WordPress Güvenlik Rehberi: Sitenizi Koruma Kılavuzu (2026)
Onur Dilmen
WordPress Güvenlik Tehditleri
WordPress, dünya genelinde tüm web sitelerinin %43'ünden fazlasını güçlendirmektedir. Bu popülerlik onu siber saldırganların bir numaralı hedefi haline getirmektedir. 2025 verilerine göre her gün ortalama 90.000 WordPress sitesine saldırı girişimi yapılmaktadır.
Güvenlik önlemlerinizi almadan önce, hangi tehditlerle karşı karşıya olduğunuzu bilmeniz gerekir. İşte en yaygın WordPress güvenlik tehditleri:
Tehdit Türü | Açıklama | Risk Seviyesi |
|---|---|---|
Brute Force Saldırısı | Binlerce şifre kombinasyonu deneyerek wp-admin'e giriş deneme | Yüksek |
SQL Injection | Veritabanına zararlı SQL sorguları enjekte etme | Kritik |
XSS (Cross-Site Scripting) | Zararlı JavaScript kodu enjekte ederek kullanıcı verisi çalma | Yüksek |
Malware Enfeksiyonu | Dosyalara zararlı kod yerleştirme, arka kapı oluşturma | Kritik |
DDoS Saldırısı | Sunucuyu aşırı trafikle çökertme | Yüksek |
Phishing | Sahte giriş sayfaları ile kullanıcı bilgisi çalma | Orta |
File Inclusion | Uzak dosya dahil ederek sunucuda kod çalıştırma | Kritik |
Zero-Day Exploit | Henüz yamanmamış güvenlik açıklarını istismar etme | Kritik |
Uyarı: Güncelleme yapılmayan WordPress siteleri, bilinen açıklar nedeniyle otomatize botlar tarafından dakikalar içinde tespit edilebilir. Güncel olmayan her eklenti potansiyel bir güvenlik açığıdır.
WordPress Güvenlik Kontrol Listesi
Aşağıdaki kontrol listesi, WordPress sitenizi korumak için atmanız gereken temel adımları içermektedir. Bu listeyi düzenli olarak gözden geçirin:
WordPress çekirdeğini en son sürüme güncelleyin.
Tüm eklentileri ve temaları güncelleyin.
Kullanılmayan eklenti ve temaları silin (devre dışı bırakmak yetmez!).
Güçlü ve benzersiz şifreler kullanın (minimum 16 karakter).
İki faktörlü doğrulama (2FA) aktifleştirin.
wp-admin giriş URL'sini değiştirin.
Giriş denemelerini sınırlandırın (Limit Login Attempts).
SSL sertifikası kurun ve HTTPS'i zorunlu kılın.
Güvenlik eklentisi kurun (Wordfence veya Sucuri).
Web Application Firewall (WAF) yapılandırın.
Düzenli otomatik yedekleme ayarlayın.
Dosya izinlerini kontrol edin (wp-config.php: 400).
Veritabanı tablo ön ekini değiştirin (wp_ yerine özel).
XML-RPC'yi devre dışı bırakın (kullanmıyorsanız).
wp-config.php dosyasına güvenlik ayarları ekleyin.
PHP dosya düzenlemeyi devre dışı bırakın (DISALLOW_FILE_EDIT).
Düzenli güvenlik taraması yapın.
Güçlü Şifre ve Kullanıcı Yönetimi
WordPress güvenliğinin ilk hattı güçlü şifre politikasıdır. Brute force saldırılarının büyük çoğunluğu zayıf şifreler nedeniyle başarılı olur.
Minimum 16 karakter: Büyük/küçük harf, rakam ve özel karakter içermeli.
Her hesap için benzersiz şifre: Aynı şifreyi farklı hizmetlerde kullanmayın.
Şifre yöneticisi kullanın: Bitwarden, 1Password veya KeePass gibi araçlarla şifrelerinizi yönetin.
"admin" kullanıcı adını kullanmayın: Özel ve tahmin edilmesi zor bir kullanıcı adı belirleyin.
