WordPress Güvenlik Sertleştirme Rehberi 2025

444 2 831
Sepet
WordPress Güvenlik Sertleştirme Rehberi

Neden WordPress Güvenlik Sertleştirme?

WordPress, dünya çapında en çok kullanılan içerik yönetim sistemlerinden biridir. Ancak popülerlik aynı zamanda hedef haline gelmek anlamına gelir. Sitenize yönelik saldırılar veri kaybına, kötü amaçlı yazılım bulaşmasına veya hizmet dışı bırakmaya neden olabilir. Bu nedenle temel güvenlik önlemlerini almak sitenizin bütünlüğünü korumanın ilk adımıdır. WordPress Güvenlik sertleştirme (hardening)WordPress’in varsayılan ayarlarını güçlendirerek saldırı yüzeyini azaltma sürecidir. Bu adımlar, farklı saldırı vektörlerine karşı birden çok savunma katmanı oluşturmanıza yardımcı olur. Örneğin sadece güçlü parolalar kullanmak yeterli olmayabilir; aynı zamanda dosya izinleri, sunucu yapılandırması ve güncel yazılımlar da güvenlik için önemlidir. Çoğu saldırı, güncel olmayan tema veya eklenti açıklarından yararlanır; bu nedenle tüm bileşenleri güncel tutmak şarttır. Aşağıda bu sürecin önemli adımlarını ele alacağız.

Dosya İzinlerini Doğru Ayarlayın

Yanlış dosya izinleri, kötü niyetli kişilerin sunucunuzda kod çalıştırmasına veya dosyalarınızı değiştirmesine olanak verebilir. Dosya izinlerini güvenli şekilde ayarlayın:
  • Klasör izinleri: 755 kullanın. Bu durumda dosya sahibi (siz) dışında kimsenin yazma yetkisi olmaz.
  • Dosya izinleri: 644 idealdir. Dosya sahibi yazabilir, diğerleri yalnızca okuyabilir.
  • wp-config.php: Bu kritik dosya için izinleri 600 veya en azından 440 yapın. Yalnızca sunucu veya root kullanıcısı okuyabilmelidir.
  • Asla 777 izni vermeyin: Bu izin, herkese tam yazma hakkı verdiği için ciddi bir güvenlik açığı oluşturur.
Örneğin SSH ile aşağıdaki komutları kullanarak toplu izin değişikliği yapabilirsiniz: 
				
					find /path/to/wordpress/ -type d -exec chmod 755 {} \;
find /path/to/wordpress/ -type f -exec chmod 644 {} \;
chmod 600 /path/to/wordpress/wp-config.php
Unix izinlerine alışkın değilseniz 644 dosyalar için, 755 klasörler için ve 600 gibi değerler hassas dosyalar için en güvenli ayarlardır. Bu izinler dışında bir değeri mutlaka gerekmedikçe kullanmayın. Her değişiklik sonrası siteyi test ederek çalıştığından emin olun. Ayrıca dosya sahipliğini (ownership) doğru şekilde ayarlayın; paylaşımlı sunucularda diğer kullanıcıların dosyalarınıza erişmesini engelleyin. Dosya izinlerini FTP veya hosting kontrol panelinizdeki dosya yöneticisi ile değiştirebilirsiniz. İleri düzey kullanıcılar SSH ile toplu değişiklik komutlarını kullanarak tüm siteyi sertleştirebilir.

wp-config.php ve Önemli Dosyaları Koruyun

wp-config.php, veritabanı kimlik bilgilerinizi barındıran kritik bir dosyadır. Ele geçirilmesi durumunda sitenizin kontrolü tamamen kaybedilebilir. Bu dosyanın korumasını artırmak için:
  • Dosyayı taşıyın: wp-config.php dosyasını web kök dizininin bir üstüne alın. WordPress bunu otomatik algılar, dosya webden doğrudan erişilemez hale gelir.
  • .htaccess kuralı ekleyin: Public dizindeki .htaccess dosyanıza şu kuralı ekleyin:
				
