Reklam
Reklam
Geçen hafta bir müşterimden gece yarısı panik dolu bir telefon aldım. "Sitem hacklendi, bütün içeriklerim gitti!" diyordu. Ne yazık ki bu, karşılaştığım ilk vaka değildi ve muhtemelen son da olmayacak. WordPress siteler, popülaritesi nedeniyle siber saldırganların birinci hedefi haline geldi. 2025'e girerken, güvenlik açıkları her zamankinden daha sofistike ve tehlikeli.
Eğer siz de WordPress kullanıyorsanız ve "Benim sitem küçük, kimse uğraşmaz" diye düşünüyorsanız, bu yanılgıyı hemen şimdi bırakmanız gerekiyor. Çünkü saldırganlar artık rastgele hedef seçmiyor; otomatik botlar sürekli zafiyet arıyor ve sizin siteniz de taramalarının içinde.
Bu yazıda, yıllardır WordPress güvenliğiyle uğraşan biri olarak, 2025'te mutlaka almanız gereken önlemleri, en etkili güvenlik eklentilerini ve gerçek hayattan örneklerle neler yapabileceğinizi anlatacağım.
WordPress Neden Bu Kadar Hedef Oluyor?
İnternetin %43'ünü WordPress siteler oluşturuyor. Bu devasa pazar payı, siber suçlular için altın madeni demek. Ama asıl sorun şu: Çoğu site sahibi güvenliği ciddiye almıyor veya nereden başlayacağını bilmiyor.
Türkiye'deki kullanıcılarla çalışırken en çok gördüğüm sorun, güncelleme korkusu. "Güncellesem site bozulur mu?" endişesiyle aylar boyu eski sürümlerde kalan siteler, açık kapı bırakıyor saldırganlara.
2025'te En Yaygın WordPress Güvenlik Tehditleri
Siber tehditler sürekli evrim geçiriyor. İşte bu yıl karşılaşacağınız başlıca riskler:
1. Brute Force (Kaba Kuvvet) Saldırıları
Bot'lar saniyede yüzlerce şifre kombinasyonu deneyerek yönetici panelinize girmeye çalışıyor. Türkiye'den gelen saldırılarda en çok denenen şifreler: "123456", "admin123", "sifre123" gibi tahmin edilebilir kombinasyonlar.
2. SQL Injection ve XSS Saldırıları
Eski veya kalitesiz eklentiler, veritabanınıza zararlı kod enjekte edilmesine izin verebiliyor. Bu tür saldırılarda genellikle fark edilmeden aylarca veri sızıntısı yaşanıyor.
3. Zararlı Yazılım (Malware) Bulaşması
Nulled (korsan) tema veya eklenti kullananlar dikkat! Bu dosyalar içinde gizli backdoor'lar oluyor ve sitenizde farkına varmadan kripto madenciliği yapılıyor veya spam mail gönderiliyor.
4. Phishing ve Sosyal Mühendislik
"WordPress güvenlik ekibinden" gelen sahte e-postalar, yönetici bilgilerinizi çalmaya çalışıyor. Türkiye'de Türkçe phishing mailleri son yıllarda ciddi artış gösterdi.
5. DDoS Saldırıları
Özellikle e-ticaret siteleri ve haber portalları, rakipleri veya fidye talep eden gruplar tarafından hedef alınıyor.
WordPress Güvenliğini Sağlamlaştırmanın Temel Adımları
Yıllardır edindiğim deneyimle söyleyebilirim ki, güvenlik %80 temel önlemlerle sağlanıyor. İşte mutlaka yapmanız gerekenler:
Güçlü Kimlik Doğrulama: İlk Savunma Hattınız
İki Faktörlü Kimlik Doğrulama (2FA), 2025'te artık opsiyonel değil, zorunlu olmalı. Şifreniz ele geçse bile, telefonunuzdaki kod olmadan kimse giremez.
Türkiye'deki kullanıcılar için önerim: Google Authenticator yerine Microsoft Authenticator kullanın. Çünkü telefon değiştirdiğinizde hesap kurtarma Türkçe desteğiyle çok daha kolay oluyor.
