WordPress, dünyanın en çok kullanılan içerik yönetim sistemi olduğu için aynı zamanda siber saldırıların birincil hedefi. Her gün binlerce WordPress sitesi otomatik botlar tarafından taranıyor, zayıf noktalar aranıyor. İyi haber şu: Temel güvenlik önlemlerinin büyük çoğunluğu teknik bilgiye gerek kalmadan, kısa sürede uygulanabiliyor.
Aşağıdaki adımları sırayla uygulayın. Her biri birkaç dakikanızı alacak, ancak uzun vadede sitenizi büyük risklerden koruyacak.
Dünya genelinde WordPress sitelerine yapılan brute force saldırılarının büyük çoğunluğu "admin" kullanıcı adını hedef alıyor. Kurulum sırasında bu adı değiştirmediyseniz şimdi yapın: Yeni bir yönetici kullanıcı oluşturun, eski "admin" hesabını silin ve tüm içerikleri yeni hesaba devredin.
Kullanıcı adı ne kadar tahmin edilemez olursa, otomatik saldırıların başarı şansı o kadar düşer.
Yönetici paneli parolanız en az 16 karakter uzunluğunda olmalı ve büyük harf, küçük harf, rakam ile özel karakter içermeli. Bunu ezberlemek zorunda değilsiniz — Bitwarden veya 1Password gibi bir parola yöneticisi hem güçlü parola üretir hem de saklar.
İki faktörlü doğrulama (2FA) eklediğinizde parola ele geçirilse bile hesabınıza giriş yapılamaz. WP 2FA veya Google Authenticator eklentileriyle bunu beş dakikada kurabilirsiniz.
WordPress'in varsayılan giriş adresi olan /wp-admin ve /wp-login.php herkesçe biliniyor. Botlar bu adresleri günde yüzlerce kez tarayabiliyor. WPS Hide Login eklentisiyle giriş adresini örneğin /giris-yap-2025 gibi özel bir URL'ye taşımak, otomatik saldırıların büyük bölümünü etkisiz kılıyor.
WordPress çekirdeği, temalar ve eklentilerdeki güncel olmayan sürümler, bilinen güvenlik açıkları içerebilir. Saldırganlar bu açıkların listesini takip ediyor ve henüz güncellenmemiş siteleri hedef alıyor. WordPress yönetici panelinde bekleyen güncellemeleri haftada en az bir kez kontrol edin — tercihen otomatik küçük sürüm güncellemelerini etkinleştirin.
Kullanmadığınız eklentileri ve temaları silmek de bu açıdan kritik. Devre dışı bırakmak yeterli değil; sistemde kalan dosyalar hâlâ açık barındırabilir.
Wordfence veya Sucuri Security gibi eklentiler sitenizi gerçek zamanlı olarak izler, şüpheli giriş denemelerini engeller ve kötü amaçlı kod taraması yapar. Ücretsiz sürümleri bile çoğu saldırıya karşı etkili bir kalkan oluşturuyor.
Bu eklentiler aynı zamanda IP bazlı engelleme yapabiliyor; belirli bir IP'den art arda başarısız giriş denemesi geldiğinde o IP'yi otomatik kara listeye alıyor.
XML-RPC, WordPress'in uzaktan komut alabileceği eski bir protokol. Jetpack veya mobil uygulama kullanmıyorsanız bu protokolün açık kalmasının hiçbir faydası yok, aksine saldırı yüzeyini genişletiyor. .htaccess dosyanıza birkaç satır ekleyerek ya da bir güvenlik eklentisi aracılığıyla devre dışı bırakabilirsiniz.
WordPress yönetici panelinden tema ve eklenti dosyalarını düzenleyebilirsiniz — bu özellik kullanışlı görünse de bir saldırgan yönetici paneline erişirse tüm siteye zararlı kod enjekte edebilir. wp-config.php dosyasına şu satırı eklemek bu özelliği kapatır:
define( 'DISALLOW_FILE_EDIT', true );
Tüm önlemlere rağmen hiçbir sistem yüzde yüz güvende değil. En kötü senaryo gerçekleştiğinde sizi kurtaracak olan yedekleriniz. UpdraftPlus ile günlük otomatik yedekleri Google Drive veya Dropbox'a gönderebilirsiniz. Yedeğin hosting hesabınızın dışında bir yerde tutulması özellikle önemli — sunucu tamamen ele geçirilse bile verileriniz güvende kalır.
Bu sekiz adımın tamamı, teknik bilgiye sahip olmayan bir site sahibi tarafından bile uygulanabilir. Güvenliği erteleyen her gün, sitenizin açık kaldığı bir gündür. Küçük ama kararlı adımlar, büyük felaketleri önler.
