Paylaşımlı Hosting’de WordPress Güvenliği: Eklentiler, WAF, 2FA ve Yedekler

Paylaşımlı Hosting’de WordPress Güvenliğini Nereye Koymalısınız?

WordPress sitenizi paylaşımlı hosting üzerinde çalıştırıyorsanız, performans kadar güvenliği de aynı ciddiyetle ele almanız gerekiyor. Paylaşımlı bir sunucuda, yüzlerce site aynı kaynakları ve çoğu zaman benzer yazılım yığınını paylaşıyor. Bu, yanlış yapılandırılmış bir eklenti, zayıf bir parola veya güncellenmemiş bir tema yüzünden sadece sizin değil, aynı sunucudaki diğer sitelerin de risk altına girmesi anlamına geliyor.

DCHost tarafında biz, altyapı güvenliğini (işletim sistemi güncellemeleri, sunucu güvenlik duvarı, temel WAF kuralları gibi) üstleniyoruz; ancak WordPress içindeki uygulama katmanı büyük oranda sizin sorumluluğunuzda. Bu yüzden eklenti tercihleriniz, WAF (Web Application Firewall) konfigürasyonunuz, 2FA (iki faktörlü kimlik doğrulama) kullanıp kullanmadığınız ve yedekleme stratejiniz doğrudan saldırıya ne kadar dayanıklı olduğunuzu belirliyor.

Bu rehberde, özellikle paylaşımlı hosting ortamını merkeze alarak şu dört başlığı detaylı şekilde ele alacağız: güvenli eklenti seçimi, WAF katmanının doğru kullanımı, 2FA ile yönetici hesaplarınızı sağlamlaştırmak ve gerçek hayatta işe yarayan yedekleme stratejileri. Amacımız, “sitem hacklenmesin” seviyesini geçip, hacklenseniz bile hızlıca ayağa kaldırabileceğiniz bir yapı kurmanıza yardımcı olmak.

Paylaşımlı Hosting’te Tehdit Modeli: Nereden Darbe Yersiniz?

Önce riskleri netleştirelim ki hangi önlemin neden kritik olduğunu daha rahat görebilin. Paylaşımlı hosting ortamında tipik tehdit yüzeyi şu başlıklarla şekillenir:

• Zayıf ya da eski eklentiler: Güvenlik açığı barındıran bir eklenti, saldırganın doğrudan WordPress içine sızması için en sık kullanılan yoldur.
• Brute-force ve parola tahmin saldırıları: wp-login.php veya XML-RPC üzerinden binlerce kullanıcı/parola denemesi yapılabilir.
• Form ve arama alanlarından gelen kötü niyetli istekler: SQL injection, XSS gibi uygulama katmanı saldırıları özellikle paylaşımlı sunucularda sık görülür.
• Güncellenmeyen çekirdek ve temalar: Eski WordPress sürümleri bilinen açıklar taşıdığı için otomatik tarama yapan botların ilk hedefidir.
• Yanlış dosya izinleri ve zayıf FTP/Panel şifreleri: Sunucuya uzaktan erişim imkânı verdiği için ihlalin etkisini katlar.

Paylaşımlı hosting’te izole konteyner ve kullanıcı başına limitler olsa da, “benim sitem küçük, bana bir şey olmaz” yaklaşımı maalesef işlemez. Otomatik botlar sitenize özel bir kin gütmüyor; sadece interneti tarayıp zayıf halkaları buluyor. Bu yüzden yeni açılan web siteleri için güvenlik check-list’inde anlattığımız gibi ilk günden itibaren doğru temelleri atmak kritik.

Eklenti Seçimi: Güvenliğin İlk Zayıf Halkasını Güçlendirmek

WordPress’in en büyük avantajı zengin eklenti ekosistemi; fakat güvenlik tarafında en büyük risk kaynağı da yine eklentiler. Paylaşımlı hosting ortamında sunucu erişiminiz sınırlı olduğu için yanlış eklenti seçimi sizi gereksiz yere savunmasız bırakabilir.