Şifre politikası için altın kurallar:
- Minimum 16 karakter
- Büyük/küçük harf, rakam ve özel karakter karışımı
- Şifre yöneticisi kullanın (LastPass, Bitwarden, 1Password)
- Her 3 ayda bir değiştirin
- Asla aynı şifreyi farklı platformlarda kullanmayın
Kullanıcı Rolleri ve Yetkilendirme Yönetimi
Birçok site sahibi, tasarımcısına veya içerik yazarına "Administrator" yetkisi veriyor. Bu çok büyük bir hata!
Doğru yetkilendirme şöyle olmalı:
- Administrator: Sadece site sahibi (tercihen tek kişi)
- Editor: İçerik yöneticileri için
- Author: Misafir yazarlar için
- Contributor: İncelemeden sonra yayınlanacak içerikler için
Eski çalışanların veya freelancer'ların hesaplarını mutlaka silin veya askıya alın. Geçen yıl bir müşteride, 2 yıl önce ayrılan birinin hesabından saldırı gerçekleşmişti.
SSL Sertifikası: Artık Standart Olmalı
"Let's Encrypt" sayesinde ücretsiz SSL almanın önünde hiçbir engel kalmadı. Türkiye'deki hosting firmalarının çoğu (Natro, Turhost, Hosting.com.tr) tek tıkla SSL kurulumu sunuyor.
SSL'in sadece güvenlik değil, SEO faydası da var. Google, HTTPS olmayan siteleri arama sonuçlarında cezalandırıyor. Müşterilerimde SSL kurulumu sonrası ortalama %8-12 arasında organik trafik artışı gözlemledim.
SSL kurduktan sonra mutlaka yapılması gerekenler:
- HTTP'den HTTPS'e yönlendirme kuralı ekleyin
- WordPress ayarlarında site URL'lerini güncelleyin
- Mixed content (karma içerik) hatalarını düzeltin
- SSL Labs'da A+ notu alana kadar test edin
En İyi WordPress Güvenlik Eklentileri: 2025 Karşılaştırması
Piyasada onlarca güvenlik eklentisi var ama hangisi size uygun? İşte deneyimlerime dayanan karşılaştırma:
Wordfence Security: Türkiye'de En Popüler Seçenek
Artıları:
- Gerçek zamanlı tehdit istihbaratı
- Güçlü firewall (hem eklenti hem sunucu seviyesinde)
- Detaylı trafik analizi
- Ücretsiz versiyonu oldukça yeterli
Eksileri:
- Sunucu kaynaklarını yoruyor (özellikle paylaşımlı hostinglerde)
- Premium fiyatı yıllık $119 (Türkiye için pahalı olabilir)
- Arayüz İngilizce (Türkçe dil desteği yok)
Wordfence'i Türkiye'deki sitelerde kullanırken dikkat edilmesi gereken bir nokta var: Tarama sırasında hosting firması "yüksek kaynak kullanımı" uyarısı verebilir. Bu durumda tarama saatini gece 3-4 gibi düşük trafikli saatlere ayarlayın.
WordPress'te Güvenliği Artırmak İçin En İyi Eklentiler (2025) yazımda tüm eklentileri detaylıca inceleyebilirsiniz.
Sucuri Security: Kurumsal Çözüm Arayanlar İçin
Sucuri, özellikle WAF (Web Application Firewall) hizmeti ile öne çıkıyor. CDN altyapısı sayesinde sitenizi hem hızlandırıyor hem koruyor.
Premium paketlerde:
- Hack temizleme garantisi
- DDoS koruması
- 7/24 güvenlik destek ekibi
- Otomatik malware temizliği
Türkiye'deki e-ticaret sitelerine Sucuri öneriyorum çünkü ödeme bilgileri gibi hassas verilerde ekstra koruma katmanı şart.
iThemes Security (Solid Security): Kullanıcı Dostu Alternatif
Teknik bilgisi olmayan kullanıcılar için ideal. Kurulum sihirbazı ile 10 dakikada temel güvenlik ayarlarını yapabilirsiniz.
