WORDPRESS GÜVENLİK HARDENING YAPMAK

WordPress dünyada en çok kullanılan içerik yönetim sistemidir. Aynı zamanda en çok saldırı alan platform. 2025'te güvenlik araştırma firması WP Scan'ın raporuna göre WordPress sitelerine günlük 90.000+ otomatik saldırı denemesi yapılıyor. Bunların büyük bölümü bot taraması; bot bir tek zayıf kapı bulursa içeri girer.

İyi haber: bu saldırıların yüzde 95'ini önlemek için temel hardening adımları yeterlidir. WordPress core'u güvenli; tehlike çoğunlukla zayıf parolalardan, güncellenmemiş eklentilerden ve yanlış konfigürasyondan gelir. Sertleştirme adımlarının resmi karşılığını WordPress dokümantasyonundan takip etmek, sürüm değişikliklerinde yanlış konfigürasyon riskini azaltır. Sistemli bir hardening rutini siteyi neredeyse tüm yaygın saldırılardan korur.

WordPress güvenliği tek bir eklenti kurma işi değil, katman katman daraltma işidir: sunucu, çekirdek, eklenti, oturum ve yedek katmanlarının her biri ayrı bir kapıyı kapatır. Adımlar sırayla uygulandığında saldırı yüzeyi o kadar daralır ki otomatik botların büyük bölümü daha ilk katmanda vazgeçer.

Katman 1: Erişim güvenliği

Yönetici kullanıcı adı

WordPress'in varsayılan yönetici kullanıcı adı uzun yıllar "admin"di. Bot saldırılarının yüzde 80'i bu kullanıcı adıyla deneme yapar. İlk hardening adımı: yönetici kullanıcı adınız asla "admin", "administrator", "root", "yonetici", "webmaster" olmamalıdır. Markaya özel ve tahmin edilemeyen bir kullanıcı adı kullanın.

Mevcut admin kullanıcı varsa: yeni yönetici oluştur → eski "admin" kullanıcısını sil → tüm içerikleri yeni kullanıcıya devret.

Güçlü parola politikası

Minimum standartlar:

• 16+ karakter
• Büyük harf + küçük harf + rakam + özel karakter karışımı
• Sözlük kelimesi yok
• Başka sitede kullanılan parolanın aynısı değil
• Bitwarden, 1Password gibi parola yöneticisi ile saklanmalı

İki faktörlü doğrulama (2FA)

Bu en güçlü tek korumadır. Parola çalınsa bile telefondaki doğrulama kodu olmadan giriş yapılamaz. Wordfence Login Security, Two Factor veya WP 2FA eklentileriyle kurulur. Google Authenticator veya Authy uygulaması ile çalışır.

Giriş URL'ini değiştirme

WordPress'in giriş sayfası varsayılan olarak /wp-login.php veya /wp-admin. Bot saldırıları bu URL'leri tarar. WPS Hide Login eklentisiyle giriş URL'ini değiştirebilirsiniz; örneğin /site-girisi. Saldırıların yüzde 90'ı bu basit değişiklikle durur çünkü botlar giriş sayfasını bulamaz.

Brute force koruması

Yanlış parola denemelerinde IP'yi otomatik bloklamak. Wordfence, Limit Login Attempts Reloaded veya Solid Security eklentileri bunu sağlar. Standart ayar: 5 yanlış denemede 30 dakika blok, 20 yanlış denemede kalıcı blok.

Katman 2: Yazılım güncellemeleri

Güncellenmemiş WordPress, tema veya eklenti tüm güvenlik açıklarınızın yüzde 60'ının sebebidir. Saldırganlar bilinen açıkları tarar; yamalanmamış sürümler kolay hedeftir.

