WordPress Güvenlik Açıklarına Karşı Sitenizi Korumanın Yolları

WordPress Güvenlik Kılavuzu: Sitenizi Zırh Gibi Korumanın En Detaylı Yolları

WordPress, bugün internetin %40’ından fazlasına güç veren, dünyanın tartışmasız en popüler içerik yönetim sistemidir. Bu ezici popülarite, WordPress’i aynı zamanda siber saldırganlar, bilgisayar korsanları ve kötü niyetli botlar için bir numaralı hedef haline getiriyor. Sitenizin güvenliğini “sonra hallederim” diyerek ertelemek, sadece bir ihmal değil, dijital varlığınızı, müşteri verilerinizi ve yılların emeğini riske atan tehlikeli bir kumardır.

uzmanwordpress.com olarak, bu nihai rehberi hazırlamamızın bir amacı var: Size WordPress güvenliğinin neden hayati olduğunu anlatmak ve sitenizi adeta dijital bir kaleye dönüştürmek için atmanız gereken her adımı, en ince ayrıntısına kadar, teknik detaylarıyla ve pratik uygulama yöntemleriyle sunmak. Bu yazı bittiğinde, sitenizi sadece korumakla kalmayacak, bir güvenlik ihlali durumunda ne yapacağınızı da bileceksiniz.

Güvenlik İhlalinin Gerçek Maliyeti: Neden Bu Konu Ciddiye Alınmalı?

Bir güvenlik açığının sonuçları, sadece sitenizin geçici olarak kapanmasından çok daha ağırdır:

• Finansal Yıkım: Sitenizin kontrolünü kaybetmek, e-ticaret satışlarının durması, müşteri verilerinin çalınması sonucu oluşabilecek tazminatlar ve sitenizi temizlemek için harcayacağınız binlerce lira anlamına gelebilir.
• Marka İtibarının Çöküşü: “Bu siteye virüs bulaşmış” uyarısı gören bir ziyaretçinin veya verilerinin çalındığını öğrenen bir müşterinin markanıza olan güveni sıfırlanır. Bu güveni yeniden inşa etmek yıllar alabilir.
• SEO Felaketi: Google, güvenliği ihlal edilmiş siteleri “tehlikeli” olarak işaretler ve arama sonuçlarından çıkarır. Bu, organik trafiğinizin bir gecede yok olması demektir. Bu “kara listeden” çıkmak ise haftalar, hatta aylar sürebilir.
• Yasal Sorumluluklar: KVKK (Kişisel Verilerin Korunması Kanunu) ve GDPR gibi yasalar uyarınca, kullanıcı verilerini korumak sizin sorumluluğunuzdadır. Bir veri sızıntısı, ciddi yasal yaptırımlar ve para cezaları ile sonuçlanabilir.

Artık risklerin farkında olduğunuza göre, savunma stratejilerimizin en derin detaylarına inelim.

1. Güncelleme Disiplini: Savunmanızın Temel Taşı

Bu, en basit ama en sık ihlal edilen kuraldır. Saldırıların büyük çoğunluğu, yazılımlardaki bilinen ve yaması çoktan yayınlanmış güvenlik açıklarından kaynaklanır.

Neden Detaylıca Önemli? WordPress ekosisteminde üç ana güncelleme türü vardır:

• Çekirdek Güncellemeler:
  • Büyük Sürümler (örn. 6.8’den 6.9’a): Yeni özellikler ve önemli değişiklikler içerir. Genellikle manuel olarak onaylamanız gerekir.
  • Küçük Sürümler (örn. 6.8.1’den 6.8.2’ye): Bunlar neredeyse her zaman güvenlik yamaları ve hata düzeltmeleri içerir. Varsayılan olarak otomatiktirler ve asla kapatılmamalıdırlar.
• Eklenti Güncellemeleri: Eklenti geliştiricileri, yeni özellikler eklemek ve daha da önemlisi, keşfedilen güvenlik açıklarını kapatmak için sürekli güncellemeler yayınlar.
• Tema Güncellemeleri: Temanız da bir yazılımdır ve güvenlik açıkları içerebilir.

