WordPress Güvenlik Rehberi 2026: Sitelerinizi Saldırılardan Nasıl Korursunuz?

WordPress, dünya genelindeki web sitelerinin %43’üne güç veriyor. Bu yaygınlık, aynı zamanda onu siber saldırganlar için de en çok hedeflenen platform haline getiriyor. Sucuri’nin 2025 yılı raporuna göre, tüm CMS tabanlı saldırıların %96’sında WordPress siteleri hedef alınıyor.

Ancak bu rakam panik sebebi değil, harekete geçme sebebi. WordPress’in güvenlik açığı sayısı diğer platformlardan fazla değil; sorun, kullanıcıların temel güvenlik önlemlerini almadan sitelerini yayına açması. Çoğu WordPress güvenlik ihlali, yazılımın kendisinden değil, yanlış yapılandırmadan, güncellememesizlikten veya zayıf parola kullanımından kaynaklanıyor.

Bu rehberde, bir WordPress sitesini sıfırdan güvenli hale getirmek için gereken tüm teknik adımları, kullanılacak araçları ve sürdürülmesi gereken güvenlik rutinini anlatıyoruz.

WordPress Sitelerini En Çok Tehdit Eden Riskler

Güvenlik önlemlerini almadan önce, hangi tehditlerle karşı karşıya olduğunu bilmek doğru savunma stratejisi oluşturur.

Brute force (kaba kuvvet) saldırıları: Otomatik yazılımlarla binlerce parola kombinasyonu denenerek yönetici paneline erişim sağlanmaya çalışılır. WordPress’te en sık karşılaşılan saldırı türüdür ve “admin” kullanıcı adını kullanan siteler özellikle risk altındadır.

Yazılım açıkları (vulnerabilities): Güncellenmemiş WordPress çekirdeği, tema ve eklentiler, bilinen güvenlik açıklarına sahip olur. Saldırganlar bu açıkları kullanarak siteye yetkisiz kod enjekte edebilir.

Malware ve backdoor bulaşması: Güvenliği zayıf olan sitelere kötü amaçlı yazılım bulaştırılır. Bu yazılımlar ziyaretçileri başka sitelere yönlendirebilir, arama motoru sıralamalarını düşürebilir veya sunucu kaynaklarını kripto madencilik için kullanabilir.

SQL enjeksiyonu ve XSS: Eklentilerdeki kod açıkları üzerinden veritabanına sızma veya kullanıcılara zararlı JavaScript kodu gönderme saldırılarıdır. Özellikle popüler ama güncellenmeyen eklentiler bu tür saldırılara açık olur.

Ddos ve kaynak tüketimi: Küçük çaplı DDoS saldırıları, paylaşımlı hosting ortamındaki WordPress sitelerini devre dışı bırakabilir. Botnet trafiği sunucu kaynaklarını tüketerek sitenin yanıt veremez hale gelmesine neden olur.

Adım 1: Güçlü Kimlik Doğrulama Kurun

Yönetici paneli, WordPress sitenizin en kritik giriş noktasıdır. Bu paneli korumak, güvenlik zincirinin ilk ve en önemli halkasıdır.

Varsayılan kullanıcı adını değiştirin: “admin” kullanıcı adı, brute force saldırılarının birinci hedefidir. Yeni bir yönetici hesabı oluşturup eski “admin” hesabını silin. Kullanıcı adında site adını, “administrator” veya “yonetici” gibi tahmin edilebilir ifadeler kullanmayın.

Güçlü parola politikası: En az 16 karakter uzunluğunda, büyük-küçük harf, rakam ve özel karakter içeren bir parola kullanın. Parola yöneticisi (1Password, Bitwarden) kullanarak her site için özgün parola üretin.

İki faktörlü kimlik doğrulama (2FA): WP 2FA veya Wordfence Login Security eklentisiyle 2FA aktif edin. Her giriş denemesinde telefona gelen kodu girmek, çalınmış parolaların bile kullanılmasını engeller.

Giriş denemesi sınırlandırma: Limit Login Attempts Reloaded veya benzeri bir eklentiyle belirli sayıda başarısız girişten sonra IP’yi geçici olarak engelleyin. Bu, brute force saldırılarını otomatik olarak durdurur.

wp-admin dizinini koruma: Sunucu düzeyinde wp-admin dizinine ekstra parola katmanı (HTTP Basic Auth) ekleyerek çift katmanlı koruma sağlayabilirsiniz.

