WordPress Güvenli Mi?
HACKERLARI AĞLATAN REHBER
WordPress Gerçekten Güvenli Mi?
Dürüst olalım: O binbir emekle kurduğun, SEO kasmak için geceni gündüzüne kattığın sitenin bir sabah Asya bahis sitelerine veya garip Japonca linklere yönlendirildiğini görmenin acısını yaşamak istemiyorsan, bu satırları beynine kazımalısın.
İnternetin %40'ından fazlası WordPress kullanıyor. Bu devasa pazar payı, onu Rus ve Çinli hacker botlarının bir numaralı hedefi haline getiriyor. "Benim sitem küçük, kim ne yapsın" deme. Botlar senin kim olduğuna bakmaz; sunucunun kaynaklarını kripto madenciliği için kullanmak veya siteni bir spam ağına (botnet) dahil etmek için saniyede binlerce istek atarlar.
"Sistemin güvenliği, onu koruyan en zayıf halkanın gücü kadardır. WordPress'te o zayıf halka yazılım değil, o yazılımı kurup varsayılan ayarlarla bırakan sensin."
WordPress, çekirdek yapısı itibarıyla düzenli denetlenen ve son derece güvenli bir içerik yönetim sistemidir. Ancak açık kaynaklı doğası, bilinçsiz kurulan eklentiler ve zayıf sunucu yapılandırmaları onu siber saldırılara açık hale getirir. Güvenlik, WordPress'in değil, site yöneticisinin stratejik sorumluluğundadır.
Sadece Oku ve
Dönüşümü Başlat.
Bu rehberin sonunda, sana güvenlik eklentisi satan ajansların asla paylaşmadığı o Büyük Stratejik Sırrı açıklayacağım. Oraya gelene kadar WordPress mimarisindeki taşları doğru yere oturtman lazım.
Sırrı Öğrenmeye BaşlaWordPress Neden Sürekli Hedefte? (Ve Neden Senin Siten?)
Botlar interneti aralıksız tarar. Amaçları senin bloğundaki yemek tarifini çalmak değil; sunucunun gücünü ele geçirip onu bir DDoS silahına dönüştürmek veya kara şapkalı (Black Hat) SEO operasyonları için paravan yapmaktır. Bu gerçeği kabul etmeden güvenliği sağlayamazsın.
Eklenti Cehennemi ve Açık Kaynak Paradoksu
WordPress çekirdeği (Core) dünyanın en iyi siber güvenlik uzmanları tarafından korunur. Seni hackleyecek olan şey WordPress'in kendisi değil; üç yıl önce kurup unuttuğun, güncellenmeyen o "Slider" eklentisidir. Açık kaynak kodlu olması, hackerların da bu kodları indirip tersine mühendislik (reverse engineering) yaparak zafiyet aramasına olanak tanır.
Özellikle tema pazarında satılan ucuz veya Nulled (kırık) temalar, içlerine kasıtlı olarak gömülmüş "Backdoor" (arka kapı) kodlarıyla doludur. Sen siteyi kurduğunu sanırken, aslında anahtarı hırsıza teslim edersin.
⚠️ Çöküşün İlk Adımı: Nulled Temalar
Sırf 50 dolar vermemek için indirdiğin o kırık temanın içindeki eval(base64_decode(...)) fonksiyonu siteni anında zombi bir ağın parçası yapar. Nulled tema kullanmak, evinin kapısını ardına kadar açık bırakıp tatile çıkmaktır.
Otomatik Tarama Botlarının Anatomisi
Saldırıların %99'u manuel değil, otomatiktir. Python veya Bash ile yazılmış scriptler Google Dorks kullanarak internetteki WordPress sitelerini tespit eder. Ardından şu eylemleri saniyeler içinde uygularlar:
- Brute Force: `wp-login.php` üzerinden saniyede binlerce şifre kombinasyonu denerler.
- XML-RPC İstismarı: Kapatmayı unuttuğun `xmlrpc.php` dosyası üzerinden amplifikasyon (DDoS) saldırısı yaparlar.
- Plugin Enum: Kurduğunda versiyonunu gizlemediğin eklentileri bulup, bilinen (CVE) açıklarını sömürürler.
Şimdi teoriyi anladığımıza göre, senin o "kur-geç" mantığından çıkıp, siteni nasıl aşılmaz bir kaleye dönüştüreceğini kanıtlarıyla görelim. İşimiz botları senin sitenden nefret ettirmek.
Neden Umursamalısın?
Kurban Yaklaşımı
- ❌ Varsayılan "admin" kullanıcısını tutmak.
- ❌ Ücretsiz ve rastgele güvenlik eklentileri kurup sihir beklemek.