Detaylı Uygulama:

1. Haftalık Kontrol Rutini: Her hafta belirli bir günü (örneğin Pazartesi sabahı) sitenizin “Yönetim Paneli > Başlangıç > Güncellemeler” bölümünü kontrol etme alışkanlığı edinin.
2. Otomatik Güncellemeleri Akıllıca Yönetin: WordPress, küçük çekirdek güncellemeleri otomatik yapar. Tüm güncellemeleri (büyük sürümler, eklentiler, temalar) otomatikleştirmek için wp-config.php dosyanıza define('WP_AUTO_UPDATE_CORE', true); kodunu ekleyebilirsiniz. Ancak dikkat: Otomatik güncellemeler, nadiren de olsa eklenti/tema uyumsuzluklarına yol açabilir. Bu riski göze alamıyorsanız, manuel güncellemeyi tercih edin ama asla ertelemeyin.
3. “Staging” Ortamı Kullanın: Ciddi bir iş yürüten web siteleri için en profesyonel yaklaşım, güncellemeleri önce “staging” adı verilen bir test kopyasında denemektir. Her şeyin yolunda gittiğinden emin olduktan sonra canlı sitede güncellemeyi yaparsınız. Birçok kaliteli hosting firması bu özelliği tek tıkla sunar.

2. Parola ve Kullanıcı Adı Hijyeni: Kalenin Ana Kapısı

Zayıf kimlik bilgileri, bir davetiyedir. Saldırganların kullandığı “Brute Force” (Kaba Kuvvet) saldırıları, botların saniyede binlerce parola kombinasyonunu deneyerek giriş yapmaya çalışmasıdır.

Neden Detaylıca Önemli? “admin” kullanıcı adı, saldırganların deneyeceği ilk şeydir. “123456”, “password”, “adsoyad123” gibi parolalar ise saniyeler içinde kırılır. Güçlü bir parola, rastgele ve uzun olmalıdır.

Detaylı Uygulama:

1. “admin” Kullanıcısını Yok Edin: Eğer hala “admin” adında bir kullanıcı varsa, hemen yeni bir yönetici hesabı oluşturun (örneğin, “uzmanwp_yonetici”). Yeni hesapla giriş yapın ve eski “admin” hesabını silin. Silme sırasında, “admin” kullanıcısının tüm içeriğini yeni oluşturduğunuz hesaba atadığınızdan emin olun.
2. Güçlü Parola Formülü: Gerçekten güçlü bir parola şunları içermelidir:
   • En az 16 karakter uzunluk.
   • Büyük harf (A-Z).
   • Küçük harf (a-z).
   • Rakam (0-9).
   • Özel karakter (!, @, #, $, %, ^, &, *).
   • Örnek: TrUvA.Ati!2025*Guven?
3. Parola Yöneticisi Kullanın: Bitwarden (ücretsiz ve açık kaynak), 1Password veya LastPass gibi bir parola yöneticisi kullanın. Bu araçlar sizin için kırılması imkansız parolalar üretir ve bunları güvenli bir şekilde saklar.
4. Güçlü Parola Politikası Dayatın: iThemes Security gibi bir güvenlik eklentisi kullanarak, sitenizdeki tüm kullanıcıların (editörler, yazarlar vb.) güçlü parola kullanmasını zorunlu kılabilirsiniz.

3. İki Faktörlü Kimlik Doğrulama (2FA): Dijital Anahtarınız

2FA, parolanız çalınsa bile hesabınızı koruyan en etkili yöntemlerden biridir. Giriş yapmak için sadece parolanızı değil, aynı zamanda telefonunuzdaki bir uygulamadan alacağınız tek kullanımlık bir kodu da girmenizi gerektirir.

Neden Detaylıca Önemli? Bir saldırgan parolanızı bir şekilde ele geçirse (örneğin, oltalama saldırısı veya başka bir sitedeki veri sızıntısı yoluyla), telefonunuza fiziksel erişimi olmadığı için 2FA duvarını geçemez.

