Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Kupası
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Nihai WordPress Güvenlik Rehberi – Adım Adım (2024)

Editoryal Not: WPBeginner üzerindeki ortak bağlantılardan komisyon kazanıyoruz. Komisyonlar, editörlerimizin görüşlerini veya değerlendirmelerini etkilemez. Editoryal Süreç hakkında daha fazla bilgi edinin.

WordPress güvenliği her web sitesi sahibi için büyük önem taşıyan bir konudur.

Web siteniz konusunda ciddiyseniz, WordPress’in en iyi güvenlik uygulamalarına dikkat etmeniz gerekir. Aksi takdirde, kötü amaçlı yazılım ve kimlik avı nedeniyle Google’ın her gün kara listeye aldığı 10.000’den fazla web sitesinden biri olabilirsiniz.

Bu kılavuzda, web sitenizi bilgisayar korsanlarına ve kötü amaçlı yazılımlara karşı korumanıza yardımcı olacak en iyi WordPress güvenlik ipuçlarımızı paylaşacağız.

The Ultimate WordPress Security Guide - Step by Step

WordPress çekirdek yazılımı çok güvenli ve yüzlerce geliştirici tarafından düzenli olarak denetleniyor olsa da, sitenizi güvende tutmak için yapılması gereken çok şey var.

WPBeginner’da güvenliğin sadece riskleri ortadan kaldırmakla ilgili olmadığına inanıyoruz. Aynı zamanda risk azaltma ile de ilgilidir. Bir web sitesi sahibi olarak, teknoloji meraklısı olmasanız bile WordPress güvenliğinizi artırmak için yapabileceğiniz çok şey var.

Bu makalede, web sitenizi güvenlik açıklarına karşı korumak için atabileceğiniz uygulanabilir adımların bir listesini hazırladık.

Bunu kolaylaştırmak için, nihai WordPress güvenlik kılavuzumuzda kolayca gezinmenize yardımcı olacak bir içindekiler tablosu oluşturduk.

İçindekiler

WordPress Güvenliğinin Temelleri

Kolay Adımlarla WordPress Güvenliği (Kodlama Yok)

Kendin Yap Kullanıcıları için WordPress Güvenliği

Hazır mısınız? Hadi başlayalım.

Web Sitesi Güvenliği Neden Önemlidir?

Saldırıya uğramış bir WordPress web sitesi, işletmenizin gelirine ve itibarına ciddi zarar verebilir. Bilgisayar korsanları kullanıcı bilgilerini ve şifrelerini çalabilir, kötü amaçlı yazılım yükleyebilir ve hatta kullanıcılarınıza kötü amaçlı yazılım dağıtabilir.

En kötüsü, kendinizi web sitenize yeniden erişim sağlamak için bilgisayar korsanlarına fidye yazılımı öderken bulabilirsiniz.

Ransomware Attack

Google her gün 12-14 milyon kullanıcıyı ziyaret etmeye çalıştıkları bir web sitesinin kötü amaçlı yazılım içerebileceği veya bilgi çalabileceği konusunda uyarıyor.

Ayrıca, Google her gün yaklaşık 10.000’den fazla web sitesini kötü amaçlı yazılım veya kimlik avı nedeniyle kara listeye almaktadır.

Tıpkı fiziksel bir yere sahip işletme sahiplerinin mülklerini koruma sorumluluğuna sahip olması gibi, çevrimiçi işletme sahiplerinin de WordPress güvenliklerine ekstra dikkat etmeleri gerekir.

[Başa Dön ↑]

WordPress’i Güncel Tutun

Easily update WordPress

WordPress açık kaynaklı bir yazılımdır ve düzenli olarak bakımı yapılır ve güncellenir. WordPress varsayılan olarak küçük güncellemeleri otomatik olarak yükler.

Büyük sürümler için güncellemeyi manuel olarak başlatmanız gerekir.

WordPress ayrıca web sitenize yükleyebileceğiniz binlerce eklenti ve tema ile birlikte gelir. Bu eklentiler ve temalar, düzenli olarak güncellemeler yayınlayan üçüncü taraf geliştiriciler tarafından korunur.

Bu WordPress güncellemeleri, WordPress sitenizin güvenliği ve istikrarı için çok önemlidir. WordPress çekirdeğinizin, eklentilerinizin ve temanızın güncel olduğundan emin olmanız gerekir.

[Başa Dön ↑]

Güçlü Parolalar ve Kullanıcı İzinleri Kullanın

Manage strong passwords

En yaygın WordPress hackleme girişimleri çalıntı şifreler kullanır. Web sitenize özgü daha güçlü parolalar kullanarak bunu zorlaştırabilirsiniz.

Sadece WordPress yönetici alanından bahsetmiyoruz. FTP hesaplarınız, veritabanlarınız, WordPress barındırma hesaplarınız ve sitenizin alan adını kullanan özel e-posta adresleriniz için güçlü parolalar oluşturmayı unutmayın.

Yeni başlayanların çoğu hatırlaması zor olduğu için güçlü parolalar kullanmaktan hoşlanmaz. İyi olan şey ise artık şifreleri hatırlamanıza gerek kalmamasıdır çünkü sadece bir şifre yöneticisi kullanabilirsiniz.

Daha fazla bilgi için WordPress parolalarını yönetme kılavuzumuza bakın.