- ❌ Giriş URL'sini (wp-admin) olduğu gibi bırakmak.
- ❌ Dosya izinlerini (CHMOD) rastgele 777 yapmak.
Zero-Trust Üstünlüğü
- ✅ WAF (Web Application Firewall) ile gelen isteği sunucudan önce kesmek.
- ✅ Core ve kritik dizinleri salt okunur (Read-Only) yapmak.
- ✅ Veritabanı ön eklerini (wp_) benzersiz bir yapıya çevirmek.
- ✅ REST API ve XML-RPC anomali kontrollerini kapatmak.
Bildiğin Her Şeyi Unut
SSL sadece sunucu ile ziyaretçi arasındaki veriyi şifreler. Gelen saldırı paketinin içeriğini kontrol etmez. SSL varken de bal gibi SQL Injection yiyebilirsin.
Aynı anda birden fazla güvenlik eklentisi kullanmak (Wordfence + Sucuri + iThemes) sitenin kodlarını birbirine sokar, sunucunu yorar ve aksine yeni güvenlik açıkları yaratır.
Hackerlar sitendeki makaleleri umursamaz. Sunucunun bant genişliğini kullanarak başka sitelere saldırmak (DDoS botnet'i olmak) veya Black Hat SEO için gizli linkler eklemek isterler. Hedef sensin.
Teknik Terimler Sözlüğü
Konuyu kavramak ve kodlamaya geçmek için bu terimleri bilmen şart.
Web Application Firewall. Kalkanın.
Kaba Kuvvet. Şifre kırma saldırısı.
WP Şifreleme Anahtarları.
Uzaktan Yayın Protokolü (Kapat!)
Veritabanına Zehirli Kod Enjeksiyonu.
WP'nin Kalbi. Veritabanı kimliği.
Sunucu Dosya İzin Seviyeleri.
Sisteme sızmak için bırakılan arka kapı.
Operasyon Odası
Sadece oku ve geç yapma. Şimdi ellerini kirleteceksin.
Admin Kullanıcısını Yok Et
Brute Force botlarının ilk denediği kullanıcı adı 'admin'dir. Eğer sisteminde 'admin' isimli bir kullanıcı varsa, hackerların işini %50 kolaylaştırmış olursun. Hemen rastgele isimde yeni bir yönetici aç ve eski 'admin' hesabını, içeriklerini yeni hesaba aktararak SİL.
XML-RPC'nin Fişini Çek
Mobil uygulama veya Jetpack kullanmıyorsan, `xmlrpc.php` senin için canlı bir bombadır. Hackerlar bu dosyayı kullanarak tek bir HTTP isteğiyle binlerce şifre denemesi yapabilir (Amplification attack). Sunucunda .htaccess dosyanı aç ve dışarıdan gelen XML-RPC isteklerini reddet.
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Giriş Kapısını (wp-admin) Gizle
Herkes giriş kapının `site.com/wp-admin` olduğunu biliyor. Bu kadar bariz olmak amatörlüktür. WPS Hide Login gibi hafif bir eklenti veya kod müdahalesi ile bu yolu `/guvenlik-giris` gibi kimsenin tahmin edemeyeceği bir yola çevir. Botlar kapıyı bulamazsa kilit de kıramaz.
wp-config.php'yi Kaleye Al
`wp-config.php` senin veritabanı şifreni ve tüm gizli anahtarlarını barındırır. Bu dosya public_html (ana dizin) içindeyse tehlikededir. Eğer hosting altyapın destekliyorsa (paylaşımsız), bu dosyayı bir üst dizine taşı. WordPress bunu otomatik olarak tanıyacaktır. Ayrıca .htaccess ile dışarıdan erişimi kesinlikle yasakla.
Salt Keys'leri Yenile
Siten hacklendi veya bir eklenti zafiyeti oluştu diyelim. Hacker cookie (çerez) oturumlarını çalmış olabilir. Şifre değiştirsen bile oturumu açık kalabilir. Hemen `wp-config.php` içindeki Authentication Unique Keys and Salts satırlarını WordPress'in resmi API'sinden yenilerini çekerek değiştir. Bu işlem herkesin oturumunu zorla kapatır.
define('SECURE_AUTH_KEY', 'xZ*(&^%$#@!lkmjnBvCXz...');
define('LOGGED_IN_KEY', 'P(O*I&U^Y%T$R#E@W!q...');
// Tüm anahtarlar 64 karakterlik rastgele şifrelerle güncellendi.
