RevealTheme logo

Kılavuz · Güncellendi 2026

WordPress güvenlik kontrol listesi: gerçekten önemli olan 30 adım

Çoğu WordPress güvenlik tavsiyesi geneldir, alarmcıdır ve gerçekten önemli olanı atlar. Bu liste, WordPress sitelerine karşı kullanılan gerçek saldırı kalıplarına (kaba kuvvet, savunmasız eklentiler, zayıf kimlik bilgileri, güncel olmayan çekirdekler) dayanarak güvenlik önlemlerini gerçek etkiye göre sıralar.

5 temel: önce bunları yapın

  1. WordPress çekirdeğini, temaları ve eklentileri güncel tutun. Savunmasız eklentiler 1 numaralı saldırı vektörüdür. Küçük sürüm otomatik güncellemelerini etkinleştirin (WordPress 5.6+ bunu varsayılan olarak yapar). Büyük sürümler için, yayımlanmadan sonraki 7 gün içinde güncelleyin. Eklentiler için güvenilir olanların otomatik güncellemesini etkinleştirin; kritik eklentilerin sürüm notlarını manuel olarak inceleyin.
  2. Her WordPress hesabı için güçlü, benzersiz parolalar kullanın. Özellikle yönetici hesapları. Bir parola yöneticisi kullanın (1Password, Bitwarden). «admin» kullanıcı adını devre dışı bırakın: yeni bir yönetici oluşturun ve eskisini silin.
  3. İki faktörlü kimlik doğrulamayı etkinleştirin. Wordfence Login Security'yi (ücretsiz) veya herhangi bir TOTP uygulamasıyla 2FA QR Üreticimizi kullanın. 2FA, kimlik bilgisi doldurma saldırılarının %99'undan fazlasını alt eder.
  4. Güvenilir bir güvenlik eklentisi kurun. Wordfence (ücretsiz sürüm çoğu site için yeterlidir) veya Solid Security. Birden fazlasını üst üste yığmayın: çakışırlar. Eklenti, oturum açma deneme sınırlamasını, dosya bütünlüğü izlemeyi ve kötü amaçlı yazılım taramasını yönetir.
  5. Site dışı günlük yedeklemeler. UpdraftPlus → Dropbox/Google Drive. Yedeği ihtiyacınız olmadan önce alın. Geri yükleme sürecini en az bir kez test edin.

Sonraki 10: ek yüksek etkili önlemler

  1. HTTPS'yi zorlayın. Let's Encrypt her modern barındırmada ücretsizdir. HTTP'yi sunucu düzeyinde HTTPS'ye yönlendirin.
  2. Veritabanı tablo önekini değiştirin. WordPress varsayılan olarak wp_ kullanır; kurulum sırasında özel bir şeyle değiştirin. Saldırıları önlemez ama bazı saldırı kalıplarını zorlaştırır.
  3. Kullanmıyorsanız XML-RPC'yi devre dışı bırakın. XML-RPC, yaygın bir kaba kuvvet yükseltme vektörüdür. Jetpack mobil uygulamasını veya uzaktan yayınlamayı kullanmıyorsanız, .htaccess veya bir eklenti aracılığıyla devre dışı bırakın.
  4. Oturum açma denemelerini sınırlayın. Wordfence bunu otomatik olarak yapar. Kaba kuvvet kimlik bilgisi doldurmayı önler.
  5. WordPress kimlik doğrulama anahtarlarını/salt'larını döndürün. WordPress Salt Üreticimizi kullanın. Herhangi bir şüpheli ihlalden sonra, ele geçirilmiş bir yöneticiyi sildikten sonra ve rutin olarak her 6-12 ayda bir döndürün.
  6. Dosya aktarmak için SSH veya SFTP kullanın, asla düz FTP değil. FTP, kimlik bilgilerini düz metin olarak iletir.
  7. Mümkünse wp-admin erişimini IP'ye göre kısıtlayın. Ekibiniz sabit IP'ler kullanıyorsa (ofis, VPN), wp-admin'i yalnızca o IP'lerle sınırlayın. .htaccess veya Nginx yapılandırması aracılığıyla.
  8. wp-config.php'de dosya düzenlemeyi devre dışı bırakın. Şunu ekleyin: define('DISALLOW_FILE_EDIT', true); Bir hesabı ele geçirirlerse saldırganların panelden temaları/eklentileri düzenlemesini önler.
  9. WordPress sürüm numarasını gizleyin. generator meta etiketini kaldırın. Saldırıları önlemez ama parmak izi çıkarmayı azaltır.
  10. Dosya izinlerini kilitleyin. Dosyalar 644, dizinler 755, wp-config.php 600. Çoğu yönetilen barındırma bunu otomatik olarak yapar; bir VPS'te açıkça yapılandırın.