Riski azaltmanın bir başka yolu da kesinlikle mecbur kalmadıkça kimseye WordPress yönetici hesabınıza erişim izni vermemektir.

Büyük bir ekibiniz veya konuk yazarlarınız varsa, WordPress sitenize yeni kullanıcı hesapları ve yazarlar eklemeden önce WordPress’teki kullanıcı rollerini ve yeteneklerini anladığınızdan emin olun.

[Başa Dön ↑]

WordPress Hosting’in Rolünü Anlayın

WP Engine WordPress Hosting Homepage

WordPress barındırma hizmetiniz, WordPress sitenizin güvenliğinde en önemli rolü oynar. Hostinger, Bluehost veya SiteGround gibi iyi bir paylaşımlı barındır ma sağlayıcısı, sunucularını yaygın tehditlere karşı korumak için ekstra önlemler alır.

İşte iyi web hosting şirketlerinin web sitelerinizi ve verilerinizi korumak için arka planda çalıştığı birkaç yol:

  • Şüpheli faaliyetler için ağlarını sürekli olarak izlerler.
  • Tüm iyi hosting şirketlerinin büyük ölçekli DDoS saldırılarını önlemek için araçları vardır.
  • Bilgisayar korsanlarının eski bir sürümdeki bilinen bir güvenlik açığından yararlanmasını önlemek için sunucu yazılımlarını, PHP sürümlerini ve donanımlarını güncel tutarlar.
  • Büyük bir kaza durumunda verilerinizi korumalarına olanak tanıyan, kullanıma hazır felaket kurtarma ve kaza planlarına sahiptirler.

Paylaşımlı bir barındırma planında, sunucu kaynaklarını diğer birçok müşteriyle paylaşırsınız. Bir bilgisayar korsanının web sitenize saldırmak için komşu bir siteyi kullanabileceği siteler arası bulaşma riski vardır.

Buna karşın, yönetilen bir WordPress barındırma hizmeti kullanmak web siteniz için daha güvenli bir platform sağlar. Yönetilen WordPress barındırma şirketleri, web sitenizi korumak için otomatik yedeklemeler, otomatik WordPress güncellemeleri ve daha gelişmiş güvenlik yapılandırmaları sunar

Tercih ettiğimiz yönetimli WordPress barındırma sağlayıcısı olarak WP Engine ‘i öneriyoruz. Ayrıca sektördeki en popüler sağlayıcıdır.

Özel WP Engine kuponumuzu kullanarak en iyi teklifi aldığınızdan emin olun.

[Başa Dön ↑]

Birkaç Kolay Adımda WordPress Güvenliği (Kodlama Yok)

WordPress güvenliğini artırmanın yeni başlayanlar için, özellikle de teknik bilginiz yoksa, korkutucu bir düşünce olabileceğini biliyoruz. Tahmin edin ne oldu – yalnız değilsiniz.

Binlerce WordPress kullanıcısına WordPress güvenliklerini güçlendirmelerinde yardımcı olduk.

Size WordPress güvenliğinizi sadece birkaç tıklama ile nasıl geliştirebileceğinizi göstereceğiz (kodlama gerekmez).

Eğer işaretle ve tıkla yapabiliyorsanız, bunu da yapabilirsiniz!

1. Bir WordPress Yedekleme Çözümü Kurun

WordPress Backup

Yedekler herhangi bir WordPress saldırısına karşı ilk savunmanızdır. Unutmayın, hiçbir şey %100 güvenli değildir. Eğer devlet siteleri hacklenebiliyorsa, sizinki de hacklenebilir.

Yedeklemeler, kötü bir şey olması durumunda WordPress sitenizi hızlı bir şekilde geri yüklemenizi sağlar.

Kullanabileceğiniz birçok ücretsiz ve ücretli WordPress yedekleme eklentisi vardır. Yedekleme konusunda bilmeniz gereken en önemli şey, tam site yedeklerini düzenli olarak uzak bir konuma (hosting hesabınıza değil) kaydetmeniz gerektiğidir.

Amazon, Dropbox gibi bir bulut hizmetinde veya Stash gibi özel bulutlarda saklamanızı öneririz.

Web sitenizi ne sıklıkta güncellediğinize bağlı olarak, ideal ayar günde bir kez veya gerçek zamanlı yedeklemeler olabilir.

Neyse ki bu işlem Duplicator, UpdraftPlus veya BlogVault gibi eklentiler kullanılarak kolayca yapılabilir. Her ikisi de güvenilirdir ve en önemlisi kullanımı kolaydır (kodlama gerektirmez).

Daha fazla ayrıntı için WordPress web sitenizi nasıl yedekleyeceğinize ilişkin kılavuzumuza bakın.

[Başa Dön ↑]

Saygın Bir WordPress Güvenlik Eklentisi Yükleyin

Yedeklemelerden sonra yapmamız gereken bir sonraki şey, web sitenizde olan her şeyi takip eden bir denetim ve izleme sistemi kurmaktır.

Buna dosya bütünlüğü izleme, başarısız oturum açma girişimleri, kötü amaçlı yazılım taraması ve daha fazlası dahildir.

Neyse ki Sucuri gibi en iyi WordPress güvenlik eklentilerinden birini yükleyerek bu sorunu kolayca çözebilirsiniz.

Ücretsiz Sucuri Security eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için lütfen WordPress eklentisi yükleme ile ilgili adım adım kılavuzumuza bakın.

