Dünya genelinde her 39 saniyede bir web sitesi hack ediliyor ve bu saldırıların %43'ü WordPress sitelerini hedef alıyor. Gaziantep'te son 2 yılda temizlediğimiz 40'tan fazla hacklenmiş sitenin ortak noktası: temel güvenlik önlemlerinin eksikliği. YTASoft olarak 9+ yıllık tecrübemizle, WordPress güvenliğinin "iyi bir eklentiden" çok daha fazlası olduğunu biliyoruz. Bu rehberde sitenizi koruyacak 12 altın kuralı paylaşıyoruz.
WordPress Neden Hack Ediliyor?
WordPress dünyadaki sitelerin %43'ünün altyapısını oluşturuyor. Bu popülerlik, onu siber saldırganların favorisi yapıyor. En yaygın saldırı tipleri:
- Brute Force: Parola deneme saldırıları
- SQL Injection: Veritabanına kötü niyetli kod enjeksiyonu
- XSS (Cross-Site Scripting): JavaScript tabanlı saldırılar
- Malware: Eklenti ve tema üzerinden bulaşan zararlı yazılım
- DDoS: Sunucuyu çökerten yoğun trafik saldırısı
WordPress Güvenliği İçin 12 Altın Kural
1. Güçlü Kullanıcı Adı ve Parola
"admin" kullanıcı adı WordPress'in en büyük güvenlik açığıdır. Benzersiz kullanıcı adı + 16 karakter üstü karmaşık parola zorunludur. Parola yöneticisi (Bitwarden, 1Password) kullanın.
2. İki Faktörlü Doğrulama (2FA)
Wordfence veya Google Authenticator eklentisiyle 2FA aktifleştirin. Bu tek önlem brute force saldırılarının %99.9'unu engeller.
3. Düzenli Güncelleme
WordPress çekirdek, tema ve eklentileri haftada bir kontrol edin. Güncelleme yapmayan sitelerin %86'sı 6 ay içinde hack oluyor.
4. Güvenilir Eklenti Kullanımı
Sadece WordPress.org resmi dizininden, 100.000+ aktif kurulumlu, son 3 ayda güncellenmiş eklentileri tercih edin. "Nulled" (çatlatılmış) premium eklentilere asla yüklenmeyin — malware içerir.
5. SSL Sertifikası (HTTPS)
Let's Encrypt veya premium SSL mutlaka aktif olmalı. SSL olmadan form verileri (parola, kredi kartı) açık iletilir. YTASoft'un tüm hizmet paketlerinde SSL ücretsiz dahil.
6. Güvenlik Duvarı (WAF)
Wordfence, Sucuri veya Cloudflare WAF ile uygulama seviyesinde koruma sağlayın. Bu araçlar SQL injection ve XSS saldırılarını otomatik engeller.
7. Login URL'sini Değiştirin
Varsayılan /wp-admin ve /wp-login.php URL'lerini değiştirin. WPS Hide Login eklentisi bu işi 1 dakikada yapar.
8. Login Denemesi Sınırlama
5 başarısız denemeden sonra IP'yi 1 saat engelleyin. Limit Login Attempts Reloaded eklentisi önerilir.
9. Dosya İzinleri
wp-config.php için 440 veya 400, klasörler için 755, dosyalar için 644 izin verin. 777 asla kullanmayın.
10. Düzenli Yedekleme
UpdraftPlus veya Jetpack VaultPress ile günlük otomatik yedekleme yapın. Yedekleri bulut depolamada (Google Drive, S3) saklayın.
11. Güvensiz Kodları Tespit
Sucuri SiteCheck veya Wordfence Scan ile haftalık malware taraması yapın.
12. Güvenlik Loglarını İzleme
WP Security Audit Log eklentisiyle tüm kullanıcı hareketlerini kaydedin. Şüpheli aktivite tespit edildiğinde hızla müdahale edin.
Hacklendiğinizi Nasıl Anlarsınız?
- Sitenize girdiğinizde beklenmeyen yönlendirmeler
- Google Search Console'dan "Bu site zararlı olabilir" uyarısı
- Sunucu trafiğinde ani artış
- Bilmediğiniz admin kullanıcılarının eklenmesi
- Tanımadığınız içeriklerin yayına girmesi
Hacklendikten Sonra Ne Yapmalı?
Paniklemeyin. Adım adım şunları yapın: Siteyi maintenance mode'a alın, tüm parolaları değiştirin, güvenlik taraması çalıştırın, zararlı kodları temizleyin, yedekten geri yükleyin ve nedeni araştırın. YTASoft teknik destek ekibi 24 saat içinde müdahale eder.
YTASoft'un Güvenlik Yaklaşımı
Teslim ettiğimiz tüm web sitelerinde çok katmanlı güvenlik yaklaşımı uygularız: SSL, WAF, 2FA, günlük yedekleme ve sürekli izleme. Teknik denetim rehberimizde güvenlik kontrol listesini de bulabilirsiniz. Sitenizin güvenlik taraması için bizimle iletişime geçin.