.
Yazılım açıkları (vulnerabilities): Güncellenmemiş WordPress çekirdeği, tema ve eklentiler, bilinen güvenlik açıklarına sahip olur. Saldırganlar bu açıkları kullanarak siteye yetkisiz kod enjekte edebilir.
Malware ve backdoor bulaşması: Güvenliği zayıf olan sitelere kötü amaçlı yazılım bulaştırılır. Bu yazılımlar ziyaretçileri başka sitelere yönlendirebilir, arama motoru sıralamalarını düşürebilir veya sunucu kaynaklarını kripto madencilik için kullanabilir.
SQL enjeksiyonu ve XSS: Eklentilerdeki kod açıkları üzerinden veritabanına sızma veya kullanıcılara zararlı JavaScript kodu gönderme saldırılarıdır. Özellikle popüler ama güncellenmeyen eklentiler bu tür saldırılara açık olur.
Ddos ve kaynak tüketimi: Küçük çaplı DDoS saldırıları, paylaşımlı hosting ortamındaki WordPress sitelerini devre dışı bırakabilir. Botnet trafiği sunucu kaynaklarını tüketerek sitenin yanıt veremez hale gelmesine neden olur.
Yönetici paneli, WordPress sitenizin en kritik giriş noktasıdır. Bu paneli korumak, güvenlik zincirinin ilk ve en önemli halkasıdır.
Varsayılan kullanıcı adını değiştirin: “admin” kullanıcı adı, brute force saldırılarının birinci hedefidir. Yeni bir yönetici hesabı oluşturup eski “admin” hesabını silin. Kullanıcı adında site adını, “administrator” veya “yonetici” gibi tahmin edilebilir ifadeler kullanmayın.
Güçlü parola politikası: En az 16 karakter uzunluğunda, büyük-küçük harf, rakam ve özel karakter içeren bir parola kullanın. Parola yöneticisi (1Password, Bitwarden) kullanarak her site için özgün parola üretin.
İki faktörlü kimlik doğrulama (2FA): WP 2FA veya Wordfence Login Security eklentisiyle 2FA aktif edin. Her giriş denemesinde telefona gelen kodu girmek, çalınmış parolaların bile kullanılmasını engeller.
Giriş denemesi sınırlandırma: Limit Login Attempts Reloaded veya benzeri bir eklentiyle belirli sayıda başarısız girişten sonra IP’yi geçici olarak engelleyin. Bu, brute force saldırılarını otomatik olarak durdurur.
wp-admin dizinini koruma: Sunucu düzeyinde wp-admin dizinine ekstra parola katmanı (HTTP Basic Auth) ekleyerek çift katmanlı koruma sağlayabilirsiniz.
WordPress güvenlik açıklarının %56’sı eklentilerden, %22’si WordPress çekirdeğinden ve %14’ü temalardan kaynaklanıyor. Güncellemeleri zamanında yapmak, bu açıkların kapatılmasını sağlar.
Otomatik güncelleme yapılandırması: WordPress 6.x ile birlikte küçük sürüm güncellemeleri (6.8.1 → 6.8.2 gibi) otomatik yapılıyor. Ancak büyük sürüm güncellemeleri ve eklenti/tema güncellemeleri için şu yapılandırmayı wp-config.php dosyasına ekleyin:
define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');Güncelleme öncesi yedek: Her güncelleme öncesi tam yedek almayı rutin hale getirin. Eklenti güncellemesi bile bazen uyumsuzluğa neden olabilir. Yedek olmadan güncelleme yapmak, kurtarılamayacak bir çöküşle sonuçlanabilir.
Terk edilmiş eklentileri kaldırın: 2 yıldan fazla süredir güncellenmemiş eklentiler, güvenlik riski taşır. Aktif olarak kullanmasanız bile dosyaları sunucuda duran eklentileri tamamen kaldırın, yalnızca devre dışı bırakmak yeterli değil.
Web Application Firewall (WAF), sitenize gelen trafiği gerçek zamanlı analiz ederek zararlı istekleri engeller. WordPress için en yaygın kullanılan WAF çözümlerini değerlendirelim.
