EN Teklif Al Teklif Al
Ana Sayfa Hakkımızda Hizmetler Mağaza Blog İletişim
English (EN) Teklif Al
Web Tasarım 14 dk okuma

WordPress Güvenlik Rehberi 2026: Sitenizi Hackerlardan Koruyun

WordPress, dünya genelinde 800 milyonun üzerinde web sitesine güç veriyor; bu popülerlik onu siber saldırıların en büyük hedefi haline getiriyor. Her gün binlerce WordPress sitesi hacklenirken, doğru güvenlik önlemleriyle sitenizi bu tehditlerden tamamen korumak mümkündür. Bu rehberde 2026 itibarıyla en güncel WordPress güvenlik stratejilerini adım adım ele alıyoruz.

Neden WordPress Siteleri Hackleniyor?

WordPress'in hedef alınmasının temel nedeni pazar payıdır. İnternet üzerindeki tüm web sitelerinin yaklaşık %43'ü WordPress kullanıyor. Bu oran, saldırganlar için son derece cazip bir hedef kitlesi anlamına geliyor. Buna ek olarak, birçok site sahibinin güvenlik güncellemelerini ihmal etmesi, zayıf parola kullanması ve eski eklentileri siteye bırakması güvenlik açıklarını katlamaktadır.

Önemli İstatistik: Wordfence verilerine göre 2025 yılında saniyede ortalama 90.000 WordPress sitesine saldırı girişimi gerçekleşti. Sitelerin büyük çoğunluğu eski eklentiler veya zayıf parolalar nedeniyle ele geçirildi.

En Yaygın WordPress Saldırı Türleri

1. Brute Force (Kaba Kuvvet) Saldırıları

Brute force saldırılarında otomatik araçlar, doğru kullanıcı adı ve parola kombinasyonunu bulana kadar binlerce deneme yapar. Varsayılan giriş sayfası olan /wp-admin ve /wp-login.php adresleri bu saldırıların birincil hedefidir. Zayıf, kısa veya yaygın parolalar kullanan siteler dakikalar içinde ele geçirilebilir.

2. SQL Enjeksiyonu (SQL Injection)

SQL enjeksiyonunda saldırgan, arama kutuları, yorum formları veya URL parametreleri gibi kullanıcı girişi kabul eden alanlara kötü niyetli SQL kodları ekler. Bu yöntemle veritabanındaki tüm kullanıcı bilgileri, parolalar ve kişisel veriler çalınabilir ya da silinebilir. Güncelliğini yitirmiş eklentiler bu açıkların başlıca kaynağıdır.

3. XSS (Cross-Site Scripting) Saldırıları

XSS saldırılarında kötü niyetli JavaScript kodu, sitenizin sayfalarına enjekte edilir. Ziyaretçiler bu sayfaları açtığında zararlı kod tarayıcılarında çalışır; oturum çerezleri çalınabilir, kullanıcılar sahte sayfalara yönlendirilebilir veya kötü amaçlı yazılım indirilmesine zorlanabilir.

4. Dosya Dahil Etme (File Inclusion) Saldırıları

Local File Inclusion (LFI) ve Remote File Inclusion (RFI) saldırılarında sunucudaki hassas dosyalar (wp-config.php gibi) okunabilir ya da uzak sunuculardan kötü amaçlı PHP dosyaları dahil edilerek çalıştırılabilir. Bu saldırılar genellikle eski veya kötü kodlanmış eklentilerden kaynaklanır.

5. Backdoor (Arka Kapı) Yerleştirme

Başarılı bir saldırının ardından saldırganlar, gelecekteki erişimlerini garantilemek için sunucuya gizli PHP dosyaları yerleştirir. Bu backdoor'lar parola değiştirilse, eklentiler güncellense bile saldırgana tam kontrol sağlamaya devam eder.