Detaylı Uygulama:

1. Eklenti Seçimi:
   • Wordfence Login Security: Wordfence eklentisinin bir parçasıdır ve kurulumu çok basittir. Google Authenticator, Authy, FreeOTP gibi birçok uygulamayla uyumludur.
   • Google Authenticator (miniOrange): Sadece 2FA’ya odaklanan popüler ve güvenilir bir eklentidir.
2. Kurulum Adımları (Kavramsal):
   • Seçtiğiniz 2FA eklentisini kurun ve etkinleştirin.
   • Telefonunuza Google Authenticator veya Authy uygulamasını indirin.
   • WordPress’teki eklenti ayarlarında, size bir QR kodu gösterilecektir.
   • Telefonunuzdaki uygulamayı açın, yeni bir hesap ekle seçeneğini kullanın ve ekrandaki QR kodunu taratın.
   • Uygulama artık her 30 saniyede bir değişen 6 haneli bir kod üretecektir.
   • Bu andan itibaren WordPress’e giriş yaparken parola ekranından sonra sizden bu kod istenecektir.

4. Güvenlik Eklentileri: Otomatik Savunma Sisteminiz

Bir güvenlik eklentisi, sitenizin 7/24 nöbet tutan güvenlik görevlisidir. Tehditleri siz fark etmeden engeller, sitenizi tarar ve size raporlar.

Neden Detaylıca Önemli? Bu eklentiler çok katmanlı bir koruma sağlar:

• Web Uygulama Güvenlik Duvarı (WAF): Kötü niyetli trafiği sitenize ulaşmadan engeller.
• Kötü Amaçlı Yazılım Tarayıcısı: Sitenizin dosyalarını bilinen virüslere ve arka kapılara (backdoor) karşı tarar.
• Giriş Koruması: Brute force saldırılarını engellemek için belirli sayıda hatalı giriş denemesinden sonra bir IP adresini geçici veya kalıcı olarak engeller.

Detaylı Uygulama (Popüler Eklentiler):

• Wordfence Security: En popüler güvenlik eklentisidir. Güçlü bir WAF’ı ve detaylı bir tarayıcısı vardır. Ücretsiz sürümü bile oldukça yeteneklidir. Premium sürümü ise gerçek zamanlı tehdit istihbaratı sunar.
• Sucuri Security: Güvenlik denetimi, dosya bütünlüğü izleme ve kötü amaçlı yazılım taraması konularında çok iyidir. Özellikle siteniz hacklendikten sonra temizleme hizmetleriyle tanınır. WAF hizmeti en güçlü yanıdır.
• iThemes Security (eski adıyla Better WP Security): Kullanıcı dostu arayüzü ve 30’dan fazla güvenlik önlemini tek tıkla uygulama seçeneği sunmasıyla bilinir. Veritabanı güvenliği ve dosya izinleri konusunda pratik araçlara sahiptir.

Tavsiye: Bu eklentilerden sadece BİR TANESİNİ seçin ve kurun. Birden fazla güvenlik eklentisi kurmak, sitenizde performans sorunlarına ve çakışmalara neden olabilir.

5. wp-config.php Dosyasını Zırhlama: Kalenin Gizli Geçitleri

wp-config.php dosyası, WordPress kurulumunuzun kalbidir. Veritabanı bağlantı bilgileriniz dahil en kritik bilgileri içerir. Bu dosyayı korumak, en öncelikli görevlerinizden biridir.

Neden Detaylıca Önemli? Bu dosyaya erişim sağlayan bir saldırgan, veritabanınıza tam erişim elde eder. Bu da sitenizin tamamen ele geçirilmesi demektir.

Detaylı Uygulama:

1. Dosya İzinleri: FTP veya dosya yöneticisi aracılığıyla wp-config.php dosyasının izinlerini 440 veya 400 olarak ayarlayın. Bu, dosyayı başkaları için okunamaz hale getirir.
2. Dosyayı Yukarı Taşıma: wp-config.php dosyasını, WordPress’in kurulu olduğu ana dizinden (genellikle public_html) bir üst dizine taşıyabilirsiniz. WordPress, dosyayı orada bulacak şekilde tasarlanmıştır. Bu, dosyayı web üzerinden erişilebilir dizinin dışına çıkararak ekstra bir güvenlik katmanı ekler.
3. Güvenlik Anahtarlarını (Security Keys) Değiştirin: wp-config.php içinde AUTH_KEY, SECURE_AUTH_KEY gibi anahtarlar bulunur. Bu anahtarlar, giriş bilgilerinizi şifreler. WordPress’in resmi anahtar üretici sitesini (https://api.wordpress.org/secret-key/1.1/salt/) kullanarak yeni anahtarlar oluşturun ve wp-config.php dosyanızdakilerle değiştirin. Siteniz hacklendiğinden şüpheleniyorsanız bu işlemi mutlaka yapın.
4. Dosya Düzenleyicisini Devre Dışı Bırakın: Yönetim panelinden tema ve eklenti dosyalarını düzenlemeyi sağlayan editörü kapatın. Bu, bir yönetici hesabı ele geçirilse bile saldırganın doğrudan tema dosyalarınıza kötü amaçlı kod eklemesini engeller. wp-config.php dosyasına şu satırı ekleyin:
   PHP

   define('DISALLOW_FILE_EDIT', true);
   