İnce ayar: iyi ama kritik değil

  1. Özel oturum açma URL'si (ör. WPS Hide Login). Çoğunlukla bot trafiği gürültüsünü azaltır; gerçek güvenlik değildir.
  2. Oturum açma formlarında CAPTCHA. Otomatik saldırılar için hafif bir sürtünme.
  3. /uploads/ içinde PHP yürütmeyi devre dışı bırakın. Yüklenen PHP shell'lerinin çalışmasını önler.
  4. Cloudflare WAF'ı (ücretsiz katman) kullanın. Kötü amaçlı trafiği sunucunuza ulaşmadan filtreler.
  5. Eklenti/çekirdek güncellemeleri için bir yönetici e-posta uyarısı yapılandırın.
  6. Tarayıcı düzeyinde HTTPS'yi zorlamak için HSTS ön yüklemesini kullanın.
  7. REST API aracılığıyla kullanıcı sayımını devre dışı bırakın (Solid Security veya Wordfence bunu yönetir).
  8. İçerik Güvenliği Politikası (CSP) başlıklarını kullanın.
  9. Dizin gezinmesini devre dışı bırakın (çoğu barındırma bunu varsayılan olarak yapar).
  10. Çalışma süresini + bütünlüğü harici bir hizmetle izleyin (UptimeRobot ücretsiz katmanı + haftalık Sucuri SiteCheck).
  11. Kullanıcı rollerini en az ayrıcalıkla sınırlayın. Çoğu katkıda bulunanın editör düzeyinde erişime ihtiyacı yoktur.
  12. Veritabanı yedeklemesi şifrelemesi (UpdraftPlus Premium bunu sunar).
  13. CDN aracılığıyla alan adı dışında görüntü barındırma (saldırı yüzeyini azaltır).
  14. Düzenli güvenlik denetim günlüğü incelemesi.
  15. Site önemli gelir üretiyorsa yıllık sızma testi.

WordPress güvenlik efsaneleri: bunları atlayın

Sıkça önerilen birkaç «güvenlik» önlemi minimum gerçek koruma sunar: (1) «WordPress sürümünü gizleyin»: sürümünüzü bilmek hedefli saldırılara hafifçe yardımcı olur, ancak gerçek çözüm gizlemek değil güncellemektir. (2) «wp-config.php'yi public_html üzerine taşıyın»: esasen sıfır güvenlik faydası sağlar; dosya zaten .htaccess ile korunmaktadır. (3) «REST API'yi devre dışı bırakın»: birçok eklentiyi bozar ve çok azını engeller. Bunun yerine belirli uç noktaları sınırlayın. (4) «Birden fazla güvenlik eklentisini üst üste yığın»: çakışır ve örtüşürler. Güvenilir bir eklenti (Wordfence veya Solid Security) üçünün yapacağını kapsar. (5) «wp-login.php'yi yeniden adlandırın»: gizlilik yoluyla güvenlik; saldırganlar yeni URL'yi yönlendirmeler aracılığıyla kolayca bulur.