Öne çıkan özellikleri:
- Dosya değişikliği algılama
- Veritabanı yedekleme (temel seviye)
- 404 hatası algılama (brute force tespiti için)
- Türkçe arayüz desteği
All In One WP Security & Firewall: Ücretsiz Ama Güçlü
Bütçeniz kısıtlıysa ve teknik bilginiz varsa, bu eklenti harika bir seçim. Tek dezavantajı: Kendiniz yapılandırmanız gerekiyor, ama WordPress'te Güvenlik İçin Alınması Gereken Temel Önlemler (2025 Rehberi) yazımda adım adım kurulum anlatımı bulabilirsiniz.
Yedekleme Stratejileri: Kurtarma Planınız Hazır mı?
"Yedek almayı unutmuşum" cümlesi, en çok duyduğum üzücü sözlerden biri. Güvenlik önlemleri %100 başarılı olmayabilir ama iyi bir yedekleme stratejisi sizi her zaman kurtarır.
3-2-1 Yedekleme Kuralı
Bu kural altın standarttır:
- 3 kopya: Orijinal + 2 yedek
- 2 farklı ortam: Sunucu + bulut depolama
- 1 offsite konum: Farklı coğrafi konumda
Önerilen Yedekleme Eklentileri
UpdraftPlus: Türkiye'de en çok kullandığım çözüm. Google Drive, Dropbox veya OneDrive'a otomatik yedekleme yapabiliyor. Ücretsiz versiyonu günlük yedek için yeterli.
BackupBuddy: Premium ama karşılığını veriyor. 1GB+ sitelerde bile hızlı çalışıyor. Stash özelliği ile 1TB ücretsiz bulut alanı veriyorlar.
Duplicator: Sadece yedekleme değil, site taşıma işlemleri için de kullanılıyor. Özellikle domain değişikliği yaparken çok işe yarıyor.
Yedekleme Sıklığı Nasıl Olmalı?
Site türüne göre değişiyor:
- Blog/Portföy sitesi: Haftalık tam yedek + günlük veritabanı yedeği
- E-ticaret: Günlük tam yedek (özellikle sipariş veritabanı)
- Haber/Forum: Günde 2-3 kez artımlı yedek
- Kurumsal site: Günlük tam yedek + gerçek zamanlı veritabanı replikasyonu
Türkiye'deki hosting firmalarından alınan yedeklere güvenmeyin! Hosting hesabınız kapanırsa veya firma kapı kilit yaparsa (maalesef yaşandı), o yedeklere ulaşamazsınız. Mutlaka üçüncü parti bulut servise yedek alın.
WordPress Güvenlik Ayarlarında Yapılan Kritik Hatalar
Yıllardır yüzlerce WordPress sitesini inceledim ve şu hataları sürekli görüyorum:
1. Varsayılan "admin" Kullanıcı Adı
Bot'ların denediği ilk kullanıcı adı "admin". Eğer hala bu kullanıcı adını kullanıyorsanız, derhal değiştirin. Yeni bir administrator hesabı açıp eski "admin" hesabını silin.
2. wp-config.php Dosyasının Korunmaması
Bu dosya veritabanı şifrelerinizi içeriyor. .htaccess ile erişimi engelleyin:
<files wp-config.php>
order allow,deny
deny from all
</files>3. XML-RPC'nin Açık Bırakılması
Brute force saldırılarının %60'ı XML-RPC üzerinden geliyor. Kullanmıyorsanız kapatın. Wordfence veya iThemes Security ile tek tıkla kapatabilirsiniz.
4. Tema ve Eklenti Güncelleme İhmali
"Güncelleme site bozar" korkusu anlayışlıkla karşılıyorum ama bu, sitenizi hacklenmeye açık bırakmak anlamına geliyor. Çözüm basit: Staging ortamında test edin, sonra canlıya alın.
Detaylı hata listesi ve çözümleri için WordPress Güvenlik Ayarlarında Sık Yapılan Hatalar yazıma göz atın.