6. Yönetici Alanı (/wp-admin/) Koruması: VIP Girişi

WordPress yönetici paneli, sitenizin kontrol merkezidir. Bu alana erişimi kısıtlamak, saldırı yüzeyini önemli ölçüde daraltır.

Neden Detaylıca Önemli? Botlar ve saldırganlar, varsayılan giriş URL’lerini (/wp-admin/ ve /wp-login.php) hedef alarak brute force saldırıları düzenler. Bu URL’yi gizlemek veya ek koruma katmanları eklemek, bu otomatik saldırıların çoğunu boşa çıkarır.

Detaylı Uygulama:

1. Giriş URL’sini Değiştirin: WPS Hide Login gibi basit ve etkili bir eklenti kullanarak siteadresiniz.com/wp-login.php adresini siteadresiniz.com/giris-paneli gibi tahmin edilemez bir adrese dönüştürün.
2. IP Adresi ile Kısıtlama: Eğer statik bir IP adresi kullanıyorsanız (ofis veya ev ağınız gibi), yönetici paneline sadece sizin IP’nizden erişilmesine izin verebilirsiniz. wp-admin klasörünün içine yeni bir .htaccess dosyası oluşturup şu kodları ekleyin:
   Kod snippet’i

   order deny,allow
   allow from 192.168.5.1  # Kendi IP adresinizi buraya yazın
   deny from all
   

   (IP adresinizi whatismyip.com gibi sitelerden öğrenebilirsiniz.)

3. Sunucu Düzeyinde Parola Koruması (HTTP Auth): Bu, WordPress giriş ekranından önce ikinci bir parola soran bir sunucu katmanıdır. Hosting kontrol panelinizden (cPanel, Plesk) “Dizin Gizliliği” veya “Password Protected Directories” seçeneği ile wp-admin klasörünü kolayca şifreleyebilirsiniz.

7. Düzenli ve Güvenli Yedeklemeler: Dijital Sigorta Poliçeniz

En iyi savunma bile %100 garantili değildir. Bir felaket anında, sitenizi kurtaracak tek şey, elinizdeki temiz ve güncel bir yedektir.

Neden Detaylıca Önemli? Yedekleme, sadece hacklenme durumunda değil, hatalı bir güncelleme veya uyumsuz bir eklenti nedeniyle siteniz çöktüğünde de hayat kurtarır. “Keşke yedeğim olsaydı” demek, en büyük pişmanlıktır.

Detaylı Uygulama:

1. 3-2-1 Kuralı: En güvenli yedekleme stratejisidir.
   • Verilerinizin en az 3 kopyası olmalı (canlı site + 2 yedek).
   • Bu kopyalar en az 2 farklı medya türünde saklanmalı (örneğin, hosting sunucusu ve bulut depolama).
   • Bu kopyalardan en az 1 tanesi tesis dışında (off-site) bulunmalı.
2. Yedekleme Eklentisi Seçimi:
   • UpdraftPlus: En popüler ücretsiz yedekleme eklentisidir. Otomatik zamanlama yapabilir ve yedekleri Google Drive, Dropbox, Amazon S3 gibi bulut hizmetlerine gönderebilir.
   • All-in-One WP Migration: Yedeklemeden çok taşıma için bilinse de, sitenizin tam bir yedeğini tek bir dosya olarak almanızı sağlar.
3. Yedekleme Sıklığı: Sitenizin içeriğini ne sıklıkla güncellediğinize bağlıdır.
   • Dinamik Blog/Haber Sitesi: Günlük yedekleme.
   • Kurumsal Site: Haftalık yedekleme.
   • E-ticaret Sitesi: Gerçek zamanlı veya saatlik yedekleme kritik olabilir.
4. Yedekleri Test Edin: Aldığınız yedeklerin gerçekten çalıştığından emin olmak için, birkaç ayda bir yerel bir sunucuya veya bir test ortamına geri yüklemeyi deneyin.