Çok Eklenti Değil, Doğru Eklenti

Pratikte gördüğümüz en yaygın hata: “Güvenlik için her şeyi kurayım” yaklaşımı. Aynı işi yapan üç farklı güvenlik eklentisi kurulduğunda:

• Çakışan .htaccess ve WAF kuralları yüzünden siteniz hata verebilir.
• Her istek birkaç katman tarafından daha analiz edildiği için siteniz yavaşlar.
• Hangi eklentinin gerçekten işe yaradığını, hangisinin sorun çıkardığını takip etmek zorlaşır.

Yapmanız gereken, rol bazlı bir yaklaşım benimsemek:

• Bir güvenlik sertleştirme eklentisi (dosya bütünlüğü, temel güvenlik ayarları, giriş denemesi kısıtlama vb.).
• Gerekiyorsa, ek olarak bir login koruma veya firewall eklentisi (özellikle harici WAF yoksa).
• Bir önbellekleme eklentisi (güvenlik değil ama performans ve dolaylı güvenlik için önemli).
• Bir yedekleme eklentisi (paylaşımlı hosting yedeklerine ek katman oluşturmak için).

Daha fazlası çoğu zaman gereksiz karmaşa yaratır. Temel güvenlik ayarlarını nasıl sertleştireceğiniz konusunda, WordPress güvenlik sertleştirme kontrol listesi yazımızı mutlaka gözden geçirmenizi öneririz.

Güvenli Eklenti Seçimi için Kontrol Listesi

Eklenti kurmadan önce şu mini kontrol listesini uygulayın:

• Aktif kurulum sayısı: Binlerce – yüz binlerce sitede kullanılan eklentiler genellikle daha hızlı güncellenir ve daha çok denetlenir.
• Son güncelleme tarihi: 1 yıldan uzun süredir güncellenmeyen kritik eklentileri mümkünse kullanmayın.
• Uyumlu WordPress sürümü: Eklentinin, kullandığınız çekirdek sürümü ile uyumlu olduğundan emin olun.
• Geliştirici itibarı: Tanınan geliştiriciler veya şirketler tarafından geliştirilen eklentiler genellikle daha güvenilir olur.
• Aşırı yetki istememesi: Basit bir özellik için dosya sistemi üzerinde geniş yazma/okuma yetkileri isteyen eklentilerden uzak durun.

Ek olarak, güvenlik odaklı eklentilerin log (kayıt) tutma yeteneği çok değerlidir. Bir olay olduğunda geriye dönük hangi IP’den, hangi endpoint’e, ne zaman istek geldiğini inceleyebilmek, hatalardan ders çıkarıp WAF kurallarınızı iyileştirmenize yardımcı olur.

Çakışmaları Önlemek: Hosting ile Eklentinin Rollerini Ayırın

Paylaşımlı hosting’te çoğu zaman zaten sunucu tarafında bir WAF ve brute-force koruması mevcuttur. Aynı işlevi yapan eklentileri üst üste koymak yerine, rolleri şöyle ayırmak daha sağlıklıdır:

• DCHost tarafı: Sunucu WAF kuralları, temel bruteforce engelleme, IP kara listeleme, ModSecurity tarzı imza bazlı filtreleme.
• WordPress eklentisi: Yönetici URL gizleme, özel rol bazlı kurallar, 2FA entegrasyonu, dosya bütünlüğü kontrolü.

Böylece hem performansı korumuş hem de yönetilebilir bir güvenlik mimarisi kurmuş olursunuz.

WAF (Web Application Firewall): Paylaşımlı Ortamda Ek Güvenlik Katmanı

WAF, HTTP/HTTPS trafiğini inceleyip zararlı istekleri uygulamaya ulaşmadan önce filtreleyen bir güvenlik katmanıdır. Paylaşımlı hosting ortamında WAF’ı iki seviyede düşünebilirsiniz:

• Sunucu tarafı WAF: Genellikle ModSecurity + OWASP CRS gibi kurallarla Apache/Nginx seviyesinde çalışır.
• CDN veya DNS tabanlı WAF: Trafik önce bu servise gider, temizlenir, ardından origin sunucuya (hosting hesabınıza) yönlendirilir.

DCHost altyapısında, paketlere göre değişen seviyelerde sunucu tarafı koruma ve WAF kuralları kullanıyoruz. Buna ek olarak, harici bir WAF/CDN servisi kullanıyorsanız, iki katman arasında çakışma yaratmadan birlikte çalışmasını sağlamak önemli.