5. Eklenti ve Tema Sayısının Kontrolsüz Artması
Her eklenti, potansiyel bir güvenlik açığıdır. Kullanmadığınız eklentileri silmekle kalmayın, devre dışı bırakmayın, tamamen silin. Çünkü devre dışı eklentiler bile güncel tutulmazsa zafiyet oluşturabiliyor.
Gelişmiş Güvenlik Teknikleri: Bir Adım İleri
Temel önlemleri aldıysanız, şimdi daha ileri seviye koruma katmanları ekleyelim:
Coğrafi Engelleme (Geo-Blocking)
Eğer siteniz sadece Türkiye'ye hizmet veriyorsa, yönetici paneline yalnızca Türkiye IP'lerinden erişime izin verin. Bu tek başına saldırıların %70'ini engelliyor.
Wordfence Premium veya Cloudflare ile bunu kolayca yapabilirsiniz. Ücretsiz alternatif: iThemes Security Pro.
Content Security Policy (CSP) Başlıkları
XSS (Cross-Site Scripting) saldırılarına karşı ekstra koruma. .htaccess dosyanıza şu satırları ekleyin:
Header set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval';"Bu biraz teknik ama etkisi büyük. Hosting desteğinizden yardım isteyebilirsiniz.
Veritabanı Prefix Değiştirme
WordPress varsayılan olarak wp_ prefix kullanıyor. SQL injection saldırıları bu bilgiyle kolaylaşıyor. Kurulumda veya sonrasında (dikkatli olarak) prefix'i değiştirin.
wp-login.php Sayfasını Gizleme
Bu sayfa tüm brute force saldırılarının hedefi. WPS Hide Login eklentisiyle giriş URL'ini özelleştirebilirsiniz. Örneğin: siteadi.com/girisim gibi.
Önemli uyarı: Bu URL'yi not edin ve kaybetmeyin! Aksi halde kendi sitenize giremezsiniz. Müşterilerimden birinin başına geldi, FTP ile eklentiyi silmek zorunda kaldık.
Güvenlik İzleme ve Sürekli Denetim
Güvenlik bir kere yapılıp unutulan iş değil, sürekli izlenmesi gereken bir süreç.
Yapmanız Gereken Düzenli Kontroller
Haftalık:
- Kullanıcı hesaplarını gözden geçirin (şüpheli yeni hesap var mı?)
- Eklenti ve tema güncellemelerini kontrol edin
- Güvenlik eklentisinin loglarına bakın
Aylık:
- Tam site taraması yapın (Wordfence veya Sucuri ile)
- Yedekleri test edin (gerçekten geri yüklenebiliyor mu?)
- Hosting kaynak kullanımını inceleyin (anormal artış var mı?)
3 Ayda Bir:
- Tüm şifreleri değiştirin
- SSL sertifikasını kontrol edin
- Google Search Console'da güvenlik uyarılarına bakın
Güvenlik Logları: Ne Zaman İzlemeli?
Wordfence veya Sucuri'nin loglarına düzenli bakın. Şunları arayın:
- Başarısız giriş denemeleri (100'den fazlaysa dikkat!)
- Bilinmeyen IP'lerden yönetici paneline erişim
- Beklenmedik dosya değişiklikleri
- 404 hatası spike'ları (otomatik zafiyet taraması olabilir)
Türkiye saati ile gece 2-5 arası anormal aktivite varsa genellikle yurtdışından otonom saldırıdır.
WordPress Hosting Seçiminin Güvenliğe Etkisi
Hosting firması seçimi, güvenlikte kritik rol oynar. Türkiye'deki kullanıcılar için öneriler:
Managed WordPress Hosting vs. Paylaşımlı Hosting
Managed (Yönetilen) WordPress Hosting'in avantajları:
- Otomatik güncellemeler
- Sunucu seviyesinde firewall
- Günlük otomatik yedekleme
- Malware taraması
- WordPress'e optimize edilmiş sunucu yapılandırması
Türkiye'de Niobe, Ferohost gibi firmalar managed WordPress hosting sunuyor. Biraz daha pahalı ama karşılığını veriyor.
