Nihai WordPress Güvenlik Rehberi – Adım Adım (2025)

Tanıdığımız her WordPress sitesi sahibi, web sitelerinin bilgisayar korsanlarına karşı savunmasız olabileceğini fark ettiklerinde o panik anını yaşamıştır. Güvenlik ihlallerinin işletmelere neler yapabileceğini gördüğümüzde, bu dersi yolculuğumuzun başlarında zor yoldan öğrendik.

Bu nedenle yıllar içinde, en iyi güvenlik eklentilerini kullanarak ve WordPress güvenlik en iyi uygulamalarını izleyerek WPBeginner'ı tekrarlanan saldırılardan başarıyla koruduk.

WordPress güvenliği karmaşık veya pahalı olmak zorunda değil. Çoğu site sahibi, uzmanları işe almaları veya güvenlik araçlarına binlerce harcamaları gerektiğini düşünür, ancak bu doğru değildir. Doğru yaklaşımla ve kanıtlanmış stratejilerle, web sitenizi bizim koruduğumuz gibi koruyabilirsiniz.

Yıllarca güvenlik eklentilerini test ettik, en iyi uygulamaları uyguladık ve binlerce WordPress kullanıcısının sitelerini güvence altına almasına yardımcı olduk. Bu rehberde, sitemizi güvende tutmak için kullandığımız her adımı size göstereceğiz, böylece WordPress web sitenizin korunduğunu bilerek huzur içinde uyuyabilirsiniz.

WordPress çekirdek yazılımı çok güvenli ve yüzlerce geliştirici tarafından düzenli olarak denetlenirken, sitenizi güvende tutmak için hala yapılması gereken çok şey var.

WPBeginner olarak güvenliğin sadece risk ortadan kaldırmak olmadığını düşünüyoruz. Aynı zamanda risk azaltmaktır. Bir web sitesi sahibi olarak, teknoloji konusunda bilgili olmasanız bile WordPress güvenliğinizi iyileştirmek için yapabileceğiniz çok şey var.

Bu nedenle, web sitenizi güvenlik açıklarına karşı korumak için atabileceğiniz eyleme geçirilebilir adımlardan oluşan bir WordPress güvenlik kontrol listesi hazırladık.

Kolaylaştırmak için, kapsamlı WordPress güvenlik kılavuzumuzda kolayca gezinmenize yardımcı olacak bir içindekiler tablosu oluşturduk.

İçindekiler Tablosu

WordPress Güvenliğinin Temelleri

• WordPress Güvenliği Neden Önemlidir
• WordPress'i Güncel Tutun
• Güçlü Parolalar ve Kullanıcı İzinleri Kullanın
• WordPress Barındırmanın Rolünü Anlayın

WordPress Güvenliği Kolay Adımlarla (Kodlama Yok)

• Bir WordPress Yedekleme Çözümü Kurun
• Saygın Bir WordPress Güvenlik Eklentisi Yükleyin
• Bir Web Uygulaması Güvenlik Duvarı (WAF) Etkinleştirin
• WordPress Sitenizi SSL/HTTPS'ye Taşıyın

WordPress Güvenliği Kendin Yap Kullanıcıları İçin

• Varsayılan Yönetici Kullanıcı Adını Değiştirin
• Dosya Düzenlemeyi Devre Dışı Bırak
• Belirli WordPress Dizinlerinde PHP Dosya Yürütmesini Devre Dışı Bırakın
• Giriş Denemelerini Sınırla
• İki Faktörlü Kimlik Doğrulama (2FA) Ekle
• WordPress Veritabanı Önekini Değiştirin
• WordPress Yönetici ve Giriş Sayfasını Parola ile Koru
• Dizin İndekslemeyi ve Gözatmeyi Devre Dışı Bırakın
• WordPress'te XML-RPC'yi devre dışı bırakın
• WordPress'te Boşta Kalan Kullanıcıları Otomatik Olarak Oturumdan Çıkarın
• WordPress Oturum Açma Ekranına Güvenlik Soruları Ekle
• WordPress'i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tara
• Hacklenmiş Bir WordPress Sitesini Onarın

Hazır mısınız? Başlayalım.

Web Sitesi Güvenliği Neden Önemlidir

Hacklenmiş bir WordPress web sitesi, işletmenizin gelirine ve itibarına ciddi zararlar verebilir. Hackerlar kullanıcı bilgilerini ve şifrelerini çalabilir, kötü amaçlı yazılımlar yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

En kötüsü, web sitenize erişimi yeniden kazanmak için bilgisayar korsanlarına fidye ödemek zorunda kalabilirsiniz.

