WordPress, dünya genelinde web sitelerinin %43'ünden fazlasında kullanılan en popüler içerik yönetim sistemidir. Bu yaygın kullanım, WordPress sitelerini siber saldırganlar için cazip hedefler haline getirir. Bu rehberde, WordPress güvenlik testinizi nasıl yapacağınızı adım adım öğreneceksiniz.
WordPress Güvenlik Testi Neden Önemlidir?
WordPress siteleri, eklentiler, temalar ve çekirdek dosyalardan kaynaklanan güvenlik açıklarına karşı savunmasız olabilir. Düzenli güvenlik testleri, veri sızıntılarını, malware bulaşmasını ve SEO zehirlenmesini önlemenize yardımcı olur. Özellikle e-ticaret ve kurumsal siteler için bu testler hayati önem taşır.
1. Manuel Güvenlik Kontrol Listesi
İlk adım olarak, WordPress yönetim panelinize (wp-admin) giriş yapın ve aşağıdaki kontrolleri yapın. Yönetici kullanıcı adınız "admin" ise hemen değiştirin; bu en yaygın brute force hedefidir. Şifrenizin en az 12 karakter, büyük/küçük harf, rakam ve özel karakter içerdiğinden emin olun.
Eklenti ve Tema Güncellemeleri
Güncel olmayan eklentiler, bilinen güvenlik açıklarının en büyük kaynağıdır. WordPress Dashboard → Güncellemeler bölümünden tüm eklentileri, temaları ve WordPress çekirdeğini güncelleyin. Kullanılmayan eklentileri silin; pasif bile olsa açık bırakılan eklentiler saldırı yüzeyini genişletir.
XML-RPC ve Dosya Düzenleme
XML-RPC protokolü, brute force ve DDoS saldırıları için kullanılabilir. Güvenlik eklentisi ile devre dışı bırakın. Ayrıca wp-config.php dosyasında DISALLOW_FILE_EDIT sabitini true yaparak tema/eklenti düzenlemeyi kapatın.
Dosya İzinleri ve Dizin Listeleme
wp-config.php dosyasının izinleri 400 veya 440 olmalıdır. wp-content/uploads klasöründe PHP çalıştırmayı engelleyin. Dizin listeleme (directory listing) kapalı olmalı; aksi halde saldırganlar hassas dosyaları keşfedebilir. .htaccess ile Options -Indexes ekleyin.
2. Otomatik Güvenlik Taraması
Manuel kontroller yeterli değildir. Profesyonel güvenlik tarama araçları ile sitenizi tarayın. SiteGüvenlikTesti gibi araçlar, SQL Injection, XSS, backdoor tespiti, açık portlar ve daha fazlasını otomatik olarak kontrol eder. Tarama sonuçlarında kritik ve yüksek riskli bulgulara öncelik verin.
3. SSL/TLS ve Başlık Kontrolleri
Sitenizin HTTPS kullandığından ve geçerli bir SSL sertifikasına sahip olduğundan emin olun. Ayrıca güvenlik başlıklarını kontrol edin: X-Frame-Options (tıklama hırsızlığı koruması), X-Content-Type-Options (MIME sniffing önleme), Content-Security-Policy ve Strict-Transport-Security (HSTS).
4. Yedekleme ve İzleme
Güvenlik testi sonrası düzenli yedekleme stratejisi oluşturun. Günlük veritabanı ve haftalık dosya yedekleri alın. Ayrıca dosya bütünlüğü izleme (file integrity monitoring) ile yetkisiz değişiklikleri tespit edin. UpdraftPlus veya BackWPup gibi eklentiler bu işi kolaylaştırır.
5. Güvenlik Eklentileri
Wordfence, Sucuri veya iThemes Security gibi güvenlik eklentileri firewall, malware taraması ve login koruması sağlar. Ancak birden fazla güvenlik eklentisi çakışmaya neden olabilir; yalnızca bir tane kullanın. Two-Factor Authentication (2FA) mutlaka etkinleştirin; bu tek başına brute force saldırılarını büyük ölçüde engeller.
Sonuç olarak, WordPress güvenlik testi tek seferlik bir işlem değil, sürekli bir süreçtir. Aylık taramalar ve güncellemeler, sitenizi güvende tutmanın temelidir. SiteGüvenlikTesti ile WordPress güvenlik analizi modülünü kullanarak sitenizi ücretsiz tarayabilirsiniz.