Paylaşımlı Hosting’te WAF Nasıl Devreye Girer?

Paylaşımlı bir sunucuda WAF şu tip saldırıları hedef alır:

• wp-login.php veya XML-RPC üzerinden yapılan brute-force saldırıları,
• Form alanlarında SQL injection, XSS, LFI/RFI gibi girişimler,
• Bilinen güvenlik açıkları olan eklenti ve temalara yönelik imzalı (signature-based) saldırılar,
• DDoS benzeri, çok yoğun ve tekrarlı istek dalgaları (WAF, temel oran sınırlama ile bir miktar hafifletebilir).

Sunucu tarafında WAF etkinleştirildiğinde, çoğu zaman sizin ekstra bir şey kurmanıza gerek kalmaz. Ancak belli durumlarda istisna tanımlamanız gerekebilir. Örneğin büyük boyutlu JSON POST istekleri alan bir REST endpoint’i veya webhook’larınız varsa, bazı limitleri arttırmak ve yanlış pozitifleri azaltmak gerekir. Bu konuya ModSecurity ve OWASP CRS ile WAF’ı uysallaştırmak yazımızda daha teknik bakış açısıyla değinmiştik.

CDN/WAF ile Sunucu WAF’ını Birlikte Kullanmak

Birçok WordPress sitesi, hem CDN üzerinden sağlanan WAF’ı hem de sunucu tarafındaki WAF katmanını paralel kullanıyor. Burada temel prensip şu:

• CDN tarafında genel bot ve ülke bazlı kısıtlama, DDoS azaltma, oran sınırlama gibi daha üst katman kuralları uygulayın.
• Sunucu tarafında ise uygulama seviyesinde spesifik kuralları (belirli URL’lere özel filtreler, PHP imzaları, dosya yükleme kısıtları vb.) aktif tutun.

CDN WAF kurallarını WordPress’e özel ayarlamak istiyorsanız, WordPress’i botlardan koruyan WAF kuralları ve oran sınırlama rehberimiz adım adım örnekler içeriyor. Aynı zamanda, CDN, ModSecurity ve Fail2ban’i bir arada kullanmanın mantığını anlamak için WAF ve bot korumasını birlikte kurguladığımız yazımız da işin mimari tarafında size fikir verecektir.

Yanlış Pozitifler: Güvenliğin Kullanılabilirlikle İmtihanı

WAF kurallarını ne kadar agresif hale getirirseniz, yanlış pozitif ihtimali de o kadar artar. Form gönderemeyen kullanıcılar, ödeme sayfasında hata alan müşteriler, API çağrıları engellenen üçüncü taraf servisler… Bunların hepsi gerçek dünyada sık karşılaştığımız durumlar.

Sağlıklı bir paylaşımlı hosting/WAF kurulumunda şu pratikleri öneriyoruz:

• Log’ları inceleyin: 403 hatalarının WAF kaynaklı olup olmadığını tespit etmek için erişim ve hata loglarını kontrol edin.
• Gri liste yaklaşımı: Tamamen kapatmak yerine, sorunlu görünen bir kuralı önce sadece log moduna alıp bir süre izleyin.
• URL bazlı istisnalar: Ödeme, webhook, API gibi spesifik endpoint’lere daha esnek kurallar tanımlayın.

Bu ince ayarları DCHost destek ekibiyle birlikte yapmak, paylaşımlı hosting paketlerinizde WAF’tan en iyi verimi almanızı kolaylaştırır.

2FA (İki Faktörlü Kimlik Doğrulama): Yönetici Hesabınızın Emniyet Kemeri

WordPress sitelerinde en çok saldırı alan nokta yönetici hesabıdır. Kullanıcı adı tahmin edilebilir (admin, info, test…) ve parola zayıfsa, en sofistike WAF kurulumları bile yeterli olmaz. Burada 2FA devreye girerek kritik bir güvenlik katmanı ekler.

2FA Nedir, WordPress’te Nasıl Çalışır?

