WordPress Güvenlik Önlemleri — 12 Maddelik Kontrol Listesi
WordPress dünya web sitelerinin %43'ünü çalıştırır — bu yaygınlık, onu siber saldırıların ana hedefi yapar. Sucuri 2023 raporu: hacklenmiş web sitelerinin %94'ü WordPress. İyi haber: çoğu saldırı temel önlemlerle engellenebilir. AIOR Teknoloji olarak müşteri WordPress sitelerinde 12 maddelik güvenlik kontrol listesi uyguluyoruz. Bu rehberde tüm 12 maddeyi, neden gerekli olduğunu ve nasıl uygulanacağını anlatıyoruz.
1. Çekirdek, Tema, Eklenti Güncellemesi
Eski WordPress sürümleri en yaygın saldırı vektörüdür. Çekirdek güncellemesi 2-3 hafta içinde, eklenti güncellemeleri günlük yapılmalıdır. WordPress 5.5+ otomatik küçük güncelleme yapar; büyük güncellemeler için cron job kullanın. Test ortamı şart: production güncellemesinden önce staging'de test edilmeli. AIOR olarak müşterilerimize otomatik güncelleme + manuel onay süreci sunuyoruz.
2. Güçlü Admin Şifresi + 2FA
Admin şifresi en az 20 karakter, rastgele, password manager'da saklanmalı. İki faktörlü doğrulama (2FA) zorunlu: Google Authenticator, Authy veya WP 2FA eklentisi. 'admin' kullanıcı adı asla kullanılmamalı (brute force hedefi). Wordfence'in '2FA' özelliği ücretsiz; AIOR sunucularında Wordfence Pro lisansı standart sunulur.
3. Brute Force Koruması
/wp-login.php saldırılarda en sık denenen URL. Limit Login Attempts Reloaded veya Wordfence ile başarısız 5 girişten sonra IP 1 saat banlanır. wp-admin'i htaccess ile IP kısıtla: 'allow from 1.2.3.4 deny from all'. .htaccess'e /wp-login.php için CAPTCHA ekleyin. AIOR sunucularında bu kurallar varsayılan aktif; brute force trafiği firewall seviyesinde durdurulur.
4. wp-config.php Koruması
wp-config.php veritabanı şifresini içerir; sızdırılırsa site tamamen ele geçirilebilir. .htaccess kuralı: ' Order allow,deny Deny from all '. Hosting'iniz izin veriyorsa dosyayı public_html'in üstüne taşıyın. Salt anahtarları (AUTH_KEY, SECURE_AUTH_KEY vb.) düzenli olarak rotate edilmeli; WordPress secret key generator kullanın.
5. Tema/Eklenti Dosya Düzenleme Kapat
wp-config.php'ye 'define('DISALLOW_FILE_EDIT', true);' ekleyin. Bu, admin arayüzünden tema/eklenti PHP dosyalarını düzenlemeyi engeller. Hacker admin'e erişse bile kötü amaçlı kod ekleyemez. SSH veya FTP ile dosya değiştirme gerekiyorsa direkt sunucuya bağlanın. AIOR olarak bu ayarı her müşteri sitesinde varsayılan aktif yapıyoruz.
6. XML-RPC Devre Dışı
xmlrpc.php WordPress eski API; modern siteler kullanmaz ama brute force ve pingback DDoS için sömürülür. .htaccess: ' Order Deny,Allow Deny from all '. Veya 'Disable XML-RPC' eklentisi. Sadece Jetpack veya WordPress mobile app kullanıyorsanız belirli IP'ler için açık bırakın. AIOR olarak müşteri ihtiyacına göre öneri sunuyoruz.
7. Database Prefix Değiştir
WordPress varsayılan tablo prefix'i 'wp_'. SQL injection saldırılarında prefix tahmini saldırı kolaylaştırır. Kurulum sırasında 'wp_xY7k_' gibi rastgele bir prefix kullanın. Var olan site için: backup → SQL'de tüm 'wp_' → 'xY7k_' değiştir → wp-config.php güncelle. Riskli işlem; AIOR olarak bu görevi müşteri talebi ile gerçekleştiriyoruz.
8. SSL/HTTPS Zorunlu
SSL artık 'iyi-olur-olur', zorunlu. Tüm trafiği HTTPS'e yönlendirin (.htaccess RewriteRule). Mixed content uyarılarını giderin (Better Search Replace eklentisi). wp-config.php'ye 'define('FORCE_SSL_ADMIN', true);' ekleyin. AIOR sunucularında Let's Encrypt otomatik kurulur ve yenilenir; ek bir adım yapmanız gerekmez.
9. Düzenli Yedek + Test
UpdraftPlus, BackupBuddy veya BlogVault ile günlük otomatik yedek alın. Off-site (Google Drive, AWS S3) saklayın. Aylık test geri yükleme yapın — yedeğin gerçekten çalışıp çalışmadığını doğrulayın. AIOR sunucularında günlük disk yedek + haftalık off-site yedek standart sunulur; 30 gün retention. Felaket senaryosunda 4 saatte geri yükleme garantisi.