Dosya İzinlerini (CHMOD) Kilitle
Sunucundaki dosyaların okuma, yazma ve çalıştırma izinleri hayati önem taşır. Yanlışlıkla bir dizine "777" izni verirsen, dışarıdan biri oraya shell dosyası yükleyip siteni ele geçirebilir. Kurulum sonrası klasörleri 755, dosyaları 644 yap. `wp-config.php` dosyasını ise 440 veya 400 yaparak "sadece okunabilir" hale getir.
Editör Erişimini Kapat (File Edit)
Hackerlar bir şekilde admin paneline sızarsa yapacakları ilk iş, Tema Düzenleyici üzerinden temanın `header.php` dosyasına zararlı kod eklemektir. wp-config.php dosyana `define('DISALLOW_FILE_EDIT', true);` kodunu ekleyerek WP panelinden kod düzenlemeyi tamamen kapat. Artık sadece FTP/SSH üzerinden kod değiştirilebilir.
Dizin Taramasını (Directory Indexing) Durdur
Eğer klasörlerinde boş bir `index.php` yoksa, sunucun klasör içindeki tüm dosyaları liste halinde ziyaretçiye gösterir (Index of /wp-content/uploads/). Bu, hackerların sisteminde hangi zayıf eklentileri kullandığını görmesi için açık bir davetiyedir. .htaccess dosyana `Options -Indexes` ekleyerek bu sızıntıyı anında kapat.
Veritabanı Tablo Önekini (wp_) Değiştir
WordPress varsayılan olarak veritabanı tablolarını `wp_` ön ekiyle kurar. SQL Injection (SQLi) saldırısı yapan otomatik scriptler her zaman `wp_users` veya `wp_options` tablolarını arar. Kurulum aşamasında veya sonrasında eklentilerle bunu `x9k_` gibi karmaşık bir ön eke çevirirsen, ezbere yapılan saldırıları boşa çıkarırsın.
2FA (İki Aşamalı Doğrulama) Dayatması
Şifren '123456' bile olsa, 2FA açıkken kimse içeri giremez. Tüm yöneticiler ve editörler için Google Authenticator veya benzeri bir TOTP uygulaması ile 2FA kullanmayı ZORUNLU KIL. Parola çalınsa dahi, telefonundaki 6 haneli kod olmadan saldırgan kapıda kalacaktır.
Yazar (Author) Taramasını Engelle
Sitenin sonuna `/?author=1` eklersen, sistem seni o yazarın arşiv sayfasına yönlendirir ve URL'de yazarın KULLANICI ADI yazar. Al sana bedava bilgi sızıntısı! Brute force yapacak kişi kullanıcı adını buldu bile. .htaccess veya functions.php üzerinden bu sorguları engelleyerek bilgi sızdırmayı durdur.
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
Cloudflare WAF (Nihai Kalkan)
Güvenliği sunucu içinde (WordPress eklentisiyle) sağlamak, hırsızı evin koridorunda yakalamaya benzer; zararı çoktan vermiştir. Asıl güvenlik Cloudflare gibi bir DNS düzeyinde WAF ile sağlanır. Zararlı IP'ler, botlar ve şüpheli istekler sunucuna ULAŞMADAN Cloudflare tarafından engellenmelidir. Bedava planı bile harikalar yaratır.
WP Güvenlik Skoru Hesaplayıcı
Teoriyi pratiğe dök. Sitenin güvenlik açıklarını hemen tespit et.
Uyguladığın Önlemleri Seç:
Sır Tutabilir Misin? 🤫
"Sektörün sana 'güvenlik duvarı' diye sattığı şey aslında sistem kaynaklarını tüketen hantal eklentilerden ibaret. Eklentilerle vakit kaybetme. Gerçek güç: DNS Düzeyinde Honeypot (Bal Küpü) WAF Kuralı kurmaktır."
Honeypot Mantığı Nedir?
Botlar sitene saldırmak için önce açık arar. Onlara sahte bir açık ver. Örneğin, sitemizde hiç olmayan `wp-admin.php` (dikkat: klasör değil, dosya) adında sahte bir dosya varmış gibi Cloudflare Firewall üzerinde bir kural oluştur.
Senin gerçek ziyaretçilerin bu dosyayı asla aramaz. Ama bir bot tarama yaparken bu URL'ye istek atarsa, anında yakalanır!
(http.request.uri.path contains "/wp-admin.php") or
(http.request.uri.path contains "/.env") or
(http.request.uri.path contains "/wp-config.php.bak")
Action: Block (Veya Managed Challenge)
Neden Kusursuz?
Çünkü bu istekler senin sunucuna ulaşmadan Cloudflare Edge ağında engellenir. Botlar daha senin sitenin veritabanına merhaba diyemeden banlanır. CPU harcanmaz, RAM tüketilmez. Siten kurşun geçirmez bir hayalete dönüşür.
