WORDPRESS PLUGIN SEÇİMİ STANDARTLAŞTIRMAK
WordPress sitesi açtın. Bir ihtiyaç ortaya çıktı (galeri, form, SEO). Plugin Repository'de aradın; 50 sonuç çıktı; en ilk popüler olanı kurdun. Bir ay sonra ikinci ihtiyaç; başka bir plugin kuruldu. Altı ay sonra sitende 32 plugin var; bir tanesi savunmasız, üçü performansı yiyor, dördü artık bakım almıyor.
WordPress'in gücü esnek plugin ekosistemi; aynı zamanda en büyük zaafı. Kontrolsüz plugin seçimi siteyi yavaşlatır, güvenlik açığı yaratır, bakım kabusuna döndürür. Doğru seçim kriterleri olmadan WordPress sürdürülemez.
Plugin seçimi tek tek karar verildiğinde piyango, standartla verildiğinde mühendisliktir: kalite kriterleri, güvenlik denetimi, performans etkisi ve bakım sürdürülebilirliği aynı kontrol listesinden geçer. Kurumsal plugin standardı kurmak, gelecekteki her 'bu eklenti site mi çökertti?' gününü bugünden iptal etmektir.
Plugin Riskleri
Yanlış seçilmiş plugin'lerin tipik sonuçları:
- Güvenlik açığı: Bakımsız bir plugin SQL injection veya XSS açığı barındırabilir. Site hack'lenir.
- Performans yıkımı: Plugin her sayfada DB query atar; sayfa hızı çöker.
- Çakışma: İki plugin aynı işi farklı şekilde yapar, biri diğerini bozar. White screen of death.
- Bakım iflası: Plugin developer'ı projeden çekilmiş; WordPress versiyonu güncellenince plugin kırılır.
- Vendor lock: Plugin'e bağımlı sayfa şablonları; plugin kaldırılınca içerik gider.
- Veri kirliliği: Plugin database'ine tablolar ekler; uninstall edilse bile tablolar kalır, DB şişer.
Bu risklerin hepsi başlangıçta yönetilebilir; sonradan temizlik çok daha pahalı.
Plugin Seçim Kriterleri
Yeni plugin kurmadan önce şu kriterler kontrol edilir:
1. Aktif kurulum sayısı
WordPress.org Repository'sinde her plugin'in "Active installations" sayısı yazar. Bu rakam plugin'in popülerliği ve dolayısıyla bakım/destek olasılığının göstergesi.
| Aktif Kurulum | Değerlendirme |
|---|---|
| 1M+ | Çok güvenli; popüler, sürekli güncel |
| 100K-1M | İyi; aktif community |
| 10K-100K | Orta; dikkatli incele |
| 1K-10K | Risk; niş plugin olabilir |
| 1K altı | Yüksek risk; alternatif ara |
2. Son güncelleme tarihi
"Last updated" alanı kritik. Plugin son 3 ay içinde güncellenmemişse ihtiyatla yaklaş; 6+ ay güncellenmemiş ise muhtemelen terkedilmiş.
WordPress core her birkaç ayda güncellenir; resmi WordPress dokümantasyonunda belirtilen uyumluluk pratikleri uyarınca, plugin'lerin de bu döngüde yeniden test edilmesi gerekir.
3. WordPress uyumluluğu
"Tested up to" alanı plugin'in test edildiği son WP sürümü. Eğer mevcut WP sürümünden 2 ay+ eskiyse uyumsuzluk riski.
4. Rating ve reviews
4+ yıldız (5 üzerinden) sağlıklı. Negatif yorumların içeriği önemli:
- "Site çöktü" şikayetleri → güvenilirlik sorunu
- "Update kırdı" şikayetleri → bakım sorunu
- "Yavaşladı" şikayetleri → performans sorunu
- "Destek cevap vermiyor" → support sorunu
5. Support forumu aktivitesi
Plugin sayfasının support kısmı; son sorulara geliştirici cevap veriyor mu, hangi sıklıkta? "Resolved/Unresolved" oranı önemli.