10. Malware Tarayıcı
Wordfence, Sucuri veya MalCare ile günlük malware taraması yapın. Şüpheli dosya tespit edildiğinde otomatik karantina + admin'e e-posta. AIOR sunucularında Imunify360 sunucu seviyesinde gerçek zamanlı tarama yapar; kötü amaçlı dosya yüklendiği an karantinaya alınır ve admin uyarılır. Bu, sunucu içinde yatay hareketi engeller.
11. Disable Directory Listing
Bir tarayıcı boş klasöre giderse, varsayılan olarak dosya listesi gösterilir. Bu, hacker'a saldırı için bilgi sağlar. .htaccess: 'Options -Indexes' ekleyin. Test: https://yourdomain.com/wp-content/uploads/ açın — 403 Forbidden görmelisiniz, dosya listesi değil. AIOR sunucularında bu varsayılan aktif; ekstra yapılandırma gerekmez.
12. Güvenlik Eklentisi Kurulumu
All-in-one koruma için Wordfence (ücretsiz/$99/yıl), Sucuri ($199/yıl) veya iThemes Security önerilir. Wordfence yerleşik firewall, malware tarama, brute force koruması ve 2FA içerir. AIOR olarak Wordfence Pro lisansı tüm WordPress paketlerimizde standart sunulur; ek maliyet yok. Aylık güvenlik raporu otomatik e-posta ile gönderilir.
Sızma Testi ve Güvenlik Denetimi
Periyodik güvenlik denetimi siber güvenlik olgunluğunun göstergesidir. AIOR olarak çeyreklik otomatik sızma testleri yapıyoruz: SQL injection, XSS, CSRF, file inclusion, authentication bypass testleri. Bulgular ciddiyetlerine göre kategorize edilir (Critical / High / Medium / Low) ve düzeltme önerileri sunulur. Premium müşterilerimiz için yıllık manual penetration test de yapılır (CEH veya OSCP sertifikalı uzmanlar tarafından). Bu hem müşteri güvenini hem regülatör uyumunu (ISO 27001) destekler.
Hacked Site Müdahalesi
WordPress sitenizin saldırıya uğradığını fark ederseniz: 1) Site'yi maintenance mode'a alın. 2) FTP/SSH üzerinden tüm dosya değişikliklerini son backup ile karşılaştırın. 3) wp-content/uploads ve eklentiler arasında .php dosya yüklenip yüklenmediğini kontrol edin. 4) WordPress core ve eklentileri silip yeniden yükleyin. 5) Tüm admin şifrelerini ve veritabanı şifrelerini değiştirin. 6) Tüm SALT anahtarlarını rotate edin. 7) Google Search Console üzerinden 'site reviewed' talebi gönderin. AIOR clean-up servisi $300-800/site, garanti dahil.
Sık Sorulan Sorular
Q1: Pahalı bir güvenlik aboneliği almalı mıyım? — Wordfence Pro ($99/yıl) çoğu KOBİ için yeterli. AIOR hosting'inde standart sunulur. Q2: Sıfır günlük zafiyet ne yapmalıyım? — Eklentiyi geçici devre dışı bırakın, geliştiriciyi bekleyin, alternatif arayın. AIOR teknik destek bu süreçte aktif yardım sağlar. Q3: Çocuk teması kullanmak gerekli mi? — Evet, tema değişiklikleri ana temaya değil çocuk temaya yapılmalı. Aksi takdirde tema güncellemesi tüm özelleştirmeyi siler. Q4: 2FA kullanmalı mıyım? — Kesinlikle evet; admin paneline 2FA olmadan girmek 2026'da kabul edilemez bir risktir.
Yıllık Güvenlik Yol Haritası
AIOR olarak müşterilerimize 12 aylık güvenlik takvimi öneriyoruz. Q1: WordPress core + tüm eklenti güncelleme audit, kullanılmayan eklentilerin kaldırılması. Q2: Kullanıcı erişimleri review (kim hangi role sahip), 2FA aktifleştirme zorunlu hale getirme. Q3: Backup test geri yükleme, runbook doğrulama, felaket kurtarma tatbikatı. Q4: Sızma testi, güvenlik raporu, gelecek yıl bütçe planlaması. Her çeyrekte raporlama, müşteriye sunum, alınan aksiyonlar. Bu disipline saygı duyan müşterilerimizin sitelerinde son 3 yılda sıfır başarılı saldırı yaşandı. Disiplinin ürünü tahmin edilebilirliktir.
Yardım ve İletişim
Bu rehberdeki adımların uygulanmasında veya özel senaryoların değerlendirilmesinde AIOR Teknoloji ekibinden destek alabilirsiniz. Standart hosting müşterilerimiz için cPanel/WHM kullanım, eklenti kurulumu ve temel yapılandırma desteği ücretsizdir. Daha kapsamlı projeler için (ör. çoklu sunucu mimarisi, HIPAA/PCI-DSS uyum, sıfırdan migrasyon) ücretsiz keşif görüşmesi yapıyoruz. İletişim kanalları: clientarea üzerinden destek talebi (4 saat içinde dönüş), e-posta hi@aior.com, telefon +90 850 309 80 80 ve sol alt köşedeki WhatsApp butonu. Premium pakette 7/24 acil müdahale, 4 saat yerinde destek garantisi vardır.
Daha fazla bilgi mi gerekli? Destek talebi açın veya sol alt köşedeki WhatsApp butonunu kullanın.