WordPress Açıkları ve Korunma

WordPress açıkları ve korunma, web sitenizin hackerlardan (kötü niyetli kişilerden) ve zararlı saldırılardan korunması için almanız gereken önlemleri kapsar. WordPress, dünyanın en popüler web sitesi sistemi olduğu için ne yazık ki kötü niyetli kişilerin de en çok hedef aldığı platformdur. Bunu, popüler bir mahalledeki evlerin hırsızlar tarafından daha fazla gözetlenmesine benzetebilirsiniz. Araştırmalar gösteriyor ki, her gün yaklaşık 90.000 WordPress sitesi saldırıya uğruyor ve bunların büyük çoğunluğu basit güvenlik önlemleri alınmadığı için başarılı oluyor. Yani tehlike gerçek, ama iyi haber şu ki kendinizi korumak düşündüğünüzden çok daha kolay.

Web siteniz saldırıya uğradığında neler olabilir? En hafifinden, sitenize reklamlar eklenebilir, siteniz yavaşlayabilir ya da spam mesajlar göndermek için kullanılabilir. Daha ciddi durumlarda, siteniz tamamen kilitlenebilir ve fidye istenilebilir, müşteri bilgileriniz çalınabilir, Google sizi “tehlikeli site” olarak işaretleyip arama sonuçlarından kaldırabilir. Bu sadece teknik bir sorun değil, aynı zamanda işinizin itibarını ve müşteri güvenini de kaybetmenize yol açar. İyi haber şu ki, bu rehberde anlatacağımız basit adımları izleyerek kendinizi %95 oranında koruyabilirsiniz.

WordPress güvenliği karmaşık bir konu gibi görünse de, aslında evinizin güvenliğini sağlamaya benzer basit önlemlerden oluşur. Kapınıza sağlam bir kilit takmak, alarm sistemi kurmak, pencereleri kontrol etmek gibi. WordPress’te de benzer şekilde: güçlü şifreler kullanmak, güncellemeleri yapmak, güvenilir eklentiler seçmek ve düzenli yedek almak gibi temel adımlar, sizi büyük risklere karşı korur. Teknik bilginiz olmasa bile, bu rehberdeki her adımı rahatlıkla uygulayabilirsiniz.

WordPress’in En Yaygın Güvenlik Zafiyetleri

Zayıf şifreler, WordPress sitelerinin saldırıya uğramasının bir numaralı nedenidir. Birçok kişi “123456”, “sifre123” veya kendi adını şifre olarak kullanır. Kötü niyetli yazılımlar (botlar) saniyede binlerce şifre denemesi yaparak bu basit şifreleri kolayca kırar. Düşünün ki evinizin kapısına çok ucuz ve kolay kırılan bir kilit taktınız; hırsızların işi ne kadar kolaylaşır değil mi? Şifrenizin en az 12 karakter uzunluğunda olması, büyük-küçük harf, rakam ve özel karakterler içermesi gerekir. “Wp2024!Site@Guvenli” gibi bir şifre, “sifre123″ten çok daha güvenlidir.

Güncellenmeyen WordPress, tema ve eklentiler, açık kapı bırakmak gibidir. Her güncelleme, bulunan güvenlik açıklarını kapatır. Eski versiyonlar kullandığınızda, bu açıklar biliniyor ve kötü niyetli kişiler bunları kullanarak sitenize girebiliyor. Bunu, evinizin kilidinde bilinen bir kusur olduğunu düşünün ve siz hala o kilidi değiştirmediniz. WordPress, temalar ve eklentiler için düzenli güncelleme bildirimleri gönderir; bunları görmezden gelmek büyük risktir.

Güvenilmeyen eklentiler ve temalar, sitenize virüs bulaştırmak gibidir. İnternetten ücretsiz olarak indirdiğiniz (özellikle korsanlanmış/nulled) temalar ve eklentiler, içinde gizli zararlı kodlar taşıyabilir. Bu kodlar, sitenize arka kapıdan giriş sağlar. Bunu, tanımadığınız birinden USB bellek alıp bilgisayarınıza takmak gibi düşünün. Sadece güvenilir kaynaklardan (WordPress.org, tanınmış marketler) eklenti ve tema indirmelisiniz.

Dosya yükleme zafiyetleri, genellikle iletişim formları veya yorum bölümlerinde ortaya çıkar. Kötü niyetli kişiler, zararlı dosyaları (PHP script’leri) sitenize yükleyerek kontrolü ele geçirmeye çalışır. Güvenlik önlemi alınmamış bir dosya yükleme formu, evinizin penceresini açık bırakmak gibidir.

