← Blog
Guvenlik8 dk okumaMegis

WordPress Guvenlik Rehberi: Sitenizi Koruma

WordPress sitenizin guvenligini saglamak icin eklenti, guncelleme ve yapilandirma adimlarini uygulayin.

WordPress Guvenligi Neden Kritik?

WordPress, internetteki tum web sitelerinin yuzde 43'unden fazlasini calistiran dunyanin en populer icerik yonetim sistemidir (CMS). Bu yayginlik, WordPress'i siber saldirganlar icin birincil hedef haline getirir. Gunluk olarak 13.000'den fazla WordPress sitesi hacklennnmektedir ve bu saldirilarin buyuk cogunlugu guncellenmmemis eklentiler, zayif sifreler ve guvenlik yapilandirma eksiklikleri nedeniyle gerceklesmektedir.

Bu rehberde WordPress guvenligini saglamak icin uygulanmasi gereken hardening (guclendirme) tekniklerini, guvenlik eklentilerini, guncelleme stratejilerini, yedekleme cozumlerini ve guvenlik duvari yapilandirmalarini detayli sekilde inceleyecegiz.

WordPress Hardening (Guclendirme) Teknikleri

WordPress hardening, varsayilan yapilandirmayi guclendirerek saldiri yuzeyini kuculten bir dizi guvenlik onlemidir:

Varsayilan Admin Kullanici Adini Degistirin

WordPress kurulumunda varsayilan "admin" kullanici adini kullanmayin. Brute-force saldirilarinda ilk denenen kullanici adi "admin"dir. Benzersiz ve tahmin edilmesi zor bir kullanici adi secin.

Guclu Sifre Politikasi

Tum kullanici hesaplari icin guclu sifre zorunlulugu uygulaayin. Minimum 16 karakter, buyuk ve kucuk harf, rakam ve ozel karakter iceren sifreler kullanin. Sifre yooneticisi (1Password, Bitwarden) kullanmayi zorunlu kilin. Ayni sifreyi birden fazla yerde kullanmayin.

Iki Faktorlu Kimlik Dogrulama (2FA)

Admin ve editor hesaplarinda 2FA zorunlu kilin. Google Authenticator, Authy veya donanim tokenlari (YubiKey) kullanin. WP 2FA veya Two Factor Authentication eklentileri ile kolayca kurulaabilir.

Giris Denemesi Sinirlamasi

Brute-force saldirilarini onlemek icin giris denemelerini sinirlayin. 5 basarisiz denemeden sonra IP adresini gecici olarak engelleyin. Limit Login Attempts Reloaded eklentisi bu islevi saglar.

wp-config.php Guvenligi

// wp-config.php'yi bir ust dizine tasiyabilirsiniz
// WordPress otomatik olarak bir ust dizini kontrol eder

// Dosya duzenleyiciyi devre disi birakin
define('DISALLOW_FILE_EDIT', true);

// Otomatik guncelleme ayarlari
define('WP_AUTO_UPDATE_CORE', 'minor');

// Guvenlik anahtarlarini guncelleyin
// https://api.wordpress.org/secret-key/1.1/salt/
define('AUTH_KEY', 'benzersiz-deger');
define('SECURE_AUTH_KEY', 'benzersiz-deger');

// Veritabani on ekini degistirin
$table_prefix = 'wp_xyz123_';

// Hata ayiklama modunu kapatin
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
define('WP_DEBUG_LOG', false);

Dosya Izinleri

  • Dizinler: 755 (rwxr-xr-x)
  • Dosyalar: 644 (rw-r--r--)
  • wp-config.php: 440 veya 400 (salt okunur)
  • .htaccess: 444 (salt okunur)

XML-RPC Devre Disi Birakma

XML-RPC, uzaktan erisim saglayan ancak brute-force ve DDoS saldirilarinda kullanilabilen bir WordPress ozelligidir. Jetpack veya mobil uygulama kullanmiyorsaniz devre disi birakin:

// .htaccess ile XML-RPC engelleme
<Files xmlrpc.php>
  Order deny,allow
  Deny from all
</Files>

// Veya functions.php ile
add_filter('xmlrpc_enabled', '__return_false');