6. Geliştirici güvenilirliği
Plugin'in geliştiricisi:
- Tek kişi mi yoksa şirket mi (Automattic, WPMU DEV, GravityForms gibi)
- Başka popüler plugin'leri var mı
- Reputasyon var mı (community'de tanınmış)
Tanınmış geliştiricinin plugin'i bilinmeyen birine göre çok daha güvenli.
7. Code review (gelişmiş)
GitHub'da kodu açık mı? PHP kalitesi, security best practice, performance düşünülmüş mü? Bu detaylar geliştirici ekibin teknik bakışı.
8. Changelog
Düzenli changelog yayını sürdürülebilir bakım göstergesi. Her güncellemede ne değiştiği şeffaf belirtiliyorsa profesyonel.
Free vs Premium Plugin
Ücretsiz vs ücretli plugin tercihi:
| Senaryo | Tercih |
|---|---|
| Basit ihtiyaç, geçici çözüm | Ücretsiz; popüler bir tane |
| Kritik iş fonksiyonu | Premium; profesyonel destek ve garanti |
| E-ticaret core (WooCommerce eklentileri) | Premium genelde; bug'ı reklam ettiği zarar |
| SEO ana plugin | İkisi de geçerli; Yoast/Rank Math ücretsiz versiyonu yeterli |
| Niş ihtiyaç (özelleştirme) | Custom development veya premium |
| Security/backup | Premium; ücretsiz çoğunlukla yeterli değil |
"Ücretsiz olduğu için kullanıyorum" yaklaşımı kısa vadeli; uzun vadede destek alamamak büyük maliyet. Kritik plugin'ler için premium yatırım yapmak ROI'yi karşılar.
Plugin Sayısı Kontrolü
"Kaç plugin çok fazla" sorusunun net cevabı yok; ama orta-üst düzey sitelerin tipik standardı:
- Küçük blog: 5-15 plugin
- Orta corporate site: 15-25 plugin
- E-ticaret (WooCommerce): 20-40 plugin
- Membership / büyük platform: 30-50 plugin
50+ plugin sürdürülebilirlik sınırını zorlar. Performans, çakışma, güncelleme yönetimi katlanarak zorlaşır. Bu seviyenin üzerine çıkarken bilinçli karar gerekir.
Her plugin'in "gerçekten gerekli mi" sorgusu:
- Çözmek istediği problem ne?
- WordPress core veya tema bu işi yapamıyor mu?
- Mevcut plugin'lerden biri bu işi de yapamıyor mu?
- Tek seferlik mi yoksa kalıcı ihtiyaç mı (geçici için kuruyorsan sonra kaldır)?
- Hangi alternatifler var, en hafifi hangisi?
Standart Plugin Setleri
Kurumsal WordPress yönetimi için "onaylı plugin" listesi tutulur. Tipik kurumsal stack:
Temel Set (Her Site)
- SEO: Yoast SEO veya Rank Math
- Caching: WP Rocket (premium) veya W3 Total Cache
- Backup: UpdraftPlus veya BlogVault
- Security: Wordfence veya Sucuri
- Image optimization: ShortPixel, Smush, EWWW Image Optimizer
- Forms: Gravity Forms (premium) veya WPForms
E-ticaret Set
- WooCommerce (core)
- Payment gateway: WooCommerce Stripe, iyzico, PayTR
- Shipping: WooCommerce Shipping veya yerel kargo plugin'leri
- Multi-currency: WPML veya Polylang (gerekiyorsa)
Content Set
- Page builder: Elementor, Beaver Builder, Bricks (modern Gutenberg ile çoğu zaman yeterli)
- Custom fields: ACF (Advanced Custom Fields)
- Editorial workflow: Edit Flow (büyük editorial ekip için)
Bu onaylı liste yıllık review'dan geçer; sektörde değişen iyi pratiklerle güncellenir.