					<Files wp-config.php>
    Require all denied
</Files>
  • Bu sayede web üzerinden wp-config.php dosyasına erişim tamamen engellenir.
  • Güvenlik anahtarları (salts): wp-config.php içinde bulunan AUTH_KEY, SECURE_AUTH_KEY vb. anahtarların karmaşık ve rastgele olduğundan emin olun. WordPress.org üzerindeki anahtar üreticisini kullanarak benzersiz değerler oluşturabilirsiniz.
  • DISALLOW_FILE_EDIT: wp-config.php dosyanıza define('DISALLOW_FILE_EDIT', true); ekleyin. Bu, yönetim panelindeki tema/eklenti düzenleyicisini devre dışı bırakır ve ele geçirilen bir yönetici hesabıyla kod çalıştırma riskini azaltır.

Giriş URL’sini Gizleyin ve Giriş Güvenliğini Artırın

WordPress yönetici giriş sayfaları /wp-login.php ve /wp-admin adreslerine sabittir. Saldırganlar bu bilinen adreslerden giriş denemesi yapabilir. Aşağıdaki adımlarla giriş güvenliğini artırabilirsiniz:
  • Giriş URL’sini değiştirin: WP giriş sayfasının adresini WPS Hide Login veya iThemes Security gibi bir eklenti ile değiştirin. Örneğin /giris-yap gibi özel bir URL belirleyin. Böylece saldırganlar varsayılan adresle giriş yapamaz.
  • Kaba kuvvet saldırılarını sınırlayın: Giriş denemelerini sınırlandıran bir eklenti kullanın. Örneğin Limit Login Attempts Reloaded ile belirli sayıda hatalı denemeden sonra IP adresini bloke edin.
  • İki Faktörlü Kimlik Doğrulama: Yönetici girişi için SMS veya mobil uygulama tabanlı ikinci doğrulama katmanı ekleyin. Bu sayede şifre tek başına yetmez, ek bir kod gerekir. Ayrıca giriş formuna CAPTCHA veya reCAPTCHA ekleyerek brute-force saldırılarını daha da zorlaştırabilirsiniz.
  • Otomatik bildirimler: Güvenlik eklentilerinin şüpheli aktiviteleri (başarısız giriş, dosya değişikliği vb.) e-posta ile bildirmesini sağlayın. Bu sayede saldırı girişimlerinden anında haberdar olabilirsiniz.
  • Yönetici hesabı adını değiştirin: “admin” gibi tahmin edilebilir bir kullanıcı adı kullanmaktan kaçının. Eğer mevcutsa farklı bir yetkili kullanıcı oluşturup eski “admin” hesabını silin.
  • Yönetici oturumunu sınırlayın: Bir kullanıcı için aynı anda sadece bir oturum açılacak şekilde ayarlama yapın. Bu sayede bir hesap ele geçirildiğinde diğer cihazlardaki oturumlar geçersiz kılınır.
  • SSL/TLS (HTTPS) kullanın: Yönetici paneli oturumlarınızı HTTPS üzerinden gerçekleştirin. Let’s Encrypt gibi ücretsiz bir SSL sertifikası yükleyerek tüm siteyi SSL’e zorlayın. Bu sayede oturum bilgileri şifreli iletilir.

.htaccess ile İleri Seviye Koruma

Apache tabanlı sunucularda .htaccess ile ek güvenlik kuralları uygulayarak korumayı güçlendirebilirsiniz. Örnek .htaccess kuralları:
  • Dizin listelemeyi engelleyin: Options -Indexes ekleyin. Bu sayede dizinler listelenmez, kullanıcılar dosya isimlerini göremez.
  • Yüklemeler klasörünü sınırlandırın: wp-content/uploads dizininde PHP çalıştırmayı engelleyin. Örneğin aşağıdaki kodu bu klasöre ekleyebilirsiniz:
				
