WordPress, dünyada en çok kullanılan içerik yönetim sistemi olması nedeniyle siber saldırıların da bir numaralı hedefidir. Her gün binlerce WordPress sitesi brute force saldırılarına, kötü amaçlı yazılımlara ve veri sızıntılarına maruz kalıyor. Peki sizin siteniz güvende mi? Bu yazıda WordPress güvenlik önlemleri kapsamında 2026 yılında almanız gereken 10 etkili önlemi adım adım anlatıyoruz.
Küçük bir işletme sahibi ya da blog yazarı olun, sitenizin güvenliği müşterilerinizin verileri ve itibarınız için hayati önem taşır. Haydi başlayalım.
1. WordPress, Tema ve Eklentileri Güncel Tutun
Güncellemeler yalnızca yeni özellikler getirmez; aynı zamanda bilinen güvenlik açıklarını kapatır. WordPress çekirdeği, temanız ve tüm eklentileriniz güncel olmalıdır. Özellikle WordPress güvenlik önlemleri denince akla ilk gelen şey düzenli güncellemedir.
- WordPress yönetim panelinizde Gösterge Paneli > Güncellemeler sayfasını haftada bir kontrol edin.
- Otomatik güncellemeleri etkinleştirin:
define('WP_AUTO_UPDATE_CORE', true); - Güncelleme öncesinde mutlaka yedek alın.
- Eski ve güncellenmeyen eklentileri kaldırın.
Güncelleme sonrası siteniz bozulursa WordPress admin panele giriş sorunları yazımızdaki çözümleri uygulayabilirsiniz.
2. Güçlü Şifre ve Kullanıcı Adı Kullanın
“admin” kullanıcı adı ve “123456” şifresi, saldırganlar için açık davettir. WordPress kurulumunda varsayılan “admin” kullanıcısını kullanmayın, benzersiz bir kullanıcı adı oluşturun.
- En az 12 karakterli, büyük-küçük harf, rakam ve özel karakter içeren şifreler kullanın.
- Her site için farklı şifre belirleyin.
- Şifre yöneticisi (1Password, Bitwarden gibi) kullanın.
- Düzenli aralıklarla şifre değiştirin.
Tüm kullanıcıların güçlü şifre kullanmasını zorunlu kılmak için WooCommerce mağazanız varsa müşteri hesapları için de aynı kuralı uygulayın.
3. Giriş Denemelerini Sınırlayın (Brute Force Koruması)
Brute force saldırıları, binlerce şifreyi deneyerek sitenize girmeye çalışır. Bu saldırıları engellemenin en etkili yolu başarısız giriş denemelerini sınırlamaktır. İsterseniz bir eklenti (örn. Limit Login Attempts Reloaded) kullanabilir, isterseniz aşağıdaki kodu child tema functions.php dosyanıza ekleyebilirsiniz:
<?php
// Başarısız giriş denemelerini sınırla - child theme functions.php
function cagribolcal_limit_login($user, $username, $password) {
$attempts = get_transient('login_attempts_' . $_SERVER['REMOTE_ADDR']);
if ($attempts && $attempts > 4) {
return new WP_Error('too_many_attempts', 'Çok fazla hatalı giriş. 15 dakika bekleyin.');
}
set_transient('login_attempts_' . $_SERVER['REMOTE_ADDR'], $attempts ? $attempts + 1 : 1, 900);
return $user;
}
add_filter('authenticate', 'cagribolcal_limit_login', 30, 3);
?>Bu kod, aynı IP adresinden 5 başarısız denemeden sonra girişi 15 dakika boyunca engeller. WordPress güvenlik önlemleri arasında en etkili yöntemlerden biridir.
4. XML-RPC’yi Devre Dışı Bırakın
XML-RPC, WordPress’in eski uzaktan erişim protokolüdür ve brute force saldırılarında sıkça kullanılır. Mobil uygulama veya Jetpack kullanmıyorsanız kapatmanız önerilir. Aynı zamanda REST API üzerinden kullanıcı listesini de gizleyelim:
<?php
// XML-RPC'yi devre dışı bırak - child theme functions.php
add_filter('xmlrpc_enabled', '__return_false');
// REST API'de kullanıcı listesini kısıtla
add_filter('rest_endpoints', function($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
return $endpoints;
});
?>Bu iki küçük müdahale, saldırganların siteniz hakkında bilgi toplamasını önemli ölçüde zorlaştırır. Dilerseniz WordPress Eklenti kategorisindeki güvenlik eklentileriyle de bu ayarları yapabilirsiniz.
5. İki Faktörlü Kimlik Doğrulama (2FA) Ekleyin
2FA, şifreniz çalınsa bile hesabınıza erişilmesini engeller. Google Authenticator, Authy veya WordPress 2FA eklentileri (WP 2FA, Two Factor) ile kolayca kurabilirsiniz. Özellikle yönetici ve editör yetkisindeki tüm kullanıcılar için 2FA zorunlu tutulmalıdır.
Birçok hosting firması da artık ücretsiz 2FA desteği sunuyor. Kontrol panelinizden bu özelliği aktif edebilirsiniz.
6. WordPress Veritabanı Ön Ekini (Table Prefix) Değiştirin
Varsayılan wp_ ön eki, SQL injection saldırılarında saldırganın işini kolaylaştırır. Yeni bir site kurarken ön eki wp_ dışında bir şey olarak değiştirin. Mevcut sitede değiştirmek için ya bir eklenti (Brozzme DB Prefix) kullanın ya da phpMyAdmin’den manuel olarak güncelleyin.
