WordPress’te Güvenlik Ayarları Nasıl Yapılır?

WordPress siten varsa, yalnızca içerik üretmek yetmez.
Onu güvenliğini sağlamak da senin sorumluluğun. Yoksa sabah siteye girersin, “Merhaba ben Pakistanlı hacker” yazısıyla karşılaşırsın. 😅

Şaka bir yana, siber saldırılar otomatikleşmiş durumda ve korunmayan her site potansiyel hedef.

🔐 1. Neden WordPress Güvenliği Bu Kadar Önemli?

“Bir siteyi yapmak saatler sürer, çökmesi saniyelik iş.”

Saldırganlar:

• Ziyaretçilerine virüs bulaştırabilir

• Siteni spam içerik yaymak için kullanabilir

• Tüm verileri silebilir ya da şifreleyip fidye isteyebilir

Bu yüzden temel emniyet önlemleri şart.

🔧 2. İlk Adım: Güncellemeleri İhmal Etme

• WordPress çekirdeği

• Temalar

• Eklentiler

Tüm bu tarz şeyleri sürekli aktüel tutman gerekiyor.
Çünkü eski sürümler, açıklarıyla beraber gelir. Ve o açıklar saldırganlar için aleni kapı gibidir.

📌 Yönetim Paneli > Güncellemeler kısmından denetim edebilirsin.

🧱 3. Admin Paneline Güvenlik Kat

✳️ a) Giriş URL’sini Değiştir

• WordPress varsayılan giriş adresi: siteadi.com/wp-admin

• WPS Hide Login gibi eklentilerle bunu değiştir (örnek: /gizli-giris)

✳️ b) Güçlü Parola Kullanın

• “admin123” değil, “X9!@ks93L#wd” gibi şifreler kullan

• 2FA (iki aşamalı hüviyet doğrulama) eklentilerini değerlendirin

✳️ c) Admin Kullanıcı Adı “admin” Olmasın!

“Hackerlar ilk bunu dener, niçin işlerini kolaylaştırasın?”

🛡️ 4. Güvenlik Eklentileriyle Koruma Katmanı Ekleyin

En tanınmış WordPress emniyet eklentileri:

• Wordfence (Güçlü emniyet duvarı + giriş denemesi engelleme)

• iThemes Security (Kapsamlı ayar sihirbazı)

• All-In-One WP Security (Hem kolay hem güçlü)

Bu eklentiler sayesinde:

• Giriş denemeleri izlenir

• Dosya değişimleri takip edilir

• Brute force (şifre deneme) saldırıları engellenir

🔎 5. HTTPS Kullanın (SSL Sertifikası)

• SSL ile siteye giriş yapan kullananların verileri şifrelenir

• Google da HTTPS olmayan siteleri “Güvenli değil” diye işaretliyor

SSL sertifikasını hosting sağlayıcından alabilir ya da Let’s Encrypt gibi bedava çözümleri kullanabilirsin.

🧽 6. Gereksiz Eklenti ve Tema Kalabalığını Temizle

“Kullanmadığın eklenti, aleni kapı olabilir.”

• Aktif olmayan fakat yüklü kalan eklentileri sil

• Kullanılmayan temaları kaldır

• Tema ve eklenti indirmelerini yalnızca resmi kaynaklardan yap

🪓 7. Yedek Al, Al, Al!

Bir gün saldırıya uğrarsan, en büyük dostun yedeğin olur.

• UpdraftPlus

• BackWPup

• Jetpack Backup

Gibi eklentilerle otomatik günlük yedekleme ayarlayabilirsin.
Yedekleri değişik bir sunucuda (Google Drive, Dropbox gibi) saklaman da zekice olur.

📌 8. Dosya İzinlerini ve wp-config.php’yi Koru

• wp-config.php dosyasını kilitle

• wp-admin dizinine erişim kısıtlaması ekle (htaccess ile)

• Dosya düzenlemeyi kapat:
  define( 'DISALLOW_FILE_EDIT', true ); → wp-config.php’ye ekle

⚠️ En Sık Yapılan Güvenlik Hataları

• Tüm güvenliği yalnızca eklentiye bırakmak

• Admin hesabını “admin” olarak kullanmak

• Nulled (kırılmış) tema ve eklenti kullanmak

• Hiç yedek almamak

• Giriş denemesi sınırlamaması

• HTTPS olmadan kullanıcı girişi almak

✅ Sonuç: “Benim Sitem Küçük, Kim Ne Yapsın?” Demeyin!

Saldırganlar genelde rastgele, otomatik tarayıcılarla aleni ararlar.
Hedefin büyüklüğü değil, açık olup olmaması önemlidir.

“Bir hırsız kapıyı denemekle başlar. Kapı kilitliyse gider, açıksa girer.”

Sitenizin kapısını sağlam kapamak ve içeride yangın çıkarsa müdahale edebilmek için emniyet işlerini ertelemeyin.

💬 Eğer bu işlemler gözünüzü korkutuyorsa, sizin için İdeal emniyet yapılandırmasını ustalaşmış olarak yapabiliriz.
İletişime geçin, sitenizi beraber güvene alalım. 🛡️