WORDPRESS GÜVENLİK HARDENING YAPMAK

WordPress güvenlik hardening; erişim, yazılım güncelleme, dosya izinleri, wp-config sertleştirme, WAF, yedekleme, izleme ve yorum yönetimi katmanlarını sırayla daraltarak saldırı yüzeyini azaltma işidir; bu yazıda otomatik botların yüzde 95'ini durduran adımları katman katman uygulamayı öğreneceksiniz.
1. Katman 1: Erişim güvenliği
Yönetici kullanıcı adı
WordPress'in varsayılan yönetici kullanıcı adı uzun yıllar "admin"di. Bot saldırılarının yüzde 80'i bu kullanıcı adıyla deneme yapar. İlk hardening adımı: yönetici kullanıcı adınız asla "admin", "administrator", "root", "yonetici", "webmaster" olmamalıdır. Markaya özel ve tahmin edilemeyen bir kullanıcı adı kullanın.
Mevcut admin'i değiştirme
Mevcut admin kullanıcı varsa: yeni yönetici oluştur → eski "admin" kullanıcısını sil → tüm içerikleri yeni kullanıcıya devret. Sertleştirme adımlarının resmi karşılığını WordPress dokümantasyonundan takip etmek, sürüm değişikliklerinde yanlış konfigürasyon riskini azaltır.
Güçlü parola politikası
Minimum standartlar:
- 16+ karakter
- Büyük harf + küçük harf + rakam + özel karakter karışımı
- Sözlük kelimesi yok
- Başka sitede kullanılan parolanın aynısı değil
- Bitwarden, 1Password gibi parola yöneticisi ile saklanmalı
İki faktörlü doğrulama (2FA)
Bu en güçlü tek korumadır. Parola çalınsa bile telefondaki doğrulama kodu olmadan giriş yapılamaz. Wordfence Login Security, Two Factor veya WP 2FA eklentileriyle kurulur. Google Authenticator veya Authy uygulaması ile çalışır.
Giriş URL'ini değiştirme
WordPress'in giriş sayfası varsayılan olarak /wp-login.php veya /wp-admin. Bot saldırıları bu URL'leri tarar. WPS Hide Login eklentisiyle giriş URL'ini değiştirebilirsiniz; örneğin /site-girisi. Saldırıların yüzde 90'ı bu basit değişiklikle durur çünkü botlar giriş sayfasını bulamaz.
Brute force koruması
Yanlış parola denemelerinde IP'yi otomatik bloklamak. Wordfence, Limit Login Attempts Reloaded veya Solid Security eklentileri bunu sağlar. Standart ayar: 5 yanlış denemede 30 dakika blok, 20 yanlış denemede kalıcı blok.
2. Katman 2: Yazılım güncellemeleri
Güncellenmemiş WordPress, tema veya eklenti tüm güvenlik açıklarınızın yüzde 60'ının sebebidir. Saldırganlar bilinen açıkları tarar; yamalanmamış sürümler kolay hedeftir.
WordPress core güncelleme
- Major sürümler (6.5 → 6.6 gibi) manuel onay ile yüklenir
- Minor sürümler (6.5.1 → 6.5.2) otomatik yüklenebilir; wp-config.php'de
WP_AUTO_UPDATE_COREayarı - Major sürüm sonrası tema ve eklenti uyumunu kontrol edin; sorun çıkarsa staging'de test edin
Eklenti ve tema güncelleme
- Aktif eklentileri haftalık kontrol edin
- 1 yıldan uzun süre güncellenmemiş eklentileri kaldırın (terk edilmiş)
- WordPress.org dizininde olmayan "nulled" (kırık lisans) eklentiler asla kullanılmaz; içlerinde sıklıkla zararlı kod bulunur
- Otomatik güncelleme bireysel eklenti bazında açılabilir; kritik olmayan eklentilerde önerilir
Staging ortamı
Canlı sitede direkt güncelleme yapmak risklidir. İyi hosting (Kinsta, WP Engine, SiteGround) staging özelliği sunar; canlı kopya alıp test eder, sorun yoksa canlıya alırsınız. Staging yoksa LocalWP veya XAMPP ile lokalde test edin.
3. Katman 3: Dosya ve klasör izinleri
Sunucudaki dosya izinleri yanlış ayarlanırsa saldırgan dosya yükleyip çalıştırabilir. Doğru izinler:
- Klasörler: 755 (sahip okur-yazar-çalıştırır, diğerleri okur-çalıştırır)
- Dosyalar: 644 (sahip okur-yazar, diğerleri okur)
- wp-config.php: 600 veya 400 (sadece sahip okur)
- .htaccess: 644
cPanel veya FTP ile File Manager üzerinden tüm WordPress klasörünü seçip "Chmod" ile toplu izin verilir. Yanlış izinler (777 gibi) sunucuya açık kapı bırakır.
4. Katman 4: wp-config.php sertleştirme
wp-config.php WordPress'in en kritik dosyasıdır; veritabanı bilgileri burada. Birkaç ek satır güvenliği artırır.