Google her gün 12-14 milyon kullanıcıyı, ziyaret etmeye çalıştıkları bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgileri çalabileceği konusunda uyarıyor.

Ayrıca, Google, her gün yaklaşık 10.000'den fazla web sitesini kötü amaçlı yazılım veya kimlik avı nedeniyle kara listeye alıyor.

Fiziksel bir mekana sahip işletme sahipleri mülklerini güvence altına almaktan sorumlu olduğu gibi, çevrimiçi işletme sahiplerinin de WordPress güvenliklerine ekstra dikkat etmeleri gerekir.

[Yukarı Dön ↑]

WordPress'i Güncel Tutun

WordPress açık kaynaklı bir yazılımdır ve düzenli olarak bakımı yapılır ve güncellenir. Varsayılan olarak WordPress, küçük güncellemeleri otomatik olarak yükler.

Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, üçüncü taraf geliştiriciler tarafından yönetilir ve düzenli olarak güncellemeler yayınlarlar.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve kararlılığı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

[Yukarı Dön ↑]

Güçlü Parolalar ve Kullanıcı İzinleri Kullanın

En yaygın WordPress hackleme girişimleri çalınan şifreleri kullanır. Ancak, web siteniz için daha güçlü, benzersiz şifreler kullanarak bunu zorlaştırabilirsiniz.

Sadece WordPress yönetici alanından bahsetmiyoruz. FTP hesaplarınız, veritabanlarınız, WordPress barındırma hesaplarınız ve sitenizin alan adını kullanan özel e-posta adresleriniz için güçlü parolalar oluşturmayı unutmayın.

Birçok yeni başlayan kişi, hatırlaması zor olduğu için güçlü parolalar kullanmaktan hoşlanmaz. İyi haber şu ki, artık parolaları hatırlamanıza gerek yok çünkü bir parola yöneticisi kullanabilirsiniz.

WordPress şifrelerini nasıl yöneteceğiniz hakkında daha fazla bilgi için WordPress şifrelerini yönetme kılavuzumuza bakın.

Riski azaltmanın bir başka yolu da, kesinlikle gerekmedikçe kimseye WordPress yönetici hesabınıza erişim vermemektir.

Büyük bir ekibiniz veya misafir yazarlarınız varsa, yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress'teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun.

[Yukarı Dön ↑]

WordPress Barındırmanın Rolünü Anlayın

WordPress hosting hizmetiniz, WordPress sitenizin güvenliğinde en önemli rolü oynar. WordPress hosting hizmetiniz, WordPress sitenizin güvenliğinde en önemli rolü oynar. Paylaşımlı hosting sağlayıcısı olarak Hostinger, Bluehost veya SiteGround gibi iyi bir sağlayıcı, sunucularını yaygın tehditlere karşı korumak için ek önlemler alır.

İşte iyi web barındırma şirketlerinin web sitelerinizi ve verilerinizi korumak için arka planda çalıştığı birkaç yol:

• Ağlarını şüpheli etkinliklere karşı sürekli olarak izlerler.
• Tüm iyi barındırma şirketleri, büyük ölçekli DDoS saldırılarını önlemek için araçlara sahiptir.
• Sunucu yazılımlarını, PHP sürümlerini ve donanımlarını güncel tutarak, eski bir sürümdeki bilinen bir güvenlik açığından yararlanarak bilgisayar korsanlarının sisteme sızmasını engellerler.
• Büyük bir kaza durumunda verilerinizi korumalarına olanak tanıyan, kullanıma hazır felaket kurtarma ve kaza planlarına sahiptirler.

Paylaşılan bir hosting planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bir hacker'ın komşu bir siteyi kullanarak web sitenize saldırmasıyla çapraz site bulaşma riski vardır.

Buna karşılık, yönetilen WordPress barındırma hizmeti kullanmak, web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar.

Tercih ettiğimiz yönetilen WordPress barındırma sağlayıcısı olarak SiteGround'u öneriyoruz. Duyarlı destek, hızlı sunucular ve mükemmel güvenilirlik sunuyorlar.

Özel SiteGround kuponumuzu kullanarak en iyi anlaşmayı elde ettiğinizden emin olun.

