WordPress Güvenlik Nasıl Sağlanır?
- Konuyu Başlatan Teknoloji Forum
- Başlangıç tarihi
- Cevaplar 1
- Görüntüleme 4
-
- Etiketler
- güvenlik web güvenliği wordpress
Yönetici
Sorunun özeti
WordPress’te güvenlik; sunucu, WordPress çekirdeği, tema/eklenti ve yönetici alışkanlıklarının toplamıyla sağlanıyor. Tek bir ayar değil, birkaç katmandan oluşan bir süreç.
Aşağıda pratik, uygulanabilir ve çoğu sitede yeterli olacak bir yol haritası var.
1. Hosting ve sunucu tarafı
- Güvenilir hosting kullan: Ucuz ama güvenliksiz shared hosting yerine bilinen firmaları tercih et.
- PHP / MySQL / Linux güncel olsun: En az PHP 8.x kullan, eski sürümler güvenlik açığı barındırır.
- Firewall ve WAF: Sunucu tarafında mod_security, Cloudflare gibi WAF çözümleri kullan.
- Yedekleme: Günlük otomatik yedek alsın, mümkünse harici lokasyona (farklı sunucu / bulut).
2. WordPress çekirdeği, tema ve eklentiler
- Her şeyi güncel tut:
- WordPress çekirdeği
- Temalar (özellikle aktif olan)
- Eklentiler
- Korsan (nulled) tema/eklenti kullanma: %90 ihtimalle arka kapı (backdoor) içerir.
- Kullanmadığın eklentiyi/temayı sil: Sadece devre dışı bırakmak yetmez, tamamen kaldır.
- Minimum eklenti mantığı: Ne kadar az eklenti, o kadar az saldırı yüzeyi.
3. Güçlü kullanıcı yönetimi
- Admin kullanıcı adını “admin” yapma: Farklı, tahmin edilmesi zor bir kullanıcı adı kullan.
- Güçlü şifre kullan: Büyük-küçük harf, sayı, özel karakter karışımı, en az 12 karakter.
- İki adımlı doğrulama (2FA): Google Authenticator, Authy gibi uygulamalarla girişe 2FA ekle.
- Gereksiz adminleri sil: Kullanıcı rollerini kontrol et, gerekirse editör/author rollerini kullan.
4. Giriş (wp-login.php / wp-admin) güvenliği
- Giriş deneme sayısını sınırla:
- Eklenti: Limit Login Attempts Reloaded, Wordfence gibi
- reCAPTCHA ekle: Brute force bot saldırılarını ciddi azaltır.
- Giriş URL’sini değiştirme (isteğe bağlı): Bazı güvenlik eklentileri wp-login URL’sini değiştirebiliyor.
- IP kısıtlaması (mümkünse): Statik IP’n varsa wp-admin’e sadece o IP’den erişim izni verilebilir (htaccess veya sunucu seviyesinde).
5. Güvenlik eklentisi kullanımı
Tek bir eklenti her şeyi çözmez ama önemli katman ekler. Örnek kullanım:
- Wordfence veya iThemes Security ya da All In One WP Security:
- Giriş denemesi limiti
- Temel firewall
- Dosya bütünlüğü taraması (core dosyaları değişmiş mi kontrol)
- Şüpheli trafik ve IP engelleme
Not: Aynı anda birden fazla ağır güvenlik eklentisi kullanma; çakışma ve yavaşlamaya neden olabilir.
6. wp-config.php ve dosya izinleri
wp-config.php koruması:
Apache kullanıyorsan
.htaccess içine şu satırları ekleyebilirsin:
Kod:
<files wp-config.php>
order allow,deny
deny from all
</files>Doğru dosya izinleri:
- Dosyalar için genelde:
644 - Klasörler için genelde:
755 - Asla
777verme[/b] (tam yetki = büyük güvenlik riski)
Dosya düzenlemeyi kapat (tema/eklenti editörü):
wp-config.php dosyana şu satırı ekle:
PHP:
define( 'DISALLOW_FILE_EDIT', true );7. XML-RPC, REST API vb. yüzeyler
- XML-RPC’yi kapat (kullanmıyorsan): Sık brute force hedefi olur. Bazı güvenlik eklentileri tek tıkla kapatıyor, yoksa
.htaccessile engellenebilir. - REST API erişimi: Çok kısıtlamak bazı eklentileri bozabilir ama misafire açık olan uç noktaları gözden geçirmek faydalı.
8. Düzenli yedek ve acil durum planı
- Otomatik yedek: UpdraftPlus, JetBackup (sunucu tarafı) vb. ile
- Yedek içeriği: Dosyalar + veritabanı birlikte alınmalı
- Farklı lokasyona yedek: Aynı sunucuda yedek olması, hack veya disk arızasında işine yaramayabilir.
9. Günlük takip ve log inceleme
- Sunucu logları: Access log ve error log içinde anormal istekler var mı?
- Güvenlik eklentisi raporları: Wordfence vb. tarama sonuçlarını ara ara kontrol et.
- Google Search Console: “Güvenlik sorunları” bölümü, Google sitende zararlı yazılım bulursa uyarır.
10. Genel iyi pratikler
- Her yerden aynı şifreyi kullanma
- FTP yerine SFTP / SSH kullan
- Panellerin (cPanel, Plesk vb.) şifresini de güçlü tut
- Tema/eklenti kodu bilmeden rastgele “güvenlik snippet”’ı yapıştırma
Sonuç:
WordPress güvenliği; düzgün hosting, güncel yazılım, güçlü şifre + 2FA, sınırlı eklenti, temel WAF ve düzenli yedek kombinasyonuyla büyük oranda sağlanır. Bunları oturttuğunda hacklenme riskini tamamen sıfırlamasan da, ortalama saldırıların çok büyük kısmını engellemiş olursun.
Sende şimdi bize katılmak ister misin?
Kayıt ol
Bize katılım kolay ve ücretsizdir!
Giriş Yap
Zaten bir hesabınız var mı? Buradan giriş yapın.
Bu konuyu görüntüleyen kullanıcılar
Son Mesajlar
-
-
Soru Kısa tanıtım videoları hazırlamak için ücretsiz hangi aracı kullanabilirim? (2 İçerde)- En son: WFN AI
-
-
-
Son Konular
-
Soru Kısa tanıtım videoları hazırlamak için ücretsiz hangi aracı kullanabilirim? (2 İçerde)- Başlatan Garfield
- Puan: 0
- Cevaplar: 1
-
-
-
Whatsapp Durum Ekran Görüntüsü Alınca Bildirim Gider mi? (3 İçerde)
- Başlatan Emre
- Puan: 0
- Cevaplar: 1
-
Dikkat!
İçerik sağlayıcı paylaşım sitesi olarak hizmet veren WebmasterForum.NET adresimizde, 5651 Sayılı Kanun’un 8. maddesi ile Türk Ceza Kanunu’nun 125. maddesi uyarınca, üyelerimiz tarafından yapılan tüm paylaşımların hukuki sorumluluğu ilgili üyeye aittir. WebmasterForum.NET hakkında yapılacak tüm hukuki şikayetler, iletişim bağlantımız üzerinden tarafımıza iletildikten sonra en geç 3 (üç) gün içerisinde ilgili mevzuat çerçevesinde incelenecek, gerekli işlemler yapılacak ve başvuru sahibine bilgi verilecektir.