Not: Veritabanı ön eki değişikliği öncesinde mutlaka tam yedek alın. Yanlış bir adım sitenizi çalışmaz hale getirebilir.
7. Düzenli Yedekleme (Backup) Rutini Oluşturun
Güvenlik önlemlerinin tamamı başarısız olsa bile elinizde güncel bir yedek varsa endişelenecek bir şey yoktur. Blog sayfamızda daha önce WordPress yedek alma rehberi paylaşmıştık. Özetle:
- Otomatik günlük yedekleme ayarlayın (UpdraftPlus, BackupBuddy gibi eklentilerle).
- Yedekleri harici bir konumda saklayın (Google Drive, Dropbox, SFTP).
- Haftada bir yedekten geri yükleme testi yapın.
- Veritabanı ve dosyaları ayrı ayrı yedekleyin.
8. Gereksiz Eklenti ve Temaları Temizleyin
Kullanmadığınız her eklenti ve tema potansiyel bir güvenlik açığıdır. Aktif olmayan eklentiler bile veritabanınızda tablo bırakır ve güncellenmezlerse açık oluşturabilir.
- Kullanmadığınız tüm eklentileri silin, sadece devre dışı bırakmayın.
- Varsayılan Twenty Twenty-Five gibi temaları silin, yalnızca aktif temanızı ve child temanızı tutun.
- Eklenti sayısını mümkün olduğunca az tutun. Her eklenti sitenizi yavaşlatır ve risk oluşturur.
9. .htaccess ile Ek Koruma Katmanı Ekleyin
.htaccess dosyası, Apache sunucularda WordPress’in güvenlik duvarı gibidir. Önemli dosyaları korumak ve hassas dizinlere erişimi engellemek için aşağıdaki kuralları .htaccess dosyanıza ekleyebilirsiniz (# BEGIN WordPress satırından önce veya sonra ekleyin):
# wp-config.php ve .htaccess dosyalarını koruma
<FilesMatch "^wp-config\.php$|^\.htaccess$">
Order Allow,Deny
Deny from all
</FilesMatch>
# wp-admin dizinine erişimi IP ile sınırlama (isteğe bağlı)
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^wp-admin/includes/ - [F]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F]
</IfModule>Bu kurallar; wp-config.php ve .htaccess dosyalarına doğrudan erişimi engeller, ayrıca wp-includes içindeki PHP dosyalarının doğrudan çalıştırılmasını önler. Web tasarım sürecinde güvenlik altyapısını sağlam kurmak, sonradan müdahaleden çok daha kolaydır.
10. SSL Sertifikası ve HTTPS Kullanımını Zorunlu Hale Getirin
SSL sertifikası, site ile ziyaretçi arasındaki veri trafiğini şifreler. 2026 yılında SSL’siz bir site hem Google sıralamasında geride kalır hem de ziyaretçiler “Bu site güvenli değil” uyarısıyla karşılaşır.
- Çoğu hosting firması (Let’s Encrypt ile) ücretsiz SSL sunar.
- WordPress Ayarlar > Genel sayfasında WordPress Adresinizin
https://ile başladığından emin olun. - Rank Math veya başka bir SEO eklentisiyle tüm HTTP trafiğini HTTPS’e yönlendirin.
- WooCommerce mağazanızda SSL zorunludur; ödeme sayfaları HTTPS olmadan çalışmaz.
E-ticaret sitesi işletiyorsanız SSL sertifikası yalnızca öneri değil, 2565 sayılı Elektronik Ticaret Kanunu kapsamında bir zorunluluktur.
Bonus: Güvenlik Eklentisi Önerileri
Teknik bilgi seviyenize bağlı olarak aşağıdaki ücretsiz eklentileri kullanarak WordPress güvenlik önlemleri setinizi tamamlayabilirsiniz:
- Wordfence Security: Güvenlik duvarı ve malware taraması.
- Solid Security (iThemes Security): Kapsamlı güvenlik ayarları.
- WPS Hide Login: Giriş sayfası URL’ini değiştirme.
- All In One WP Security: Başlangıç seviyesi için ideal.
Eklenti seçerken güncelleme sıklığına, kullanıcı yorumlarına ve son güncelleme tarihine mutlaka bakın. 6 aydır güncellenmeyen bir eklenti güvenlik riski oluşturur.
Sonuç
WordPress güvenlik önlemleri konusunda tek bir sihirli çözüm yoktur; katmanlı bir savunma stratejisi gerekir. Güncelleme, güçlü şifre, giriş sınırlama, 2FA, yedekleme ve SSL gibi temel önlemleri bir arada uyguladığınızda siteniz saldırılara karşı büyük ölçüde korunmuş olur.
Sitenizin güvenlik altyapısını baştan sona gözden geçirmek veya profesyonel bir web tasarım paketi ile sıfırdan güvenli bir site kurmak isterseniz iletişim sayfamızdan bize ulaşabilirsiniz. Unutmayın, güvenlik bir lüks değil, işinizin temel taşıdır.
Bu yazıda bahsedilen kodları kullanmadan önce mutlaka yedek alın ve child tema kullanın. Kodların doğru çalıştığından emin olmak için önce staging ortamında test edin.