Şimdi, eklentinin WordPress kodunuzda herhangi bir sorun bulup bulmadığını görmek için Sucuri Security ” Dashboard ‘a gidebilirsiniz.

Setting up the Sucuri WordPress security plugin

Yapmanız gereken bir sonraki şey Sucuri Security ” Ayarlar sayfasına gitmek ve ‘Sertleştirme’ sekmesine tıklamak.

Varsayılan ayarlar çoğu web sitesi için iyi çalışır, bu nedenle devam edebilir ve her seçenek için ‘Güçlendirmeyi Uygula’ düğmesine tıklayarak bunları etkinleştirebilirsiniz.

Hardening your WordPress blog or website

Bu, bilgisayar korsanlarının saldırılarında sıklıkla kullandıkları kilit alanları kilitlemenize yardımcı olur.

İpucu: Bu makalenin ilerleyen bölümlerinde veritabanı önekini ve yönetici kullanıcı adını değiştirmek gibi web sitenizi güçlendirmenin diğer yollarını ele alacağız. Ancak bunlar daha tekniktir ve kodlama bilgisi gerektirebilir.

Sertleştirme kısmından sonra, eklentinin diğer varsayılan ayarları çoğu web sitesi için yeterince iyidir ve herhangi bir değişiklik gerektirmez.

Özelleştirmenizi önerdiğimiz tek şey, ayarlar sayfasının ‘Uyarılar’ sekmesinde bulunabilen e-posta uyarılarıdır.

Customizing your website's security alerts

Varsayılan olarak, gelen kutunuzu karıştırabilecek çok sayıda e-posta uyarısı alırsınız.

Uyarıları yalnızca eklenti değişiklikleri ve yeni kullanıcı kayıtları gibi haberdar olmak istediğiniz önemli eylemler için etkinleştirmenizi öneririz.

Customizing your WordPress security notifications

Bu WordPress güvenlik eklentisi çok güçlüdür, bu nedenle kötü amaçlı yazılım taraması, denetim günlükleri, başarısız giriş denemesi izleme ve daha fazlası gibi yaptığı her şeyi görmek için tüm sekmelere ve ayarlara göz atın.

Daha fazla bilgi için detaylı Sucuri incelememize bakabilirsiniz.

Bir Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirin

Sitenizi korumanın ve WordPress güvenliğinizden emin olmanın en kolay yolu bir web uygulaması güvenlik duvarı (WAF) kullanmaktır.

Bir web sitesi güvenlik duvarı, tüm kötü niyetli trafiği web sitenize ulaşmadan önce engeller.

  • DNS düzeyinde bir web sitesi güvenlik duvarı, web sitesi trafiğinizi bulut proxy sunucuları üzerinden yönlendirir. Bu, web sunucunuza yalnızca gerçek trafik göndermesini sağlar.
  • Uygulama düzeyinde bir güvenlik duvarı trafiği sunucunuza ulaştığında ancak çoğu WordPress komut dosyasını yüklemeden önce inceler. Bu yöntem, sunucu yükünü azaltmada DNS düzeyindeki güvenlik duvarı kadar etkili değildir.

Daha fazla bilgi edinmek için en iyi WordPress güvenlik duvarı eklentileri listemize bakın.

How website firewall blocks attacks

WPBeginner’da uzun yıllar Sucuri kullandık ve hala WordPress için en iyi web uygulaması güvenlik duvarlarından biri olarak tavsiye ediyoruz. Yakın zamanda Sucuri’den Cloudflare’e geçtik çünkü kurumsal müşterilere daha fazla odaklanan özelliklere sahip daha büyük bir CDN ağına ihtiyacımız vardı.

Sucuri’nin bir ayda 450.000 WordPress saldırısını engellememize nasıl yardımcı olduğunu okuyabilirsiniz.

Attacks blocked by Sucuri

Sucuri’nin güvenlik duvarının en iyi yanı, aynı zamanda kötü amaçlı yazılım temizleme ve kara liste kaldırma garantisi ile birlikte gelmesidir. Bu, onların gözetimi altında saldırıya uğrarsanız, kaç sayfanız olursa olsun web sitenizi düzeltmeyi garanti ettikleri anlamına gelir.

Bu oldukça güçlü bir garantidir çünkü saldırıya uğramış web sitelerini onarmak pahalıdır. Güvenlik uzmanları normalde saat başına 250 dolardan fazla ücret alırken, Sucuri güvenlik yığınının tamamını bir yıl boyunca 199 dolara alabilirsiniz.

Bununla birlikte, Sucuri piyasadaki tek DNS seviyesinde güvenlik duvarı sağlayıcısı değildir. Diğer popüler rakip Cloudflare’dir. Sucuri ve Cloudflare karşılaştırmamıza bakın (Artıları ve Eksileri).

[Başa Dön ↑]

WordPress Sitenizi SSL/HTTPS’ye Taşıyın

SSL (Secure Sockets Layer), web siteniz ile kullanıcının tarayıcısı arasındaki veri aktarımını şifreleyen bir protokoldür. Bu şifreleme, birisinin etrafı koklamasını ve bilgi çalmasını zorlaştırır.