					<FilesMatch "\.php$">
    Require all denied
</FilesMatch>
  • XML-RPC’yi devre dışı bırakın: XML-RPC’yi kullanmıyorsanız xmlrpc.php dosyasına erişimi kapatın:
				
					<Files xmlrpc.php>
    Require all denied
</Files>
  • .htaccess dosyasını koruyun: Aşağıdaki kodla .htaccess dosyasına dışarıdan erişimi engelleyin:
				
					<Files .htaccess>
    Require all denied
</Files>
  • Güvenlik başlıkları ekleyin: .htaccess aracılığıyla X-Frame-Options, X-XSS-Protection, Strict-Transport-Security gibi HTTP güvenlik başlıklarını etkinleştirin. Bu başlıklar tarayıcı düzeyinde ek koruma sağlar.

Veritabanı İçin Güvenlik Önlemleri

Veritabanı, WordPress içeriğinizi depolayan yerdir; ekstra koruma gerektirir. Aşağıdaki önlemleri uygulayın:
  • Tablo önekini değiştirin: Kurulumda varsayılan wp_ önekini daha karmaşık bir hale getirin (örneğin wp_a1b2c3_). Bu sayede saldırganların SQL sorgularınızı tahmin etmesi zorlaşır.
  • Güçlü veritabanı kullanıcısı: Veritabanı için ayrı, güçlü parolalı bir MySQL kullanıcısı oluşturun. Mümkünse root kullanmak yerine bu kullanıcıya sadece ilgili veritabanına erişim izni verin.
  • Düzenli yedekleme: Veritabanınızı periyodik olarak yedekleyin. Yedek dosyalarını güvenli bir sunucuda veya şifreli bir depolama alanında saklayın.
  • Yalnızca localhost erişimi: wp-config.php içindeki DB_HOST değerini mümkünse localhost olarak tutun. Veritabanı bağlantılarını sadece aynı sunucudan yapılacak şekilde sınırlamak, saldırı yüzeyini daraltır.
  • IP kısıtlama: Veritabanınız ayrı bir sunucudaysa, yalnızca belirlediğiniz IP adreslerinden bağlantıya izin verin. Bu seçeneği çoğu wordpress hosting kontrol panelinden ayarlayabilirsiniz.