8. Eklenti ve Tema Güvenliği: Üçüncü Parti Riskleri

WordPress’in gücü ekosisteminden gelir, ama en büyük zayıflığı da burasıdır. Her eklediğiniz eklenti veya tema, potansiyel bir güvenlik açığıdır. Özellikle “nulled” yani kırılmış/ücretsiz dağıtılan premium eklenti/temalar, neredeyse her zaman kötü amaçlı kod ve arka kapılar içerir.

Neden Detaylıca Önemli? Kötü kodlanmış veya terk edilmiş bir eklenti, en güncel WordPress sürümünü bile savunmasız bırakabilir. Nulled temalar ise, saldırgana sitenizde tam kontrol veren gizli yönetici hesapları oluşturabilir veya sitenizi spam linkleri dağıtmak için kullanabilir.

Detaylı Uygulama (Yeni Eklenti/Tema İçin Kontrol Listesi):

1. Kaynak: Sadece WordPress.org resmi deposundan veya Themeforest, Elegant Themes gibi saygın pazar yerlerinden indirin. Asla şüpheli sitelerden “ücretsiz premium” tema/eklenti indirmeyin.
2. Son Güncelleme Tarihi: Eklentinin/temanın son güncelleme tarihi 6 aydan eskiyse, bu geliştiricinin projeyi terk etmiş olabileceğinin bir işaretidir. Uzak durun.
3. Aktif Kurulum Sayısı: Yüksek kurulum sayısı (on binler, yüz binler) genellikle bir güven işaretidir.
4. Uyumlu Olduğu WordPress Sürümü: Mevcut WordPress sürümünüzle test edilip edilmediğini kontrol edin.
5. Destek Forumları ve Yorumlar: Eklentinin destek forumuna göz atın. Geliştirici sorulara yanıt veriyor mu? Kullanıcılar sürekli sorun mu bildiriyor? Yorumlar ne diyor? Bu size çok şey anlatacaktır.
6. “Az Çoktur” İlkesi: Sadece gerçekten ihtiyacınız olan eklentileri kullanın. Kullanmadığınız, devre dışı bırakılmış eklentileri bile sitenizden tamamen silin.

9. XML-RPC’yi Devre Dışı Bırakmak: Eski Bir Kapıyı Kilitlemek

xmlrpc.php dosyası, WordPress’in eski mobil uygulamalar ve diğer web siteleriyle iletişim kurmasını sağlayan bir arayüzdür. Günümüzde çoğu işlev REST API tarafından sağlandığı için genellikle gereksizdir ve ciddi bir saldırı vektörüdür.

Neden Detaylıca Önemli? Saldırganlar, xmlrpc.php dosyasını kullanarak tek bir komutla yüzlerce parola kombinasyonu deneyebilir, bu da normal brute force saldırılarından çok daha etkilidir. Ayrıca binlerce WordPress sitesini aynı anda başka bir hedefe saldırmak (DDoS) için kullanabilirler.

Detaylı Uygulama:

• Eklenti ile Kapatma: iThemes Security veya Wordfence gibi eklentiler, tek bir tıkla XML-RPC’yi devre dışı bırakma seçeneği sunar. En kolay ve güvenli yöntem budur.
• .htaccess ile Engelleme: public_html dizininizdeki .htaccess dosyasının en altına şu kodları ekleyin:
  Kod snippet’i

  # XML-RPC'ye erişimi engelle
  <Files xmlrpc.php>
  order deny,allow
  deny from all
  </Files>
  

  Not: Eğer sitenizi yönetmek için WordPress mobil uygulamasını veya Jetpack gibi XML-RPC’ye ihtiyaç duyan bir hizmeti kullanıyorsanız, bu özelliği tamamen kapatmak yerine güvenlik eklentinizle koruma altına almanız daha doğru olacaktır.

10. HTTPS/SSL Kullanımı: İletişim Hattını Şifreleme

SSL sertifikası, siteniz ile ziyaretçinin tarayıcısı arasındaki tüm veri akışını şifreler. Bu, artık bir seçenek değil, standart bir gerekliliktir.