2FA, giriş yaparken sadece kullanıcı adı ve parola değil, ikinci bir doğrulama faktörü daha istemesi anlamına gelir. Bu genellikle:

• Mobil uygulama (Google Authenticator, Authy, Microsoft Authenticator vb.) ile üretilen tek kullanımlık kod,
• SMS ya da e-posta ile gönderilen doğrulama kodu,
• FIDO2 güvenlik anahtarı gibi donanım tabanlı çözümler

şeklinde uygulanır. WordPress tarafında bunu aktif etmek için bir 2FA eklentisi kullanırsınız; yönetici ve editör rollerine zorunlu tutarak, yazar gibi daha düşük rollerde opsiyonel bırakabilirsiniz.

Hangi Hesaplarda 2FA Zorunlu Olmalı?

Pratikte şu yaklaşımı öneriyoruz:

• Tüm admin kullanıcılar: 2FA kesinlikle zorunlu olmalı.
• Editörler: Sitenin içerik bütünlüğü açısından kritikse 2FA tavsiye edilir.
• Abone/müşteri hesapları: Genellikle zorunlu olmasına gerek yok; giriş deneyimini gereksiz zorlaştırabilir.

Aynı mantığı sadece WordPress için değil, hosting paneli ve alan adı hesabınız için de uygulamanızı şiddetle öneriyoruz. Çünkü bir saldırgan alan adı panelinize erişirse, DNS kayıtlarını değiştirerek trafiğinizi kendi sunucusuna yönlendirebilir. Bu konuda alan adı güvenliği ve 2FA rehberimizde adım adım ne yapmanız gerektiğini anlattık.

2FA Kullanırken Dikkat Etmeniz Gerekenler

2FA, yanlış kurulduğunda erişim kaybına da yol açabilir. İşin operasyon tarafında şu noktalara dikkat edin:

• Yedek kodlar: 2FA eklentinizin ürettiği yedek kurtarma kodlarını güvenli bir yerde saklayın.
• En az iki admin: Bir yönetici 2FA cihazını kaybettiğinde, diğer admin panelden ilgili hesabın 2FA ayarını sıfırlayabilsin.
• Cihaz değişim süreci: Telefon değiştirirken 2FA hesaplarını yeni cihaza aktarmayı unutmayın.

Paylaşımlı hosting kullanıyor olmanız 2FA ihtiyacını azaltmaz; tam tersine, aynı IP bloğunda birden fazla WordPress kurulumunun birlikte hedef alınabildiği ortamlarda giriş güvenliği daha da kritik hale gelir.

Yedekleme Stratejileri: Hacklenseniz Bile Panik Yapmamak

Güvenlik dünyasında şu cümleyi çok kullanıyoruz: “Yedek yoksa, güvenlik de yoktur.” En iyi WAF, en sıkı 2FA, en temiz eklenti seçimi bile %100 güvenlik garantisi vermez. Bir gün bir şekilde ihlal yaşandığında, oyunu kurtaran şey, yakın tarihli ve sağlam test edilmiş bir yedek olur.

3-2-1 Kuralı: Paylaşımlı Hosting’e Nasıl Uyar?

Klasik 3-2-1 yedekleme stratejisi şunu söyler:

• 3 kopya: Verinin en az üç kopyası olsun (biri canlı, ikisi yedek).
• 2 farklı ortam: Bu kopyalar en az iki farklı depolama türünde bulunsun (örneğin: hosting sunucusu + harici bulut / lokal disk).
• 1 off-site: En az bir kopya fiziksel olarak farklı bir lokasyonda tutulsun.

Paylaşımlı hosting’te bu stratejiyi şöyle uyarlayabilirsiniz:

• Katman 1: DCHost paylaşımlı hosting yedekleri (paketinize göre günlük / haftalık otomatik yedekler).
• Katman 2: WordPress içinden alınan eklenti tabanlı yedekler (yalnızca veritabanı veya dosyalar + veritabanı).
• Katman 3: cPanel üzerinden indirdiğiniz tam hesap yedeği veya harici bir depoya (S3 uyumlu, bulut, lokal NAS) senkronize ettiğiniz arşivler.

Bu yaklaşımı detaylarıyla anlattığımız 3-2-1 yedekleme stratejisi rehberimiz, sadece WordPress için değil tüm web projeleriniz için uygulanabilir bir çerçeve sunuyor.

