WordPress site sahibiyseniz güvenliği düşünmeye başlamak için sitenizin saldırıya uğramasını beklemeyin. Çünkü ihlal olduğunda, temizlik maliyeti çoğu zaman önlem almaktan çok daha yüksek oluyor. Bu yazıda, 2026’da bir WordPress sitesini korumanın en etkili 10 yolunu derledim. Her biri doğrudan uygulayabileceğiniz, teknik derinliği olmayan adımlar.
Arada sıkıştıracağım kontrol listeleri ve karar kriterleriyle ilerleyelim.
1. Güncellemeleri Sadece Planlamayın, Otomatikleştirin
WordPress çekirdek, tema ve eklenti güncellemeleri genellikle “arka plana atılan” işlerdendir. Ama 2023 verilerine göre, saldırıya uğrayan sitelerin %40’ından fazlası güncel olmayan yazılım kullanıyordu. O yüzden güncellemeleri insafınıza bırakmayın.
Çekirdek için küçük sürümlerde (ör. 6.4.1 -> 6.4.2) otomatik güncelleme varsayılan olarak açıktır. Büyük sürümler içinse managed hosting panelinizden veya wp-config.php’ye define('WP_AUTO_UPDATE_CORE', true); ekleyerek açabilirsiniz. Eklenti ve temalarda da aynı satırı minor yerine true yaparak kapsamı genişletebilirsiniz, ancak öncesinde uyumluluk testini ihmal etmeyin.
Ne zaman otomatik, ne zaman manuel?
- Kritik işlem yapan siteler (e-ticaret, üyelik): Büyük güncellemeleri önce staging ortamda deneyin. Küçük güncellemeleri otomatiğe bağlayın.
- Kişisel blog, kurumsal tanıtım sitesi: Tüm güncelleme tiplerini otomatiğe alabilirsiniz. Hosting sağlayıcınızın yedekleme hizmeti varsa risk minimize olur.
- Özel yazılım içeren siteler: Her güncellemeyi manuel kontrol edin; otomatikte kalırsanız çakışma durumunda siteniz çökebilir.
Küçük bir kontrol listesi: Her güncelleme öncesi tam yedek alın, güncelleme sonrası ana sayfa ve kritik formları 5 dakika test edin, hata loglarını bir hafta izleyin.
2. “Admin” Kullanıcı Adını ve Varsayılan Giriş Ekranını Gizleyin
Saldırganların ilk denediği şeylerden biri, sitenize /wp-admin veya /wp-login.php üzerinden erişip “admin” kullanıcı adıyla brute force denemek. Bu ikisini değiştirmek, otomatik saldırı trafiğinin büyük kısmını keser.
Kullanıcı adı kısmı basit: Admin paneline yeni bir yönetici hesabı oluşturun, ardından “admin” hesabını silin ya da editör seviyesine düşürün. Giriş URL’sini değiştirmek içinse ücretsiz “WPS Hide Login” gibi bir eklenti iş görür; /wp-admin‘i /panel-giris gibi bir şey yapabilirsiniz. Unutmayın ki bu değişiklik, XML-RPC üzerinden denemeleri engellemez.
3. Parola ile Kalmayın: İki Faktörlü Kimlik Doğrulama (2FA) Ekleyin
Sadece güçlü parola yeterli değil. Oturum anahtarınız çalınırsa parolanın bir önemi kalmaz. 2FA eklemek, hesabınıza erişimi ikinci bir cihaza bağımlı kılar. 2026’te bunun için birkaç yol var.
WordFence ve Solid Security gibi güvenlik eklentilerinin ücretsiz sürümleri TOTP tabanlı 2FA sunar. Google Authenticator, Authy gibi uygulamalarla kullanılır. Eğer site yönetiminde birden fazla kişi varsa, herkes için zorunlu tutun. Yedek kodları ise mutlaka güvenli bir yerde saklayın, telefonunuzu kaybederseniz lazım olur.