Neden Detaylıca Önemli? HTTPS olmadan, bir kullanıcı sitenizde bir forma giriş bilgisi veya iletişim bilgisi girdiğinde, bu veri ağ üzerinde düz metin olarak gider. Aynı ağdaki (örneğin halka açık bir Wi-Fi) kötü niyetli biri bu veriyi kolayca çalabilir. Ayrıca Google, HTTPS kullanmayan siteleri “Güvenli Değil” olarak işaretler ve SEO’da geri plana atar.

Detaylı Uygulama:

1. SSL Sertifikası Edinin: Çoğu hosting firması (kaliteli olanlar) artık tek tıkla kurulabilen ücretsiz Let’s Encrypt SSL sertifikaları sunmaktadır. Hosting panelinizden bunu etkinleştirin.
2. WordPress URL’lerini Güncelleyin: Yönetim Panelinde “Ayarlar > Genel” bölümüne gidin ve WordPress Adresi (URL) ile Site Adresi (URL) alanlarını http://‘den https://‘e çevirin.
3. HTTP’den HTTPS’ye Yönlendirme: Tüm trafiğin şifreli kanala zorlanması için .htaccess dosyanıza şu kodları ekleyin:

<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule> “` 4. Karışık İçerik (Mixed Content) Hatalarını Düzeltin: HTTPS’e geçtikten sonra sitenizde hala http:// ile başlayan görseller veya scriptler kalmışsa, tarayıcıda bir kilit simgesi yerine bir uyarı simgesi görürsünüz. Bu sorunu çözmek için Really Simple SSL gibi bir eklenti kurabilir veya Better Search Replace eklentisi ile veritabanınızda http://siteadresiniz.com ifadesini https://siteadresiniz.com ile değiştirebilirsiniz.

11. Veritabanı Güvenliği: Sitenizin Beynini Korumak

WordPress veritabanı, yazılardan kullanıcılara kadar her şeyi barındırır. Güvenliği, en az dosya güvenliği kadar kritiktir.

Neden Detaylıca Önemli? SQL enjeksiyonu gibi saldırılar, doğrudan veritabanınızı hedef alır. Varsayılan ayarları kullanmak, saldırganların işini kolaylaştırır.

Detaylı Uygulama:

1. Varsayılan wp_ Ön Ekini Değiştirin: WordPress kurulumu sırasında veritabanı tabloları için varsayılan wp_ ön ekini wp_a5g7k_ gibi rastgele bir şeyle değiştirin. Bu, otomatik SQL enjeksiyonu script’lerinin çoğuna karşı basit ama etkili bir korumadır.
2. Mevcut Sitede Ön Eki Değiştirme: Eğer siteniz zaten kuruluysa, bu işlemi manuel yapmak risklidir. iThemes Security gibi bir güvenlik eklentisi veya WP-Optimize gibi bir veritabanı yönetim aracı, veritabanı ön ekini sizin için güvenli bir şekilde değiştirebilir. Bu işlemi yapmadan önce mutlaka tam bir veritabanı yedeği alın!
3. Güçlü Veritabanı Parolası: Hosting panelinizden veritabanı kullanıcınız için de, WordPress yönetici parolanız kadar güçlü bir parola belirleyin.

12. Web Uygulama Güvenlik Duvarı (WAF): Sitenizin Özel Güvenliği

Bir WAF, sitenize gelen trafiği analiz eder ve bilinen saldırı modellerine uyan kötü niyetli istekleri daha size ulaşmadan bloke eder.

Neden Detaylıca Önemli? WAF, sitenizdeki bir eklentide henüz sizin bilmediğiniz (ama WAF sağlayıcısının bildiği) bir açık olsa bile, bu açığı sömürmeye yönelik saldırıları engelleyebilen proaktif bir savunma katmanıdır.