Paylaşımlı hosting kullanıyorsanız dikkat:
- Aynı sunucudaki başka bir site hacklenirse sizinkine de sıçrayabilir
- Kaynak kısıtlamaları güvenlik taramalarını yavaşlatır
- Backup sorumluluğu tamamen sizde
Sunucu Seviyesi Güvenlik Önlemleri
Hosting firmanızdan şunları isteyin:
- ModSecurity aktif mi?
- Firewall (CSF/ConfigServer) kurulu mu?
- PHP güncel versiyonu (minimum PHP 8.0) kullanılıyor mu?
- SSH erişimi sadece key-based mi?
Çoğu Türk hosting firması bunları varsayılan olarak yapmıyor, talep etmeniz gerekebilir.
2025'te Yeni Çıkan Güvenlik Tehditleri
Siber tehdit manzarası hızla değişiyor. İşte 2025'te dikkat etmeniz gereken yeni saldırı türleri:
AI Destekli Phishing Saldırıları
Yapay zeka ile oluşturulan phishing mailleri artık neredeyse gerçeğinden ayırt edilemiyor. Türkçe dilbilgisi hataları da yok artık. Her zaman e-posta gönderenin adresini kontrol edin, görünen isim değil!
Supply Chain Saldırıları (Tedarik Zinciri)
Popüler eklentiler hacklenip içlerine zararlı kod yerleştiriliyor. 2024'te Advanced Custom Fields eklentisinde böyle bir olay yaşandı. Çözüm: Eklentileri resmi WordPress deposundan indirin, üçüncü parti sitelerden asla!
Deepfake ile Sosyal Mühendislik
Video görüşmeler üzerinden dolandırıcılık artıyor. "Hosting firması yetkililiyim, şifrenizi doğrulamamız gerekiyor" gibi aramalar geliyor. Hiçbir meşru firma şifrenizi sormaz!
Acil Durum Planı: Hacklendiğinizde Ne Yapmalı?
Önlem almak önemli ama hacklenirseniz ne yapacağınızı da bilmelisiniz:
1. Panik yapmayın, mantıklı hareket edin
- Hosting hesabınızdan siteyi geçici olarak kapatın
- Veritabanı şifrelerini hemen değiştirin
- Tüm kullanıcı şifrelerini sıfırlayın
2. Temiz bir yedekten geri yükleyin
- En son temiz yedeği bulun (malware bulaşmadan önceki)
- Geri yüklemeden önce mevcut dosyaları yedekleyin (analiz için)
3. Profesyonel yardım alın
- Sucuri veya Wordfence'in temizleme servisini kullanın
- Veya Türkiye'den güvenilir bir WordPress uzmanı ile çalışın
4. Sıfırdan güvenlik denetimi yapın
- Tüm eklentileri güncelleyin veya güvenilir olmayan olanları silin
- Hosting loglarını inceleyin (nasıl girdi?)
- Google Search Console'da "hacked site" uyarısı varsa kaldırma talebi gönderin
5. Müşterilerinizi bilgilendirin
- E-ticaret siteniz varsa, müşterilerinize şeffaf olun
- Kişisel veri çalındıysa yasal bildirim yükümlülüğünüz var (KVKK)
Sıkça Sorulan Sorular (SSS)
WordPress güvenlik eklentisi mutlaka gerekli mi, hosting firması korumuyor mu?
Hosting firmasının sunucu seviyesi koruması var ama WordPress'e özel tehditler için yeterli değil. Güvenlik eklentisi, WordPress'in kendine özgü zaafiyetlerini kapatır. İkisi birbirini tamamlar, ikame değildir.
Ücretsiz güvenlik eklentileri yeterli mi yoksa premium almak şart mı?
Küçük bir blog için Wordfence Free veya All In One WP Security yeterli. Ama e-ticaret, üyelik sistemi veya hassas veri içeren sitelerde premium şart. Özellikle gerçek zamanlı tehdit istihbaratı ve otomatik malware temizleme premium özellikleri.
SSL sertifikası sadece e-ticaret siteleri için mi gerekli?