Kullanıcı rollerini doğru atayın: Her kullanıcıya sadece ihtiyacı olan yetkiyi verin (en az yetki prensibi).
Boşta kalan oturumları otomatik sonlandırın: Inactive Logout eklentisi ile hareketsiz oturumları kapatın.
İki Faktörlü Doğrulama (2FA)
İki faktörlü doğrulama, şifrenize ek olarak ikinci bir kimlik doğrulama katmanı ekler. Şifreniz çalınsa bile 2FA olmadan hesabınıza erişilemez.
WordPress'te 2FA kurmak için WP 2FA veya Google Authenticator eklentilerini kullanabilirsiniz. Kurulum birkaç dakika sürer ve güvenliğinizi katbekat artırır.
2FA için SMS yerine authenticator uygulaması (Google Authenticator, Authy) kullanmanızı öneriyoruz. SMS tabanlı doğrulama SIM swap saldırılarına karşı savunmasızdır.
SSL Sertifikası
SSL Nedir?
SSL (Secure Sockets Layer), siteniz ile ziyaretçileriniz arasındaki veri iletişimini şifreleyen bir güvenlik protokolüdür. SSL aktif olduğunda siteniz HTTPS üzerinden çalışır ve tarayıcıda kilit simgesi görünür.
SSL Neden Önemli?
Veri güvenliği: Kullanıcı bilgileri, şifreler ve ödeme verileri şifrelenir.
Google sıralama faktörü: HTTPS, Google'ın resmi sıralama faktörlerinden biridir.
Kullanıcı güveni: Tarayıcılardaki "Güvenli Değil" uyarısı ziyaretçileri kaçırır.
KVKK uyumu: Kişisel veri işleyen siteler için SSL zorunludur.
SSL Nasıl Kurulur?
Çoğu hosting firması ücretsiz Let's Encrypt SSL sertifikası sunmaktadır. cPanel üzerinden tek tıkla aktifleştirilebilir. Kurulumdan sonra WordPress ayarlarından site URL'sini HTTPS olarak güncellemeyi unutmayın.
SSL kurulumu ve yapılandırması konusunda yardıma ihtiyacınız varsa güvenlik hizmetlerimize göz atın →.
WordPress Güvenlik Eklentileri
Doğru güvenlik eklentisi seçimi, sitenizin korunmasında kritik öneme sahiptir. İşte en popüler WordPress güvenlik eklentilerinin karşılaştırması:
Özellik | Wordfence | Sucuri | iThemes Security | All-In-One Security |
|---|---|---|---|---|
Güvenlik Duvarı (WAF) | Uygulama seviyesi WAF | Bulut tabanlı WAF (DNS) | Temel koruma | Temel koruma |
Malware Tarama | Sunucu taraflı, detaylı | Uzak tarama + sunucu | Dosya değişiklik tespiti | Dosya değişiklik tespiti |
Brute Force Koruması | Gelişmiş | Gelişmiş | Gelişmiş | Temel |
2FA Desteği | Evet (Premium) | Hayır | Evet | Evet |
Gerçek Zamanlı Tehdit İstihbaratı | Evet (Premium) | Evet | Hayır | Hayır |
CDN Dahil | Hayır | Evet (Sucuri CDN) | Hayır | Hayır |
Ücretsiz Plan | Kapsamlı | Sınırlı | Sınırlı | Kapsamlı |
Premium Fiyat | $119/yıl | $199/yıl | $99/yıl | Ücretsiz |
Tavsiyemiz: Tek site için Wordfence (en kapsamlı ücretsiz plan), çoklu site yönetimi için Sucuri (bulut WAF + CDN avantajı) öneriyoruz.
Güvenlik Duvarı (WAF) Ayarları
Web Application Firewall (WAF), sitenize gelen kötü niyetli trafiği sunucunuza ulaşmadan önce filtreler. İki tür WAF bulunmaktadır:
Uygulama Seviyesi WAF: Sunucunuzda çalışır (Wordfence gibi). Tüm trafiği analiz eder, ancak sunucu kaynaklarını kullanır.
DNS/Bulut Tabanlı WAF: Sucuri veya Cloudflare gibi hizmetler. Trafik sunucunuza ulaşmadan filtrelenir, DDoS koruması dahildir.