4. Barındırma Seçiminiz İlk Savunma Hattıdır
Web sitenizin hızı ve güvenliği büyük ölçüde hosting seçimiyle başlar. Paylaşımlı hosting ucuzdur, ama bir komşu site ele geçirilirse sizin sitenize sıçrama ihtimali vardır. Yönetilen WordPress hosting, sunucu seviyesinde güvenlik önlemleri (WAF, malware tarama, izole ortam) sunar. Kendi VPS’inizi yönetiyorsanız, güvenlik tamamen sizin sorumluluğunuzdadır.
Seçim yaparken şunlara bakın: otomatik yedekleme sıklığı, sunucu tarafı WAF, PHP 8.x desteği ve varsayılan izinler, kolay staging ortamı. Bazı hostingler ücretsiz SSL’yi manuel kurmanızı bekler; kimisinde otomatiktir. Otomatik olanı tercih edin.
5. Eklentileri “İhtiyaç & İtibar” Filtresinden Geçirin
Ortalama bir WordPress sitesinde 20-30 eklenti bulunur. Her eklenti, potansiyel bir açık kapıdır. Bu yüzden eklenti seçimini disipline bağlayın.
Bir eklenti kurmadan önce sorun: Gerçekten şart mı, yoksa bir kod parçasıyla halledilebilir mi? Son güncelleme 6 aydan eski mi? Destek forumunda çözülmemiş güvenlik şikayetleri var mı? Aktif kurulum sayısı 10.000 altındaysa ve geliştirici tanınmıyorsa bir kez daha düşünün. Ayrıca kullanmadığınız eklentileri silin, devre dışı bırakmak yeterli değildir; kod hâlâ sunucuda durur.
6. Güvenlik Duvarı (WAF) ile Trafiği Ön Kapıda Karşılayın
WAF, sitenize gelen HTTP isteklerini zararlı kalıplara (SQL enjeksiyon, XSS) karşı tarar. DNS seviyesinde (Cloudflare) veya uygulama seviyesinde (WordFence) çalışabilir. DNS seviyesi, trafik sunucunuza ulaşmadan engelleme yapar, bu yüzden DDoS koruması için de idealdir. Uygulama seviyesi ise daha detaylı kural setleri sunar.
Küçük bir site için Cloudflare’in ücretsiz planı yeterlidir; aynı anda hem DDoS hem WAF koruması alırsınız. Eğer hostinginiz yavaşsa, Cloudflare önbelleğiyle performans da artar. Sadece IP iletimi için gerekli eklentiyi kurmayı unutmayın (Cloudflare modülü veya benzeri).
7. Dosya İzinleri ve wp-config.php Koruma Duvarı
Dosya izinleri, sunucudaki hangi kullanıcının hangi dosyaya ne yapabileceğini belirler. Klasörler için 755, dosyalar için 644 genellikle ideal başlangıçtır. wp-config.php için 400 veya 440 yaparak dışarıdan okunmasını zorlaştırabilirsiniz. Ayrıca .htaccess ile bu dosyaya erişimi tamamen reddetmek mümkün:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Bunları yaparken FTP/SFTP ayarlarınızı bilmeniz gerek. Eğer hosting paneliniz varsa, dosya yöneticisinden sağ tıklayıp izinleri değiştirebilirsiniz. Yanlış izin, “403 Forbidden” veya “500 Internal Server Error”a yol açabilir; o yüzden not alarak ilerleyin.
8. Yedekleme: Felaket Senaryosunun Tek Gerçek Panzehiri
Siteniz bir gün tamamen kullanılamaz hale gelirse, can simidiniz yedektir. Sadece dosyalar değil, veritabanı da yedeklenmeli. Eğer hostinginiz günlük yedek sunmuyorsa, UpdraftPlus gibi ücretsiz bir eklenti ile Google Drive veya başka bir bulut hesabına otomatik yedek alabilirsiniz.
Yedekleme sıklığını sitenizin güncellenme hızı belirler: Günde 2 blog yazısı giriyorsanız günlük, haftada bir güncelliyorsanız haftalık yedek yeterlidir. Ama e-ticarette her sipariş veritabanında değişiklik yarattığı için en az saat başı yedek şarttır. Ve mutlaka en az bir yedeği sunucudan farklı bir yerde saklayın.