Cloudflare: DNS düzeyinde çalışan, ücretsiz planıyla bile temel DDoS koruması ve bot filtreleme sunan bir CDN ve güvenlik hizmetidir. WordPress sitenizin önüne Cloudflare’i yerleştirmek, saldırıların sunucunuza ulaşmadan engellenmesini sağlar. Sunucu düzeyinde güvenlik önlemleri hakkında daha fazla bilgi için WAF ve sunucu güvenliği rehberimizi inceleyebilirsiniz.
Wordfence: WordPress’e özel bir güvenlik eklentisidir. Endpoint firewall, malware tarayıcısı ve giriş güvenliği özelliklerini tek çatı altında sunar. Ücretsiz sürümü temel koruma sağlarken, premium sürüm gerçek zamanlı tehdit istihbaratı ve gelişmiş kural seti içerir.
Sucuri: Bulut tabanlı bir WAF ve malware temizleme hizmetidir. Siteyi Sucuri’nin CDN’i arkasına alarak tüm trafik filtrelenir. Eğer siteniz daha önce hacklendiyse, Sucuri’nin profesyonel temizleme hizmeti güvenilir bir seçenektir.
WebDoktoru Security: Kayseri merkezli geliştirilen, WordPress siteleri için hızlı ve etkili bir güvenlik eklentisidir. Temel güvenlik önlemlerini tek panelde sunarak site sahiplerinin teknik bilgi olmadan güvenlik yapılandırması yapmasını sağlar. Detaylı bilgi için WebDoktoru Security sayfamızı inceleyebilirsiniz.
WordPress dosya yapısının doğru yapılandırılması, sunucu düzeyinde güvenliği güçlendirir. Bu ayarlar genellikle kurulum sırasında atlanır ve sonradan fark edilmez.
Dosya izinleri: Yanlış dosya izinleri, saldırganların dosyaları değiştirmesine olanak tanır. Doğru yapılandırma:
wp-config.php güvenliği: Bu dosya veritabanı bağlantı bilgilerinizi ve güvenlik anahtarlarınızı içerir. Şu ek önlemleri alın:
AUTH_KEY, SECURE_AUTH_KEY vb.) yeniden üretinwp_ yerine benzersiz bir önek olarak değiştirinDizin listesini kapatma: .htaccess veya nginx.conf dosyasına Options -Indexes ekleyerek klasör içeriğinin tarayıcıdan görüntülenmesini engelleyin.
XML-RPC ve REST API sınırlandırma: XML-RPC, brute force saldırıları için kullanılan yaygın bir vektördür. Kullanmıyorsanız tamamen devre dışı bırakın. REST API ise yalnızca gerekli uç nokmaları açık bırakarak sınırlandırın.
wp-config.php’yü HTTPS ile koruyun: Admin panelini ve giriş sayfasını her zaman HTTPS üzerinden zorunlu kılın. wp-config.php’ye define('FORCE_SSL_ADMIN', true); satırını ekleyin.
Güvenlik ihlali yaşandığında kurtarma stratejisinin temeli, düzenli ve güvenilir yedeklemeye dayanır. Yedek olmadan, hacklenmiş bir siteyi temizlemek bazesinden yeniden kurmak daha uzun sürer.
Yedekleme sıklığı: Site içeriğine göre yedek sıklığı değişir. Aktif bir blog veya e-ticaret sitesi için günlük yedek şarttır. Haftada birkaç içerik girilen bir kurumsal site için günlük veritabanı + haftalık tam yedek yeterlidir.
Yedekleme çözümleri:
Yedeklerin saklanması: Yedekleri sunucu ile aynı ortamda tutmayın. Bir saldırı hem siteyi hem yedekleri etkiler. En az iki farklı lokasyonda (farklı bulut hizmeti + yerel bilgisayar) yedek saklayın.
Yedek testi: Yedeklerinizi düzenli olarak test edin. Aylık olarak bir yedeği test ortamında geri yükleyip çalıştığını doğrulayın. Geri yüklenemeyen bir yedek, hiç yedek olmamasıyla aynı şeydir.