En etkili koruma için her iki katmanı birlikte kullanmanızı öneririz: Cloudflare DNS seviyesinde filtreleme + Wordfence uygulama seviyesinde koruma.
Dosya İzinleri ve wp-config.php Güvenliği
Doğru dosya izinleri, yetkisiz erişimi önlemenin en temel yollarından biridir. WordPress dosyaları için önerilen izinler:
# Dizinler için 755
find /path/to/wordpress/ -type d -exec chmod 755 {} \;
# Dosyalar için 644
find /path/to/wordpress/ -type f -exec chmod 644 {} \;
# wp-config.php için daha kısıtlayıcı
chmod 400 wp-config.phpwp-config.php dosyasına eklemeniz gereken kritik güvenlik ayarları:
// Dosya düzenlemeyi devre dışı bırak
define('DISALLOW_FILE_EDIT', true);
// Otomatik güncellemeyi etkinleştir
define('WP_AUTO_UPDATE_CORE', true);
// Hata raporlamayı kapat (production)
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
// SSL zorunlu kıl (admin paneli)
define('FORCE_SSL_ADMIN', true);
// Veritabanı tablo ön ekini değiştir
$table_prefix = 'wpd_';
// Güvenlik anahtarlarını güncelleyin
// https://api.wordpress.org/secret-key/1.1/salt/Otomatik Yedekleme
Yedekleme, güvenlik zincirinin en kritik halkasıdır. Saldırı, sunucu arızası veya insan hatası durumunda sitenizi yedekten geri yükleyebilirsiniz.
3-2-1 kuralını uygulayın: 3 kopya, 2 farklı ortam, 1 tanesi uzak konumda.
Günlük otomatik yedek alın: UpdraftPlus, BlogVault veya BackupBuddy kullanın.
Yedekleri test edin: Düzenli olarak geri yükleme testi yapın — çalışmayan yedek, yedek değildir.
Yedekleri farklı konumda saklayın: Google Drive, Amazon S3 veya Dropbox gibi uzak depolamaya yedekleyin.
Profesyonel WordPress bakım paketlerimiz günlük otomatik yedekleme, güvenlik taraması ve güncellemeleri kapsar.
Malware Temizleme — Sitem Hacklendi Ne Yapmalıyım?
Siteniz hacklendiğini fark ettiyseniz panik yapmayın. Adım adım şu işlemleri uygulayın:
Siteyi bakım moduna alın — ziyaretçilerin zararlı içeriğe maruz kalmasını engelleyin.
Hosting firmanızı bilgilendirin — sunucu düzeyinde destek alabilirsiniz.
Tüm şifreleri değiştirin — WordPress admin, FTP, hosting, veritabanı.
Güvenlik taraması yapın — Wordfence veya Sucuri ile kapsamlı tarama.
Zararlı dosyaları tespit edin ve temizleyin.
WordPress çekirdeğini yeniden kurun (temiz dosyalar ile üzerine yazma).
Tüm eklenti ve temaları güncelleyin veya temiz sürümle değiştirin.
Veritabanını kontrol edin — zararlı SQL enjeksiyonlarını temizleyin.
Temiz yedekten geri yükleme yapın (eğer temiz yedek varsa).
Güvenlik önlemlerini güçlendirin ve izleme başlatın.
Önemli: Malware temizleme konusunda deneyimsizseniz, yanlış müdahale sorunu ağırlaştırabilir. Profesyonel malware temizleme hizmetimiz → ile uzman ekibimiz sitenizi güvenle temizler.
WordPress Güvenlik Taraması
Düzenli güvenlik taraması, tehditleri erken aşamada tespit etmenin en etkili yoludur. Hem otomatik araçlar hem de manuel kontroller birlikte kullanılmalıdır.
Otomatik tarama: Wordfence veya Sucuri SiteCheck ile haftalık otomatik tarama ayarlayın.
Dosya bütünlüğü kontrolü: WordPress çekirdek dosyalarının orijinal sürümlerle eşleşip eşleşmediğini kontrol edin.