WordPress core güncelleme

• Major sürümler (6.5 → 6.6 gibi) manuel onay ile yüklenir
• Minor sürümler (6.5.1 → 6.5.2) otomatik yüklenebilir; wp-config.php'de WP_AUTO_UPDATE_CORE ayarı
• Major sürüm sonrası tema ve eklenti uyumunu kontrol edin; sorun çıkarsa staging'de test edin

Eklenti ve tema güncelleme

• Aktif eklentileri haftalık kontrol edin
• 1 yıldan uzun süre güncellenmemiş eklentileri kaldırın (terk edilmiş)
• WordPress.org dizininde olmayan "nulled" (kırık lisans) eklentiler asla kullanılmaz; içlerinde sıklıkla zararlı kod bulunur
• Otomatik güncelleme bireysel eklenti bazında açılabilir; kritik olmayan eklentilerde önerilir

Staging ortamı

Canlı sitede direkt güncelleme yapmak risklidir. İyi hosting (Kinsta, WP Engine, SiteGround) staging özelliği sunar; canlı kopya alıp test eder, sorun yoksa canlıya alırsınız. Staging yoksa LocalWP veya XAMPP ile lokalde test edin.

Katman 3: Dosya ve klasör izinleri

Sunucudaki dosya izinleri yanlış ayarlanırsa saldırgan dosya yükleyip çalıştırabilir. Doğru izinler:

• Klasörler: 755 (sahip okur-yazar-çalıştırır, diğerleri okur-çalıştırır)
• Dosyalar: 644 (sahip okur-yazar, diğerleri okur)
• wp-config.php: 600 veya 400 (sadece sahip okur)
• .htaccess: 644

cPanel veya FTP ile File Manager üzerinden tüm WordPress klasörünü seçip "Chmod" ile toplu izin verilir. Yanlış izinler (777 gibi) sunucuya açık kapı bırakır.

Katman 4: wp-config.php sertleştirme

wp-config.php WordPress'in en kritik dosyasıdır; veritabanı bilgileri burada. Birkaç ek satır güvenliği artırır.

// Dosya düzenlemeyi panel üzerinden engelle
define('DISALLOW_FILE_EDIT', true);

// Tema ve eklenti kurulumunu panel üzerinden engelle
define('DISALLOW_FILE_MODS', true);

// SSL üzerinden zorla giriş
define('FORCE_SSL_ADMIN', true);

// Veritabanı tablo ön ekini değiştir (kurulumda)
$table_prefix = 'wpx5j_';  // Varsayılan 'wp_' yerine

DISALLOW_FILE_EDIT panel üzerinden tema/eklenti dosyalarını düzenlemeyi engeller; bir saldırgan adminize ulaşsa bile zararlı kod ekleyemez.

Katman 5: WAF (Web Application Firewall)

WAF, siteye gelen tüm trafiği filtreleyen güvenlik katmanıdır. Bilinen saldırı kalıplarını otomatik tanır ve engeller.

İki tip WAF

1. Bulut tabanlı (Cloudflare, Sucuri): Trafik önce CDN'e gider, oradan filtrelenip sunucuya iletilir. En güçlü koruma ama aylık ücret olabilir
2. Eklenti tabanlı (Wordfence, Solid Security): Sunucu içinde çalışır; basit kurulum ama performans yükü var

Cloudflare ücretsiz plan

Cloudflare'in ücretsiz planı bile temel WAF, DDoS koruması ve botbloker sunar. Kurulum:

1. Cloudflare hesabı aç
2. Domain'i ekle, alan adı kayıt firmasında nameserver'ları Cloudflare'inkilere değiştir
3. SSL'i "Full (strict)" moduna al
4. "Bot Fight Mode" aç
5. "Browser Integrity Check" aç
6. İsteğe bağlı: Page Rules ile /wp-admin için ek kurallar

Katman 6: Yedekleme stratejisi

Hardening ne kadar iyi olursa olsun, sıfır risk yok. Yedek, en kötü senaryoda hayat kurtarır. 3-2-1 kuralı:

• 3 kopya: orijinal + iki yedek
• 2 farklı medya: sunucu + bulut
• 1 off-site: en az bir kopya sitenizin dışında bir yerde

