WordPress Güvenlik Önlemleri: Saldırılar Nasıl Engellenir?

Kurumsal bir web sitesini yönetiyorsanız, siber güvenlik “olsa da olur” bir özellik değil, hayati bir zorunluluktur. İnternet dünyasında her gün binlerce site bot saldırıları, kaba kuvvet (brute force) denemeleri ve kötü amaçlı yazılımlarla karşı karşıya kalıyor. 15 yıllık IT ve web yönetim tecrübemde gördüğüm en net gerçek şudur: WordPress güvenlik önlemleri en baştan alınmazsa, telafisi çok daha maliyetli krizlere yol açar.

Bu rehberde, yönettiğim yüksek trafikli kurumsal sitelerde uyguladığım ve saldırıları başarıyla engelleyen “Görünmez Kalkan” stratejisini tüm detaylarıyla anlatacağım.

WordPress Güvenlik Önlemleri Neden Hayati Önem Taşır?

Çoğu web sitesi sahibi, “Benim sitem küçük, hackerlar neden benimle uğraşsın?” yanılgısına düşer. Oysa saldırıların %90’ı hedef gözetmeksizin interneti tarayan otomatik botlar tarafından yapılır. Bu botlar, güncel olmayan eklentileri, zayıf şifreleri ve korumasız sunucu ayarlarını saniyeler içinde tespit eder.

Doğru yapılandırılmış WordPress güvenlik önlemleri, sitenizi bu botlar için “uğraşmaya değmeyecek kadar zor” bir hedef haline getirir.

1. Temel Savunma: Sunucu ve Panel Ayarları

Güvenlik, WordPress panelinde değil, sunucunun kök dizininde başlar. Plesk veya cPanel kullanmanız fark etmeksizin, şu temel ayarları mutlaka kontrol etmelisiniz:

PHP Sürümü: Sunucunuzda daima en güncel ve kararlı PHP sürümünü (Örn: PHP 8.1 veya üzeri) kullanın. Eski sürümler yamalanmamış açıklarla doludur.
Dizin Listelemeyi Kapatın: Ziyaretçilerin wp-content/uploads gibi klasörlerin içeriğini görmesini engellemek için sunucu ayarlarından “Directory Browsing” özelliğini devre dışı bırakın.
Gizli Dosyaları Koruyun: .htaccess veya wp-config.php gibi kritik dosyalara dışarıdan erişimi tamamen kesin.

2. Kritik Dosya İzinleri ve Yapılandırma

WordPress dosya sistemi izinleri (chmod), sitenizin kilit mekanizmasıdır. Yanlış bir izin, anahtarı kapının üzerinde bırakmak gibidir.

Klasörler: 755
Dosyalar: 644
wp-config.php: 440 veya 400

Ayrıca, veritabanı kurulum aşamasında varsayılan gelen wp_ tablo ön ekini mutlaka değiştirin (Örn: krmsl34_). Bu basit değişiklik, standart SQL Injection saldırılarının çoğunu boşa çıkarır.

3. Kod Tarafında WordPress Güvenlik Önlemleri

Eklenti kullanmadan, doğrudan sistem dosyalarına müdahale ederek güvenliği sıkılaştırabilirsiniz. İşte .htaccess dosyanıza eklemeniz gereken hayati bir kural:

XML-RPC Kapatma: Eğer Jetpack eklentisi veya mobil uygulama kullanmıyorsanız, bu özelliği kapatın. DDoS saldırılarının en sevdiği kapıdır.

💪

Dikkat: Bu dosyalarda değişiklik yapmadan önce mutlaka yedeğini alın!

Apache

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Ayrıca, panel içinden dosya düzenlemeyi kapatmak için wp-config.php dosyasına şu satırı ekleyin:

💪

Dikkat: Bu dosyalarda değişiklik yapmadan önce mutlaka yedeğini alın!

PHP

define( 'DISALLOW_FILE_EDIT', true );

4. Güvenlik Eklentileri ve Dış Kaynak Taramaları

Manuel önlemlerden sonra, sistemi 7/24 izleyen bir Web Uygulama Güvenlik Duvarı (WAF) kurmalısınız. Wordfence veya iThemes Security gibi eklentiler, şüpheli IP adreslerini anında bloklar.