WordPress veritabanı, sitenizin tüm içeriğini, kullanıcı bilgilerini ve ayarlarını barındırır. Veritabanı güvenliğini sağlamak, site bütünlüğünü korumak anlamına gelir.
Tablo öneki değişikliği: Kurulum sırasında varsayılan wp_ öneki kullanılmışsa, bunu benzersiz bir önekle değiştirin. Bu, SQL enjeksiyon saldırılarını zorlaştırır. İotbrush Security veya Brozzme DB Prefix eklentileriyle bu işlemi güvenli şekilde yapabilirsiniz.
Veritabanı kullanıcısı yetkileri: WordPress’in veritabanı kullanıcısına yalnızca gerekli yetkileri verin. GRANT ALL yerine SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, INDEX yetkileri yeterlidir.
PhpMyAdmin erişimi: PhpMyAdmin’i genel erişime açık bırakmayın. Belirli bir IP’den veya SSH tüneli üzerinden erişilebilir şekilde yapılandırın. Mümkünse, araç gerektiğinde geçici olarak aktif edip kullanım sonrası devre dışı bırakın.
Veritabanı temizliği: Zamanla biriken gereksiz veriler (revizyonlar, spam yorumlar, transient kayıtlar) veritabanı performansını düşürür. WP-Optimize eklentisiyle haftalık otomatik temizlik yapılandırın. Düzenli bakım hakkında web sitesi bakım rehberimizi okuyabilirsiniz.
Eklentiler ve temalar, WordPress’in en büyük gücü ama aynı zamanda en büyük güvenlik zayıflığıdır. Her eklenen eklenti, potansiyel bir saldırı vektörü anlamına gelir.
Minimalist yaklaşım: Yalnızca gerçekten gerekli eklentileri kullanın. Aktif olmayan eklentileri ve temaları tamamen silin. Site başına 10-15 eklentinin üzerinde kullanım, güvenlik riskini orantısız artırır.
Eklenti seçim kriterleri:
Premium eklenti riskleri: Lisanssız (nulled) premium eklentiler ve temalar, sıklıkla backdoor ve malware içerir. Ücretsiz indirip kullandığınız bir premium eklenti, sitenizi başkalarına açabilir. Her zaman orijinal kaynaktan lisanslı eklenti alın.
Tema güvenliği: Tema seçerken de eklenti kriterlerini uygulayın. Düzenli güncellenmeyen, bilinmeyen geliştiricilerden indirilen temalar ciddi risk taşır. Astra, GeneratePress, Hello Elementor gibi yaygın kullanılan ve aktif bakımı olan temaları tercih edin.
Güvenlik ihlalinin tespit süresi, hasarın boyutunu doğrudan belirler. Bir saldırıyı ilk saatte yakalamakla, haftalar sonra fark etmek arasındaki maliyet farkı çok büyüktür.
İhlal belirtileri:
İzleme araçları:
HTTPS, yalnızca bir sıralama faktörü değil, temel bir güvenlik katmanıdır. Kullanıcı verilerinin şifreli olarak iletilmesini sağlar ve ortadaki adam (man-in-the-middle) saldırılarını engeller.
SSL sertifikası kurulumu: Let’s Encrypt ücretsiz SSL sertifikası sunar. Çoğu hosting sağlayıcı, tek tıkla Let’s Encrypt kurulumu sunuyor. Ücretli EV SSL sertifikaları, e-ticaret siteleri için ekstra güven katmanı sağlar ve tarayıcı çubuğunda şirket adını gösterir.
HTTPS yönlendirmesi: SSL sertifikası kurulduktan sonra tüm HTTP trafiğini HTTPS’e yönlendirin. .htaccess dosyasına 301 yönlendirme kuralı ekleyin veya Really Simple SSL eklentisini kullanın.
Karışık içerli (mixed content) düzeltme: HTTPS sayfalarda HTTP kaynak yüklenmesi, tarayıcıda güvenlik uyarısına neden olur. Better Search Replace eklentisiyle veritabanındaki tüm HTTP referanslarını HTTPS olarak güncelleyin.