Adım 2: Güncelleme Disiplini

WordPress güvenlik açıklarının %56’sı eklentilerden, %22’si WordPress çekirdeğinden ve %14’ü temalardan kaynaklanıyor. Güncellemeleri zamanında yapmak, bu açıkların kapatılmasını sağlar.

Otomatik güncelleme yapılandırması: WordPress 6.x ile birlikte küçük sürüm güncellemeleri (6.8.1 → 6.8.2 gibi) otomatik yapılıyor. Ancak büyük sürüm güncellemeleri ve eklenti/tema güncellemeleri için şu yapılandırmayı wp-config.php dosyasına ekleyin:

define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');

Güncelleme öncesi yedek: Her güncelleme öncesi tam yedek almayı rutin hale getirin. Eklenti güncellemesi bile bazen uyumsuzluğa neden olabilir. Yedek olmadan güncelleme yapmak, kurtarılamayacak bir çöküşle sonuçlanabilir.

Terk edilmiş eklentileri kaldırın: 2 yıldan fazla süredir güncellenmemiş eklentiler, güvenlik riski taşır. Aktif olarak kullanmasanız bile dosyaları sunucuda duran eklentileri tamamen kaldırın, yalnızca devre dışı bırakmak yeterli değil.

Adım 3: Güvenlik Duvarı ve Tarama

Web Application Firewall (WAF), sitenize gelen trafiği gerçek zamanlı analiz ederek zararlı istekleri engeller. WordPress için en yaygın kullanılan WAF çözümlerini değerlendirelim.

Cloudflare: DNS düzeyinde çalışan, ücretsiz planıyla bile temel DDoS koruması ve bot filtreleme sunan bir CDN ve güvenlik hizmetidir. WordPress sitenizin önüne Cloudflare’i yerleştirmek, saldırıların sunucunuza ulaşmadan engellenmesini sağlar. Sunucu düzeyinde güvenlik önlemleri hakkında daha fazla bilgi için WAF ve sunucu güvenliği rehberimizi inceleyebilirsiniz.

Wordfence: WordPress’e özel bir güvenlik eklentisidir. Endpoint firewall, malware tarayıcısı ve giriş güvenliği özelliklerini tek çatı altında sunar. Ücretsiz sürümü temel koruma sağlarken, premium sürüm gerçek zamanlı tehdit istihbaratı ve gelişmiş kural seti içerir.

Sucuri: Bulut tabanlı bir WAF ve malware temizleme hizmetidir. Siteyi Sucuri’nin CDN’i arkasına alarak tüm trafik filtrelenir. Eğer siteniz daha önce hacklendiyse, Sucuri’nin profesyonel temizleme hizmeti güvenilir bir seçenektir.

WebDoktoru Security: Kayseri merkezli geliştirilen, WordPress siteleri için hızlı ve etkili bir güvenlik eklentisidir. Temel güvenlik önlemlerini tek panelde sunarak site sahiplerinin teknik bilgi olmadan güvenlik yapılandırması yapmasını sağlar. Detaylı bilgi için WebDoktoru Security sayfamızı inceleyebilirsiniz.

Adım 4: Dosya ve Dizin Güvenliği

WordPress dosya yapısının doğru yapılandırılması, sunucu düzeyinde güvenliği güçlendirir. Bu ayarlar genellikle kurulum sırasında atlanır ve sonradan fark edilmez.

Dosya izinleri: Yanlış dosya izinleri, saldırganların dosyaları değiştirmesine olanak tanır. Doğru yapılandırma:

• Klasörler: 755 (sahibi okuyabilir, yazabilir, çalıştırabilir; diğerleri okuyabilir ve çalıştırabilir)
• Dosyalar: 644 (sahibi okuyabilir ve yazabilir; diğerleri yalnızca okuyabilir)
• wp-config.php: 440 veya 400 (yalnızca sahibi okuyabilir)

wp-config.php güvenliği: Bu dosya veritabanı bağlantı bilgilerinizi ve güvenlik anahtarlarınızı içerir. Şu ek önlemleri alın:

• Dosyayı public_html dizininin bir üstüne taşıyarak doğrudan erişimi engelleyin (çoğu hosting bunu destekler)
• Güvenlik anahtarlarını (AUTH_KEY, SECURE_AUTH_KEY vb.) yeniden üretin
• Veritabanı tablo önekini varsayılan wp_ yerine benzersiz bir önek olarak değiştirin

Dizin listesini kapatma: .htaccess veya nginx.conf dosyasına Options -Indexes ekleyerek klasör içeriğinin tarayıcıdan görüntülenmesini engelleyin.