[Yukarı Dön ↑]

Birkaç Kolay Adımda WordPress Güvenliği (Kodlama Gerektirmez)

WordPress güvenliğini iyileştirmenin, özellikle teknoloji meraklısı değilseniz, yeni başlayanlar için korkutucu bir düşünce olabileceğini biliyoruz. Tahmin edin ne oldu - yalnız değilsiniz.

Binlerce WordPress kullanıcısının WordPress güvenliğini güçlendirmelerine yardımcı olduk.

WordPress güvenliğinizi yalnızca birkaç tıklamayla (kodlama gerektirmez) nasıl geliştirebileceğinizi göstereceğiz.

İşaretleyip tıklayabiliyorsanız, bunu yapabilirsiniz!

1. Bir WordPress Yedekleme Çözümü Kurun

Yedeklemeler, herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey %100 güvenli değildir. Hükümet web siteleri hacklenebiliyorsa, sizinki de hacklenebilir.

Yedeklemeler, bir şeyler ters giderse WordPress sitenizi hızla geri yüklemenize olanak tanır.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi bulunmaktadır. Yedeklemeler söz konusu olduğunda bilmeniz gereken en önemli şey, düzenli olarak tam site yedeklerini uzak bir konuma (hosting hesabınıza değil) kaydetmeniz gerektiğidir.

Bunu Amazon, Dropbox gibi bir bulut hizmetinde veya Stash gibi özel bulutlarda saklamanızı öneririz.

Web sitenizi ne sıklıkla güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.

Neyse ki bu, Duplicator, UpdraftPlus veya BlogVault gibi eklentiler kullanılarak kolayca yapılabilir. Her ikisi de güvenilirdir ve en önemlisi kullanımı kolaydır (kodlama gerekmez).

Daha fazla ayrıntı için, WordPress web sitenizi nasıl yedekleyeceğiniz hakkındaki kılavuzumuza bakın.

[Yukarı Dön ↑]

Saygın Bir WordPress Güvenlik Eklentisi Yükleyin

Yedeklemelerden sonra yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi takip eden bir denetim ve izleme sistemi kurmaktır.

Bu, dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması ve daha fazlasını içerir.

Neyse ki, bunu en iyi WordPress güvenlik eklentilerinden birini, örneğin Sucuri'yi yükleyerek kolayca halledebilirsiniz.

ücretsiz Sucuri Security eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için lütfen bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın.

Şimdi, eklentinin WordPress kodunuzla ilgili acil sorunlar bulup bulmadığını görmek için Sucuri Security » Dashboard bölümüne gidebilirsiniz.

Yapmanız gereken bir sonraki şey Sucuri Security » Settings sayfasına gitmek ve 'Hardening' sekmesine tıklamaktır.

Varsayılan ayarlar çoğu web sitesi için iyi çalışır, bu nedenle her seçenek için 'Sertleştirme Uygula' düğmesine tıklayarak bunları etkinleştirebilirsiniz.

Bu, bilgisayar korsanlarının saldırılarında sıkça kullandığı kilit alanları kilitlemenize yardımcı olur.

Sertleştirme işleminden sonra, eklentinin diğer varsayılan ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişikliğe gerek duymaz.

Özelleştirmenizi önerdiğimiz tek şey, ayarlar sayfasındaki 'Uyarılar' sekmesinde bulabileceğiniz e-posta uyarılarıdır.

Varsayılan olarak, gelen kutunuzu doldurabilecek çok sayıda e-posta uyarısı alırsınız.

Yalnızca bildirim almak istediğiniz temel eylemler için uyarıları etkinleştirmenizi öneririz; örneğin eklenti değişiklikleri ve yeni kullanıcı kayıtları gibi.

Bu WordPress güvenlik eklentisi çok güçlüdür, bu nedenle kötü amaçlı yazılım taraması, denetim günlükleri, başarısız giriş denemesi takibi ve daha fazlası gibi tüm özelliklerini görmek için tüm sekmelere ve ayarlara göz atın.

Daha fazla bilgi için, ayrıntılı Sucuri incelememize bakabilirsiniz.

Bir Web Uygulaması Güvenlik Duvarı (WAF) Etkinleştirin

Bir web uygulama güvenlik duvarı (WAF) kullanmak, sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yoludur.

Bir web sitesi güvenlik duvarı, tüm kötü amaçlı trafiği web sitenize ulaşmadan engeller.

• DNS düzeyinde bir web sitesi güvenlik duvarı, web sitenizin trafiğini bulut proxy sunucuları üzerinden yönlendirir. Bu, yalnızca gerçek trafiğin web sunucunuza gönderilmesini sağlar.
• Bir uygulama düzeyinde güvenlik duvarı, trafik sunucunuza ulaşmadan ancak çoğu WordPress betiği yüklenmeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyinde güvenlik duvarı kadar verimli değildir.

