WordPress, dünya genelinde en çok kullanılan içerik yönetim sistemlerinden biridir. Ancak bu kadar popüler olması, onu siber saldırıların da en gözde hedeflerinden biri haline getiriyor. Eğer web sitenizi güvenlik açıklarına karşı korumazsanız, kötü niyetli kişiler verilerinizi çalabilir, sitenizi çökertip SEO performansınızı bile düşürebilir.
Peki, WordPress güvenliği nasıl sağlanır? 2025 yılında alınabilecek en etkili önlemleri adım adım anlatalım.
1. Güçlü Kullanıcı Adı ve Şifre Kullanımı
En temel ama en sık ihmal edilen güvenlik adımı: güçlü şifreler.
“admin” kullanıcı adını ve “123456” gibi tahmin edilebilir şifreleri kullanmak, hackerlara davetiye çıkarmaktır.
Şifre oluştururken:
- En az 12 karakter uzunluğunda olmalı.
- Büyük, küçük harf, rakam ve sembol içermeli.
- Her platform için farklı olmalı.
Ayrıca “admin” yerine özel bir kullanıcı adı belirlemek, brute-force saldırılarını büyük ölçüde engeller.
2. WordPress ve Eklentileri Güncel Tutun
Birçok saldırı, eski sürümlerdeki açıklar üzerinden gerçekleşir.
WordPress çekirdeği, temalar ve eklentiler düzenli olarak güncellenmelidir.
Yapmanız gerekenler:
- “Otomatik güncelleme” seçeneğini aktif hale getirin.
- Artık kullanılmayan eklentileri silin.
- Her güncellemeden önce yedek almayı unutmayın.
Unutmayın: Güncel kalmak, güvenli kalmanın en basit yoludur.
3. Güvenilir Eklentiler ve Temalar Kullanın
Ücretsiz ama güvenilir olmayan kaynaklardan indirilen temalar veya eklentiler, genellikle zararlı kodlar içerir.
WordPress güvenliği için yalnızca:
- Resmî WordPress deposundaki eklentileri,
- veya güvenilir premium geliştiricilerin ürünlerini tercih edin.
Kurulumdan sonra da “Wordfence Security”, “Sucuri Security” veya “iThemes Security” gibi güvenlik eklentilerini mutlaka kullanın.
4. HTTPS ve SSL Sertifikası Kullanın
Google, HTTPS bağlantısı olmayan siteleri artık “güvenli değil” olarak işaretliyor.
SSL sertifikası:
- Ziyaretçi verilerini şifreler,
- SEO’ya katkı sağlar,
- Güvenilirlik algısını artırır.
Eğer hosting sağlayıcınız Let’s Encrypt destekliyorsa, ücretsiz SSL kurulumunu birkaç tıklamayla yapabilirsiniz.
5. Giriş Denemelerini Sınırlandırın
Brute-force saldırılarında, saldırganlar binlerce kullanıcı adı ve şifre kombinasyonu dener.
Bu saldırıları durdurmak için:
- “Limit Login Attempts Reloaded” veya “Loginizer” gibi eklentiler kullanın.
- Hatalı giriş sayısını 3–5 ile sınırlayın.
- Gerektiğinde IP engelleme özelliğini aktif edin.
6. Düzenli Yedekleme Yapın
Her zaman söylendiği gibi:
“Yedek almayan kişi, verisini kaybetmeye hazır kişidir.”
WordPress güvenliği yalnızca saldırılardan korunmakla değil, veri kaybına karşı hazırlıklı olmakla da ilgilidir.
Önerilen eklentiler:
- UpdraftPlus
- BackupBuddy
- Duplicator
Haftalık otomatik yedekleme planı oluşturun ve yedekleri bulut depolama (Google Drive, Dropbox) üzerinde saklayın.
7. Yönetici Alanını Güvende Tutun
/wp-admin dizini, sitenizin kalbidir. Bu bölümü korumak için:
- IP kısıtlaması uygulayın.
- Giriş URL’sini değiştirin (örneğin /wp-login.php yerine /giris-paneli/).
- İki adımlı doğrulama (2FA) aktif edin.
Bu yöntemlerle site yönetim panelinize erişimi yalnızca sizin kontrolünüz altına alabilirsiniz.
8. Güvenlik Duvarı (Firewall) Kullanın
Web Application Firewall (WAF), siteye gelen zararlı trafiği süzer.
Cloudflare, Sucuri, veya Wordfence Firewall gibi çözümlerle:
- SQL Injection,
- XSS (Cross Site Scripting),
- Spam bot saldırıları gibi tehditlerden korunabilirsiniz.
9. Dosya ve Klasör İzinlerini Doğru Ayarlayın
Hosting tarafında da dikkat edilmesi gereken bir güvenlik adımıdır.
WordPress için önerilen izinler:
- Dosyalar: 644
- Klasörler: 755
- wp-config.php dosyasını yalnızca okunur hale getirin.
Bu ayarları cPanel veya FTP üzerinden kolayca değiştirebilirsiniz.
10. Düzenli Güvenlik Taramaları Yapın
Her şeyin yolunda olduğunu varsaymayın.
Wordfence veya Sucuri ile haftalık tarama yaparak zararlı yazılım veya dosya değişikliklerini kontrol edin.
Erken tespit, büyük kayıpların önüne geçer.
Güvenlik Sürekli Bir Süreçtir
WordPress güvenliği tek seferlik bir işlem değildir; sürekli takip ve bakım gerektirir.
Her ay eklentileri, temaları, yedekleri ve kullanıcı izinlerini kontrol etmek, sitenizin geleceğini korur.
Unutmayın, güvenli bir site, yalnızca SEO açısından değil, marka itibarı açısından da büyük fark yaratır.