Ekstra Önlemler ve İpuçları

Aşağıdaki ek önlemlerle WordPress sitenizi daha da güçlendirebilirsiniz:
  • Güncelleştirmeleri düzenli yapın: WordPress çekirdek, tema ve eklentilerinizi sürekli güncel tutun. Açıklar hızla kapatılır.
  • Güvenlik eklentilerini kullanın: Özellikle yönetici girişi ve dosya düzenleme için ek koruma sağlayan güvenlik eklentileri ile çok katmanlı savunma oluşturun.
  • Dosya düzenleyiciyi kapatın: wp-config.php dosyasına define('DISALLOW_FILE_EDIT', true); ekleyerek yönetim panelindeki tema/eklenti düzenleyicisini devre dışı bırakın. Bu, ele geçirilen bir yönetici hesabıyla kod çalıştırılmasını engeller.
  • Güçlü şifreler ve 2FA: Karmaşık parolalar kullanın ve mümkünse iki faktörlü kimlik doğrulamayı etkinleştirin. Bu sayede yetkisiz girişler tek başına engellenir. Ayrıca giriş formuna CAPTCHA veya reCAPTCHA ekleyerek brute-force saldırılarını zorlaştırın.
  • Güvenlik bildirimlerini aktifleştirin: Güvenlik eklentilerinin şüpheli aktiviteleri (başarısız giriş, dosya değişikliği vb.) anında e-posta ile bildirmesini sağlayın. Olaylardan erken haberdar olarak müdahale süresini kısaltabilirsiniz.
  • SSL/TLS (HTTPS) kullanın: Tüm sitenize SSL sertifikası yükleyin (örneğin Let’s Encrypt). .htaccess veya hosting ayarları ile HTTPS’e zorlayın. Şifreli bağlantı saldırganların hassas verileri ele geçirmesini zorlaştırır.
  • Kullanılmayan eklentileri kaldırın: Aktif olmayan veya güvenilmeyen eklentileri silin. Artık ihtiyacınız olmayan eklentiler risk oluşturur.
  • Giriş denemelerini izleyin: Güvenlik eklentileri başarısız oturum açma girişimlerini kaydeder. Olağandışı aktiviteleri kontrol edin, şüpheli IP’leri engelleyin.
  • Sunucu güvenliğini sağlayın: PHP, MySQL gibi sunucu yazılımlarını güncel tutun. SFTP/FTPS kullanın, SSH anahtarlarıyla oturum açın ve gereksiz kullanıcı hesaplarını silin.
  • CDN ve WAF kullanın: Cloudflare veya Sucuri gibi CDN/WAF çözümleri DDoS veya SQL enjeksiyon gibi saldırılara karşı ek koruma sağlar.
  • Günlükleri inceleyin: Sunucu ve güvenlik eklentilerinin loglarını düzenli olarak kontrol edin. Olağandışı istek veya hataları takip ederek potansiyel saldırıları erken tespit edin.
  • Kötü amaçlı yazılım taraması: Wordfence veya Sucuri gibi eklentilerle sitenizi periyodik olarak kötü amaçlı yazılım açısından tarayın. Bu sayede enfekte dosyaları erken fark edebilir ve temizleyebilirsiniz.
  • Penetrasyon testleri: Gelişmiş seviyede, sitenizi sızma testi araçları ile düzenli olarak test edin. Zayıf noktaları önceden belirleyip gidererek güvenliğinizi artırabilirsiniz.

Önerilen Güvenlik Eklentileri

WordPress için birçok etkili güvenlik eklentisi mevcuttur:
  • Wordfence Security: Gelişmiş bir güvenlik duvarı ve kötü amaçlı yazılım tarayıcısı içerir. Canlı trafik izleme ve başarısız giriş denemelerini engelleme gibi özellikleri vardır.
  • iThemes Security: Dosya değişiklik takibi, oturum açma denemesi sınırlama ve giriş URL’sini gizleme gibi çoklu koruma katmanları sunar. Karmaşık şifre zorlaması ile ek güvenlik sağlar.
  • Sucuri Security: Site güvenlik taramaları, kara liste kontrolleri ve saldırı sonrası temizleme hizmeti sunar. Ücretli sürümü entegre bir WAF (Web Application Firewall) içerir.
  • Shield Security: Hafif bir eklentidir. Kaba kuvvet koruması, iki faktörlü kimlik doğrulama ve etkinlik günlüğü gibi özellikler sunar.
  • MalCare Security: Otomatik güvenlik taraması ve temizleme özellikleri sunar. Sitenizi sürekli tarayarak kötü amaçlı aktiviteleri engellemeye yardımcı olur.
  • BulletProof Security: .htaccess ile gelişmiş koruma sağlar, ayrıca veri tabanı yedekleme ve güvenlik uyarıları sunar.
  • All In One WP Security: Gelişmiş güvenlik puanlama sistemi, güçlü parola zorlama ve oturum yönetimi gibi bir dizi koruma aracı içerir.
  • Cerber Security: IP bazlı engelleme, dosya bütünlüğü kontrolü ve güçlü oturum yönetimi özellikleri sunar.
  • Jetpack Security: Jetpack’in Premium özellikleriyle entegre çalışan güvenlik duvarı, günlük yedekleme ve otomatik inceleme özellikleri mevcuttur.
Güvenlik eklentileri elle yapılan sertleştirme adımlarını tamamlar. Ancak hiçbir eklenti tek başına tam koruma sağlamaz; sunucu güncellemeleri ve dosya izinleri gibi temel önlemler hâlâ gereklidir.