Paylaşımlı Hosting’te Otomatik Yedekler ve WordPress Eklentileri

Birçok paylaşımlı hosting paketinde otomatik yedekleme dahil olur; ancak bunun ne sıklıkla ve hangi kapsamda alındığını mutlaka öğrenmelisiniz:

• Sadece dosyalar mı yedekleniyor, yoksa veritabanı da dahil mi?
• Günlük mü, haftalık mı, aylık mı?
• Kaç versiyon geriye gidebiliyorsunuz? (örneğin son 7 gün, son 14 gün)

Buna ek olarak, WordPress içinden çalışan bir yedekleme eklentisi ile veritabanını daha sık (örneğin günde 1–4 kez) yedekleyip, bu yedekleri hosting hesabınızın dışında bir depoya gönderebilirsiniz. Böylece, hem DCHost altyapısındaki otomatik yedeklerden hem de uygulama katmanındaki ek kopyalardan faydalanmış olursunuz.

Bu konuyu, örnek senaryolar ve geri yükleme adımları ile anlattığımız WordPress yedekleme stratejileri yazımızı da okursanız, burada özetlediğimiz mimari kafanızda tamamen oturacaktır.

cPanel Üzerinden Tam Site Yedeği Almak

Paylaşımlı hosting kullanırken elinizde bir de panel bazlı tam yedek olması, felaket senaryolarında hayat kurtarır. cPanel için tipik adımlar şunlardır:

1. cPanel’e giriş yapın.
2. Yedekleme / Backup bölümüne girin.
3. Tam yedek (Full Backup) almayı seçin ve hedef olarak home dizininizi veya doğrudan bir uzak FTP/SFTP sunucusunu belirtin.
4. Yedekleme tamamlandığında, arşiv dosyasını lokal bilgisayarınıza indirin.

cPanel üzerinden tam yedek alma ve geri yükleme adımlarını ekran görüntüleriyle anlattığımız cPanel’de tüm siteyi yedekleme rehberimiz, bu süreci adım adım takip edebilmeniz için hazırlanmış durumda.

Yedeğin Gerçek Değeri: Geri Yükleme Testleri

Henüz test edilmemiş bir yedek, aslında sadece iyi niyetli bir varsayımdır. Şu kontrolleri düzenli olarak yapmanızı tavsiye ederiz:

• Staging ortamında geri yükleme: Yedeği doğrudan canlıya değil, alt alan adı veya ayrı bir klasörde staging ortamına kurup test edin.
• En azından veritabanı testi: Veritabanı yedeğini boş bir veritabanına geri yükleyip hata almadığınızdan emin olun.
• Periyodik kontrol: En azından 3–6 ayda bir tam geri yükleme simülasyonu yapın.

Bu testleri yapmak, hack veya veri kaybı anında soğukkanlı kalıp dakikalar içinde sitenizi geri getirebilmenizi sağlar.

Operasyonel Güvenlik: Güncellemeler, Şifreler ve Staging Ortamı

Güvenliğin önemli bir kısmı teknolojiden değil, operasyon alışkanlıklarınızdan gelir. Paylaşımlı hosting kullanan WordPress sitelerinde özellikle şu üç başlık belirleyici oluyor: güncellemeler, erişim yönetimi ve staging (test) ortamı.

Güncellemeleri Yönetmek: Otomatik mi, Kontrollü mü?

WordPress çekirdeği, güvenlik güncellemelerini çoğu zaman otomatik olarak uygular. Ancak büyük sürüm güncellemeleri ve eklenti/tema güncellemeleri için stratejinizi belirlemeniz gerekiyor:

• Güvenlik güncellemeleri: Çekirdek için otomatik, eklentiler için ise en azından haftalık manuel kontrol öneririz.
• Büyük versiyon atlamaları: Önce staging ortamında test edin, ardından canlıya alın.
• WooCommerce ve kritik eklentiler: Özellikle ödeme alan eklentiler için, güncellemeleri güvenle yapma rehberimizde anlattığımız kontrollü akışı takip edin.