How SSL Works

SSL’i etkinleştirdiğinizde, web sitesi adresiniz HTTP yerine HTTPS kullanacaktır. Ayrıca tarayıcıda web sitesi adresinizin yanında bir asma kilit veya benzer bir simge işareti göreceksiniz.

SSL sertifikaları genellikle sertifika yetkilileri tarafından verilir ve fiyatları her yıl 80 dolardan başlayıp yüzlerce dolara kadar çıkar. Ek maliyet nedeniyle, geçmişte çoğu web sitesi sahibi güvensiz protokolü kullanmaya devam etmeyi tercih etti.

Bunu düzeltmek için Let’s Encrypt adlı kar amacı gütmeyen bir kuruluş web sitesi sahiplerine ücretsiz SSL Sertifikaları sunmaya karar verdi. Projeleri Google Chrome, Facebook, Mozilla ve daha birçok şirket tarafından desteklenmektedir.

Tüm WordPress web siteleriniz için SSL kullanmaya başlamak her zamankinden daha kolay. Birçok hosting şirketi artık WordPress web siteniz için ücretsiz bir SSL sertifikası sunuyor.

Hosting şirketiniz sunmuyorsa, Domain.com‘dan bir SSL sertifikası satın alabilirsiniz. Piyasadaki en iyi ve en güvenilir SSL fırsatlarına sahiptirler. Sertifika 10.000 $ güvenlik garantisi ve TrustLogo güvenlik mührü ile birlikte gelir.

Şimdiye kadar bahsettiğimiz her şeyi yaparsanız, o zaman oldukça iyi durumdasınız demektir.

Ancak her zaman olduğu gibi, WordPress güvenliğinizi güçlendirmek için yapabileceğiniz daha çok şey var.

Bu adımlardan bazılarının kodlama bilgisi gerektirebileceğini unutmayın.

Varsayılan Yönetici Kullanıcı Adını Değiştirme

Eski günlerde, varsayılan WordPress yönetici kullanıcı adı ‘admin’ idi. Kullanıcı adları oturum açma kimlik bilgilerinin yarısını oluşturduğundan, bu durum bilgisayar korsanlarının kaba kuvvet saldırıları yapmasını kolaylaştırıyordu.

Neyse ki WordPress bunu değiştirdi ve artık WordPress’i yüklerken özel bir kullanıcı adı seçmenizi gerektiriyor.

Ancak bazı tek tıkla WordPress yükleyicileri varsayılan yönetici kullanıcı adını hala ‘admin’ olarak ayarlamaktadır. Eğer durumun böyle olduğunu fark ederseniz, muhtemelen web hostinginizi değiştirmek iyi bir fikir olacaktır.

WordPress varsayılan olarak kullanıcı adlarını değiştirmenize izin vermediğinden, kullanıcı adını değiştirmek için kullanabileceğiniz üç yöntem vardır.

  1. Yeni bir yönetici kullanıcı adı oluşturun ve eskisini silin.
  2. Kullanıcı Adı Değiştirici eklentisini kullanın
  3. phpMyAdmin’den kullanıcı adını güncelleme

Bunların üçünü de WordPress kullanıcı adınızı nasıl değiştireceğinize ilişkin ayrıntılı kılavuzumuzda ele aldık.

Not: Açık olmak gerekirse, bazen ‘admin’ olarak da adlandırılan yönetici kullanıcı rolünü değil, ‘admin’ adlı kullanıcı adını değiştirmekten bahsediyoruz.

[Başa Dön ↑]

Dosya Düzenlemeyi Devre Dışı Bırak

WordPress, tema ve eklenti dosyalarınızı doğrudan WordPress yönetici alanınızdan düzenlemenize olanak tanıyan yerleşik bir kod düzenleyiciyle birlikte gelir.

Yanlış ellerde bu özellik bir güvenlik riski oluşturabilir, bu nedenle kapatmanızı öneririz.

Adding custom CSS in a child theme's stylesheet in the theme file editor

Aşağıdaki kodu wp-config.php dosyanıza ekleyerek veya WPCode gibi bir kod parçacığı eklentisiyle (önerilir) bunu kolayca yapabilirsiniz:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Bunu nasıl yapacağınızı WordPress yönetici panelinden tema ve eklenti düzenleyicilerini devre dışı bırakma kılavuzumuzda adım adım gösteriyoruz.

Alternatif olarak, yukarıda bahsedilen ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.

[Başa Dön ↑]

Belirli WordPress Dizinlerinde PHP Dosyası Yürütmeyi Devre Dışı Bırakma

WordPress güvenliğinizi güçlendirmenin bir başka yolu da /wp-content/uploads/ gibi ihtiyaç duyulmayan dizinlerde PHP dosyalarının çalıştırılmasını devre dışı bırakmaktır.

Bunu Notepad gibi bir metin düzenleyici açıp bu kodu yapıştırarak yapabilirsiniz:

<Files *.php>
deny from all
</Files>

Ardından, bu dosyayı .htaccess olarak kaydetmeniz ve bir FTP istemcisi kullanarak web sitenizdeki /wp-content/uploads/ klasörüne yüklemeniz gerekir.

Daha ayrıntılı bir açıklama için, belirli WordPress dizinlerinde PHP çalıştırmayı devre dışı bırakma kılavuzumuza bakın.

Alternatif olarak, yukarıda bahsettiğimiz ücretsiz Sucuri eklentisindeki Sertleştirme özelliğini kullanarak bunu tek tıklamayla yapabilirsiniz.