Daha fazla bilgi edinmek için en iyi WordPress güvenlik duvarı eklentileri listemize bakın.

WPBeginner'da uzun yıllar boyunca Sucuri kullandık ve hala WordPress için en iyi web uygulama güvenlik duvarlarından biri olarak tavsiye ediyoruz. Yakın zamanda, daha çok kurumsal müşterilere odaklanan özelliklere sahip daha büyük bir CDN ağına ihtiyacımız olduğu için Sucuri'den Cloudflare'a geçtik.

Bir ayda 450.000 WordPress saldırısını nasıl engellediğimizi anlatan Sucuri'nin bize nasıl yardımcı olduğunu okuyabilirsiniz.

Sucuri güvenlik duvarının en iyi yanı, aynı zamanda kötü amaçlı yazılım temizleme ve kara liste kaldırma garantisiyle birlikte gelmesidir. Bu, onların gözetimi altında hacklenmeniz durumunda, web sitenizi kaç sayfanız olursa olsun düzeltmeyi garanti ettikleri anlamına gelir.

Bu oldukça güçlü bir garanti çünkü hacklenmiş web sitelerini onarmak pahalıdır. Güvenlik uzmanları normalde saat başına 250$'dan fazla ücret talep ederken, tüm Sucuri güvenlik yığınını bir yıl boyunca 199$'a alabilirsiniz.

Bununla birlikte, Sucuri piyasadaki tek DNS düzeyinde güvenlik duvarı sağlayıcısı değil. Diğer popüler rakip Cloudflare'dir. Sucuri ve Cloudflare (Artıları ve Eksileri) karşılaştırmamıza bakın.

[Yukarı Dön ↑]

WordPress Sitenizi SSL/HTTPS'ye Taşıyın

SSL (Secure Sockets Layer), web siteniz ve kullanıcının tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birinin etrafta dolaşıp bilgi çalmasını zorlaştırır.

SSL'yi etkinleştirdikten sonra, web sitenizin adresi HTTP yerine HTTPS kullanacaktır. Ayrıca tarayıcıdaki web sitenizin adresinin yanında bir asma kilit veya benzeri bir simge de göreceksiniz.

SSL sertifikaları genellikle sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 dolardan yüzlerce dolara kadar başlar. Ek maliyet nedeniyle, geçmişte web sitesi sahiplerinin çoğu güvensiz protokolü kullanmaya devam etmeyi seçti.

Bunu düzeltmek için Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş, web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından destekleniyor.

Tüm WordPress web siteleriniz için SSL kullanmaya başlamak her zamankinden daha kolay. Birçok barındırma şirketi artık WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor.

Barındırma şirketiniz bir tane sunmuyorsa, Domain.com adresinden bir SSL sertifikası satın alabilirsiniz. Pazardaki en iyi ve en güvenilir SSL fırsatlarına sahipler. Sertifika, 10.000 $ güvenlik garantisi ve bir TrustLogo güvenlik mührü ile birlikte gelir.

WordPress Güvenliği Kendin Yap Kullanıcıları İçin

Şu ana kadar bahsettiğimiz her şeyi yaparsanız, oldukça iyi bir durumda olursunuz.

Ancak her zaman olduğu gibi, WordPress güvenliğinizi daha da güçlendirmek için yapabileceğiniz daha çok şey var.

Bu adımlardan bazılarının kodlama bilgisi gerektirebileceğini unutmayın.

Varsayılan Yönetici Kullanıcı Adını Değiştirin

Eski zamanlarda, varsayılan WordPress yönetici kullanıcı adı 'admin' idi. Kullanıcı adları, oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bu durum bilgisayar korsanlarının kaba kuvvet saldırıları yapmasını kolaylaştırıyordu.

Neyse ki, WordPress o zamandan beri bunu değiştirdi ve artık WordPress kurarken özel bir kullanıcı adı seçmenizi gerektiriyor.

Ancak, bazı tek tıklamayla WordPress yükleyicileri hala varsayılan yönetici kullanıcı adını 'admin' olarak ayarlamaktadır. Durumun böyle olduğunu fark ederseniz, web barındırmanızı değiştirmek iyi bir fikir olabilir.

WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediği için, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.

1. Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
2. Kullanıcı Adı Değiştirici eklentisini kullanın
3. phpMyAdmin'dan kullanıcı adını güncelle

Bu üçünü de ayrıntılı rehberimizde ele aldık: WordPress kullanıcı adınızı doğru bir şekilde nasıl değiştireceğiniz.

[Yukarı Dön ↑]

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetim alanınızdan düzenlemenize olanak tanıyan yerleşik bir kod düzenleyici ile birlikte gelir.

Yanlış ellere geçtiğinde, bu özellik bir güvenlik riski oluşturabilir, bu nedenle kapatmanızı öneririz.

Bunu, aşağıdaki kodu wp-config.php dosyanıza ekleyerek veya (önerilen) WPCode gibi bir kod parçacığı eklentisiyle kolayca yapabilirsiniz.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

WordPress yönetici panelinden tema ve eklenti düzenleyicilerini nasıl devre dışı bırakacağınız konusunda rehberimizde adım adım bunu nasıl yapacağınızı gösteriyoruz.

Alternatif olarak, yukarıda bahsedilen ücretsiz Sucuri eklentisindeki Güçlendirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.

[Yukarı Dön ↑]

Belirli WordPress Dizinlerinde PHP Dosya Yürütmesini Devre Dışı Bırakın

WordPress güvenliğinizi güçlendirmenin bir başka yolu, PHP dosya yürütmesini gerekmeyen dizinlerde, örneğin /wp-content/uploads/ dizininde devre dışı bırakmaktır.

Bunu Not Defteri gibi bir metin düzenleyici açıp bu kodu yapıştırarak yapabilirsiniz:

<Files *.php>
deny from all
</Files>

Ardından, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörüne yüklemeniz gerekir.

Daha ayrıntılı bir açıklama için, belirli WordPress dizinlerinde PHP yürütülmesini nasıl devre dışı bırakacağınız konusundaki kılavuzumuza bakın.

Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Güçlendirme (Hardening) özelliğini kullanarak bunu tek bir tıklamayla yapabilirsiniz.

[Yukarı Dön ↑]

Giriş Denemelerini Sınırla

Varsayılan olarak WordPress, kullanıcıların istedikleri kadar çok kez giriş yapmaya çalışmasına izin verir. Bu, WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Burası, bilgisayar korsanlarının farklı kombinasyonlarla giriş yapmaya çalışarak şifreleri kırmaya çalıştığı yerdir.

Bu, bir kullanıcının yapabileceği başarısız oturum açma denemelerini sınırlayarak kolayca düzeltilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

Ancak, güvenlik duvarınız kurulu değilse, aşağıdaki adımları izleyerek devam edebilirsiniz.

Öncelikle, ücretsiz Limit Login Attempts Reloaded eklentisini yükleyip etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın.

Etkinleştirildiğinde, eklenti kullanıcıların yapabileceği oturum açma denemesi sayısını sınırlamaya başlayacaktır.

Varsayılan ayarlar çoğu web sitesi için işe yarayacaktır. Ancak, Ayarlar » Giriş Denemelerini Sınırla sayfasını ziyaret ederek ve üstteki 'Ayarlar' sekmesine tıklayarak bunları özelleştirebilirsiniz. Örneğin, GDPR yasalarına uymak için 'GDPR uyumluluğu' onay kutusuna tıklayabilirsiniz.

Ayrıntılı talimatlar için, WordPress'te giriş denemelerini nasıl ve neden sınırlamanız gerektiği hakkındaki rehberimize göz atın.

[Yukarı Dön ↑]

İki Faktörlü Kimlik Doğrulama (2FA) Ekle

İki faktörlü kimlik doğrulama yöntemi, kullanıcıların oturum açması için 2 farklı adım gerektirir:

1. İlk adım kullanıcı adı ve şifredir.
2. İkinci adım, bilgisayar korsanlarının erişemeyeceği, örneğin akıllı telefonunuz gibi sahip olduğunuz bir cihazdan veya uygulamadan bir kod kullanmanızı gerektirir.

Google, Facebook ve Twitter gibi çoğu üst düzey çevrimiçi web sitesi, hesaplarınız için etkinleştirmenize olanak tanır. Aynı işlevselliği WordPress sitenize de ekleyebilirsiniz.

Öncelikle, WP 2FA – İki Faktörlü Kimlik Doğrulama eklentisini yükleyip etkinleştirmeniz gerekir. Daha fazla ayrıntı için, WordPress eklentisinin nasıl kurulacağına dair adım adım kılavuzumuza bakın.