Güncelleme yönetiminde temel hedef, güvenlik açıklarını kapatırken, sitenin işlevselliğini bozmamak. Bu dengeyi sağlamak için staging ortamı neredeyse zorunlu hale geliyor.

Staging Ortamı Kurmak: Canlıyı Bozmadan Deneme Yapmak

Staging, sitenizin birebir kopyasını (dosyalar + veritabanı) ayrı bir alan adı veya alt alan adı altında barındırdığınız test ortamıdır. Burada:

• Yeni tema ve tasarım denemeleri,
• Çekirdek, eklenti ve tema güncellemeleri,
• WAF kural değişiklikleri,
• PHP sürüm yükseltmeleri

gibi riskli işleri ilk önce test edersiniz. cPanel üzerinde staging kurulumunu ve WordPress’i alt alan adında klonlama adımlarını WordPress staging ortamı rehberimizde detaylandırdık. Paylaşımlı hosting’te bile doğru kurgulandığında oldukça güvenli ve pratik bir geliştirme akışı elde edebilirsiniz.

Şifre Yönetimi ve Erişim Politikaları

Basit ama en sık ihlal edilen kurallar genellikle şifre ve erişim tarafında olur:

• Admin kullanıcı adını değiştirin: Varsayılan “admin” veya alan adıyla birebir aynı kullanıcı adlarını kullanmayın.
• Güçlü parola zorunlu kılın: WordPress ve cPanel’de karmaşık parola politikasını aktif edin; parola yöneticisi kullanın.
• Gereksiz hesapları kapatın: Eski çalışan, ajans veya freelance geliştirici hesaplarını yetkileriyle birlikte kaldırın.
• FTP yerine SFTP/SSH kullanın: Mümkünse şifre yerine SSH anahtarıyla oturum açın.

Paylaşımlı hosting’te aynı kullanıcı hesabı altında birden çok site barındırıyorsanız, her proje için ayrı WordPress admin hesapları oluşturmaya önem verin. Böylece bir sitedeki ihlal, diğerinin yönetici paneline otomatik olarak sıçramaz.

DCHost Perspektifinden Özet ve Yol Haritası

Paylaşımlı hosting üzerinde WordPress çalıştırmak, doğru kurgulandığında hem maliyet-etkin hem de güvenli bir çözüm olabilir. Bunun için güvenliği üç katmanda düşünmenizi öneriyoruz:

• Altyapı katmanı (DCHost): Sunucu güvenliği, temel WAF kuralları, işletim sistemi ve PHP güncellemeleri, otomatik yedekleme altyapısı.
• Uygulama katmanı (WordPress): Güvenli eklenti seçimi, 2FA, doğru dosya izinleri, güncellemelerin düzenli ve kontrollü yapılması.
• Operasyon katmanı (siz ve ekibiniz): Şifre politikaları, yedek testleri, staging kullanımı, log takibi ve olay müdahale planı.

Bu yazıda özellikle dört başlığa odaklandık: eklenti seçimiyle güvenlik açığı yüzeyini daraltmak, WAF ile istekleri filtrelemek, 2FA ile yönetici hesaplarınızı sağlamlaştırmak ve 3-2-1 prensibine uygun yedekleme stratejileri kurmak. Eğer siteniz büyüyor, trafiğiniz artıyor ve güvenlik ihtiyacınız paylaşımlı hosting sınırlarını zorluyorsa, paylaşımlı hosting’den VPS’e sorunsuz geçiş rehberimize de göz atarak bir üst seviyeye geçişi planlayabilirsiniz.

DCHost olarak, WordPress siteniz için doğru hosting mimarisini seçmenizden, yedekleme stratejilerinizi kurmanıza kadar her adımda yanınızdayız. Mevcut paylaşımlı hosting paketinizi gözden geçirmek, WAF ve yedekleme ayarlarınızı birlikte kontrol etmek veya daha güvenli bir mimariye geçiş planı yapmak isterseniz, destek ekibimize her zaman ulaşabilirsiniz. Güvenlikte hedef, sıfır risk değil; riski kabul edilebilir seviyede tutup, sorun yaşandığında hızla ayağa kalkabilecek bir yapı kurmaktır. Bu yapı için gereken tüm taşları, birlikte yerine oturtabiliriz.