[Başa Dön ↑]

Oturum Açma Girişimlerini Sınırla

WordPress varsayılan olarak kullanıcıların istedikleri kadar giriş yapmayı denemelerine izin verir. Bu da WordPress sitenizi kaba kuvvet saldırılarına karşı savunmasız bırakır. Bu, bilgisayar korsanlarının farklı kombinasyonlarla giriş yapmayı deneyerek şifreleri kırmaya çalıştığı yerdir.

Bu, bir kullanıcının yapabileceği başarısız giriş denemelerini sınırlandırarak kolayca düzeltilebilir. Daha önce bahsedilen web uygulaması güvenlik duvarını kullanıyorsanız, bu otomatik olarak halledilir.

Ancak, güvenlik duvarınız kurulu değilse, aşağıdaki adımları kullanarak devam edebilirsiniz.

Öncelikle, ücretsiz Limit Login Attempts Reloaded eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.

Etkinleştirmenin ardından eklenti, kullanıcıların giriş denemelerinin sayısını sınırlamaya başlayacaktır.

Varsayılan ayarlar çoğu web sitesi için işe yarayacaktır, ancak Ayarlar ” Oturum Açma Girişimlerini Sınırla sayfasını ziyaret edip üstteki ‘Ayarlar’ sekmesine tıklayarak bunları özelleştirebilirsiniz. Örneğin, GDPR yasalarına uymak için ‘GDPR uyumluluğu’ onay kutusunu tıklayabilirsiniz.

Limit Login Attempts

Ayrıntılı talimatlar için WordPress’te giriş denemelerini nasıl ve neden sınırlandırmanız gerektiğine ilişkin kılavuzumuza göz atın.

[Başa Dön ↑]

İki Faktörlü Kimlik Doğrulama (2FA) Ekleme

İki faktörlü kimlik doğrulama yöntemi, kullanıcıların oturum açması için 2 farklı adım gerektirir:

  1. İlk adım kullanıcı adı ve paroladır.
  2. İkinci adım, akıllı telefonunuz gibi bilgisayar korsanlarının erişemeyeceği bir cihazdan veya uygulamadan bir kod kullanmanızı gerektirir.

Google, Facebook ve Twitter gibi en iyi çevrimiçi web sitelerinin çoğu, hesaplarınız için bunu etkinleştirmenize izin verir. Aynı işlevi WordPress sitenize de ekleyebilirsiniz.

İlk olarak, WP 2FA – İki Faktörlü Kimlik Doğrulama eklentisini yüklemeniz ve etkinleştirmeniz gerekir. Daha fazla ayrıntı için, bir WordPress eklentisinin nasıl kurulacağına ilişkin adım adım kılavuzumuza bakın.

Kullanıcı dostu bir sihirbaz eklentiyi kurmanıza yardımcı olacak ve ardından size bir QR kodu verilecektir.

Use Your Authenticator App to Scan the QR Code

Telefonunuzda Google Authenticator, Authy ve LastPass Authenticator gibi bir kimlik doğrulayıcı uygulaması kullanarak QR kodunu taramanız gerekecektir.

LastPass Authenticator veya Authy kullanmanızı öneririz çünkü hesaplarınızı buluta yedeklemenize izin verirler. Bu, telefonunuzun kaybolması, sıfırlanması veya yeni bir telefon almanız durumunda çok kullanışlıdır. Tüm hesap girişleriniz kolayca geri yüklenecektir.

Bu uygulamaların çoğu benzer şekilde çalışır ve Authy kullanıyorsanız, kimlik doğrulayıcı uygulamasındaki ‘+’ veya ‘Hesap ekle’ düğmesine tıklamanız yeterlidir.

Click the + Button to Add an Account

Bu, telefonunuzun kamerasını kullanarak bilgisayarınızdaki QR kodunu taramanıza izin verecektir. Öncelikle uygulamaya kameraya erişim izni vermeniz gerekebilir.

Hesaba bir isim verdikten sonra kaydedebilirsiniz.

Web sitenize bir sonraki girişinizde, şifrenizi girdikten sonra sizden iki faktörlü kimlik doğrulama kodu istenecektir.

Users Must Enter an Authentication Code Before Logging In

Telefonunuzdaki kimlik doğrulayıcı uygulamasını açtığınızda tek seferlik bir kod göreceksiniz.

Daha sonra oturum açma işlemini tamamlamak için kodu web sitenize girebilirsiniz.

Find Your 2FA Token

[Başa Dön ↑]

WordPress Veritabanı Önekini Değiştirme

Varsayılan olarak WordPress, WordPress veritabanınızdaki tüm tablolar için önek olarak wp_ kullanır.

WordPress siteniz varsayılan veritabanı önekini kullanıyorsa, bilgisayar korsanlarının tablo adınızın ne olduğunu tahmin etmesini kolaylaştırır. Bu yüzden değiştirmenizi öneririz.

Güvenliği artırmak için WordPress veritabanı önekinin nasıl değiştirileceğine ilişkin adım adım eğitimimizi izleyerek veritabanı önekinizi değiştirebilirsiniz.

Not: Veritabanı önekinin değiştirilmesi düzgün yapılmazsa sitenizi bozabilir. Bunu yalnızca kodlama becerileriniz konusunda kendinizi rahat hissediyorsanız yapın.