Kullanıcı dostu bir sihirbaz, eklentiyi kurmanıza yardımcı olacak ve ardından size bir QR kodu verilecektir.

QR kodunu telefonunuzdaki Google Authenticator, Authy veya LastPass Authenticator gibi bir kimlik doğrulama uygulaması kullanarak taramanız gerekecektir.

Telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon almanız durumunda çok kullanışlı olacağından, hesaplarınızı buluta yedeklemenize izin verdikleri için LastPass Authenticator veya Authy kullanmanızı öneririz. Tüm hesap girişleriniz kolayca geri yüklenecektir.

Bu uygulamaların çoğu benzer şekilde çalışır ve Authy kullanıyorsanız, kimlik doğrulama uygulamasındaki '+' veya 'Hesap ekle' düğmesine tıklamanız yeterlidir.

Bu, telefonunuzun kamerasını kullanarak bilgisayarınızdaki QR kodunu taramanıza olanak tanır. Uygulamaya önce kameraya erişim izni vermeniz gerekebilir.

Hesaba bir isim verdikten sonra kaydedebilirsiniz.

Bir dahaki sefere web sitenize giriş yaptığınızda, şifrenizi girdikten sonra iki faktörlü kimlik doğrulama kodu istenecektir.

Telefonunuzdaki kimlik doğrulama uygulamasını açmanız yeterlidir; tek kullanımlık bir kod göreceksiniz.

Ardından web sitenize kodu girerek oturum açma işlemini tamamlayabilirsiniz.

[Yukarı Dön ↑]

WordPress Veritabanı Önekini Değiştirin

Varsayılan olarak WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır.

WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızı tahmin etmesini kolaylaştırır. Bu nedenle değiştirmeyi öneriyoruz.

Veritabanı önekini, güvenliği artırmak için WordPress veritabanı önekini nasıl değiştireceğiniz hakkındaki adım adım eğitimimizi izleyerek değiştirebilirsiniz.

[Yukarı Dön ↑]

WordPress Yönetici ve Giriş Sayfasını Parola ile Koru

Normalde, bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmaksızın isteyebilir. Bu, hackleme numaralarını denemelerine veya DDoS saldırıları çalıştırmalarına olanak tanır.

İstekleri etkili bir şekilde engelleyecek ek bir parola korumasını sunucu düzeyinde ekleyebilirsiniz.

WordPress yönetici (wp-admin) dizininizi parola ile nasıl koruyacağınız konusundaki adım adım talimatlarımızı izlemeniz yeterlidir.

[Yukarı Dön ↑]

Dizin İndekslemeyi ve Gözatmeyi Devre Dışı Bırakın

Web tarayıcınıza web sitenizin klasörlerinden birinin adresini yazdığınızda, eğer varsa index.html adlı web sayfası gösterilir. Eğer yoksa, bunun yerine o klasördeki dosyaların bir listesi gösterilir. Bu, dizin taraması olarak bilinir.

Dizin taraması, bilgisayar korsanları tarafından bilinen güvenlik açıkları olan dosyalarınız olup olmadığını öğrenmek için kullanılabilir, böylece bu dosyalardan yararlanarak erişim sağlayabilirler.

Dizin tarama, diğer kişiler tarafından dosyalarınıza bakmak, resimleri kopyalamak, dizin yapınızı ve diğer bilgileri öğrenmek için de kullanılabilir. Bu nedenle dizin indekslemeyi ve taramayı kapatmanız şiddetle tavsiye edilir.

FTP veya barındırma sağlayıcınızın dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin kök dizinindeki .htaccess dosyasını bulun. Orada göremiyorsanız, WordPress'te .htaccess dosyasını neden göremediğinize dair rehberimize bakın.

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Options -Indexes

.htaccess dosyasını kaydedip sitenize geri yüklemeyi unutmayın.

Bu konu hakkında daha fazla bilgi için, WordPress'te dizin göz atmanın nasıl devre dışı bırakılacağı hakkındaki makalemize bakın.

[Yukarı Dön ↑]

WordPress'te XML-RPC'yi devre dışı bırakın

XML-RPC, WordPress sitenizi web ve mobil uygulamalarla bağlamaya yardımcı olan temel bir WordPress API'sidir. WordPress 3.5'ten bu yana varsayılan olarak etkinleştirilmiştir.

Ancak, güçlü doğası gereği XML-RPC, kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, bir bilgisayar korsanı geleneksel olarak web sitenizde 500 farklı şifreyi denemek isteseydi, 500 ayrı oturum açma denemesi yapması gerekirdi. Limit Login Attempts Reloaded eklentisi bunu yakalayabilir ve engelleyebilir.