Sonuç

WordPress güvenlik sertleştirme, sitenizi korumak için atılan tüm adımları kapsar. Dosya izinlerinden .htaccess kurallarına, giriş URL’sini gizlemekten güçlü güvenlik eklentilerine kadar her önlem katmanlı bir savunmanın parçasıdır. Yukarıdaki önerileri adım adım uygulayarak WordPress sitenizin güvenliğini önemli ölçüde artırabilirsiniz. Güvenlik, tek seferlik bir işlem değil, sürekli bakım gerektiren bir süreçtir. Süreci güçlü kılmak için sitenizi düzenli güvenlik taramalarından geçirin ve çıkan raporları takip ederek gereken önlemleri hemen alın.

Güvenli WordPress Deneyimi İçin Doğru Hosting’i Seçin

Sitenizin güvenliğini en üst düzeye çıkarmak, yalnızca yazılım düzeyinde önlemlerle sınırlı değildir. Güçlü bir altyapı üzerinde çalışan, güvenlik sertleştirmeleri yapılmış, optimize edilmiş bir hosting hizmeti kullanmak da hayati önem taşır. Hedef Hosting olarak, WordPress’e özel yapılandırılmış sunucularımızla web sitenizin hem performansını hem de güvenliğini garanti altına alıyoruz.

🔒 Firewall koruması, 🚀 yüksek hız, ⚙️ otomatik yedekleme, 📈 uptime garantisi ve teknik destek ile web sitenizin her an güvende kalmasını sağlıyoruz.

WordPress Güvenlik Sertleştirme Check-list (2025): 20 Madde + Hızlı Uygulama

Bu listeyi “tek seferde hepsini yap” diye değil, öncelik sırasıyla uygula diye hazırladık. En çok saldırı alan noktalar: giriş (brute-force), güncel olmayan eklentiler, yazılabilir dosyalar, zayıf yedekleme ve WAF eksikliği.

  1. Çekirdek / tema / eklentileri güncel tut
    Hızlı uygulama: WP Panel > Güncellemeler’den hepsini güncelle. Kullanmadığın eklentileri devre dışı bırakma, sil.
  2. Güçlü parola + 2FA zorunlu yap
    Hızlı uygulama: Yönetici hesaplarında 2FA’yı (Authenticator) aç. Parolaları 16+ karakter, benzersiz yap.
  3. “admin” kullanıcı adını kullanma
    Hızlı uygulama: Yeni bir admin oluştur, eski “admin” hesabını sil ve içerikleri yeni hesaba devret.
  4. Giriş denemelerini sınırla (brute-force)
    Hızlı uygulama: Limit Login Attempts / Wordfence / Cerber ile 5-10 denemeden sonra süreli blok koy.
  5. Giriş URL’sini değiştir
    Hızlı uygulama: WPS Hide Login ile /wp-login.php yerine özel bir yol belirle (örn: /giris-2025).
  6. HTTPS’i zorunlu yap
    Hızlı uygulama: SSL kur + WP adreslerini HTTPS yap. Really Simple SSL gibi eklentiyle yönlendirmeyi kontrol et.
  7. wp-config.php’yi kilitle
    Hızlı uygulama: İzinleri 600 / 440 yap. Mümkünse web kök dizininin bir üstüne taşı.
  8. Dosya düzenleyiciyi kapat (Panelden kod düzenleme)
    Hızlı uygulama: wp-config.php içine ekle:
    define('DISALLOW_FILE_EDIT', true);
  9. Dosya/klasör izinlerini doğru ayarla
    Hızlı uygulama: Klasör 755, dosya 644, kritik dosyalar 600. 777 asla verme.
  10. Dizin listelemeyi kapat
    Hızlı uygulama: Apache’de .htaccess içine ekle: Options -Indexes
  11. uploads içinde PHP çalışmasını engelle
    Hızlı uygulama: /wp-content/uploads/ içine bir .htaccess koy:
    <FilesMatch "\.php$">Deny from all</FilesMatch>
  12. XML-RPC’yi ihtiyacın yoksa kapat
    Hızlı uygulama: Jetpack/harici servis kullanmıyorsan güvenlik eklentisinden “Disable XML-RPC” aç.
  13. REST API’yi role bazlı kısıtla
    Hızlı uygulama: “WP REST API” erişimini anonim kullanıcılar için sınırla (özellikle kullanıcı endpoint’leri).
  14. Güvenlik duvarı (WAF) kullan
    Hızlı uygulama: Cloudflare WAF/Firewall Rules veya Sucuri WAF aç. En azından “Bot Fight / rate limit” aktif et.
  15. Malware taraması + dosya bütünlüğü takibi
    Hızlı uygulama: Wordfence/MalCare ile haftalık tarama planla, “dosya değişimi” uyarılarını aç.
  16. Düzenli ve geri yüklenebilir yedek al
    Hızlı uygulama: Günlük DB + haftalık tam yedek al. Yedeği aynı sunucuda değil, farklı lokasyonda sakla.
  17. En az ayrıcalık prensibi (rol ve yetki)
    Hızlı uygulama: Admin sayısını minimumda tut. Editör/yazar rollerini ihtiyaca göre ver.
  18. Kullanılmayan tema/eklenti ve dosyaları temizle
    Hızlı uygulama: Kullanmadığın temaları bile sil. Nulled (lisanssız) tema/eklenti asla kullanma.
  19. Sunucu tarafı koruma: PHP sürümü + güvenli ayarlar
    Hızlı uygulama: PHP’yi güncel tut, tehlikeli fonksiyonları kısıtla, gereksiz servisleri kapat.
  20. Log ve bildirimleri aç: “erken uyarı” sistemi kur
    Hızlı uygulama: Güvenlik eklentisinde başarısız giriş, dosya değişimi, yeni admin oluşumu gibi olaylarda e-posta uyarısı aç.