Dizin Listelemeyi Engelleyin

# .htaccess dosyasina ekleyin
Options -Indexes

# wp-includes ve wp-content dizinlerini koruyun
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteBase /
  RewriteRule ^wp-admin/includes/ - [F,L]
  RewriteRule !^wp-includes/ - [S=3]
  RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
  RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
  RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Guvenlik Eklentileri

WordPress guvenlik eklentileri, kapsamli koruma saglayan hepsi bir arada cozumler sunar:

Wordfence Security

En populer WordPress guvenlik eklentisidir. WAF (Web Application Firewall), malware tarama, giris guvenligi ve canli trafik izleme ozellikleri sunar. Ucretsiz surumuu bile guclu koruma saglar. Premium surum, gercek zamanli tehdit veritabani ve ulke bazli engelleme icerir.

Sucuri Security

Bulut tabanli WAF, malware temizleme, DDoS korumasi ve guvenlik izleme sunar. CDN entegrasyonu ile performans iyilestirmesi de saglar. Aylak abonelik modeliyle calisiir.

iThemes Security (Solid Security)

30'dan fazla guvenlik onlemi sunar. Iki faktorlu kimlik dogrulama, dosya degisikligi tespiti, veritabani yedekleme ve brute-force korumaasi temel ozellikleri arasindadir.

All In One WP Security

Ucretsiz ve kapsamli bir guvenlik eklentisidir. Guvenlik skor sistemi ile hangi onlemlerin alindigini ve hangilerinin eksik oldugunu gorsel olarak gosterir. Baslangiic seviyesi kullanicilar icin idealdir.

Guncelleme Stratejisi

Guncellemeler, WordPress guvenliginin temel tasidir. Guvenlik aciklaarinin buyuk cogunlugu guncellenmmemis yazilimlardan kaynaklanir:

WordPress Core Guncellemeleri

  • Kucuk guncellemeler (5.x.1, 5.x.2): Guvenlik yamalari ve hata duzeltmeleri icerir. Otomatik guncellemeyi aktif birakin.
  • Buyuk guncellemeler (5.x, 6.x): Yeni ozellikler ve buyuk degisiklikler icerir. Staging ortaminda test ettikten sonra uygulaayin.

Eklenti ve Tema Guncellemeleri

  • Tum eklentileri ve temalari guncel tutun. Guncellenmeyen eklentiler en buyuk guvenlik riskidir.
  • Kullanmadiginiz eklentileri ve temalari silin (yalnizca devre disi birakmak yetmez).
  • Eklenti seciminde son guncelleme tarihi, aktif kurulum sayisi ve destek durumunu kontrol edin.
  • Guvenilir kaynaklardan (WordPress.org, gelistirici sitesi) eklenti indirin. Korsan eklentiler (nulled plugins) asla kullanmayin.

Otomatik Guncelleme Yapilandirmasi

// wp-config.php'da otomatik guncelleme ayarlari

// Kucuk guncellemeler otomatik (varsayilan acik)
define('WP_AUTO_UPDATE_CORE', 'minor');

// Eklenti otomatik guncelleme
add_filter('auto_update_plugin', '__return_true');

// Tema otomatik guncelleme
add_filter('auto_update_theme', '__return_true');

Yedekleme Stratejisi

Duzenli yedekleme, herhangi bir guvenlik olayinda kurtarma imkani saglar. Yedekleme olmadan, bir saldiri sonrasi veri kaybi kacinilmazdir:

Yedekleme Kurallari

  • 3-2-1 kurali: 3 kopya, 2 farkli ortam, 1 uzak konum. Ornegin sunucu, bulut depolama ve harici disk.
  • Yedekleme sikligi: Gunluk veritabani yedegi, haftalik tam yedek. E-ticaret sitelerinde saatlik yedekleme onerilir.
  • Geri yukleme testi: Yedeklerinizi duzenli olarak geri yukleyerek calistigini dogrulayin. Test edilmemis yedek, yedek degildir.