Ancak XML-RPC ile bir bilgisayar korsanı, 20 veya 50 istek ile binlerce parolayı denemek için system.multicall işlevini kullanabilir.

Bu nedenle, eğer XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

XML-RPC'yi WordPress'te devre dışı bırakmanın 3 yolu vardır ve bunların hepsini WordPress'te XML-RPC'yi devre dışı bırakma hakkındaki adım adım eğitimimizde ele aldık.

Alternatif olarak, daha önce bahsettiğimiz bir web uygulama güvenlik duvarı (WAF) kullanıyorsanız bu otomatik olarak halledilir.

[Yukarı Dön ↑]

WordPress'te Boşta Kalan Kullanıcıları Otomatik Olarak Oturumdan Çıkarın

Oturum açmış kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Biri oturumlarını ele geçirebilir, şifreleri değiştirebilir veya hesaplarında değişiklik yapabilir.

Bu nedenle birçok bankacılık ve finans sitesi, hareketsiz bir kullanıcıyı otomatik olarak oturumdan çıkarır. WordPress sitenizde de benzer bir işlevsellik ayarlayabilirsiniz.

Inactive Logout eklentisini yükleyip etkinleştirmeniz gerekecek. Etkinleştirdikten sonra, oturum kapatma ayarlarını özelleştirmek için Ayarlar » Inactive Logout sayfasına gidin.

Süre süresini ayarlayın ve bir çıkış mesajı ekleyin. Ardından, ayarlarınızı kaydetmek için sayfanın altındaki 'Değişiklikleri Kaydet' düğmesine tıklamayı unutmayın.

Adım adım talimatlar için, WordPress'te boşta kalan kullanıcıları otomatik olarak nasıl oturum kapatacağınız konusundaki rehberimize bakın: WordPress'te boşta kalan kullanıcıları otomatik olarak oturumu kapatma.

[Yukarı Dön ↑]

WordPress Oturum Açma Ekranına Güvenlik Soruları Ekleyin

WordPress oturum açma ekranınıza bir güvenlik sorusu eklemek, yetkisiz erişimi daha da zorlaştırır.

İki Faktörlü Kimlik Doğrulama eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz. Etkinleştirdikten sonra, eklentinin ayarlarını yapılandırmak için Çok Faktörlü Kimlik Doğrulama » İki Faktörlü sayfasını ziyaret etmeniz gerekir.

Bu, güvenlik soruları da dahil olmak üzere sitenize çeşitli iki faktörlü kimlik doğrulama türleri eklemenizi sağlayacaktır.

Daha ayrıntılı talimatlar için, WordPress giriş ekranına güvenlik soruları ekleme hakkındaki eğitimimize bakın.

[Yukarı Dön ↑]

WordPress'i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tara

Yüklü bir WordPress güvenlik eklentiniz varsa, bu eklenti düzenli olarak kötü amaçlı yazılım ve güvenlik ihlali belirtilerini kontrol edecektir.

Ancak, web sitesi trafiğinde veya arama sıralamalarında ani bir düşüş görürseniz, manuel olarak kötü amaçlı yazılım taraması yapmak isteyebilirsiniz. Bunu WordPress güvenlik eklentinizi veya en iyi kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanarak yapabilirsiniz.

Bu çevrimiçi taramaları çalıştırmak oldukça basittir. Sadece web sitenizin URL'sini girersiniz ve tarayıcıları bilinen kötü amaçlı yazılımları ve zararlı kodları aramak için web sitenizi tarar.

Şimdi, çoğu WordPress güvenlik tarayıcısının yalnızca sitenizde kötü amaçlı yazılım olup olmadığını bildirebileceğini unutmayın. Kötü amaçlı yazılımı kaldıramazlar veya hacklenmiş bir WordPress sitesini temizleyemezler.

Bu bizi bir sonraki bölüme getiriyor: kötü amaçlı yazılımları ve hacklenmiş WordPress sitelerini temizleme.

[Yukarı Dön ↑]

Hacklenmiş Bir WordPress Sitesini Onarın

Birçok WordPress kullanıcısı, web siteleri hacklenene kadar yedeklemelerin ve web sitesi güvenliğinin önemini fark etmez.

Hackerlar etkilenen sitelere arka kapılar kurar ve bu arka kapılar düzgün bir şekilde düzeltilmezse, web siteniz muhtemelen tekrar hacklenecektir.