XML-RPC ve REST API sınırlandırma: XML-RPC, brute force saldırıları için kullanılan yaygın bir vektördür. Kullanmıyorsanız tamamen devre dışı bırakın. REST API ise yalnızca gerekli uç nokmaları açık bırakarak sınırlandırın.

wp-config.php’yü HTTPS ile koruyun: Admin panelini ve giriş sayfasını her zaman HTTPS üzerinden zorunlu kılın. wp-config.php’ye define('FORCE_SSL_ADMIN', true); satırını ekleyin.

Adım 5: Yedekleme Stratejisi

Güvenlik ihlali yaşandığında kurtarma stratejisinin temeli, düzenli ve güvenilir yedeklemeye dayanır. Yedek olmadan, hacklenmiş bir siteyi temizlemek bazesinden yeniden kurmak daha uzun sürer.

Yedekleme sıklığı: Site içeriğine göre yedek sıklığı değişir. Aktif bir blog veya e-ticaret sitesi için günlük yedek şarttır. Haftada birkaç içerik girilen bir kurumsal site için günlük veritabanı + haftalık tam yedek yeterlidir.

Yedekleme çözümleri:

• UpdraftPlus: WordPress’in en çok kullanılan yedekleme eklentisi. Google Drive, Dropbox, S3 gibi bulut hizmetlerine otomatik yedek gönderir. Ücretsiz sürümü çoğu site için yeterli
• BlogVault: Artımlı yedekleme sunarak sunucu yükünü minimize eder. Geri yükleme işlemi tek tıkla yapılabilir
• Sunucu düzeyinde yedek: Hosting sağlayıcınızın sunduğu otomatik yedeklemeyi aktif edin. Ancak buna güvenmek tek başına yeterli değil; bağımsız bir yedek daha bulundurun

Yedeklerin saklanması: Yedekleri sunucu ile aynı ortamda tutmayın. Bir saldırı hem siteyi hem yedekleri etkiler. En az iki farklı lokasyonda (farklı bulut hizmeti + yerel bilgisayar) yedek saklayın.

Yedek testi: Yedeklerinizi düzenli olarak test edin. Aylık olarak bir yedeği test ortamında geri yükleyip çalıştığını doğrulayın. Geri yüklenemeyen bir yedek, hiç yedek olmamasıyla aynı şeydir.

Adım 6: Veritabanı Güvenliği

WordPress veritabanı, sitenizin tüm içeriğini, kullanıcı bilgilerini ve ayarlarını barındırır. Veritabanı güvenliğini sağlamak, site bütünlüğünü korumak anlamına gelir.

Tablo öneki değişikliği: Kurulum sırasında varsayılan wp_ öneki kullanılmışsa, bunu benzersiz bir önekle değiştirin. Bu, SQL enjeksiyon saldırılarını zorlaştırır. İotbrush Security veya Brozzme DB Prefix eklentileriyle bu işlemi güvenli şekilde yapabilirsiniz.

Veritabanı kullanıcısı yetkileri: WordPress’in veritabanı kullanıcısına yalnızca gerekli yetkileri verin. GRANT ALL yerine SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, INDEX yetkileri yeterlidir.

PhpMyAdmin erişimi: PhpMyAdmin’i genel erişime açık bırakmayın. Belirli bir IP’den veya SSH tüneli üzerinden erişilebilir şekilde yapılandırın. Mümkünse, araç gerektiğinde geçici olarak aktif edip kullanım sonrası devre dışı bırakın.

