WordPress, internetin neredeyse büyük bir kısma yer veren popüler bir içerik yönetimi sistemidir. Ancak yaygın olarak kullanılmasından dolayı kötü niyetli kişilerin de ilgisini çekmektedir. Sucuri 2024 Web uygulaması güvenlik Raporu’na göre CMS tabanına sahip saldırıların yaklaşık %96 oranı WordPress sitelerini hedeflediğini tespit etti. Ancak iyi haber şu ki: Birkaç stratejik yaklaşım ile birlikte bu saldırıların büyük bir kısmı başlamadan engellenebilir. WordPress alt yapılı web sitelerinin 10 güvenli adımı:
Çekirdek, Tema ve Eklentilerin Güncelliği
WordPress ekibi ve tema-eklentiler, tespit edilen açıkları kapatmak için düzenli olarak güncelleme yapar. Bunun önemi ise, 2023 yılında “Template Loader” açığı, sadece güncel olmayan süremleri olumsuz etkiledi. Bunu, gösterge paneline giriş yaparak güncellemeler kısmından kontrol edin. Küçük çekirdek sürümlerinde otomatik güncellemeyi açık bırakın. Ayrıca kullanılmayan tema ve eklentileri kaldırın. Çünkü devre dışı bırakmak yeterli olmayacaktır.
Güçlü Parola ve İki Faktörlü Kimlik Doğrulama
Zayıf parola oluşturmak, en yaygın güvenlik açıklarından biridir. Parola oluştururken, 12 karakter, büyük-küçük harf, rakam, sembol kullanılarak benzersiz olması gerekir. Ayrıca bazı eklentileri kullanarak tek kullanımlık kod zorunluluğunu da dahil ederek güvenliğinizi arttırabilirsiniz.
Güvenli Kaynaklardan Tema ve Eklenti Seçin
Ücretsiz tema içeriğine sahip olan siteler sıkça kötü kod içermektedir. Sadece WordPress, resmi geliştirici web siteleri ya da yaygın güvenilir sitelerden tema almanız tavsiye edilir.
Giriş URL’sini Gizleyin, Login Denemelerini Sınırlandırın
Birçok kişi /wp-login.php yolunu bilmektedir. Bu nedenle, WPS Hide Login ile giriş adresini “/gizli-panel” gibi benzersiz bir dizine taşımanız tavsiye edilir. Ayrıca aynı IP üzerinden 5 hatalı denemeden sonra 30 dakika kilit ekleyebilirsiniz.
Dosya İzinleri ve wp-config.php Güvenliği
Yanlış dosya izinlerinin mevcut olması, kilidi açık kapı olması gibidir.
| Öğe | Önerilen İzin |
|---|---|
| ✅ Dizinler | 55 |
| ✅ Dosyalar | 644 |
| ✅ wp-config.php | (mümkünse) 440 |
Veritabanında Önekini Değiştirin
Varsayılan wp_ öneki, SQL enjeksiyon botları tarafından hedeflenir. Kurulum esnasında wpx9_ gibi rastgele bir ön ek seçin. Mevcut olan web sitenizde iThemes Security ya da WP-DBManager ile güncelleme yapın. Ancak bu işlemleri yedek alarak yapmanız gerekir.
wp-admin ve XMŞ-RPC Erişimlerine Kısıtlama Getirin
Wp-admin IP kısıtlaması, Ofisteki IP’nize izin vererek geri kalanları reddedin. Ayrıca mobil uygulama kullanmanız durumunda, .htaccess’te xmlrpc.php’yi devre dışı bırakmanız ve Disable XML-RPC ile sadece pingback’i kapatmanız yeterli olacaktır.
Düzenli Olarak Yedekleme Yapın
Yapılan düzenlemelerden sonra pişman olmamak adına, sitenizin yedeğini almak çok önemlidir. Geri yükleme testlerini de atlamayın, bozuk zip dosyaları durumu kurtarmaz.
HTTPS ve Güvenlik Başlıkları
SSL sadece şifreleme değildir. Arama sonuçlarında da avantaj sağlar. Let’s Encrypt sertifikasını cPanel kısmından kurulum sağlayın. Yönlendirmelerinizi SSL labs üzerinden test edin.
En İyi WordPress Güvenlik Eklentileri
Manuel olarak yapılan önlemler güçlü de olsa hepsinin takibini sağlamak zor olur.
| Eklenti | Özellikler |
|---|---|
| ✅ Wordfence | Dosya bütünlüğü taranır, gerçek zamanlı WAF ve canlı trafik takibi sağlar. |
| ✅ Sucuri Security | Sunucu dışı tarama yapar ve kara liste izleyerek takip sağlar. Ayrıca kötü amaçlı yazılım temizlemeye yardımcı olur. |
| ✅ iThemes Security | 30+ ayar; brute-force kalkanı, 404 algılama, DB yedekleme |