Güvenlik tek seferlik bir kurulum değil, sürekli bir süreçtir. Aşağıdaki kontrol listesini rutin olarak uygulayarak sitenizi koruma altında tutun.
Günlük:
Haftalık:
Aylık:
Üç ayda bir:
Wordfence, Sucuri ve iThemes Security Pro en yaygın kullanılan üç çözümdür. Wordfence ücretsiz sürümüyle güçlü koruma sunarken, Sucuri bulut tabanlı WAF ile öne çıkıyor. Seçim, ihtiyacınıza (endpoint koruma mı, bulut WAF mı) bağlıdır. Birden fazla güvenlik eklentisi kullanmak çakışmaya neden olabilir; birini seçip derinlemesine yapılandırma yapın.
Önce hosting sağlayıcınızı bilgilendirin. Sonra en son temiz yedekten geri yükleme yapın. Yedek yoksa, tüm WordPress dosyalarını silip temiz kurulum yapın ve veritabanını içe aktarın. Eklentileri yalnızca WordPress.org’daki orijinal kaynaklardan yeniden kurun. Tüm parolaları değiştirin. Google Search Console’da güvenlik doğrulaması yapın.
Temel düzeyde evet: güçlü parola, 2FA, düzenli güncelleme, güvenlik eklentisi ve yedekleme ücretsiz yapılabilir. Ancak e-ticaret siteleri, yüksek trafikli portallar veya kritik veri taşıyan kurumsal siteler için sunucu düzeyinde WAF, profesyonel izleme ve yedekleme hizmeti gerekebilir.
Kendi başınıza yapacaksanız, eklenti lisansları ve hosting güvenlik özellikleri dışında maliyet yoktur. Profesyonel güvenlik yapılandırması ve izleme hizmeti için 8.000-30.000 TL aralığında bir yatırım planlanabilir. Detaylı bilgi için iletişim sayfamız üzerinden bize ulaşabilirsiniz.
WordPress güvenlik, karmaşık veya pahalı bir süreç olmak zorunda değil. Güçlü kimlik doğrulama, düzenli güncelleme disiplini, güvenlik duvarı, doğru dosya izinleri ve yedekleme stratejisi — bu temel beş adım, WordPress sitenizi olası saldırıların büyük çoğunluğuna karşı korur.
2026’da yapay zeka destekli bot saldırıları daha sofistike hale geliyor, ancak savunma araçları da aynı hızla gelişiyor. Önemli olan, güvenliği “bir kere yapıp unutmak” değil, sürekli bir bakım süreci olarak benimsemektir.
Web Doktoru olarak WordPress güvenlik denetimi, malware temizleme, WAF yapılandırması ve sürekli izleme hizmeti sunuyoruz. Sitenizin güvenlik analizini yaptırmak için iletişim sayfamız üzerinden bize ulaşabilirsiniz.
WordPress Güvenlik Rehberi 2026: Sitelerinizi Saldırılardan Nasıl Korursunuz?
WordPress, dünya genelindeki web sitelerinin %43’üne güç veriyor. Bu yaygınlık, aynı zamanda onu siber saldırganlar için de en çok hedeflenen platform haline getiriyor. Sucuri’nin 2025
WordPress Site Hızlandırma Rehberi 2026: Core Web Vitals ve PageSpeed Optimizasyonu
WordPress sitelerinde hız sorunu, yalnızca kullanıcı deneyimini değil, arama motoru sıralamalarını da doğrudan etkiliyor. Google, 2024’te Interaction to Next Paint (INP) metriğini First Input Delay
E-Ticaret Sitesi Kurmak İçin Adım Adım Rehber (2026)
E-ticaret sitesi kurmak isteyen girişimciler ve mevcut işletmesini dijitalleştirmek isteyen firmalar için kapsamlı rehber. Platform seçimi, ödeme sistemleri, SEO ve güvenlik adımları detaylı şekilde anlatılıyor.
