Web Güvenliği

WordPress Güvenlik Rehberi: Hack'lenmeden Önce Yapılması Gerekenler (2026)

19 Mart 2026·13 dk dakika okuma·Teknik SEO Editörü

WordPress Neden Hedef Alınır?

WordPress, internetin %43'ünü güç kazandıran dünyanın en popüler CMS'idir — ve tam da bu popülerlik onu hackerların bir numaralı hedefi yapar. Bir WordPress sitesi ortalama olarak günde 90.000 saldırı denemesiyle karşılaşır. Saldırıların %41'i eklenti güvenlik açıklarından, %29'u brute force şifre denemelerinden kaynaklanır.

Temel WordPress Güvenlik Kontrol Listesi

1. Güçlü Giriş Güvenliği

Varsayılan "admin" kullanıcı adını değiştirin.
Minimum 16 karakterlik, büyük-küçük harf, rakam ve sembol içeren şifre kullanın.
İki faktörlü kimlik doğrulama (2FA) etkinleştirin — Google Authenticator veya Authy ile.
Giriş denemelerini sınırlayın: Limit Login Attempts Reloaded eklentisi ile 3 başarısız denemeden sonra IP'yi geçici olarak engelleyin.

2. Güncellemeleri İhmal Etmeyin

WordPress çekirdeği, temalar ve eklentiler için güvenlik yamaları düzenli olarak yayınlanır. Güncellenmemiş bir eklenti, saldırganlar için açık kapı demektir. Otomatik güncellemeyi etkinleştirin veya en azından haftalık kontrol yapın.

3. Güvenlik Eklentileri

Wordfence: Firewall, malware tarama ve giriş güvenliği sunar. Sucuri: CDN tabanlı web application firewall (WAF) ile saldırıları sunucunuza ulaşmadan engeller. iThemes Security: Dosya değişikliği izleme ve veritabanı yedekleme özellikleri sunar.

Sunucu Düzeyinde Güvenlik

SSL Sertifikası: Tüm trafiği şifreleyin. SSL Checker ile sertifikanızın geçerliliğini kontrol edin.
PHP Sürümü: PHP 8.2+ kullanın; eski PHP sürümleri bilinen güvenlik açıkları içerir.
wp-config.php Koruma: Bu dosyayı .htaccess ile dış erişime kapatın.
XML-RPC Devre Dışı Bırakma: Kullanmıyorsanız xmlrpc.php'ye erişimi engelleyin — DDoS ve brute force saldırıları için sıkça suistimal edilir.

Hack'lendikten Sonra Ne Yapılmalı?

1. Siteyi bakım moduna alın. 2. Temiz bir yedekten geri yükleyin. 3. Tüm şifreleri (WordPress, FTP, veritabanı) değiştirin. 4. Kötü amaçlı kodu tespit edin ve temizleyin. 5. Google Search Console'dan güvenlik sorunlarını kontrol edin ve yeniden inceleme isteği gönderin.

Sıkça Sorulan Sorular

WordPress güvensiz mi?

Hayır, WordPress çekirdeği güvenlidir. Güvenlik sorunlarının büyük çoğunluğu güncellenmeyen eklentiler, zayıf şifreler ve kalitesiz hosting'den kaynaklanır. Doğru yapılandırıldığında WordPress, kurumsal seviyede güvenli bir platform olabilir.