[Başa Dön ↑]

WordPress Yönetici ve Giriş Sayfasını Parola ile Koruma

Password protect WordPress admin example

Normalde, bilgisayar korsanları wp-admin klasörünüzü ve giriş sayfanızı herhangi bir kısıtlama olmaksızın talep edebilir. Bu, bilgisayar korsanlığı hilelerini denemelerine veya DDoS saldırıları gerçekleştirmelerine olanak tanır.

Sunucu tarafı düzeyinde ek parola koruması ekleyerek bu istekleri etkili bir şekilde engelleyebilirsiniz.

WordPress yönetici (wp-admin) dizininizi nasıl parola ile koruyacağınıza ilişkin adım adım talimatlarımızı izlemeniz yeterlidir.

[Başa Dön ↑]

Dizin İndeksleme ve Taramayı Devre Dışı Bırakma

Directory Browsing

Web sitenizin klasörlerinden birinin adresini bir web tarayıcısına yazdığınızda, varsa index.html adlı web sayfası gösterilir. Eğer yoksa, bunun yerine o klasördeki dosyaların bir listesi gösterilir. Bu, dizin taraması olarak bilinir.

Dizin taraması, bilgisayar korsanları tarafından bilinen güvenlik açıklarına sahip herhangi bir dosyanız olup olmadığını öğrenmek için kullanılabilir, böylece erişim elde etmek için bu dosyalardan yararlanabilirler.

Dizin taraması diğer kişiler tarafından dosyalarınıza bakmak, görüntüleri kopyalamak, dizin yapınızı ve diğer bilgileri bulmak için de kullanılabilir. Bu nedenle dizin indeksleme ve taramayı kapatmanız şiddetle tavsiye edilir.

FTP veya barındırma sağlayıcınızın dosya yöneticisini kullanarak web sitenize bağlanmanız gerekir. Ardından, web sitenizin kök dizininde .htaccess dosyasını bulun. Dosyayı orada göremiyorsanız, WordPress’te .htaccess dosyasını neden göremediğinize ilişkin kılavuzumuza bakın.

Bundan sonra, .htaccess dosyasının sonuna aşağıdaki satırı eklemeniz gerekir:

Seçenekler -İndeksler

.htaccess dosyasını kaydetmeyi ve sitenize geri yüklemeyi unutmayın.

Bu konu hakkında daha fazla bilgi için WordPress’te dizin taramayı devre dışı bırakma makalemize bakın.

[Başa Dön ↑]

WordPress’te XML-RPC’yi devre dışı bırakma

XML-RPC, WordPress sitenizi web ve mobil uygulamalarla bağlamanıza yardımcı olan temel bir WordPress API’sidir. WordPress 3.5’ten beri varsayılan olarak etkinleştirilmiştir.

Ancak, güçlü yapısı nedeniyle XML-RPC, kaba kuvvet saldırılarını önemli ölçüde artırabilir.

Örneğin, bir bilgisayar korsanı geleneksel olarak web sitenizde 500 farklı parola denemek isterse, 500 ayrı giriş denemesi yapması gerekir. Bu durum Limit Login Attempts Reloaded eklentisi tarafından yakalanabilir ve engellenebilir.

Ancak XML-RPC ile bir bilgisayar korsanı system.multicall işlevini kullanarak örneğin 20 veya 50 istekle binlerce parola deneyebilir.

Bu nedenle XML-RPC kullanmıyorsanız, devre dışı bırakmanızı öneririz.

WordPress’te XML-RPC’yi devre dışı bırakmanın 3 yolu vardır ve bunların hepsini WordPress’te XML-RPC’yi devre dışı bırakmaya ilişkin adım adım eğitimimizde ele aldık.

İpucu:.htaccess yöntemi en iyi yöntemdir çünkü en az kaynak yoğun olanıdır. Diğer yöntemler yeni başlayanlar için daha kolaydır.

Alternatif olarak, daha önce bahsettiğimiz gibi bir web uygulaması güvenlik duvarı (WAF) kullanıyorsanız bu otomatik olarak halledilir.

[Başa Dön ↑]

WordPress’te Boşta Kalan Kullanıcıların Oturumunu Otomatik Olarak Kapatma

Oturum açan kullanıcılar bazen ekrandan uzaklaşabilir ve bu bir güvenlik riski oluşturur. Birisi oturumlarını ele geçirebilir, parolalarını değiştirebilir veya hesaplarında değişiklik yapabilir.

Bu nedenle birçok bankacılık ve finans sitesi aktif olmayan bir kullanıcının oturumunu otomatik olarak kapatır. WordPress sitenizde de benzer bir işlevsellik kurabilirsiniz.

Inactive Logout eklentisini yüklemeniz ve etkinleştirmeniz gerekecektir. Etkinleştirmenin ardından, oturum kapatma ayarlarını özelleştirmek için Ayarlar “ Etkin Olmayan Oturum Kapatma sayfasını ziyaret edin.

Logout idle users

Sadece süreyi ayarlayın ve bir oturum kapatma mesajı ekleyin. Ardından, ayarlarınızı saklamak için sayfanın altındaki ‘Değişiklikleri Kaydet’ düğmesine tıklamayı unutmayın.

Adım adım talimatlar için lütfen WordPress’te boşta kalan kullanıcıların oturumunu otomatik olarak kapatma hakkındaki kılavuzumuza bakın.

