WordPress Güvenliği Nasıl Sağlanır? Yaygın Saldırılar ve Sunucu Tarafı Önlemler26/01/2026 tarihinde gönderilmiş tarafından WordPress Güvenliği Neden Bu Kadar Önemli? En Yaygın WordPress Saldırı Türleri Brute force (kaba kuvvet) giriş denemeleri Zafiyetli eklenti ve temalar SQL Injection, XSS ve XML-RPC istismarı Uygulama Tarafında Almanız Gereken Temel Önlemler Güçlü parola, 2FA ve kullanıcı yönetimi Yönetici URL’ini ve varsayılan ayarları değiştirme Güncellemeler, eklenti-tema hijyeni ve yedekleme Sunucu ve Hosting Tarafında Güvenlik Katmanları Güncel yazılım yığını ve izole ortam Firewall, WAF ve brute force kısıtlama SSL, şifreleme ve güvenli protokoller MarkaHost Üzerinde Örnek Güvenlik Senaryosu Sonuç ve Önerilen Yol HaritasıWordPress Güvenliği Neden Bu Kadar Önemli?WordPress ile çalışan sitelerin büyük bölümü, saldırganların otomatize botları tarafından sürekli taranıyor. Hedefte olduğunuzun farkına genellikle ancak kaynak kullanımı artınca, site yavaşlayınca ya da yönetici hesabınız kilitlendiğinde varıyorsunuz. MarkaHost ekibi olarak yüzlerce WordPress sitesini incelerken gördüğümüz tablo net: Güvenlik ihlallerinin büyük kısmı, birkaç temel önlemin alınmamasından kaynaklanıyor.İyi haber şu ki WordPress’i güvenli hale getirmek, karmaşık güvenlik duvarları kurmaktan çok, doğru alışkanlıklar ve sağlam bir sunucu altyapısıyla mümkün. Uygulama tarafında güçlü parola, güncel eklenti-tema kullanımı kadar; sunucu tarafında firewall, WAF ve doğru yapılandırılmış bir PHP/HTTP katmanı da kritik rol oynuyor. Bu yazıda, en yaygın saldırı türlerini ve MarkaHost altyapısında sıkça uyguladığımız sunucu tarafı tedbirleri adım adım özetleyeceğiz.WordPress projenizi planlarken performans, ölçeklenebilirlik ve maliyeti düşünüyorsanız; güvenliği de aynı seviyede masaya yatırmalısınız. Özellikle e-ticaret, üyelik sistemi veya kurumsal sitelerde ufak bir açık, hem veri kaybına hem de marka itibarına ciddi zarar verebilir.En Yaygın WordPress Saldırı TürleriBrute force (kaba kuvvet) giriş denemeleriWordPress sitelerde gördüğümüz en yaygın saldırı, yönetici giriş ekranına yönelik brute force denemeleridir. Botlar, yüzlerce hatta binlerce kullanıcı adı ve şifre kombinasyonunu arka arkaya deneyerek admin hesabını ele geçirmeye çalışır. Eğer zayıf bir şifre kullanıyorsanız ya da varsayılan “admin” kullanıcı adını değiştirmediyseniz, risk katlanarak artar. Brute force mantığını daha yakından anlamak isterseniz, hazırladığımız brute force nedir rehberimize de göz atabilirsiniz.Zafiyetli eklenti ve temalarWordPress çekirdeği nispeten güvenli olsa da, eklentiler ve temalar çoğu zaman zayıf halka olur. Güncellenmeyen, geliştiricisi tarafından terk edilmiş ya da Lisanssız dağıtılan temalar, saldırganların en sevdiği giriş kapılarıdır. Özellikle dosya yükleme formlarında, form işleme fonksiyonlarında ve AJAX isteklerinde açıklar sıkça karşımıza çıkar.SQL Injection, XSS ve XML-RPC istismarıKötü yazılmış formlar, arama alanları veya yorum sistemleri SQL injection ve XSS gibi klasik web açıklarına davetiye çıkarabilir. Ayrıca WordPress’in XML-RPC arayüzü, brute force ve DDoS benzeri saldırılar için suistimal edilebilir. Sunucu tarafında doğru kısıtlama yapılmadığında, hem veritabanı hem de CPU kaynaklarınız hızla tükenebilir.Uygulama Tarafında Almanız Gereken Temel ÖnlemlerGüçlü parola, 2FA ve kullanıcı yönetimiİlk savunma hattı her zaman güçlü paroladır. Büyük-küçük harf, rakam ve özel karakter içeren en az 12 karakterlik şifreler kullanın. Yönetici sayısını minimumda tutun, editör ve yazar rollerine gereksiz yetkiler vermeyin. İki faktörlü doğrulama (2FA) eklemek, yönetici hesabını brute force saldırılarına karşı oldukça sağlamlaştırır.Yönetici URL’ini ve varsayılan ayarları değiştirmeHerkese açık “wp-login.php” ya da “/wp-admin” adresleri brute force botlarının ilk hedefidir. Giriş adresini değiştirerek bile saldırıların önemli bir kısmını otomatik olarak filtreleyebilirsiniz. Bunun için hazırladığımız WordPress giriş URL’i nasıl değiştirilir rehberini