Temel Güvenlik Önlemleri

Güçlü Parola ve Kullanıcı Adı Politikası

Yönetici hesabı için "admin", "administrator" veya site adını kullanmak ciddi bir güvenlik açığıdır. Kullanıcı adını benzersiz ve tahmin edilmesi güç bir değere ayarlayın. Parolalar en az 16 karakter uzunluğunda olmalı; büyük/küçük harf, rakam ve özel karakter içermelidir. Bitwarden veya 1Password gibi parola yöneticileri kullanmak bu süreci kolaylaştırır.

İki Faktörlü Kimlik Doğrulama (2FA)

2FA, parola çalınsa bile yetkisiz erişimi engeller. Giriş sırasında ikinci bir doğrulama adımı (genellikle Google Authenticator veya SMS kodu) gerekir. WordPress için Two Factor Authentication, WP 2FA veya Wordfence'in yerleşik 2FA özelliği kullanılabilir.

Giriş URL'sini Değiştirme

Varsayılan /wp-admin adresi tüm dünyada bilindiğinden brute force saldırılarının hedefidir. WPS Hide Login eklentisiyle giriş sayfasının URL'sini /guvenli-giris-2026 gibi özel bir adrese taşıyabilirsiniz. Bu basit adım otomatik saldırıların büyük bölümünü etkisiz kılar.

Giriş Denemelerini Sınırlandırma

Belirli sayıda başarısız giriş denemesinden sonra IP adresini geçici olarak engelleyin. Limit Login Attempts Reloaded veya Wordfence bu işlevi otomatik olarak yerine getirir. Beş başarısız denemeden sonra 30 dakika bekleme süresi standart bir konfigürasyondur.

wp-config.php Dosyasını Sertleştirme

wp-config.php dosyası, veritabanı kimlik bilgilerinizi içerdiğinden en kritik WordPress dosyasıdır. Bu dosyayı korumak için aşağıdaki adımları uygulayın:

  • Dosyayı bir üst dizine taşıyın (WordPress bunu otomatik bulur)
  • Dosya izinlerini 440 veya 400 olarak ayarlayın
  • .htaccess ile doğrudan web erişimini engelleyin
  • Benzersiz güvenlik anahtarlarını (secret keys) güncelleyin
  • Veritabanı tablo önekini varsayılan wp_ yerine benzersiz bir değere değiştirin

Dosya İzinleri

Yanlış dosya izinleri, saldırganların sunucuya dosya yazmasını kolaylaştırır. Doğru izin yapısı şu şekilde olmalıdır:

Dosya/Klasör Önerilen İzin Açıklama
wp-config.php 400 veya 440 Yalnızca okuma
Klasörler 755 Standart dizin izni
PHP Dosyaları 644 Standart dosya izni
.htaccess 444 Yalnızca okuma
wp-admin/ 755 Standart dizin izni

WordPress Güvenlik Eklentileri

Wordfence Security

Wordfence, WordPress için en kapsamlı ücretsiz güvenlik eklentisidir. Gerçek zamanlı güvenlik duvarı, kötü amaçlı yazılım tarayıcısı, giriş güvenliği ve trafik izleme özelliklerini tek çatı altında sunar. Ücretsiz sürümü küçük siteler için yeterli olmakla birlikte premium sürüm gerçek zamanlı tehdit istihbaratı ve gelişmiş ülke engelleme özellikleri ekler.

  • Gerçek zamanlı Web Application Firewall (WAF)
  • Kötü amaçlı yazılım ve backdoor taraması
  • İki faktörlü kimlik doğrulama
  • Giriş denemesi sınırlama
  • Canlı trafik ve saldırı izleme

Sucuri Security

Sucuri, özellikle güvenlik denetimi ve kötü amaçlı yazılım temizleme konusunda öne çıkar. Ücretsiz eklenti aktivite günlüğü, dosya bütünlüğü izleme ve kara liste denetimi sunar. Ücretli Sucuri Firewall planı ise DNS düzeyinde koruma ve CDN hızlandırması sağlar; bu özellikleri siteye gerçek trafik ulaşmadan önce filtreleme yapılmasını mümkün kılar.

iThemes Security (Solid Security)

iThemes Security (artık Solid Security adıyla anılıyor), 30'dan fazla güvenlik önlemini otomatik olarak uygular. Brute force koruması, veritabanı yedekleme, dosya değişikliği algılama ve güvenlik açığı taraması en öne çıkan özellikleri arasındadır. Kurulum sihirbazı sayesinde teknik bilgisi sınırlı site sahipleri bile kolayca yapılandırabilir.