Temel Güvenlik Önlemleri

Güçlü şifre oluşturma ve yönetimi, güvenliğin ilk adımıdır. WordPress yönetim paneline girerken kullandığınız kullanıcı adı ve şifre, sitenizin anahtarıdır. Kullanıcı adı olarak “admin” kullanmayın çünkü herkes bunu tahmin edebilir. Bunun yerine benzersiz bir kullanıcı adı seçin. Şifreniz için LastPass, 1Password veya Bitwarden gibi şifre yöneticisi programları kullanın. Bu programlar, her siteniz için karmaşık ve benzersiz şifreler oluşturur ve sizin için hatırlar.

Düzenli güncelleme alışkanlığı, en basit ama en etkili koruma yöntemidir. WordPress yönetim panelinizde “Kontrol Paneli” veya “Güncellemeler” bölümüne girdiğinizde, güncelleme bekleyen WordPress versiyonu, temalar ve eklentiler görünür. Her hafta bir kez kontrol edin ve güncellemeleri yapın. Güncellemeden önce yedek almayı unutmayın. Otomatik güncelleme özelliğini aktifleştirmek de iyi bir seçimdir; böylece manuel kontrol yapmayı unutsanız bile sistem kendini günceller.

İki faktörlü kimlik doğrulama (2FA), şifrenize ek bir güvenlik katmanı ekler. Bankaların SMS ile kod göndermesi gibi çalışır. Şifrenizi girseniz bile, telefonunuza gelen kodu da girmeniz gerekir. “Two-Factor” veya “Wordfence Login Security” gibi ücretsiz eklentilerle kolayca kurabilirsiniz. Kurulum sonrası, telefonunuza Google Authenticator uygulamasını indirin ve QR kodu taratın. Artık her girişte, telefonunuzdan aldığınız 6 haneli kodu da girmeniz gerekecek.

SSL sertifikası (HTTPS), sitenizin tarayıcı ile olan iletişimini şifreler. HTTP yerine HTTPS ile başlayan adresiniz olmalı. Çoğu hosting firması ücretsiz SSL sertifikası sunar. Kontrol panelinden (cPanel gibi) “SSL” bölümüne girin ve “Let’s Encrypt” ücretsiz SSL’i aktifleştirin. SSL kurulduktan sonra, tarayıcınızın adres çubuğunda kilit simgesi görürsünüz; bu sitenizin güvenli olduğunu gösterir.

Güvenlik eklentisi kullanma, tüm bu önlemleri tek yerden yönetmenizi sağlar. Wordfence, Sucuri Security veya iThemes Security gibi popüler ve ücretsiz eklentiler mevcuttur. Bu eklentiler, sitenizi tarar, zayıf noktaları bulur, şüpheli girişimleri engeller ve size düzenli raporlar gönderir. Wordfence kurulumu çok basittir: eklentiyi kurun, aktifleştirin ve kurulum sihirbazını takip edin. Eklenti, otomatik olarak çalışmaya başlar ve sizi korur.

Wordfence ile Adım Adım Koruma Kurulumu

Wordfence kurulumu, en popüler güvenlik eklentisinin kurulmasıdır ve ücretsiz versiyonu çoğu site için yeterlidir. WordPress yönetim panelinizde “Eklentiler > Yeni Ekle” bölümüne gidin. Arama kutusuna “Wordfence” yazın. İlk çıkan sonuç “Wordfence Security – Firewall & Malware Scan” olacaktır. “Şimdi Kur” butonuna tıklayın, ardından “Etkinleştir” butonuna tıklayın. Kurulum tamamlandı! Şimdi sol menüde “Wordfence” seçeneği görünecek.

İlk kurulumda, Wordfence bir başlangıç sihirbazı gösterir. “Get a Wordfence License” (lisans al) seçeneği görebilirsiniz; ücretsiz kullanım için “No Thanks” diyebilirsiniz. E-posta adresinizi girin; eklenti size güvenlik uyarılarını bu adrese gönderecek. “Optimize Wordfence Firewall” (güvenlik duvarını optimize et) seçeneğinde “Enable” (etkinleştir) seçin. Tüm ayarlar varsayılan olarak gelebilir ve çoğu kullanıcı için yeterlidir.

Wordfence tarama özelliği, sitenizi virüs ve zararlı kod açısından kontrol eder. Sol menüden “Wordfence > Scan” seçeneğine gidin. “Start New Scan” (yeni tarama başlat) butonuna tıklayın. İlk tarama 5-15 dakika sürebilir. Tarama bittiğinde, bulunan sorunlar listede görünür. Yeşil renk sorun yok demektir, sarı ve kırmızı renkler dikkat gerektirir. Her sorun için “Learn More” (daha fazla bilgi) linkine tıklayarak ne yapmanız gerektiğini öğrenebilirsiniz.