[Başa Dön ↑]

WordPress Giriş Ekranına Güvenlik Soruları Ekleme

WordPress giriş ekranınıza bir güvenlik sorusu eklemek, birinin yetkisiz erişim elde etmesini daha da zorlaştırır.

İki Faktörlü Kimlik Doğrul ama eklentisini yükleyerek güvenlik soruları ekleyebilirsiniz. Etkinleştirmenin ardından, eklentinin ayarlarını yapılandırmak için Multi-factor Authentication ” Two Factor sayfasını ziyaret etmeniz gerekir.

Bu, sitenize güvenlik soruları da dahil olmak üzere çeşitli iki faktörlü kimlik doğrulama türleri eklemenize olanak tanır.

Adding Security Questions to WordPress Login

Daha ayrıntılı talimatlar için WordPress giriş ekranına güvenlik sorularının nasıl ekleneceğine ilişkin eğitimimize bakın.

[Başa Dön ↑]

WordPress’i Kötü Amaçlı Yazılımlara ve Güvenlik Açıklarına Karşı Tarayın

Malware Scan

Yüklü bir WordPress güvenlik eklentiniz varsa, kötü amaçlı yazılımları ve güvenlik ihlali belirtilerini rutin olarak kontrol edecektir.

Ancak, web sitesi trafiğinde veya arama sıralamasında ani bir düşüş görürseniz, kötü amaçlı yazılımları manuel olarak taramak isteyebilirsiniz. Bunu WordPress güvenlik eklentinizi veya en iyi kötü amaçlı yazılım ve güvenlik tarayıcılarından birini kullanarak yapabilirsiniz.

Bu çevrimiçi taramaları çalıştırmak oldukça basittir. Sadece web sitenizin URL’sini giriyorsunuz ve tarayıcıları bilinen kötü amaçlı yazılımları ve zararlı kodları aramak için web sitenizi tarıyor.

Çoğu WordPress güvenlik tarayıcısının yalnızca sitenizde kötü amaçlı yazılım olup olmadığı konusunda sizi uyarabileceğini unutmayın. Kötü amaçlı yazılımı kaldıramaz veya saldırıya uğramış bir WordPress sitesini temizleyemezler.

Bu da bizi bir sonraki bölüme, kötü amaçlı yazılımları ve saldırıya uğramış WordPress sitelerini temizlemeye getiriyor.

[Başa Dön ↑]

Saldırıya Uğramış WordPress Sitesini Düzeltme

Birçok WordPress kullanıcısı, web siteleri saldırıya uğrayana kadar yedeklemenin ve web sitesi güvenliğinin öneminin farkına varmaz.

Bilgisayar korsanları etkilenen sitelere arka kapılar yükler ve bu arka kapılar düzgün bir şekilde düzeltilmezse, web siteniz muhtemelen tekrar saldırıya uğrayacaktır.

Maceraperest ve kendin yap kullanıcıları için, saldırıya uğramış bir WordPress sitesini düzeltmek için adım adım bir kılavuz derledik.

Ancak bir WordPress sitesini temizlemek çok zor ve zaman alıcı olabilir. Tavsiyemiz, bu işi bir profesyonele bırakmanız olacaktır.

Yukarıda bahsettiğimiz Sucuri güvenlik eklentisini kullanmak için ödeme yapıyorsanız, saldırıya uğramış site onarımı fiyata dahildir.

WPBeginner Pro Services saldırıya uğramış site onarım hizmetini de kullanabilirsiniz. Tek seferlik 249 $ ödeme gerektiren bu hizmet, premium dosya belirleme, kötü amaçlı kod kaldırma, yazılım ve güvenlik güncellemeleri ve temizlenmiş bir site yedeklemesi içerir.

WPBeginner Pro Services Hacked Site Repair

Sitenizi düzeltmeyi veya paranızı geri vermeyi garanti ediyoruz. Ayrıca web sitenizi onarımdan sonra 30 gün boyunca koruyoruz, bu nedenle bu süre zarfında tekrar saldırıya uğrarsanız, düzeltmek için orada olacağız.

WordPress web sitelerini 10 yılı aşkın süredir temizliyor ve güvenliğini sağlıyoruz, bu nedenle Hacklenmiş Site Onarım hizmetimizi kullandığınızda içiniz rahat olacak.

[Başa Dön ↑]

Bonus İpucu: Bir WordPress Bakım Hizmeti Kiralayın

Yoğun bir küçük işletme sahibi olarak, web sitenizin güvenliğini izlemek ve güvenlik açıklarından korumak için zamanınız olmayabilir. Bu nedenle, zihninizi rahatlatmak ve iş yükünüzü hafifletmek için, 7/24 güvenlik izleme için bir WordPress bakım hizmeti kiralayabilirsiniz.

WPBeginner Pro Services, uygun bir fiyata kapsamlı WordPress web sitesi bakımı sunar. Güvenlik izleme, rutin bulut yedeklemeleri, WordPress güncellemeleri, çalışma süresi izleme ve çok daha fazlasını içerir.

WPBeginner WordPress website maintenance service

İhtiyaçlarınıza uygun bir aylık bakım hizmeti paketi seçerek daha güvenli bir WordPress sitesine ve işinizin diğer yönleri üzerinde çalışmak için ekstra boş zamana sahip olursunuz.