SSL Sertifikası ve HTTPS

SSL sertifikası 2026 itibarıyla artık bir tercih değil, zorunluluktur. HTTPS olmayan siteler Google tarafından "Güvenli Değil" olarak işaretlenir ve arama sıralamasında ciddi kayıp yaşar. Tüm barındırma firmalarının sunduğu ücretsiz Let's Encrypt sertifikaları sitenizi dakikalar içinde HTTPS'e geçirir.

SSL Kurulum Adımları: cPanel'den "SSL/TLS" bölümüne gidin, Let's Encrypt sertifikası oluşturun, ardından WordPress Genel Ayarları'ndan her iki URL'yi de https:// ile güncelleyin. Son olarak Really Simple SSL eklentisiyle HTTP'den HTTPS'e otomatik yönlendirmeyi aktif edin.

Düzenli Güncelleme Stratejisi

Güncel olmayan WordPress çekirdeği, temalar ve eklentiler saldırıların birincil kapısıdır. Güvenlik açıkları kamuoyuyla paylaşıldıktan sonra saldırılar saatler içinde başlar. Güncelleme stratejinizi şu şekilde oluşturun:

  • WordPress çekirdeği için otomatik küçük güncellemeleri (güvenlik yamaları) aktif edin
  • Büyük WordPress güncellemelerini önce test ortamında deneyin
  • Aktif olarak geliştirilmeyen ve 6 aydan uzun süredir güncelleme almayan eklentileri kaldırın
  • Kullanılmayan temaları tamamen silin; devre dışı bırakmak yeterli değildir
  • Eklenti ve tema güncellemelerini haftalık aralıklarla uygulayın
Uyarı: Bir eklenti veya tema 12 aydan uzun süredir güncelleme almadıysa ve WordPress'in son sürümüyle uyumluluğu test edilmediyse, bu eklentiyi kullanmayı bırakın. Bakımsız eklentiler bilinen güvenlik açıklarına kapı aralar.

Yedekleme Stratejisi

Güvenlik önlemleri saldırıları büyük ölçüde engeller; ancak yüzde yüz koruma mümkün değildir. Bu nedenle düzenli yedekleme, felaket kurtarma planınızın temel direğidir. Yedekleme stratejinizin üç unsuru bulunmalıdır: otomatik yedekleme, birden fazla depolama konumu ve düzenli geri yükleme testi.

Önerilen Yedekleme Araçları

  • UpdraftPlus: En popüler ücretsiz yedekleme eklentisi; Google Drive, Dropbox ve Amazon S3 entegrasyonu sunar
  • BlogVault: Gerçek zamanlı yedekleme ve tek tıkla geri yükleme özelliği
  • ManageWP: Çoklu site yönetimi ve merkezi yedekleme
  • cPanel Yedekleme: Hosting sağlayıcınızın sunduğu sunucu düzeyi yedekleme

3-2-1 yedekleme kuralını benimseyin: 3 kopya, 2 farklı ortam, 1 kopya site dışında (bulut). Yedeklemeleri günlük olarak alın ve en az 30 günlük geçmişi saklayın.

Kötü Amaçlı Yazılım Taraması

Siteniz hacklense bile fark etmeyebilirsiniz; saldırganlar genellikle erişimi gizli tutar. Düzenli kötü amaçlı yazılım taraması, gizli backdoor'ları, zararlı kodları ve şüpheli dosyaları tespit eder. Wordfence ve Sucuri'nin yerleşik tarayıcılarına ek olarak MalCare ve Quttera gibi özel araçlar da güçlü koruma sağlar.