Yedekleme Eklentileri

  • UpdraftPlus: En populer yedekleme eklentisi. Google Drive, Dropbox, Amazon S3 ve diger bulut depolama servislerine otomatik yedekleme yapar.
  • BlogVault: Artimsal (incremental) yedekleme ile sunucu kaynaklarini minimize eder. Tek tikla geri yukleme ve staging ortami sunar.
  • Jetpack Backup (VaultPress): Automattic tarafindan gelistirilen gercek zamanli yedekleme cozumu. Her degisiklik aninda yedeklenir.

Web Application Firewall (WAF)

WAF, WordPress sitenize gelen zararli istekleri filtreleyen bir guvenlik katmanidir:

Uygulama Duzeyi WAF

Wordfence gibi eklentiler, WordPress icerisinde calisan uygulama duzeyi WAF sunar. Kurulumu kolaydir ancak sunucu kaynaklarini tuketir.

DNS Duzeyi WAF

Cloudflare ve Sucuri gibi servisler, trafigi kendi sunuculaarindan gecirerek zararli istekleri engeller. Sunucu yukunu azaltir ve DDoS korumaasi saglar. Kurulumu DNS ayarlarinin degistirilmesini gerektirir.

WAF Kurallari

  • SQL Injection saldirilarini engelleme
  • XSS (Cross-Site Scripting) saldirilarini filtreleme
  • Bilinen zararli botlari engelleme
  • Dosya yukleme guvenligini saglama
  • Cografi bolge bazli erisim kontrolu
  • Hiz sinirlamaasi (rate limiting) ile brute-force onleme

SSL/TLS Sertifikasi

SSL sertifikasi, siteniz ile kullanicilar arasindaki iletisimi sifreler. HTTPS zorunlulugunu uygulaayin:

  • Let's Encrypt ile ucretsiz SSL sertifikasi alin.
  • wp-config.php'da HTTPS zorlaayin: define('FORCE_SSL_ADMIN', true);
  • HTTP'den HTTPS'e yonlendirme yapilandirin.
  • Karisik icerik (mixed content) uyarilarini giderin.

Guvenlik Izleme ve Denetim

Proaktif guvenlik izleme, saldirilari erken asaamada tespit etmenizi saglar:

  • Dosya butunluk izleme: WordPress core, eklenti ve tema dosyalarindaki degisiklikleri izleyin. Yetkisiz degisiklikler saldiri belirtisi olabilir.
  • Kullanici aktivite loglamaa: WP Activity Log eklentisi ile admin panelindeki tum islemleri kaydedin.
  • Uptime izleme: Sitenizin erisilebiilirligini surekli izleyin. Beklenmedik kesintiler saldiri belirtisi olabilir.
  • Google Search Console: Guvenlik sorunlari sekmesini duzenli kontrol edin. Google, malware ve phishing tespitlerini burada bildirir.
  • Malware taramasi: Haftalik otomatik malware taramasi yapilandirin. Sucuri SiteCheck veya Wordfence Scanner kullanin.

WordPress Guvenlik Kontrol Listesi

  1. WordPress, eklenti ve temalari guncel tutun
  2. Guclu sifreler ve 2FA kullanin
  3. Kullanilmayan eklenti ve temalari silin
  4. WAF yapilandirin (Cloudflare veya Wordfence)
  5. Duzenli yedekleme yapin ve test edin
  6. SSL sertifikasi kurun ve HTTPS zorlaayin
  7. Dosya izinlerini dogru yapilandirin
  8. XML-RPC'yi devre disi birakin
  9. Dosya duzenleyiciyi kapatin
  10. Veritabani on ekini degistirin
  11. Giris denemelerini sinirlayin
  12. Guvenlik izleme ve denetim yapin

Sonuc

WordPress guvenligi, tek bir onlemle degil katmanli bir yaklasimla saglanir. Guclendirme teknikleri, guvenlik eklentileri, duzenli guncellemeler, kapsamli yedekleme ve WAF yapilandirmasi bir arada uygulanmaalidir. Proaktif guvenlik izleme ile tehditleri erken asaamada tespit ederek potansiyel zarari minimize edebilirsiniz. Unutmayin: guvenllik bir urun degil, surekli bir surectir.

#wordpress guvenlik#wp security#eklenti guvenligi#cms guvenlik