WordPress Güvenlik Ayarlarında Sık Yapılan Hatalar: Siteni Tehlikeye Atan 7 Kritik Yanlış

2025 yılında WordPress, dünya genelindeki web sitelerinin yaklaşık %43'ini güçlendiriyor. Bu gücün karşısında ise siber tehditler de aynı hızla evoluyor. İstatistiklere göre, her gün binlerce WordPress sitesi saldırıya uğruyor ve çoğu zaman bunun nedeni yöneticilerin yaptığı güvenlik hataları. Peki ya senin sitenin güvenliği? Eğer aşağıdaki hataları yapıyorsan, endişelenme—çünkü bu yazıda seni bu tehlikelerden kurtaracağız.

1. Varsayılan Admin Kullanıcı Adını Değiştirmemek

Çoğu WordPress sitesi "admin" kullanıcı adıyla kurulur. Bu, inanılmaz derecede tehlikeli bir alışkanlıktır.

Neden riskli? Saldırganlar, brute force saldırılarında hemen "admin" adını denemeye başlarlar. Kullanıcı adını bilinirse, geriye sadece parolayı kırmak kalır ve bu çok daha kolay hale gelir. Kötü niyetli botlar dakikada binlerce parola kombinasyonunu test edebilir.

Yapman Gerekenler:

• WordPress kurulumundan hemen sonra admin kullanıcı adını değiştir
• Yeni bir kullanıcı oluştur ve admin yetkilerini ona aktar
• Eski "admin" hesabını sil
• Kullanıcı adını benzersiz ve tahmin edilmesi zor bir şey yap (örneğin: "site_editor_2025" yerine "a7x_m9k_admin" gibi)

2. Güçlü Olmayan Parolalar Kullanmak

"123456", "password", "admin123"—bu tür parolalar WordPress sitelerine karşı düzenlenen saldırıların %80'inin başarılı olmasının ana nedenidir.

Zayıf bir parola, sıradan bir kilidi olmayan bir kapı gibidir. Saldırganlar, kütüphane kadar büyük parola listeleri kullanarak saniyeler içinde erişim sağlayabilir.

Güçlü Parola Oluşturma Kuralları:

• En az 16 karakter uzunluğunda olmalı
• Büyük harf, küçük harf, rakam ve özel karakterler içermeli
• İsmin, tarihler ya da sırayla yazılan karakterler içermemeli
• "qwerty" gibi keyboard düzenini takip etmemeli
• Bir parola yöneticisi kullan (1Password, Bitwarden, LastPass)

3. Eski ve Kullanılmayan Eklentileri Silmemek

WordPress'in esnekliği eklentilerden gelir. Ancak bu aynı zamanda en büyük güvenlik zafiyetidir. Özellikle eski, güncellenmeyen veya hiç kullanılmayan eklentiler, saldırganlar için açık davetiyedir.

Çalışmıyor sanıyorum diye depo'da bekleyen eklentiler, gerçek bir saatli bomba gibi çalışabilir. Eski kodda bulunan zafiyetler, saldırganlar tarafından uzun zaman önceden keşfedilmiş olabilir.

Yapman Gerekenler:

• Haftalık olarak eklentilerin listesini gözden geçir
• Aktif olmayan eklentileri sil, depo'ya çıkartmak yeterli değil
• Yalnızca güvenilir geliştiricilere ait eklentileri kur
• Kullanıcı puanlaması ve güncellenme sıklığını kontrol et
• Eklenti güvenlik taraması yapan araçlar kullan

4. WordPress'i Güncellememek

"Güncelleme yaparım da bir şey kırılırsa?" endişesi, WordPress sitelerinin en sık duydukları ölüm sesidir.

WordPress'in her güncellemesi sadece yeni özellikler değil, kritik güvenlik yamalarını da beraberinde getirir. Eğer sitenizi güncelleme yapmıyorsanız, saldırganlar bu bilinen zafiyetleri istismar edebilir.

2024-2025 yıllarında WordPress'teki tespit edilen zafiyetlerin %70'i, daha eski sürümleri kullananlara yapılan saldırılarda başarı ile uygulandı.

Düzenli Güncelleme Stratejisi:

• Otomatik güncellemeleri aktif et
• İmportant güncellemeleri (kritik güvenlik yamaları) hemen yükle
• Eklentiler ve temaları da düzenli güncelle
• Güncellemeden önce yedek al
• Geliştirme ortamında test et

5. Veritabanı Ön Ekini Değiştirmemek

WordPress, varsayılan olarak "wp_" tablosu ön ekini kullanır. Bu kadar basit ama çoğu site yöneticisinin gözünden kaçan bir zafiyet.

Saldırganlar, SQL injection saldırıları sırasında bu standart ön eki biliyorlarsa, veritabanınıza çok daha kolay erişim sağlayabilir. Tablo isimlerini değiştirmek, ilk savunma hattı gibidir.

Ön Ek Değiştirme:

• WordPress kurulumundan önce wp-config.php dosyasında $table_prefix değerini değiştir
• Var olan bir siteyse veritabanı yönetimi araçlarını kullan
• Örneğin: "blog_2025_", "site_admin_" gibi daha özgün bir ön ek belirle

6. Dosya ve Klasör İzinlerini Yanlış Yapılandırmak

Dosya izinleri (permissions), genellikle göz ardı edilen ama kritik bir güvenlik katmanıdır.

Eğer wp-config.php gibi hassas dosyaların izinleri herkese açık ise (777), veritabanı bilgileriniz ve güvenlik anahtarlarınız risk altındadır.

Doğru İzin Ayarları:

• Klasörler: 755
• Dosyalar: 644
• wp-config.php: 600
• .htaccess: 644

Bu, server'ınız üzerinde komut çalıştırabilecek kişiler için tedirgin edici olsa da, güvenliğin temeli budur.

7. SSL/HTTPS Sertifikası Kurmamak

2025'de, HTTPS olmayan bir WordPress sitesi, kullanıcılarının güvenini kaybetmiş demektir.

Google, HTTPS olmayan siteleri arama sonuçlarında düşük sıralar, ve modern tarayıcılar bu sitelere "Güvenli Değil" uyarısı gösterir. Sadece SEO için değil, ziyaretçi verilerinin şifrelendirilmesi için de HTTPS zorunludur.

SSL Kurulumu:

• Hosting sağlayıcınızdan ücretsiz SSL sertifikası al (Let's Encrypt)
• wp-config.php'ye iki satır kod ekle:

  define('FORCE_SSL_ADMIN', true);
  define('FORCE_SSL_LOGIN', true);

• .htaccess dosyasında HTTP'den HTTPS'e yönlendirme ayarla

Bonus: WordPress Güvenliğini İyileştirmek İçin Kullanabileceğin Araçlar

• Wordfence: En popüler WordPress güvenlik eklentisi
• Sucuri Security: Kötü amaçlı yazılım taraması ve güvenlik izleme
• Two Factor Authentication: İki adımlı doğrulama eklentileri
• Backup Çözümleri: UpdraftPlus, BackWPup

Sonuç

WordPress'i güvenli tutmak, roket bilimi değildir—sadece disiplin ve biraz bilgi gerektirir. Yukarıdaki 7 hatayı bugün düzelt, ve sitenin güvenliği konusunda rahat bir nefes al. Unutma: Güvenlik, "bir kez yapadın mı tamam" bir şey değil—sürekli bir yatırımdır.

Sitend güvenliğini geliştirdin mi? Deneyimlerini yorum bölümünde paylaş—birbirinden öğrenelim.