Sıkça Sorulan Sorular (FAQ)
WordPress ücretsiz olduğu için mi güvensiz? ↓
Hayır, tam tersine. Açık kaynak olduğu için binlerce beyaz şapkalı hacker sürekli kodları denetler ve açıkları kapatır. Güvensiz olan WordPress'in çekirdeği değil, senin kurduğun 3. parti eklentiler ve yapmadığın güvenlik ayarlarıdır.
Hangi WordPress güvenlik eklentisi en iyisi? Wordfence mi Sucuri mi? ↓
İkisi de kendi alanında iyidir ancak mantıkları farklıdır. Wordfence sunucu bazlı bir Firewall sunarken, Sucuri DNS bazlı (Cloudflare mantığı) bir kalkan sunar. Benim önerim sunucunu yormamak adına Cloudflare (DNS) kullanman ve içeride sadece hafif bir denetim eklentisi (Solid Security vb.) tutmandır.
Sitem hacklendi, ilk ne yapmalıyım? ↓
Panik yapma. Önce siteyi bakım moduna al veya hosting üzerinden erişimi geçici olarak kes. Hemen veritabanı ve dosya yedeklerini indir (virüslü olsa bile). Yönetici şifrelerini, FTP, cPanel ve Veritabanı şifrelerini değiştir. Sonra Core dosyaları temiz bir kaynaktan yenile ve zararlı kod tespiti (malware scan) başlat.
DDoS saldırılarından nasıl korunurum? ↓
Eğer saldırı senin sunucuna ulaştıysa geçmiş olsun, tek yapabileceğin sunucuyu kapatmaktır. DDoS'tan korunmanın tek yolu CDN ve WAF kullanmaktır (Örn: Cloudflare). Saldırıyı DNS seviyesinde karşılayıp sunucunun IP adresini gizlemelisin.
Hosting firmasının güvenliğe etkisi nedir? ↓
Devasa bir etkisi vardır. Kötü yapılandırılmış paylaşımlı (shared) bir hostingdeyseniz, aynı sunucudaki başka bir site hacklendiğinde "Symlink Bypass" yöntemiyle sizin sitenize de sıçrayabilirler. Bu yüzden izolasyonu iyi yapılmış Litespeed/Nginx sunucular veya izole VPS'ler tercih edilmelidir.
Güncellemeleri otomatik yapmak güvenli mi? ↓
Core (Çekirdek) güncellemelerini kesinlikle otomatik yapmalısın. Ancak eklenti güncellemelerini manuel yapman daha sağlıklıdır çünkü bir eklenti güncellemesi sitenin tasarımını bozabilir. Staging (test) ortamında deneyip öyle canlı siteye almalısın.
Nulled (Kırık) tema kullanmak ne kadar riskli? ↓
%100 hacklenme garantilidir. Hiçkimse 60 dolarlık bir temayı kırıp hayrına internete koymaz. O dosyaların içine gömülmüş gizli kodlar (Backdoors), siteni diledikleri zaman kullanmak üzere hackerların kontrolüne bırakır. SEO puanın sıfırlanır, Google seni kara listeye alır.
SSL sertifikası sitenin hacklenmesini önler mi? ↓
Kesinlikle önlemez. SSL, ziyaretçinin girdiği kredi kartı veya şifrelerin yolda (Man-in-the-Middle) çalınmasını engeller. Ancak SQL Injection veya Brute Force gibi sunucuya direkt yapılan saldırıları durdurmaz. Güvenli bağlantı sağlar, hacklenmeyi engellemez.
WordPress admin dizinini (wp-admin) şifrelemek mantıklı mı? ↓
Evet, son derece mantıklıdır. cPanel üzerinden veya .htaccess ile wp-admin dizinine "Server-Level Password Protection" koyarsan, botlar WordPress login ekranını bile göremez. Bu işlem sunucu yükünü muazzam derecede azaltır.
Güvenlik sebebiyle WordPress sürümünü gizlemeli miyim? ↓
Evet. `<meta name="generator" content="WordPress 6.4" />` gibi etiketler hackerlara sitenin hangi versiyonu kullandığını söyler. Eğer eski bir versiyonsa, o versiyona ait açığı saniyeler içinde sömürürler. Tema `functions.php` dosyasından bu çıktıyı kaldırmalısın.
Sıra Sende: Harekete Geç
Siteni hackerların insafına bırakma. Güvenlik, şansa bırakılmayacak kadar değerlidir. Profesyonel destek ile SEO süreçlerini ve güvenliğini bir sonraki seviyeye taşı.
🚀 Gökhan Vatancı ile Hızlıca Görüşün