Sitenizin şu anki güvenlik durumunu merak ediyorsanız, harici bir tarama yapmakta fayda var. Bunun için global standart kabul edilen Sucuri SiteCheck aracını kullanarak sitenizde malware veya virüs olup olmadığını ücretsiz tarayabilirsiniz.

5. Yedekleme ve Bütüncül Yaklaşım

Hiçbir güvenlik önlemi %100 garanti vermez. Bu yüzden en büyük güvenceniz, sunucu dışında (Google Drive, AWS vb.) saklanan güncel yedeklerinizdir.

Güvenlik sadece web sitesi dosyalarıyla sınırlı değildir. Kurumsal iletişiminizin devamlılığı için e-posta sunucunuzun güvenliği de bu zincirin bir parçasıdır. Eğer mailleriniz spama düşüyorsa, bir önceki yazım olan Kurumsal E-posta Kara Liste Çözümleri makalesindeki SPF ve DKIM ayarlarını mutlaka inceleyin.

Sonuç

Kurumsal web sitelerini korumak, tek seferlik bir işlem değil, sürekli devam eden bir süreçtir. Bu rehberdeki WordPress güvenlik önlemleri adımlarını uygulayarak, sitenizi siber dünyanın tehlikelerine karşı sağlam bir kaleye dönüştürebilirsiniz. Unutmayın, güvenlikte paranoya yoktur, tedbir vardır.

💡

Unutmayın; en güvenli site, saldırgan için maliyeti getirisinden yüksek olan sitedir.

Siz hangi güvenlik eklentilerini kullanıyorsunuz? Tecrübelerinizi yorumlarda paylaşabilirsiniz.

Kategoriler:

Güvenlik,

WordPress Güvenlik Önlemleri: Saldırılar Nasıl Engellenir?

WordPress Güvenlik Önlemleri: Saldırılar Nasıl Engellenir?

WordPress Güvenlik Önlemleri Neden Hayati Önem Taşır?

1. Temel Savunma: Sunucu ve Panel Ayarları

2. Kritik Dosya İzinleri ve Yapılandırma

3. Kod Tarafında WordPress Güvenlik Önlemleri

4. Güvenlik Eklentileri ve Dış Kaynak Taramaları

5. Yedekleme ve Bütüncül Yaklaşım

Sonuç

Kurumsal E-postalar Neden “Kara Liste”ye (Blacklist) Düşer? Kurtulma ve Korunma Yolları

WordPress Site Hızlandırma: 3 Saniyenin Altına Nasıl İnilir?

Bir yanıt yazın Yanıtı iptal et

Kapatmak için ESC basınız.

WordPress Güvenlik Önlemleri: Saldırılar Nasıl Engellenir?

WordPress Güvenlik Önlemleri Neden Hayati Önem Taşır?

1. Temel Savunma: Sunucu ve Panel Ayarları

2. Kritik Dosya İzinleri ve Yapılandırma

3. Kod Tarafında WordPress Güvenlik Önlemleri

4. Güvenlik Eklentileri ve Dış Kaynak Taramaları

5. Yedekleme ve Bütüncül Yaklaşım

Sonuç

Kurumsal E-postalar Neden “Kara Liste”ye (Blacklist) Düşer? Kurtulma ve Korunma Yolları

WordPress Site Hızlandırma: 3 Saniyenin Altına Nasıl İnilir?

Bu kategori için daha fazlasıGüvenlik

Modem Güvenlik Ayarları: Ev ve İşyeri İçin Tam Koruma

Kurumsal E-postalar Neden “Kara Liste”ye (Blacklist) Düşer? Kurtulma ve Korunma Yolları

6 Adımda WordPress Kurumsal Site Güvenliği: Bir Dil Okulu Zincirini Nasıl Zırhladık?

Google Apple ve Meta Veri İhlali: 16 Milyar Giriş Bilgisi Çalındı!

Bir yanıt yazın Yanıtı iptal et