Wordfence Firewall (güvenlik duvarı), kötü niyetli girişimleri otomatik olarak engeller. “Wordfence > Firewall” sekmesine gidin. “Manage Firewall” (güvenlik duvarını yönet) butonuna tıklayın. “Protection Level” (koruma seviyesi) kısmında “Extended Protection” (genişletilmiş koruma) seçin. “Enable Rate Limiting” (hız sınırlaması) seçeneğini aktif edin; bu, aynı IP adresinden çok fazla istek gelmesini engeller ve bot saldırılarını önler.

Login Security (giriş güvenliği) ayarları, yönetim paneli girişinizi korur. “Wordfence > Login Security” sekmesine gidin. “Two-Factor Authentication” (iki faktörlü doğrulama) seçeneğini aktifleştirin. CAPTCHA eklemek için “Enable reCAPTCHA” seçeneğini işaretleyin ve Google’dan aldığınız reCAPTCHA anahtarlarını girin (ücretsiz). “Max login failures” (maksimum başarısız giriş) ayarını 5-10 arası tutun; bu, sürekli yanlış şifre deneyen botları engeller.

Wordfence’in ücretsiz versiyonu çoğu site için yeterlidir ancak premium versiyonu (yıllık yaklaşık $99) gerçek zamanlı güvenlik güncellemeleri, ülke engelleme, gelişmiş raporlar ve öncelikli destek sunar. Küçük işletmeler ve bloglar için ücretsiz versiyon idealdir. E-ticaret siteleri ve hassas veri barındıran siteler için premium versiyonu düşünmeye değer.

Düzenli Yedekleme

Yedekleme, sitenizin bir kopyasını güvenli bir yerde saklamaktır. Bunu, önemli belgelerinizin fotokopisini çekmek veya telefonunuzdaki fotoğrafları bilgisayara yedeklemek gibi düşünün. Her ne kadar tüm güvenlik önlemlerini alsanız da, %100 garanti yoktur. Yedek almak, en kötü senaryoda bile (site hack’lenirse, sunucu çökerse) kısa sürede eski halinize dönebilmenizi sağlar.

UpdraftPlus, en popüler ve kullanıcı dostu ücretsiz yedekleme eklentisidir. WordPress yönetim panelinde “Eklentiler > Yeni Ekle” bölümünden “UpdraftPlus” aratın ve kurun. Sol menüden “Ayarlar > UpdraftPlus Yedekleri” seçeneğine gidin. “Settings” (ayarlar) sekmesinde yedekleme sıklığını belirleyin: dosyalar için haftalık, veritabanı için günlük ideal bir dengedir. “Remote Storage” (uzak depolama) kısmından Google Drive, Dropbox veya başka bir bulut servisi seçin ve bağlantı kurun.

Manuel yedek almak çok basittir. UpdraftPlus ana sayfasında “Backup Now” (şimdi yedekle) butonuna tıklayın. “Include your database” ve “Include your files” kutularını işaretleyin. “Backup Now” butonuna tekrar tıklayın. Yedekleme işlemi 5-30 dakika arası sürer (site büyüklüğüne göre). İşlem bittiğinde, yedeğiniz hem sunucunuzda hem seçtiğiniz bulut servisinde saklanır.

Yedekten geri yükleme, felaket anında hayat kurtarır. Siteniz hack’lendiyse veya bir şeyler ters gittiyse, UpdraftPlus ana sayfasında “Existing Backups” (mevcut yedekler) bölümünde yedeğinizi bulun. “Restore” (geri yükle) butonuna tıklayın. Hangi bileşenleri geri yüklemek istediğinizi seçin (genellikle hepsini) ve “Restore” butonuna tekrar tıklayın. Sistem otomatik olarak eski halinize döner. Bu işlem 10-20 dakika sürer ve site tekrar çalışır hale gelir.

Yedekleme sıklığı, sitenizin aktivitesine bağlıdır. Blog siteler için haftalık yeterlidir. E-ticaret siteleri için günlük veya hatta günde birkaç kez yedek almak gerekebilir çünkü sipariş bilgileri sürekli değişir. Yedeklerinizi en az iki farklı yerde saklayın: biri sunucunuzda, diğeri Google Drive gibi harici bir yerde. Böylece sunucunuz çökse bile verileriniz güvende olur.

Kullanıcı Yönetimi ve Erişim Kontrolü

Kullanıcı rolleri, WordPress’te kimlerin ne yapabileceğini belirler. Bunu, bir şirketteki yetki seviyeleri gibi düşünün: CEO her şeyi yapabilir, müdür bazı şeyleri yapabilir, çalışan sadece kendi işini yapabilir. WordPress’te beş ana rol vardır: Yönetici (her şeyi yapabilir), Editör (içerik yayınlayabilir), Yazar (kendi yazılarını yayınlayabilir), Katkıda Bulunan (yazı yazabilir ama yayınlayamaz), Abone (sadece profil bilgilerini düzenleyebilir). Her kullanıcıya ihtiyacı kadar yetki verin; fazlası risk yaratır.