Kara liste kontrolü: Google Safe Browsing, Norton ve McAfee kara listelerini kontrol edin.
Uptime izleme: UptimeRobot ile sitenizin erişilebilirliğini 7/24 izleyin.
Sitenizin güvenlik durumunu öğrenmek ister misiniz? Ücretsiz WordPress güvenlik taraması → aracımız ile hemen kontrol edin.
Sıkça Sorulan Sorular
WordPress güvenli mi?
WordPress çekirdeği güvenlidir ve düzenli olarak güvenlik yamaları yayınlanır. Güvenlik sorunlarının büyük çoğunluğu güncel olmayan eklentiler, zayıf şifreler ve yanlış yapılandırmalardan kaynaklanır.
En iyi WordPress güvenlik eklentisi hangisi?
Tek site için Wordfence, çoklu site yönetimi için Sucuri öneriyoruz. Her ikisi de güçlü güvenlik duvarı, malware tarama ve brute force koruması sunar.
WordPress sitemi hacklediler, ne yapmalıyım?
Öncelikle siteyi bakım moduna alın, tüm şifreleri değiştirin ve güvenlik taraması yapın. Temiz yedekten geri yükleme en hızlı çözümdür. Deneyimsizseniz profesyonel yardım almanızı öneririz.
SSL sertifikası ücretsiz mi?
Evet, Let's Encrypt ile ücretsiz SSL sertifikası alabilirsiniz. Çoğu hosting firması bunu tek tıkla kurmanıza olanak tanır. Premium SSL sertifikaları ise yıllık 500-5.000 TL arasında değişir.
WordPress güvenlik güncellemelerini otomatik yapabilir miyim?
Evet, WordPress çekirdek güncellemeleri varsayılan olarak otomatik yapılır. Eklenti ve tema güncellemeleri için wp-config.php'ye uygun sabitleri ekleyebilir veya Easy Updates Manager eklentisini kullanabilirsiniz.
WordPress Güvenlik Hizmeti
Siteniz güvende mi? Güvenlik taraması, malware temizleme, güvenlik duvarı kurulumu ve 7/24 izleme hizmeti ile sitenizi koruyoruz.
WordPress sitenizi profesyonel olarak güvenlik altına alalım
Malware temizliği, firewall ve 7/24 güvenlik izleme hizmeti.
Yazar Hakkında
Onur Dilmen
Full Stack Developer & WordPress Danışmanı
10 yıllık deneyime sahip Full Stack Developer. 100+ müşteriye 200+ proje teslim etti. React, Next.js, TypeScript, Node.js, NestJS ve PostgreSQL ile ölçeklenebilir uygulamalar geliştiriyor. WordPress ekosisteminde özel tema, eklenti geliştirme, WooCommerce entegrasyonu, performans optimizasyonu ve güvenlik konularında uzman. TeknoWeb Teknoloji kurucusu olarak kurumsal müşterilere uçtan uca web çözümleri sunuyor. İstanbul merkezli, global projelerde teknik liderlik deneyimine sahip.
Bunu Okuyanlar Bunları da Okudu
Sizin için seçtiğimiz ilgili içerikler
WordPress vs Shopify: E-Ticaret İçin Hangisi? (2026 Karşılaştırma)
WordPress (WooCommerce) ve Shopify karşılaştırması. Fiyat, komisyon, özelleştirme, SEO ve ölçeklenebilirlik açısından hangisi daha iyi?
Onur DilmenWordPress SEO Rehberi: Sıralamada Yükselme Stratejileri (2026)
WordPress SEO nasıl yapılır? Teknik SEO, on-page optimizasyon, Yoast vs Rank Math, site hızı, içerik stratejisi ve link building rehberi.
Onur DilmenWordPress Nedir? Kapsamlı Başlangıç Rehberi (2026)
WordPress nedir, nasıl çalışır, ne işe yarar? WordPress.org vs WordPress.com farkı, tema, eklenti, güvenlik ve SEO rehberi. 2026 güncel bilgiler.
Onur DilmenYorumlar
Henüz yorum yapılmamış. İlk yorumu siz yazın!