Detaylı Uygulama:

• DNS Düzeyinde WAF (En Çok Önerilen): Sitenizin DNS ayarlarını değiştirerek tüm trafiği kendi sunucuları üzerinden geçirirler. Bu, sunucunuza yük bindirmez ve en etkili korumayı sağlar.
  • Cloudflare: En popüler seçenektir. Ücretsiz planı bile mükemmel DDoS koruması, temel WAF özellikleri ve ücretsiz bir CDN (İçerik Dağıtım Ağı) sunarak sitenizi hem daha güvenli hem de daha hızlı hale getirir.
  • Sucuri: Güvenlik odaklı premium bir hizmettir ve WAF konusunda sektör liderlerinden biridir.
• Uygulama Düzeyinde WAF (Eklenti Tabanlı): Wordfence ve iThemes Security gibi eklentilerin WAF’larıdır. Kurulumu kolaydır ancak sitenizde bir miktar performans yükü oluşturabilirler.

En İyi Pratik: Cloudflare’in ücretsiz planını bir DNS düzeyinde WAF olarak kullanmak ve bunu Wordfence gibi bir uygulama düzeyinde güvenlik eklentisi ile birleştirmek, size çok katmanlı ve sağlam bir koruma sağlayacaktır.

Acil Durum Planı: Siteniz Hacklenirse Ne Yapmalısınız?

Tüm önlemlere rağmen en kötüsü oldu ve sitenizin hacklendiğini fark ettiniz. Panik yapmayın. Sakin ve metodik bir şekilde hareket etmek, hasarı en aza indirecektir.

1. Sakin Kalın ve Siteyi Bakım Moduna Alın: Ziyaretçilerin ve arama motorlarının hasarlı siteyi görmesini engellemek için WP Maintenance Mode gibi bir eklenti ile sitenizi hemen bakım moduna alın.
2. Hosting Sağlayıcınızla İletişime Geçin: Durumu derhal hosting firmanıza bildirin. Size yardımcı olabilir, sunucu loglarını inceleyebilir ve saldırının kaynağı hakkında bilgi verebilirler.
3. Tüm Parolaları Değiştirin: WordPress yönetici, FTP, cPanel, veritabanı ve e-posta parolaları dahil olmak üzere, hesapla ilişkili tüm parolaları derhal değiştirin.
4. Temiz Bir Yedekten Geri Yükleyin: Saldırının ne zaman gerçekleştiğini tahmin edebiliyorsanız, o tarihten önceki en temiz yedeğinizi geri yükleyin. Bu genellikle en hızlı çözümdür.
5. Temiz Bir Yedek Yoksa, Temizliğe Başlayın:
   • Tarama: Wordfence veya Sucuri’nin tarayıcılarını çalıştırın. Size değiştirilmiş veya enfekte olmuş dosyaların bir listesini verecektir.
   • Manuel Temizlik: WordPress, tema ve eklentilerinizin en son sürümlerini resmi kaynaklardan indirin. Sitenizdeki wp-content/uploads klasörü ve wp-config.php dosyası hariç tüm çekirdek dosyaları ve klasörleri silip, indirdiğiniz temiz kopyalarla değiştirin. uploads klasörünü zararlı olabilecek .php, .js dosyalarına karşı dikkatlice inceleyin.
   • Profesyonel Yardım Alın: Eğer teknik bilginiz yeterli değilse, Sucuri, Wordfence veya MalCare gibi sitenizi sizin için temizleyecek profesyonel hizmetlerden yardım almayı düşünün.
6. Google’ı Bilgilendirin: Sitenizi temizledikten sonra, Google Search Console üzerinden “Güvenlik Sorunları” bölümüne gidin ve sitenizin incelenmesini talep edin. Bu, sitenizin kara listeden çıkarılmasını sağlayacaktır.

Sonuç: Güvenlik Bir Ürün Değil, Bir Süreçtir

Bu uzun ve detaylı rehberin de gösterdiği gibi, WordPress güvenliği, tek bir eklenti kurup unutabileceğiniz bir şey değildir. Bu, sürekli bir dikkat, disiplin ve proaktif eylem gerektiren bir süreçtir. Sitenizi bir bahçe gibi düşünün; düzenli olarak sulamalı (güncellemeli), zararlı otları ayıklamalı (kötü eklentileri silmeli) ve çitlerinizi sağlam tutmalısınız (güvenlik önlemleri).

uzmanwordpress.com olarak misyonumuz, size bu süreçte yol göstermektir. Bu kılavuzdaki adımları bir kontrol listesi olarak kullanın. Bugün sitenizin güvenliği için bir adım atın. Çünkü dijital dünyada en güçlü kale, en hazırlıklı olanıdır.