Hacklendiyseniz: kurtarma listesi

  1. Paniğe kapılmayın; hemen bir şeyleri silmeyin. Adli analiz için önce mevcut durumun bir anlık görüntüsünü alın.
  2. Siteyi çevrimdışına alın (bakım modu eklentisi veya statik bir sayfaya .htaccess yönlendirmesi).
  3. Tüm yönetici parolalarını değiştirin ve WordPress salt'larını döndürün.
  4. Kullanıcı hesaplarını denetleyin: tanınmayan yönetici hesaplarını hemen silin.
  5. Wordfence Premium veya Sucuri ile kötü amaçlı yazılım taraması yapın.
  6. Mevcut dosyaları temiz bir WordPress indirmesiyle karşılaştırın: diff, değiştirilmiş çekirdek dosyalarını ortaya çıkarır.
  7. Veritabanı wp_options tablosunda beklenmeyen girdileri inceleyin (genellikle enjekte edilmiş JS içerir).
  8. En son temiz yedeklemeden geri yükleyin (günlük yedeklemelerin önemli olmasının nedeni budur).
  9. Geri yükledikten sonra her eklentiyi denetleyin: kullanılmayanları silin, hepsini güncelleyin ve herkese açık CVE'leri olanları değiştirin.
  10. WordPress çekirdeğini en son sürüme güncelleyin.
  11. Siteyi yeniden etkinleştirin ve 30 gün boyunca yeniden enfeksiyonu izleyin.
Şimdi yeni WordPress salt'ları oluşturun

Sıkça sorulan sorular

WordPress diğer CMS'lerden daha mı az güvenli?
Doğası gereği değil. WordPress'in güvenlik riski olarak ünü iki faktörden gelir: web'in %43'ünü çalıştırır, bu yüzden saldırganlar onu hedefler; ve sıradan kullanıcılar savunmasız eklentileri denetlemeden kurar. Doğrulanmış eklentilerle bakımı yapılan bir WordPress sitesi, Drupal veya Joomla kadar güvenlidir. 30 güncel olmayan eklentiye sahip terk edilmiş bir WordPress sitesi kolay bir hedeftir.
Ücretli bir güvenlik eklentisine ihtiyacım var mı?
Çoğu sitenin yok. Wordfence Free, WordPress sitelerinin %90'ının ihtiyaç duyduğunu kapsar: güvenlik duvarı, kötü amaçlı yazılım taraması, oturum açma güvenliği, dosya bütünlüğü. Premium sürüm, gerçek zamanlı tehdit güncellemeleri (30 günlük gecikmeye karşı), ülke engelleme ve öncelikli destek ekler: gerçek geliri olan siteler için buna değer, diğer durumlarda isteğe bağlı.
WordPress'i ne sıklıkla güncellemeliyim?
Küçük sürümler (5.6.1 → 5.6.2): otomatik olarak, hemen. Büyük sürümler (5.x → 6.x): yayımlanmadan sonraki 7 gün içinde. Eklenti güncellemeleri: haftalık inceleme; yedeklemeleriniz varsa otomatik güncelleme; kritik eklentiler için manuel inceleme (güvenlik, e-ticaret, özel kod).
WordPress siteleri en sık nasıl hacklenir?
Savunmasız eklentiler; Wordfence'in yıllık raporlarına göre başarılı WordPress saldırılarının ~%55'inden sorumlu. Eklentinin kendi kodunda saldırganın istismar ettiği bir güvenlik açığı vardır. Önlem: eklentileri güncel tutun, kullanılmayanları silin ve yalnızca güvenilir geliştiricilerin eklentilerini kurun.
Yerleşik WordPress güvenliği olan bir barındırma kullanmalı mıyım?
Yönetilen WordPress barındırmaları (Kinsta, WP Engine, Pressable) WAF, kötü amaçlı yazılım taraması ve otomatik çekirdek güncellemeleri içerir: önemli eklentiler. Premium fiyatı haklı çıkarıp çıkarmadıkları trafiğinize ve tehdit profilinize bağlıdır. Bir küçük işletme sitesi için paylaşımlı barındırmada ücretsiz bir Wordfence kurulumu çoğu tehdidi kapsar.

İlgili okumalar

Güncellemelere abone olun

E-postanızı satmıyoruz. Spam göndermiyoruz.

© 2026 RevealTheme. All rights reserved.