Veritabanı temizliği: Zamanla biriken gereksiz veriler (revizyonlar, spam yorumlar, transient kayıtlar) veritabanı performansını düşürür. WP-Optimize eklentisiyle haftalık otomatik temizlik yapılandırın. Düzenli bakım hakkında web sitesi bakım rehberimizi okuyabilirsiniz.

Adım 7: Eklenti ve Tema Yönetimi

Eklentiler ve temalar, WordPress’in en büyük gücü ama aynı zamanda en büyük güvenlik zayıflığıdır. Her eklenen eklenti, potansiyel bir saldırı vektörü anlamına gelir.

Minimalist yaklaşım: Yalnızca gerçekten gerekli eklentileri kullanın. Aktif olmayan eklentileri ve temaları tamamen silin. Site başına 10-15 eklentinin üzerinde kullanım, güvenlik riskini orantısız artırır.

Eklenti seçim kriterleri:

• WordPress.org deposunda listelenmiş olmalı
• Son güncelleme 6 ay içinde yapılmış olmalı
• Aktif kurulum sayısı 10.000’in üzerinde olmalı
• Ortalama puan 4.0’ın altında olmamalı
• Geliştirici destek forumlarına düzenli yanıt veriyor olmalı

Premium eklenti riskleri: Lisanssız (nulled) premium eklentiler ve temalar, sıklıkla backdoor ve malware içerir. Ücretsiz indirip kullandığınız bir premium eklenti, sitenizi başkalarına açabilir. Her zaman orijinal kaynaktan lisanslı eklenti alın.

Tema güvenliği: Tema seçerken de eklenti kriterlerini uygulayın. Düzenli güncellenmeyen, bilinmeyen geliştiricilerden indirilen temalar ciddi risk taşır. Astra, GeneratePress, Hello Elementor gibi yaygın kullanılan ve aktif bakımı olan temaları tercih edin.

Adım 8: İzleme ve Erken Uyarı

Güvenlik ihlalinin tespit süresi, hasarın boyutunu doğrudan belirler. Bir saldırıyı ilk saatte yakalamakla, haftalar sonra fark etmek arasındaki maliyet farkı çok büyüktür.

İhlal belirtileri:

• Site açılışında beklenmeyen yönlendirme veya popup
• Google Search Console’da “bu site saldırıya uğramış olabilir” uyarısı
• Arama sonuçlarında site başlığının değişmesi veya spam içerik görünmesi
• Yönetici panelinde tanınmayan kullanıcı hesapları
• Ani trafik düşüşü veya artışı
• Sunucu loglarında şüpheli POST istekleri veya dosya yükleme girişimleri

İzleme araçları:

• Google Search Console: Güvenlik sorunları bildirimlerini aktif edin. Google, sitenizde malware tespit ederse e-posta bildirimi gönderir
• Uptime Robot: Site yanıt vermez hale gelirse anında bildirim alın. 50 dakikada bir ücretsiz kontrol yeterli
• Sucuri SiteCheck: Haftalık olarak sitenizi ücretsiz tarayarak malware ve blacklist durumunu kontrol edin
• WordPress güvenlik logları: Activity Log eklentisi ile tüm kullanıcı işlemlerini (giriş, içerik değişikliği, eklenti aktivasyonu) kayıt altına alın

Adım 9: SSL ve HTTPS Zorunluluğu

HTTPS, yalnızca bir sıralama faktörü değil, temel bir güvenlik katmanıdır. Kullanıcı verilerinin şifreli olarak iletilmesini sağlar ve ortadaki adam (man-in-the-middle) saldırılarını engeller.

SSL sertifikası kurulumu: Let’s Encrypt ücretsiz SSL sertifikası sunar. Çoğu hosting sağlayıcı, tek tıkla Let’s Encrypt kurulumu sunuyor. Ücretli EV SSL sertifikaları, e-ticaret siteleri için ekstra güven katmanı sağlar ve tarayıcı çubuğunda şirket adını gösterir.

HTTPS yönlendirmesi: SSL sertifikası kurulduktan sonra tüm HTTP trafiğini HTTPS’e yönlendirin. .htaccess dosyasına 301 yönlendirme kuralı ekleyin veya Really Simple SSL eklentisini kullanın.