Hızlı Başlangıç: 10 Dakikada En Yüksek Etki Veren 6 Adım

  • 2FA + güçlü parola
  • Güncellemeler + kullanılmayan eklentileri sil
  • Giriş denemesi limiti + giriş URL değişimi
  • HTTPS zorunlu
  • Uploads PHP engeli
  • Yedekleme planı (geri yükleme testli)

WordPress Hosting Seçimi Güvenliği Doğrudan Etkiler

Güvenlik sadece eklentiyle olmaz; doğru altyapı (izole kaynaklar, güncel yazılım, yedekleme, WAF, güvenli yapılandırma) saldırı yüzeyini ciddi şekilde azaltır. WordPress’e özel optimize edilmiş paketleri incelemek için:

👉 WordPress Hosting Paketleri

Yazıyı Paylaş:

Son Yazılar

Tarihler

Kategoriler

Son Yazılar

hedef hosting logo

Web Sitenizi Oluşturun

Hedef Hosting ile hemen websitenizi kolayca oluşturun ve güvenli, hızlı bir barındırma deneyimi yaşayın..

Hızlı ve Güvenilir Hosting Hedefiniz..

Instagram Facebook Twitter Youtube Linkedin

5651 Sayılı Kanun kapsamında BTK tarafından onaylı Yer Sağlayıcı‘dır.

Nameserver
ns1.hedefhosting.com.tr
ns2.hedefhosting.com.tr

Hizmetlerimiz

Sözleşmelerimiz

İletişim

Kurumsal

hedef hosting logo
Powered by  GDPR çerez uyumluluğu
Gizlilik Genel Bakışı

Bu web sitesi, size en iyi kullanıcı deneyimini sunabilmemiz için çerezler kullanmaktadır.
Çerez bilgileri tarayıcınızda saklanır ve geri döndüğünüzde sizi tanımak ya da web sitemizin hangi bölümlerini ilginç ve faydalı bulduğunuzu anlamamıza yardımcı olmak gibi işlevler sağlar.