Gereksiz kullanıcı hesaplarını silmek, güvenlik açısından önemlidir. Eski çalışanlar, freelancer’lar veya artık site ile çalışmayan kişilerin hesaplarını hemen silin. “Kullanıcılar > Tüm Kullanıcılar” bölümünden kullanıcı listesini gözden geçirin. Kullanılmayan hesaplara tıklayın ve “Sil” seçeneğini kullanın. Silmeden önce, o kullanıcının oluşturduğu içerikleri başka bir kullanıcıya atayabilirsiniz.

Yönetici sayısını sınırlandırma, çok önemlidir. Bir sitede idealnya sadece 1-2 yönetici olmalıdır. Çok fazla yönetici, hem güvenlik riski hem de sorumluluk karmaşası yaratır. Eğer birden fazla kişi site yönetiminde çalışıyorsa, çoğuna Editör veya Yazar rolü verin. Tam yönetici yetkisi sadece güvendiğiniz ve teknik bilgisi olan kişilere verilmelidir.

Activity log (aktivite günlüğü) eklentileri, kim ne zaman ne yaptı sorusunu cevaplar. “WP Activity Log” veya “Simple History” gibi ücretsiz eklentiler kurun. Bu eklentiler, her kullanıcının yaptığı işlemleri kaydeder: kim ne zaman login oldu, hangi yazıyı sildi, hangi ayarı değiştirdi gibi. Bir sorun olduğunda, bu kayıtlar sayesinde neyin yanlış gittiğini ve kim tarafından yapıldığını kolayca bulabilirsiniz.

Basit Ama Etkili Ek Güvenlik İpuçları

wp-admin ve wp-login.php sayfalarını gizlemek, botların saldırılarını zorlaştırır. Varsayılan olarak, her WordPress sitesinin giriş sayfası “www.siteniz.com/wp-admin” veya “www.siteniz.com/wp-login.php” adresindedir. Botlar bu adresleri bilir ve otomatik saldırı yapar. “WPS Hide Login” gibi ücretsiz bir eklenti kurun, giriş sayfanızın adresini değiştirin, örneğin “www.siteniz.com/giris2024” yapın. Artık sadece siz bu gizli adresi bilirsiniz.

Dosya düzenleme özelliğini kapatmak, WordPress yönetim panelinden tema ve eklenti dosyalarını düzenlemeyi engeller. Bu özellik tehlikelidir çünkü yanlışlıkla (veya kötü niyetli biri hesabınıza girerse) kritik dosyalar silinebilir. wp-config.php dosyasını FTP ile indirin, bir metin editöründe açın ve en alta şu kodu ekleyin:

define('DISALLOW_FILE_EDIT', true);

Dosyayı kaydedin ve sunucuya yükleyin. Artık yönetim panelinden tema düzenleyici görünmeyecektir.

Düzenli güvenlik taraması, sitenizi kontrol altında tutar. Wordfence haftalık otomatik tarama yapar ama siz de manuel tarama yapabilirsiniz. Ayrıca, Sucuri SiteCheck gibi online araçlar (sitecheck.sucuri.net) sitenizi tarayıcınızdan taratmanıza olanak tanır. Bu araçlar, zararlı kod, blacklist durumu ve bilinen güvenlik açıklarını kontrol eder.

Hosting firması güvenliği, kontrolünüz dışında olsa da çok önemlidir. Kaliteli bir hosting firması seçin; çok ucuz hosting’ler genellikle güvenlik önlemleri zayıftır. İyi bir hosting, günlük yedek alır, güvenlik duvarı kurar, DDoS saldırılarına karşı korur ve 7/24 teknik destek sağlar. SiteGround, Kinsta veya WP Engine gibi WordPress’e özel hosting’ler ekstra güvenlik katmanları sunar.

---

WordPress açıkları ve korunma konusu karmaşık görünse de, bu rehberde anlattığımız basit adımları izleyerek sitenizi güvende tutabilirsiniz. WebAcil olarak, WordPress güvenlik kurulumundan düzenli bakıma, acil müdahalelerden kapsamlı güvenlik denetimlerine kadar tüm hizmetleri sunuyoruz. Siteniz hack’lendi mi, güvenlik endişeleriniz mi var, yoksa profesyonel koruma sistemleri mi kurmak istiyorsunuz? Bugün bizimle iletişime geçin, sitenizin güvenliğini garantiye alalım!