adım adım uygulayabilirsiniz.Güncellemeler, eklenti-tema hijyeni ve yedeklemeÇekirdek, eklenti ve temaları güncel tutmak zorunludur. Kullanmıyorsanız silin; sadece devre dışı bırakmak yetmez. Güvenilir olmayan kaynaklardan tema/eklenti yüklemeyin. Düzenli yedek almak ise ihlal sonrası hızlı toparlanmanın anahtarıdır. MarkaHost platformunda otomatik yedekleme çözümlerini aktif eden kullanıcılarımız, olası bir hack durumunda sitelerini dakikalar içinde geri yükleyebiliyor.Sunucu ve Hosting Tarafında Güvenlik KatmanlarıWordPress güvenliğinin yarısı uygulama tarafıysa, diğer yarısı da sunucu mimarisidir. Doğru hosting seçimi burada hayati. Bu konuda kararsızsanız, WordPress için en iyi hosting nasıl seçilir rehberimiz size iyi bir çerçeve sunacaktır.Güncel yazılım yığını ve izole ortamPHP, web sunucusu (Apache/Nginx) ve veritabanı sürümlerinin güncel olması, bilinen açıkları otomatik olarak büyük ölçüde devre dışı bırakır. Hesap izolasyonu güçlü bir sunucu mimarisi, aynı sunucudaki bir başka sitenin hacklenmesi durumunda sizin sitenizin de etkilenmesini engeller. MarkaHost altyapısında, müşterilerimizin sitelerini birbirinden olabildiğince izole tutmaya özellikle dikkat ediyoruz.Firewall, WAF ve brute force kısıtlamaSunucu seviyesinde firewall ve web uygulama güvenlik duvarı (WAF), daha istek WordPress’e ulaşmadan zararlı trafiği süzer. IP bazlı hız limitleri, belirli sayıda hatalı girişten sonra IP engelleme, ülke/bölge bazlı kısıtlamalar gibi önlemler brute force etkisini dramatik şekilde azaltır. Güvenlik duvarlarının çalışma mantığını merak ediyorsanız, VPS sunucu güvenliği rehberimizde daha teknik detaylar bulabilirsiniz.Ek olarak uygulama katmanında Cloudflare gibi servislerle de koruma katmanı ekleyebilirsiniz. Bu tür çözümleri nasıl yapılandıracağınızı, Cloudflare ile zararlı erişimleri engelleme rehberimizde adım adım anlattık.SSL, şifreleme ve güvenli protokollerHTTPS kullanmayan bir WordPress sitesi, artık hem güvenlik hem SEO açısından kabul edilebilir değil. Yönetici giriş bilgilerinin şifrelenmeden taşınması, özellikle ortak ağlarda büyük risk oluşturur. SSL sertifikasını kolayca kurmak için, ücretsiz Let’s Encrypt SSL kurulum rehberimizi izleyebilirsiniz. Sunucu tarafında TLS yapılandırmasının güncel olması ve zayıf şifreleme algoritmalarının kapatılması da önemlidir.MarkaHost Üzerinde Örnek Güvenlik SenaryosuYakın zamanda bir e-ticaret müşterimizin sitesinde, kısa sürede on binlerce başarısız giriş denemesi tespit ettik. Uygulama tarafında güçlü parola ve giriş URL’i değişikliği zaten yapılmıştı; ancak saldırı hacmi CPU kullanımını zorluyordu. Sunucudaki WAF kurallarını güncelleyerek belirli bir eşik üzerindeki istekleri otomatik blokladık, brute force trafiğini IP bazlı limitlerle kestik ve Cloudflare tarafında ek filtreler ekledik. Sonuç olarak ne uptime ne de performans etkilendi; saldırı birkaç saat içinde kendiliğinden söndü.Bu tarz vakalarda gördüğümüz ortak nokta şu: Uygulama ve sunucu güvenliği birlikte ele alındığında, çok daha ufak dokunuşlarla ciddi saldırıları bertaraf etmek mümkün oluyor.Sonuç ve Önerilen Yol HaritasıWordPress güvenliği, tek seferlik bir işlem değil; devam eden bir süreçtir. Güçlü parolalar, sınırlı yönetici hesabı, düzenli güncelleme ve yedekleme gibi temel adımları atarken; sunucu tarafında firewall, WAF, izole hesap yapısı ve güncel yazılım yığını kullanmak bu süreci tamamlar. Doğru yapılandırılmış bir MarkaHost altyapısı üzerinde çalışan, bakımı düzenli yapılan bir WordPress sitesinin ele geçirilmesi pratikte oldukça zordur.Yeni bir proje planlıyor veya mevcut WordPress sitenizi daha güvenli bir zemine taşımak istiyorsanız, altyapı seçimi kritik olacaktır. Tercih edeceğiniz hosting modelini belirlerken, isterseniz WordPress için en iyi hosting rehberimizden başlayabilir, ardından ekibimizle birlikte siteniz için en uygun MarkaHost çözümünü belirleyebilirsiniz. Güvenliği baştan doğru kurgulamak, olası bir saldırıdan sonra temizlik yapmaktan hem daha ucuz hem de çok daha az streslidir.