WordPress için en pratik araçlar:

• UpdraftPlus: Ücretsiz, Google Drive/Dropbox'a otomatik yedek
• BackWPup: Veritabanı + dosya yedeği
• All-in-One WP Migration: Hem yedek hem taşıma için
• Hosting'in kendi yedek hizmeti (genelde ek özellik)

Yedek sıklığı

• Düşük trafikli kurumsal site: haftalık tam yedek
• Aktif blog/haber sitesi: günlük yedek
• E-ticaret: günlük tam yedek + saatlik veritabanı yedeği

Yedeği geri yükleme testi

Yedek almak yetmez; yedeğin gerçekten geri yüklenebileceğini test etmek gerekir. 6 ayda bir staging'e test geri yükleme yapın. "Yedeğim var sandığım yıllarca bozuk kaldı" hikayesi yaygındır.

Katman 7: İzleme ve uyarı

Sorun çıktığında erken bilmek hardening kadar önemlidir. İzleme katmanları:

• Wordfence Live Traffic: Sitenize gelen tüm istekleri canlı izle
• WP Activity Log: Tüm yönetim panel aktivitelerini logla (kim ne yaptı)
• Uptime monitoring: UptimeRobot ücretsiz; site düştüğünde anında e-posta/SMS
• SSL süresinin takibi: SSL süresinin bittiği fark edilmezse site uyarı verir
• Google Search Console: Google bir güvenlik sorunu tespit ederse buradan bildirir

Katman 8: Yorum spam yönetimi

Spam yorumlar sadece sinir bozucu değil, sitenin güvenliği için de risk. Bazı spam yorumlar zararlı link içerir.

• Akismet ücretsiz eklentisi otomatik spam filtreleme yapar (kişisel kullanım için)
• Yorumlar onaya alınmalı; otomatik yayın açık olmamalı
• Eski yazılarda yorumları kapatmak yaygın bir pratik (6+ aylık yazılar)
• reCAPTCHA v3 invisible form koruması ekleyebilir

Hardening sonrası kontrol listesi

• Yönetici kullanıcı adı tahmin edilemiyor mu?
• İki faktörlü doğrulama aktif mi?
• Giriş URL'i değiştirildi mi?
• Brute force koruma eklentisi kurulu mu?
• WordPress core, tema, eklentiler son sürüm mü?
• Kullanılmayan eklenti ve tema silindi mi?
• wp-config.php sertleştirme satırları eklendi mi?
• Dosya izinleri 755/644 olarak ayarlı mı?
• WAF (Cloudflare veya Wordfence) aktif mi?
• Haftalık otomatik yedek alınıyor mu?
• Yedek geri yükleme test edildi mi?
• SSL aktif ve Force SSL açık mı?
• İzleme ve uyarı sistemleri kurulu mu?

Sonraki Aşama

WordPress güvenliği bir kez yapılıp unutulan iş değil; sürekli izleme ve güncelleme gerektiren bir süreç. Aylık 1-2 saatlik bakım rutini yıllık ciddi sorunları önler. Erişim güvenliği, WAF, yedekleme ve izleme katmanlarını birlikte oturtan sistemli bir WordPress eğitimi bu disiplini pratiğe çevirir; hardening adımlarını teorik anlatım yerine gerçek kurulum üzerinden işler.

Konunun Özü

WordPress güvenlik hardening; tek bir adımdan değil sekiz katmanlı bir mimariden oluşur. Erişim güvenliği, yazılım güncellemeleri, dosya izinleri, wp-config sertleştirme, WAF, yedekleme, izleme ve yorum yönetimi birlikte uygulandığında saldırı yüzeyi neredeyse sıfıra iner. Hiçbiri yüzde 100 güvenlik garantisi vermez ama hepsi birlikte risk seviyesini "sürekli endişe"den "rutin bakım"a düşürür. Bir saat süren ilk kurulum, sonraki yıllarda saatlerce sürecek kriz yönetiminden çok daha ucuza gelir.