WordPress Güvenliği: Production için 20 Kritik Kontrol

1) Admin kullanıcı adını 'admin' yerine değiştirin (phpMyAdmin'den user_login alanını güncelleyin). 2) Güçlü şifre + 2FA zorunlu — Wordfence 2FA veya Google Authenticator eklentisi. 3) /wp-admin ve /wp-login.php için rate limiting (Wordfence, Limit Login Attempts Reloaded). 4) Admin paneline IP whitelist (.htaccess veya Cloudflare Access). 5) wp-config.php'de WP_ALLOW_REPAIR=false, DISALLOW_FILE_EDIT=true.

Bu 5 kontrol WordPress saldırılarının %70'ini durdurur. Brute-force botlar genelde 10-15 dakika içinde pes eder ve başka hedefe geçer.

6) Kullanılmayan eklenti ve temaları SİLİN (devre dışı yeterli değil, kod hâlâ sunucuda). 7) Sadece 1 milyondan fazla indirme + son 3 ay güncellenmiş eklentileri kurun. 8) Nulled (kırık) eklenti/tema asla kullanmayın — %90'ı backdoor içerir. 9) Otomatik güncelleme açık (core + minor version). 10) Major sürüm güncellemeleri staging'te test edilsin, sonra prodüksiyon.

Eklenti riski ne kadar azaltılırsa o kadar iyi. Ortalama WordPress sitesi 20-30 eklenti çalıştırıyor — bizim önerimiz 10'un altında tutmak.

11) Veritabanı prefix'ini 'wp_' yerine özel bir şey yapın (wp-config.php). 12) DB kullanıcı izinlerini minimize edin (sadece SELECT, INSERT, UPDATE, DELETE — CREATE/DROP yetkisi gereksiz). 13) wp-content/uploads/ dizininde PHP execute devre dışı (.htaccess: Deny from all *.php).

14) Düzenli veritabanı yedeği — UpdraftPlus veya BackWPup eklentisi, haftalık full + günlük incremental, offsite (S3, Google Drive, Dropbox) + aylık restore testi.

15) WAF mutlaka: Cloudflare (ücretsiz plan yeterli), Wordfence, veya Sucuri. 16) SSL/TLS: Let's Encrypt, TLS 1.2 min, HSTS preload. 17) HTTP güvenlik başlıkları — security.io veya Really Simple Security eklentisi ile tek tıkla. 18) SSH erişimi anahtar bazlı (şifre ile SSH kapalı), root login devre dışı.

Cloudflare'ın ücretsiz planı DDoS koruması, temel WAF kurallar ve rate limiting sağlıyor — WordPress için ilk savunma hattı olarak mükemmel.

19) Dosya bütünlüğü izleme — Wordfence Premium veya Sucuri monitör, WordPress core + tema + eklenti dosyalarının hash'lerini izler, değişiklikleri bildirir. Saldırgan web shell yüklerse 5 dakikada bilirsiniz.

20) Log izleme — access_log + error_log'u Grafana veya ELK stack'e pompalayın, olağandışı pattern'leri (çok fazla 404, admin path'e istek, SQLi imzaları) tetikleyin. VefaSec'te aylık WordPress izleme retainer'ı 15.000 TL/ay ile tüm bu stack'i yönetiyoruz.

Hacked mı oldunuz? İlk adım: siteyi kapatın (maintenance mode değil, tamamen offline). WordPress core'u yeniden yükleyin (sürüm match). Tüm eklenti ve temaları silin, temiz sürümleri kurun. wp-content/uploads'i tarayın (web shell arama). Veritabanında wp_users tablosunu kontrol edin (kötücül admin hesap).

Tüm şifreleri (WP admin, FTP, DB, hosting paneli) yenileyin. Yedekten temiz bir sürümle karşılaştırıp modifiye dosyaları tespit edin. Wordfence'in ücretsiz site tarayıcısı backdoor aramasında yardımcı. VefaSec acil müdahale hattı: 4 saat içinde temizleme ve sertleştirme.