Plugin Audit Süreci
Mevcut sitede plugin sağlığı audit'i yılda 1-2 kez:
- Plugin envanteri: Yüklü tüm plugin'lerin listesi, versiyonu, son güncelleme tarihi.
- Kullanım kontrolü: Aktif kullanılıyor mu? Bazı plugin'ler kurulu ama hiçbir yerde aktif değil — boş yük.
- Güncelleme durumu: Otomatik güncelleme açık mı, manuel mi? Önemli güncellemeler kaçırılmamış mı?
- Performans etkisi: Query Monitor, GTmetrix ile her plugin'in yük tahmini.
- Güvenlik denetimi: Wordfence scan, WP-CLI security check.
- Çakışma kontrolü: Sırayla disable edip site test, sorun yaratan tespit.
- Alternatif değerlendirme: Aynı işi yapan daha hafif/güvenli plugin var mı?
Audit sonrası kararlar: kaldırılacaklar, değiştirilecekler, hâlâ uygun olanlar.
Test Ortamı (Staging) Disiplini
Plugin değişikliği önce staging'de test edilir:
- Yeni plugin staging'e kurulur
- Site fonksiyonları manuel test edilir
- Performance impact ölçülür
- Diğer plugin'lerle çakışma kontrol
- Sorun yoksa production'a deploy
Production'da test etmek "site'mı canlı laboratuar yapıyorum" demek; gerçek kullanıcı affetmez. Staging ortamı modern WordPress yönetiminin temel araçlarından.
Otomatik Güncelleme Politikası
Plugin otomatik güncelleme tartışmalı. Avantaj: güvenlik açıkları hızla kapanır. Dezavantaj: kötü bir update siteyi bozabilir.
Tipik politika:
- Minor patches (1.2.3 → 1.2.4): Otomatik — genelde güvenli
- Minor versions (1.2 → 1.3): Otomatik veya manuel; staging test sonrası
- Major versions (1.x → 2.x): Mutlaka manuel ve test sonrası
WordPress 5.5+ ile plugin başına otomatik güncelleme açılıp kapatılabilir; bu seçenek doğru kullanılırsa hem güvenlik hem stabilite korunur.
Performance Etkisi Ölçme
Her plugin sayfa yükleme süresine etki eder. Ölçüm:
- Query Monitor: Sayfada hangi plugin kaç query atıyor, ne kadar süre alıyor.
- GTmetrix / PageSpeed: Sayfanın toplam yükleme süresi; plugin değiştirilince ölçülür.
- P3 Plugin Performance Profiler: Plugin başına yük profili (eski ama hâlâ yararlı).
- New Relic / Datadog: Production'da continuous monitoring.
Tipik bulgular: 1-2 plugin sayfa yükünün yüzde 30-40'ını çekiyor olabilir. Ya optimize edilir, ya alternatif aranır.
Plugin Kaldırma Disiplini
Bir plugin artık gerekli değilse:
- Deactivate et (sadece kapat).
- Site kullanımını birkaç gün izle; kritik hata yoksa kaldır.
- Plugin'in kalıntı verisini (database tabloları, options) temizle.
- Plugin sayfaları varsa redirect kur (404 oluşmasın).
- WP All-In-One veya Advanced Database Cleaner ile DB temizliği.
"Sonra lazım olabilir" düşüncesiyle plugin'i deaktive bırakmak kötü pratik; deaktive plugin'in kodu yine de var, güvenlik açığı potansiyeli devam ediyor.
Plugin Yerine Alternatifler
Bazı görevler için plugin yerine alternatifler düşünülmeli:
- functions.php snippet: Küçük özelleştirmeler için plugin kurmak yerine theme'in functions.php'sine kod ekle. Code Snippets plugin'i bu kodları yönetmeyi kolaylaştırır.
- Must-use plugins (mu-plugins): wp-content/mu-plugins klasöründeki PHP dosyaları otomatik yüklenir. Custom site behavior için ideal.
- Custom plugin: Şirkete özel ihtiyaçlar için kendi plugin'ini yaz; üçüncü taraf bağımlılığı yok.