Karışık içerli (mixed content) düzeltme: HTTPS sayfalarda HTTP kaynak yüklenmesi, tarayıcıda güvenlik uyarısına neden olur. Better Search Replace eklentisiyle veritabanındaki tüm HTTP referanslarını HTTPS olarak güncelleyin.

Adım 10: Güvenlik Kontrol Listesi ve Rutin

Güvenlik tek seferlik bir kurulum değil, sürekli bir süreçtir. Aşağıdaki kontrol listesini rutin olarak uygulayarak sitenizi koruma altında tutun.

Günlük:

• Site erişilebilirliğini otomatik izleme
• Güvenlik eklentisi bildirimlerini kontrol etme

Haftalık:

• WordPress çekirdek, tema ve eklenti güncellemelerini uygulama
• Güvenlik taraması çalıştırma
• Yedeklerin başarıyla alındığını doğrulama
• Kullanıcı hesaplarını gözden geçirme

Aylık:

• Parolaları yenileme (yönetici hesapları)
• Eklenti ve tema listesini değerlendirme, gerekmeyenleri kaldırma
• Veritabanı optimizasyonu ve temizliği
• Güvenlik loglarını inceleme
• Yedekten geri yükleme testi yapma

Üç ayda bir:

• Kullanıcı yetkilerini denetleme
• SSL sertifikası geçerliliğini kontrol etme
• Hosting ve sunucu güvenlik ayarlarını gözden geçirme
• Güvenlik duvarı kurallarını güncelleme

Sık Sorulan Sorular

WordPress güvenlik eklentisi hangisi en iyi?

Wordfence, Sucuri ve iThemes Security Pro en yaygın kullanılan üç çözümdür. Wordfence ücretsiz sürümüyle güçlü koruma sunarken, Sucuri bulut tabanlı WAF ile öne çıkıyor. Seçim, ihtiyacınıza (endpoint koruma mı, bulut WAF mı) bağlıdır. Birden fazla güvenlik eklentisi kullanmak çakışmaya neden olabilir; birini seçip derinlemesine yapılandırma yapın.

WordPress sitem hacklendi, ne yapmalıyım?

Önce hosting sağlayıcınızı bilgilendirin. Sonra en son temiz yedekten geri yükleme yapın. Yedek yoksa, tüm WordPress dosyalarını silip temiz kurulum yapın ve veritabanını içe aktarın. Eklentileri yalnızca WordPress.org’daki orijinal kaynaklardan yeniden kurun. Tüm parolaları değiştirin. Google Search Console’da güvenlik doğrulaması yapın.

Ücretsiz güvenlik önlemleri yeterli mi?

Temel düzeyde evet: güçlü parola, 2FA, düzenli güncelleme, güvenlik eklentisi ve yedekleme ücretsiz yapılabilir. Ancak e-ticaret siteleri, yüksek trafikli portallar veya kritik veri taşıyan kurumsal siteler için sunucu düzeyinde WAF, profesyonel izleme ve yedekleme hizmeti gerekebilir.

WordPress güvenlik hizmeti ne kadara mal olur?

Kendi başınıza yapacaksanız, eklenti lisansları ve hosting güvenlik özellikleri dışında maliyet yoktur. Profesyonel güvenlik yapılandırması ve izleme hizmeti için 8.000-30.000 TL aralığında bir yatırım planlanabilir. Detaylı bilgi için iletişim sayfamız üzerinden bize ulaşabilirsiniz.

Sonuç

WordPress güvenlik, karmaşık veya pahalı bir süreç olmak zorunda değil. Güçlü kimlik doğrulama, düzenli güncelleme disiplini, güvenlik duvarı, doğru dosya izinleri ve yedekleme stratejisi — bu temel beş adım, WordPress sitenizi olası saldırıların büyük çoğunluğuna karşı korur.

2026’da yapay zeka destekli bot saldırıları daha sofistike hale geliyor, ancak savunma araçları da aynı hızla gelişiyor. Önemli olan, güvenliği “bir kere yapıp unutmak” değil, sürekli bir bakım süreci olarak benimsemektir.

Web Doktoru olarak WordPress güvenlik denetimi, malware temizleme, WAF yapılandırması ve sürekli izleme hizmeti sunuyoruz. Sitenizin güvenlik analizini yaptırmak için iletişim sayfamız üzerinden bize ulaşabilirsiniz.