Tarama Sıklığı: Otomatik günlük tarama aktif olsun. Herhangi bir şüpheli aktivite, beklenmedik yönetici hesabı veya trafik düşüşü fark ettiğinizde anında manuel tarama çalıştırın.

Web Application Firewall (WAF)

WAF, kötü niyetli trafiği sitenize ulaşmadan önce filtreler. SQL enjeksiyonu, XSS, brute force ve bot trafiğini engeller. İki tür WAF bulunur:

  • Eklenti Tabanlı WAF: Wordfence ve Sucuri'nin ücretsiz seçenekleri bu kategoridedir; trafik sunucuya ulaştıktan sonra filtrelenir
  • DNS Tabanlı WAF: Cloudflare ve Sucuri Firewall bu kategoridedir; trafik sunucunuza ulaşmadan bulut üzerinde filtrelenir ve çok daha etkilidir

Cloudflare'in ücretsiz planı temel WAF koruması, DDoS hafifletme ve CDN hizmetlerini içerir. Orta ve büyük ölçekli siteler için DNS tabanlı WAF çözümü tercih edilmelidir.

WordPress Güvenlik Kontrol Listesi

Guvenlik Onlemi Oncelik Arac / Yontem
Guclu parola ve benzersiz kullanici adi Kritik Bitwarden, 1Password
Iki Faktorlu Kimlik Dogrulama Kritik WP 2FA, Wordfence
SSL sertifikasi Kritik Let's Encrypt, cPanel
WordPress ve eklentileri guncel tut Kritik Otomatik guvenlik yamasi
Guvenlik eklentisi kur Yuksek Wordfence veya Sucuri
Gunluk yedekleme Yuksek UpdraftPlus + bulut
Web Application Firewall Yuksek Cloudflare ucretsiz plan
Giris URL'sini degistir Orta WPS Hide Login
Dosya izinlerini duzenle Orta FTP / cPanel File Manager
wp-config.php sertlestirme Orta Manuel yapilandirma
Kullanilmayan eklenti ve temalari sil Orta WordPress Yonetici Paneli
Kotu amacli yazilim taramas Orta Wordfence, MalCare

Site Hacklenirse Ne Yapmalı?

Hackleme tespit ettiğinizde panik yapmadan sistematik adımları uygulayın:

  • Siteyi hemen bakım moduna alın; ziyaretçilerin zararlı içerikle karşılaşmasını önleyin
  • Tüm parolaları (WordPress, hosting, FTP, veritabanı) değiştirin
  • Temiz bir yedekten geri yükleme yapın
  • Kötü amaçlı yazılım taraması çalıştırın ve zararlı dosyaları temizleyin
  • Bilmediğiniz tüm yönetici hesaplarını silin
  • Hosting firmanıza durumu bildirin
  • Google Search Console'dan kara liste kaldırma talebinde bulunun
  • Güvenlik açığını tespit edin ve kapatın, aksi hâlde saldırı tekrar eder
Profesyonel Yardım: Hacklenmiş bir siteyi kendi başınıza temizlemek tüm zararlı kodları kaldırdığınızı garanti etmez. Profesyonel güvenlik desteği, gizli backdoor'ların ve arka planda çalışan kötü amaçlı süreçlerin tamamının temizlenmesini sağlar.

Uzun Vadeli Güvenlik Planlaması

WordPress güvenliği tek seferlik bir işlem değil, süregelen bir süreçtir. Aylık güvenlik denetimleri planlayın, eklentilerinizi düzenli olarak gözden geçirin ve gereksiz olanları kaldırın. Sitenizin büyümesiyle birlikte güvenlik yatırımlarınızı da artırın. Ticari bir site işletiyorsanız profesyonel bir WordPress bakım ve güvenlik paketi, olası bir hacklenme maliyetinin çok altında kalır.

Ücretsiz Teklif Alın

WordPress sitenizin güvenlik denetimini yaptırmak veya kapsamlı bir güvenlik paketi hakkında bilgi almak ister misiniz? Kotivon uzmanları sitenizi analiz ederek size özel güvenlik çözümleri sunar.

İletişime Geçin