- Tema fonksiyonu: Bazı işler tema tarafından sağlanabilir (örn. portfolio custom post type).
- External service: Form için Typeform, analytics için GA4, chat için Crisp gibi external service'ler; WordPress'i hafif tutarlar.
"Her ihtiyaca plugin" yaklaşımı erken karar; düşünülmüş alternatif çoğu zaman daha iyi sonuç verir.
Plugin License Yönetimi
Premium plugin'ler license key ile çalışır. Bunların yönetimi:
- License bilgileri merkezi bir yerde tutulur (1Password, Bitwarden vb.)
- Yıllık yenileme tarihleri takvime işlenir
- Yenileme bütçesi planlanır
- License sahibi netleştirilir (kim, hangi mail adresi)
- License key sızdırılmaz; public Github veya genel paylaşımda olmamalı
Bir kurumsal sitede 10+ premium plugin olabilir; toplam yıllık $1000-3000 yenileme. Bu bütçe önceden plan içinde olmalı.
Plugin Backdoor Riski
Bazı kötü niyetli plugin'ler veya sahibi değişen plugin'ler arka kapı (backdoor) içerebilir. Tarihsel örnekler:
- Display Widgets (2017): malicious code injected after ownership change.
- WP GDPR Compliance (2018): vulnerability used to inject backdoors.
- Yıllık ortalama 30-50 plugin için ciddi vulnerability raporu yayınlanır.
Korunma:
- Plugin sahibi değişikliği takip; eski güvenilir plugin yeni sahipte aniden kötü olabilir.
- Wordfence gibi security plugin malicious code'u tarar.
- Şüpheli aktivite (admin user oluşturma, kod dosyası değiştirme) izlenir.
- Regular security scan yapılır.
Plugin Backup Stratejisi
Plugin güncelleme veya değişiklik öncesi backup:
- Full site backup (database + files)
- BlogVault, UpdraftPlus gibi araçlarla otomatik veya manuel
- Off-site storage (Dropbox, S3, Google Drive)
- Restore testi periyodik; backup işe yarıyor mu kontrol
"Backup var" yetmez; "restore çalışıyor" gerekli. Kritik bir update kıymaya gittiğinde dakikalar içinde geri dönebilmek değerlidir.
Plugin disiplinleri, audit süreci ve production operasyonunu uçtan uca işleyen bir WordPress eğitimi bu standartları gerçek site üzerinden pratiğe çevirir; eklenti seçim kriterleri ve performans ölçümü birlikte ele alınır.
Karar Matrisi Örneği
Yeni plugin'e karar verirken bir matris:
| Kriter | Ağırlık | Plugin A | Plugin B |
|---|---|---|---|
| Aktif kurulum (1M+) | 10 | 10 | 3 |
| Son 3 ay güncellenmiş | 8 | 8 | 5 |
| WP uyumlu (current) | 8 | 8 | 8 |
| Rating 4.5+ | 6 | 6 | 4 |
| Hafif (performance) | 9 | 7 | 9 |
| Premium support | 5 | 5 | 0 |
| Toplam | 44 | 29 |
Plugin A açık ara önde. Karar veri tabanlı, "popüler olduğu için" değil.
Özetle
WordPress plugin seçimi sadece "Tag manager kurarken hangi plugin'i seçeceğim" gibi tekil soru değil; kurumsal WordPress yönetiminin temel disiplinidir. Doğru standart kurulduğunda site uzun vadede sağlıklı kalır; performans korunur, güvenlik sürdürülür, bakım yönetilebilir.
Yanlış disiplinin sonucu altı ay sonra plugin enkazı; site yavaş, savunmasız, çakışmalı. Bu enkazı temizlemek baştan iyi seçim yapmaktan 10 kat daha pahalı. WordPress'in gücü plugin ekosistemi; bu gücü disiplinli kullanan operasyonlar başarılı, kontrolsüz tüketen operasyonlar zorlanır.