Maceracı ve kendi başına yapmayı seven kullanıcılar için, hacklenmiş bir WordPress sitesini düzeltme konusunda adım adım bir rehber hazırladık.

Ancak, bir WordPress sitesini temizlemek çok zor ve zaman alıcı olabilir. Tavsiyemiz, profesyonel birinin bu işle ilgilenmesine izin vermenizdir.

Yukarıda bahsettiğimiz Sucuri güvenlik eklentisini kullanmak için ödeme yapıyorsanız, hacklenmiş site onarımı fiyata dahildir.

Aksi takdirde, en iyi WordPress destek ajansları önerilerimize göz atarak hacklenen sitenizi sizin için düzeltebilecek profesyonelleri bulabilirsiniz.

[Yukarı Dön ↑]

WordPress Güvenliği Hakkında Sıkça Sorulan Sorular

WordPress güvenliği çok önemli olduğu için, bu konuda düzenli olarak sorular alıyoruz. WordPress web sitelerini saldırılardan güvende tutmakla ilgili sık sorulan soruların yanıtları burada.

WordPress Kullanmak Güvenli midir?

WordPress, özellikle düzenli olarak güncel tutulduğunda güvenli olacak şekilde tasarlanmıştır. Ancak, çok popüler olduğu için bilgisayar korsanları genellikle WordPress web sitelerini hedef alır.

Ancak endişelenmeyin. Bu makaledeki gibi basit güvenlik ipuçlarını izleyerek, birinin web sitenizi hackleme olasılığını büyük ölçüde azaltabilirsiniz.

WordPress Sitenizi Neler Risk Altına Atabilir?

Hacker'ların web sitelerine erişim sağlamak için kullandığı farklı yöntemler vardır. Yaygın tehditler arasında şifreleri tahmin etmek, zararlı yazılım (malware) yüklemek ve web sitenizin kodundaki zayıflıkları bularak bilgi çalmak veya kontrolü ele geçirmek yer alır.

WordPress Sitenizi Ne Sıklıkla Güncellemelisiniz?

WordPress web sitenizi, temalarınızı ve eklentilerinizi güncel tutmak çok önemlidir. Yeni güncellemeler genellikle güvenlik sorunları için düzeltmeler içerir. otomatik güncellemeleri kullanmaya çalışın veya en az haftada bir kendiniz güncellemeleri kontrol edin ve bunları hızla yükleyin.

Güvenlik İçin Özel Bir Eklentiye İhtiyacım Var mı?

Bir güvenlik eklentisi kullanmak zorunda değilsiniz, ancak web sitenizi çok daha güvenli hale getirebilirler. Güvenlik eklentileri, sizi bilgisayar korsanlarından ve kötü amaçlı yazılımlardan koruyarak web siteniz için ek korumalar gibi davranır.

Web Sitemin Hacklenip Hacklenmediğini Nasıl Anlarım?

Web sitenizde garip şeyler oluyorsa, hacklendiğinizin bir işareti olabilir. Buna, oluşturmadığınız yeni kullanıcılar veya dosyalar görmeniz, web sitenizin ziyaretçileri farklı web sitelerine yönlendirmesi, web sitenizin yavaş çalışması veya Google'dan ya da web barındırma sağlayıcınızdan uyarılar almanız dahil olabilir.

Web Sitem Hacklenirse Ne Yapmalıyım?

Web sitenizin hacklendiğini düşünüyorsanız panik yapmayın, ancak hızlı hareket edin. Web barındırma şirketinizle iletişime geçebilir ve yardım isteyebilirsiniz. Ayrıca bir güvenlik eklentisi kullanabilir veya web sitenizi temizlemesi için bir güvenlik uzmanından yardım alabilirsiniz.

Web sitenizin yedeği varsa, o yedekten geri yükleyin. WordPress yönetici alanınız, veritabanınız ve FTP için olanlar dahil olmak üzere tüm şifrelerinizi değiştirdiğinizden emin olun.

Bu makalenin web sitenizi korumak için en iyi uygulamaları ve önerdiğimiz WordPress güvenlik kontrol listesini öğrenmenize yardımcı olduğunu umuyoruz. Ayrıca WordPress sitelerinin hacklenmesinin en iyi nedenleri ve en iyi WordPress güvenlik eklentileri hakkındaki uzman seçimlerimize de bakmak isteyebilirsiniz.

Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi ayrıca Twitter ve Facebook'ta da bulabilirsiniz.