// Dosya düzenlemeyi panel üzerinden engelle
define('DISALLOW_FILE_EDIT', true);
// Tema ve eklenti kurulumunu panel üzerinden engelle
define('DISALLOW_FILE_MODS', true);
// SSL üzerinden zorla giriş
define('FORCE_SSL_ADMIN', true);
// Veritabanı tablo ön ekini değiştir (kurulumda)
$table_prefix = 'wpx5j_'; // Varsayılan 'wp_' yerineDISALLOW_FILE_EDIT panel üzerinden tema/eklenti dosyalarını düzenlemeyi engeller; bir saldırgan adminize ulaşsa bile zararlı kod ekleyemez.
5. Katman 5: WAF (Web Application Firewall)
WAF, siteye gelen tüm trafiği filtreleyen güvenlik katmanıdır. Bilinen saldırı kalıplarını otomatik tanır ve engeller.
İki tip WAF
- Bulut tabanlı (Cloudflare, Sucuri): Trafik önce CDN'e gider, oradan filtrelenip sunucuya iletilir. En güçlü koruma ama aylık ücret olabilir
- Eklenti tabanlı (Wordfence, Solid Security): Sunucu içinde çalışır; basit kurulum ama performans yükü var
Cloudflare ücretsiz plan
Cloudflare'in ücretsiz planı bile temel WAF, DDoS koruması ve botbloker sunar. Kurulum:
- Cloudflare hesabı aç
- Domain'i ekle, alan adı kayıt firmasında nameserver'ları Cloudflare'inkilere değiştir
- SSL'i "Full (strict)" moduna al
- "Bot Fight Mode" aç
- "Browser Integrity Check" aç
- İsteğe bağlı: Page Rules ile /wp-admin için ek kurallar

6. Katman 6: Yedekleme stratejisi
Hardening ne kadar iyi olursa olsun, sıfır risk yok. Yedek, en kötü senaryoda hayat kurtarır. 3-2-1 kuralı:
- 3 kopya: orijinal + iki yedek
- 2 farklı medya: sunucu + bulut
- 1 off-site: en az bir kopya sitenizin dışında bir yerde
WordPress için en pratik araçlar:
- UpdraftPlus: Ücretsiz, Google Drive/Dropbox'a otomatik yedek
- BackWPup: Veritabanı + dosya yedeği
- All-in-One WP Migration: Hem yedek hem taşıma için
- Hosting'in kendi yedek hizmeti (genelde ek özellik)
Yedek sıklığı
- Düşük trafikli kurumsal site: haftalık tam yedek
- Aktif blog/haber sitesi: günlük yedek
- E-ticaret: günlük tam yedek + saatlik veritabanı yedeği
Yedeği geri yükleme testi
Yedek almak yetmez; yedeğin gerçekten geri yüklenebileceğini test etmek gerekir. 6 ayda bir staging'e test geri yükleme yapın. "Yedeğim var sandığım yıllarca bozuk kaldı" hikayesi yaygındır.
7. Katman 7: İzleme ve uyarı
Sorun çıktığında erken bilmek hardening kadar önemlidir. İzleme katmanları:
- Wordfence Live Traffic: Sitenize gelen tüm istekleri canlı izle
- WP Activity Log: Tüm yönetim panel aktivitelerini logla (kim ne yaptı)
- Uptime monitoring: UptimeRobot ücretsiz; site düştüğünde anında e-posta/SMS
- SSL süresinin takibi: SSL süresinin bittiği fark edilmezse site uyarı verir
- Google Search Console: Google bir güvenlik sorunu tespit ederse buradan bildirir
8. Katman 8: Yorum spam yönetimi
Spam yorumlar sadece sinir bozucu değil, sitenin güvenliği için de risk. Bazı spam yorumlar zararlı link içerir.
- Akismet ücretsiz eklentisi otomatik spam filtreleme yapar (kişisel kullanım için)
- Yorumlar onaya alınmalı; otomatik yayın açık olmamalı
- Eski yazılarda yorumları kapatmak yaygın bir pratik (6+ aylık yazılar)
- reCAPTCHA v3 invisible form koruması ekleyebilir
9. Hardening sonrası kontrol listesi
- Yönetici kullanıcı adı tahmin edilemiyor mu?
- İki faktörlü doğrulama aktif mi?
- Giriş URL'i değiştirildi mi?
- Brute force koruma eklentisi kurulu mu?
- WordPress core, tema, eklentiler son sürüm mü?
- Kullanılmayan eklenti ve tema silindi mi?
- wp-config.php sertleştirme satırları eklendi mi?
- Dosya izinleri 755/644 olarak ayarlı mı?
- WAF (Cloudflare veya Wordfence) aktif mi?
- Haftalık otomatik yedek alınıyor mu?
- Yedek geri yükleme test edildi mi?
- SSL aktif ve Force SSL açık mı?
- İzleme ve uyarı sistemleri kurulu mu?