Başka öneriler de isterseniz, WordPress için en iyi web sitesi bakım hizmetleri seçimlerimizi görebilirsiniz.

[Başa Dön ↑]

Umarız bu makale WordPress güvenliği için en iyi uygulamaları öğrenmenize ve web siteniz için en iyi WordPress güvenlik eklentilerini keşfetmenize yardımcı olmuştur. SEO sıralamanızı iyileştirmek için nihai WordPress SEO kılavuzumuzu ve WordPress’i nasıl hızlandıracağınıza dair uzman ipuçlarımızı da görmek isteyebilirsiniz.

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

Ultimate WordPress Araç Kiti

Araç setimize ÜCRETSİZ erişim sağlayın - her profesyonelin sahip olması gereken WordPress ile ilgili ürün ve kaynaklardan oluşan bir koleksiyon!

Açıklama: İçeriğimiz okuyucu desteklidir. Bu, bazı bağlantılarımıza tıklarsanız komisyon kazanabileceğimiz anlamına gelir. WPBeginner'ın nasıl finanse edildiğini, neden önemli olduğunu ve nasıl destek olabileceğinizi görün. İşte editoryal sürecimiz.

164 yorumBir Cevap Bırakın

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Mrteesurez says

    No serious business will underestimate the power of security concerning websites specifically WordPress. It’s popularity make it a center of focus for hackers.
    I advise newly installed WordPress sites to firstly implement most of these security measures before launching or begin operation.

  3. Kushal Phalak says

    Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.

    • Moinuddin Waheed says

      I have been in the similar sitution where I was working for a reputed institue website.
      After making everything final, the director asked me date so that he can schedule a press release.
      I confidently suggested him a particualr date and before the schedule date,
      my website got corrupted and unfortunately I didn’t have any backup plan ready.
      I was completely screwed up and worked the whole day trying to restore to the previous working
      like condition.
      I think it is necessary that we give heed to each detail related to security.

  4. Ayanda Temitayo says

    Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login

    I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.

    What’s your opinion about changing the default login route?

  5. al amin Sheikh says

    Two important things in a website – Performance and Security.
    Nicely explained how we can protect our site from hackers. Thanks, WPB.

    • Moinuddin Waheed says

      Rightly said about the two most important thing of any website.
      security and performance.
      I think in case of wordpress, these two to a great extent can be achieved through good hosting provider and with the use of good themes and plugins.
      Most of the time, a wrong plugin can cause security loophole without you even noticing it.
      of course, other aspects are equally important to consider.

  6. mohadese esmaeeli says

    Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.

    • WPBeginner Support says

      Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer :)

      Yönetici

  7. Fajri says

    Whoa, the method to Disable XML-RPC in WordPress is totally new for me.

    I am gonna try to applicate it to add more security for my websites. Thanks for this information team!

  8. Murad Prodhan says

    WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.

  9. Jiří Vaněk says

    This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.

  10. Etop Udoekene says

    Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
    I am really grateful.

    • WPBeginner Support says

      You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.

      Yönetici

  11. Mark Ellsworth says

    Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.

  12. Ifakayode Femi says

    I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way

    Thanks for taking your time to compose this
    Thanks a million times

  13. Marko Kozlica says

    Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!

  14. Bob De Maria says

    Hi,
    I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.

    I can’t thank you enough for a very well written and much appreciated tutorial.

    Best Regards,

    Bob De Maria

    • WPBeginner Support says

      Thank you for letting us know, we will be sure to look for an alternative we would recommend :)

      Yönetici

  15. MS says

    Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???

  16. tim jackz says

    Hello team,

    If i install two security plugin in my wordpress website, is there any disadvantages for my website?

    • WPBeginner Support says

      You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.

      Yönetici

  17. Diego says

    My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.

    I don’t quite understands all these different branches of WP.
    Should I still need to upgrade?

  18. Julia says

    So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.

  19. Trisha says

    Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?

    • WPBeginner Support says

      That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.

      Yönetici

    • WPBeginner Support says

      You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.

      Yönetici

  20. Julie Taylor says

    Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?

    • WPBeginner Support says

      No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow :)

      Yönetici

  21. Leanne says

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

  22. Daniel says

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

  23. Mydas says

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients’ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

  24. Splendor Edesiri says

    Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.

  25. Kam says

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

    • WPBeginner Support says

      While some hosts offer backups, we still recommend creating your own backups for safety

      Yönetici

  26. kalmoa says

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‘Disable PHP File Execution’, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

    • WPBeginner Support says

      Thank you for sharing this for the users who specifically are using Nginx for their site.

      Yönetici

  27. Tom says

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

  28. Kartik Satija says

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

  29. Liz says

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    • WPBeginner Support says

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      Yönetici

  30. Gary Starling says

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

  31. Andrei says

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    • WPBeginner Support says

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      Yönetici

      • Andrei says

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

  32. Aqib khan says

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

  33. mahmoud says

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

  34. Krishna says

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

  35. Kushal says

    I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.

Bir Cevap Bırakın

Yorum bırakmayı seçtiğiniz için teşekkür ederiz. Lütfen tüm yorumların yorum poli̇ti̇kasi uyarınca denetlendiğini ve e-posta adresinizin yayımlanmayacağını unutmayın. Ad alanında anahtar kelime KULLANMAYIN. Kişisel ve anlamlı bir sohbet edelim.