Hayır, her site için zorunlu. Google, HTTPS olmayan siteleri "güvensiz" olarak işaretliyor ve sıralamada düşürüyor. Ayrıca ziyaretçi güvenini artırıyor. Let's Encrypt ile ücretsiz alabileceğiniz için almamak için hiçbir sebep yok.
Tema ve eklenti güncellemesi site bozar mı, nasıl güvenli güncelleyebilirim?
Evet bozabilir ama çözümü var: Staging (test) ortamı kullanın. Önce orada güncelleyin, test edin, sorun yoksa canlıya alın. Managed WordPress hosting'ler genellikle tek tıkla staging ortamı sunuyor. Alternatif olarak WP Staging eklentisini kullanabilirsiniz.
Nulled (korsan) tema veya eklenti kullansam ne olur?
Kesinlikle kullanmayın! İçlerinde backdoor, malware veya spam scriptleri gizli oluyor. Bir müşterimde nulled temadan dolayı Google, siteyi "zararlı yazılım dağıtıyor" diye blacklist'e almıştı. Düzeltmesi aylar sürdü ve SEO sıralama çöktü. Bedavaya mal olmaz!
WordPress güncellemesi otomatik mi yapılmalı yoksa manuel mi?
Küçük (minor) güncellemeler otomatik olabilir ama büyük (major) sürüm güncellemelerini manuel yapın. Çünkü eklentilerle uyumsuzluk çıkabilir. Ayarlarda "Sadece güvenlik güncellemelerini otomatik yap" seçeneğini seçebilirsiniz.
2FA (İki faktörlü doğrulama) hangi yöntemi kullanmalıyım: SMS, e-posta, yoksa authenticator uygulaması mı?
Authenticator uygulaması en güvenlisi. SMS'ler SIM swapping ile çalınabiliyor, e-postalar hacklenebiliyor. Google Authenticator, Microsoft Authenticator veya Authy gibi uygulamaları kullanın. Yedek kodları mutlaka güvenli bir yere kaydedin!
Sitenin hacklendiğini nasıl anlarım?
Belirtiler: Anasayfada garip içerik, Google'da farklı sayfa başlıkları, yavaşlama, beklenmedik yönlendirmeler, Google'dan "hacked site" uyarısı, hosting'den yüksek kaynak kullanımı bildirimi. Wordfence gibi eklentiler düzenli tarama yapıp malware tespit edebilir.
Yedekleri ne kadar süre saklamalıyım?
Minimum 30 gün, ideal olarak 90 gün. Çünkü bazı hackler aylar sonra fark ediliyor. E-ticaret siteleri için yasal yükümlülük nedeniyle 2 yıl saklama şart olabilir (mali veriler için).
Cloudflare kullanmalı mıyım, güvenliğe etkisi nedir?
Kesinlikle kullanmalısınız ve üstelik ücretsiz! Cloudflare, DDoS koruması, bot engelleme, SSL ve hız artışı sağlıyor. Kurulumu kolay, DNS ayarlarını değiştirmeniz yeterli. Özellikle Türkiye'den gelen DDoS saldırılarına karşı çok etkili.
WordPress güvenliği karmaşık görünebilir ama adım adım uyguladığınızda aslında yönetilebilir bir süreç. Unutmayın, saldırganlar en zayıf halkayı hedefliyor. Temel önlemleri alan bir site, genellikle atlanıp daha kolay hedeflere yöneliyor.
Bugün hemen harekete geçin: İlk olarak güçlü şifreler oluşturun, 2FA aktifleştirin ve düzenli yedekleme sistemini kurun. Sonra güvenlik eklentisi yükleyin ve SSL sertifikanızı kontrol edin. Bu adımlar size saatler alır ama potansiyel olarak aylar sürecek bir felaket senaryosundan kurtarabilir.
Daha fazla detaylı güvenlik rehberi için blog yazılarımı takip edebilir, sorularınızı yorumlarda paylaşabilirsiniz. Unutmayın, güvenlik bir hedeftir, yolculuktur. Sürekli güncel kalın ve sitenizi korumaya devam edin!
Reklam
Reklam
0 Yorumlar