10. Sonraki Aşama
WordPress güvenliği bir kez yapılıp unutulan iş değil; sürekli izleme ve güncelleme gerektiren bir süreç. Aylık 1-2 saatlik bakım rutini yıllık ciddi sorunları önler. Erişim güvenliği, WAF, yedekleme ve izleme katmanlarını birlikte oturtan sistemli bir WordPress eğitimi bu disiplini pratiğe çevirir; hardening adımlarını teorik anlatım yerine gerçek kurulum üzerinden işler.
11. Konunun Özü
WordPress güvenlik hardening; tek bir adımdan değil sekiz katmanlı bir mimariden oluşur. Erişim güvenliği, yazılım güncellemeleri, dosya izinleri, wp-config sertleştirme, WAF, yedekleme, izleme ve yorum yönetimi birlikte uygulandığında saldırı yüzeyi neredeyse sıfıra iner. Hiçbiri yüzde 100 güvenlik garantisi vermez ama hepsi birlikte risk seviyesini "sürekli endişe"den "rutin bakım"a düşürür. Bir saat süren ilk kurulum, sonraki yıllarda saatlerce sürecek kriz yönetiminden çok daha ucuza gelir.
Sıkça Sorulan Sorular
WordPress sitemi hacker hedef alır mı?
Evet, mutlaka. Hacker'lar belirli siteleri hedeflemez; tüm interneti otomatik bot'larla tarar. Her WordPress sitesi günde binlerce otomatik tarama alır. Sitenizin küçük veya büyük olması fark etmez; bot'lar zayıf kapı arar. Bu nedenle 'benim sitem küçük, kimse hedef almaz' düşüncesi yanlıştır. Temel hardening her ölçekteki site için zorunludur.
En önemli tek güvenlik adımı hangisi?
İki faktörlü doğrulama (2FA). Parola çalınsa bile telefondaki kod olmadan giriş yapılamaz. Wordfence Login Security veya WP 2FA eklentisi ile 5 dakikada kurulur. Bunun yanında güncellemeleri zamanında yapmak ve güçlü parola kullanmak temel ikili oluşturur. Bu üç adım uygulandığında yaygın saldırıların yüzde 90'ından korunulur.
Wordfence ücretsiz versiyon yeterli mi?
Çoğu küçük ve orta site için evet. Ücretsiz versiyonda firewall, malware tarama, login security ve canlı trafik izleme dahil. Premium versiyonun farkı: gerçek zamanlı firewall kuralları (ücretsiz versiyon 30 gün gecikmeli), country blocking, programlı tarama. Yüksek trafikli e-ticaret veya kurumsal site için premium tercih edilir; kişisel blog veya küçük kurumsal site için ücretsiz versiyon yeterlidir.
Cloudflare kullanmak hızı düşürür mü?
Tam tersi; Cloudflare ücretsiz CDN aynı zamanda sayfa hızını artırır. Statik içerikler (görsel, CSS, JS) dünya genelindeki Cloudflare sunucularından servis edilir; kullanıcıya en yakın noktadan yüklenir. SSL sonlandırma ve sıkıştırma da Cloudflare tarafında yapılır. Performans yan etkisi olarak hızlanma görülür. Tek olası dezavantaj: Cloudflare bir hata yaşarsa siteniz de etkilenir (nadir ama olur).
Hangi WordPress eklentisi en güvenli?
Wordfence ve Solid Security (eski adı iThemes Security) en güvenilir iki ücretsiz seçenektir. Wordfence kapsamlı bir paket (firewall + scanner + login security); Solid Security daha hafif ama yine kapsamlı. Sucuri Security premium pakette güçlü ama ücretsizi sınırlı. Birden fazla güvenlik eklentisini aynı anda kullanmayın; çakışma yaratır. Tek bir kapsamlı eklenti yeterlidir.
Site hacklendiğini nasıl anlarım?
Yaygın belirtiler: tarayıcı 'bu site tehlikeli' uyarısı veriyor; Google Search Console'dan güvenlik bildirimi geliyor; sayfanın altında bilmediğiniz reklamlar görünüyor; site farklı bir adrese yönlendiriliyor; admin paneline tanımadığınız kullanıcılar eklenmiş; site yavaşladı ve sunucu kaynak kullanımı yüksek; arama sonuçlarında alakasız sayfalar gözüküyor. Bu sinyallerin herhangi biri görüldüğünde hemen yedek geri yükleme ve eklenti taraması yapılmalı.
Yedek almak hardening kadar önemli mi?
Daha önemli. Hardening saldırı olasılığını düşürür; yedek saldırı gerçekleştiğinde hayat kurtarır. Hardening yüzde 95 saldırıyı önler ama yüzde 5 sızma her zaman olabilir. Yedek olmadan hardening tek kanatlı uçak gibidir; düşersiniz. 3-2-1 kuralı (3 kopya, 2 farklı medya, 1 off-site) standart pratiktir. Yedek almak otomatikleştirilmiş ise iş yükü sıfır; yapmamak için bahane yok.