9. SSL ve HTTPS: Standart Olmanın Ötesinde İnce Ayar
Artık hemen her site SSL kullanıyor, ama doğru yapılandırılmaması güvenlik hissi verip aslında açık kapı bırakabilir. Örneğin, SSL sertifikası var ama sitenin bazı kaynakları (resimler, CSS) HTTP üzerinden yükleniyorsa “mixed content” uyarısı alırsınız. Tarayıcı da sayfayı tam güvenli göstermez.
Çözüm basit: Site adres ayarlarınızı HTTPS yapın, Really Simple SSL eklentisi tüm yönlendirmeleri halleder. Ardından tarayıcının geliştirici konsolundan kalan HTTP bağlantılarını tek tek düzeltin. Ayrıca HTTP/2 ve TLS 1.3 desteği sunan bir hosting daha hızlı ve güvenli bağlantı sağlar.
10. Kullanıcı Rollerini Sıkı Denetleyin; Dosya Yüklemelere Limit Koyun
Çok yazarlı bir siteniz varsa, her yazarın admin olmasına gerek yoktur. Varsayılan roller (Yazar, Editör) çoğu iş için yeterlidir. Ayrıca kullanıcıların dosya yükleme yetkisini de kısıtlayın. Medya kütüphanesine yüklenen bir PHP dosyası, saldırgana arka kapı olabilir. Wordfence gibi eklentiler, yüklenen dosyaları tarar ve tehlikeli uzantıları engeller.
Özel roller için User Role Editor gibi eklentilerle ince ayar yapabilirsiniz. Örneğin, bir içerik yazarı sadece kendi yazılarını düzenleyebilsin, başkasınınkini değil. Bu, oturum çalınsa bile hasarı sınırlar.
Son bir dokunuş: wp-content/uploads klasöründe PHP çalışmasını .htaccess ile engelleyin: <Files *.php> deny from all </Files>
Ve Asıl Güvenlik: Ne Yapacağınızı Bilmek
Bu 10 maddeyi uyguladığınızda siteniz, saldırıların büyük kısmına karşı dayanıklı hale gelir. Ama güvenlik bir defalık bir iş değildir. İlk yapmanız gereken, bugün oturup hosting panelinizi açmak ve güncellemeler ile yedekleri kontrol etmek. Haftalık rutin oluşturduğunuzda, kriz anında panik yapmazsınız. Tek bir saldırı, saatler süren site çökmesi demektir. Bu liste, o saati satın almanın en ucuz yoludur.
Güncellemeleri otomatikleştirme fikri çok iyi.
E-ticaret sitesi için büyük güncellemeleri staging’de denemek ne kadar vakit alıyor?
Ben de admin kullanıcı adını değiştirdim, saldırı denemeleri ciddi azaldı.
Otomatik güncellemede site çökmesinden korkuyorum. Özel yazılım kullanıyorum, manuel kontrol daha güvenli geliyor.
Küçük blogum var, tüm güncellemeleri otomatiğe aldım. Hostingim günlük yedek alıyor, o yüzden risk almaya değer. Bir sorun çıkarsa geri dönerim diye düşündüm.
Bence güncellemeler her zaman manuel olmalı.
Hata loglarını bir hafta izlemek iyi fikirmiş. Sadece güncelleme sonrası değil, normalde de log takibi yapıyor musunuz?
Giriş ekranını gizleme adımını hemen uyguladım.
Saldırıya uğrayan sitelerin ‘ı güncel değilmiş. Bu veri hangi kaynaktan? Güvenilir bir araştırma mı, yoksa hosting firmalarının kendi istatistikleri mi?
Ben küçük güncellemeleri hep ertelerdim, meğer ne kadar önemliymiş.
Ya site çökerse?
Kurumsal tanıtım sitesi için tüm güncellemeleri otomatiğe almak mantıklı. Zaten hosting panelinde yedekleme açık, riske gerek yok.
Otomatik güncelleme her zaman iyi değil, bazen uyumsuzluk yaratıyor.
Güncelleme öncesi tam yedek alıp sonra ana sayfa ve formları test etmek ne kadar sürüyor? Bunu her güncellemede yapmak pratik mi?
Çok faydalı olmuş, elinize sağlık.