WordPress Siteniz Sürekli Hackleniyorsa Ne Yapmalısınız?

5. Tüm parolaları değiştirin

Temizlik yapılırken bile çoğu zaman en basit ama en kritik adım atlanıyor: parolalar. Aşağıdaki her şey için benzersiz ve güçlü parolalar belirleyin:

• WordPress admin hesapları
• FTP/SFTP hesapları
• cPanel veya yönetim paneli hesabınız
• Veritabanı kullanıcısı (wp-config.php içindeki user/pass)

Ayrıca wp-config.php dosyasındaki SALT anahtarlarını yenileyin. Bu, aktif oturumları geçersiz kılar ve çalınmış çerezlerle giriş yapılmasını zorlaştırır.

6. Dosya izinlerini düzeltin

Yanlış dosya izinleri, özellikle paylaşımlı hosting’de saldırganların işini kolaylaştırır.

• Genel kural: dizinler 755, dosyalar 644 olmalı.
• Asla 777 izin kullanmayın; bu, herkesin yazabildiği anlamına gelir.
• wp-config.php için daha kısıtlı izinler (örneğin 600 veya 640) kullanın.

Güvenliği Sertleştirme: Aynı Saldırının Tekrarını Nasıl Engellersiniz?

Siteyi bir şekilde ayağa kaldırdınız, ama asıl kritik nokta şu: Aynı film tekrar oynamasın. Bunun için WordPress tarafında ve hosting tarafında güvenliği sertleştirmeniz gerekiyor.

WordPress güvenlik sertleştirme adımları

Detaylı bir kontrol listesi için WordPress güvenlik sertleştirme rehberimizi mutlaka okuyun. Burada öne çıkan bazı kritik adımları özetleyelim:

• Her şeyi güncel tutun: Çekirdek, tema, eklentiler için otomatik güncellemeleri mümkün olduğunca etkinleştirin.
• Gereksiz eklentileri kaldırın: Kullanmadığınız her eklenti potansiyel saldırı yüzeyidir.
• Dosya düzenleyicisini kapatın: wp-config.php içine define('DISALLOW_FILE_EDIT', true); ekleyerek panelden tema/eklenti düzenlemeyi devre dışı bırakın.
• XML-RPC’yi sınırlandırın: Kullanımı zorunlu değilse kapatın veya sadece belirli IP’lere izin verin.
• İki faktörlü kimlik doğrulama (2FA) kullanın; özellikle admin hesaplarında.

wp-login ve brute-force saldırılarını sınırlayın

Pek çok saldırı, aslında çok basit parola denemeleriyle başlar. Paylaşımlı hosting’de uygulayabileceğiniz bazı önlemler:

• Giriş deneme sayısını sınırlandıran güvenilir bir güvenlik eklentisi kullanın.
• Giriş URL’nizi özelleştirin (varsayılan /wp-login.php yolunu değiştirmek tek başına çözüm değildir ama gürültüyü azaltır).
• Mümkünse .htaccess ile wp-login’e IP kısıtlaması getirin (sadece ofis IP’leriniz gibi).

Daha gelişmiş seviyede, kendi VPS’inizde Nginx ve Fail2ban kullanarak brute-force saldırılarını nasıl susturabileceğinizi wp-login.php ve XML-RPC brute-force saldırılarını sınırlama rehberimizde detaylıca anlattık. Paylaşımlı hosting’den daha izole bir mimariye geçtiğinizde bu teknikler çok işinize yarar.

cPanel ve hosting tarafını sertleştirin

Sadece WordPress’i değil, kontrol panelinizi de güvenceye almanız gerekir:

• cPanel kullanıcı adınızı ve parolanızı tahmin edilmesi zor hale getirin.
• Varsa iki faktörlü kimlik doğrulama özelliğini aktif edin.
• Kritik hesaplara IP kısıtlaması ekleme imkânınız varsa kullanın.

Panel seviyesinde alabileceğiniz önlemleri ayrıntılı bir kontrol listesi halinde görmek için cPanel güvenlik sertleştirme rehberimize göz atabilirsiniz.

HTTP güvenlik başlıkları ve SSL

Uygun SSL yapılandırması ve HTTP güvenlik başlıkları, XSS ve içerik enjeksiyonu gibi bazı saldırı türlerine karşı fazladan bir katman sağlar:

• Her zaman geçerli bir SSL sertifikası kullanın ve sitenizi sadece HTTPS üzerinden yayınlayın.
• HSTS, X-Frame-Options, X-Content-Type-Options, Referrer-Policy gibi başlıkları doğru şekilde ayarlayın.
• Gelişmiş güvenlik başlıklarını nasıl uygulayacağınıza dair teknik detayları HTTP güvenlik başlıkları rehberimizde bulabilirsiniz.

Paylaşımlı Hosting Yeterli mi? Ne Zaman VPS veya Dedicated Düşünmelisiniz?

Paylaşımlı hosting üzerinde makul ölçüde güvenlik sağlamak mümkündür. Ancak bazı durumlarda, tekrar tekrar hack yaşayan siteler için sorun sadece WordPress tarafında değildir; trafik hacmi, eklenti yükü, saldırı sıklığı ve izolasyon ihtiyacı paylaşımlı hosting’in doğal sınırlarını zorlar.

Paylaşımlı hosting’in zorlandığı tipik senaryolar

• Yoğun trafik alan e-ticaret veya üyelik siteleri
• Çok sayıda eklenti kullanan, karmaşık WordPress kurulumları
• Sürekli brute-force ve DDoS benzeri saldırı alan, WAF ve rate limiting ihtiyacı yüksek siteler
• Aynı sunucudaki diğer hesapların güvenlik hijyeninden endişe duyulan durumlar

Bu tip senaryolarda, daha izole bir ortamda (VPS veya dedicated sunucu) çalışmak, hem performans hem güvenlik açısından ciddi avantaj sağlar. Kaynakları ve güvenlik duvarını kendinize göre ayarlayabilir, WAF, Fail2ban, gelişmiş loglama gibi çözümleri doğrudan sunucuya kurabilirsiniz.

DCHost tarafında ne yapabilirsiniz?

DCHost olarak paylaşımlı hosting’in yanı sıra, VPS, dedicated sunucu ve colocation hizmetleri de sunuyoruz. Tekrarlayan hack sorunları yaşayan müşterilerde sıkça izlediğimiz yol şu:

• Önce mevcut paylaşımlı hosting hesabında kapsamlı bir temizlik yapıyoruz.
• Ardından, yeni bir DCHost VPS veya dedicated sunucu üzerinde temiz bir WordPress kurulumu hazırlıyoruz.
• Yalnızca temizlenmiş verileri ve medyayı yeni ortama taşıyoruz.
• Sunucu tarafında güvenlik sertleştirme (firewall, Fail2ban, güncel PHP, HTTP başlıkları, otomatik yedekler) yapıyoruz.

Paylaşımlı hosting’den daha izole bir ortama geçiş adımlarını planlarken, paylaşımlı hosting’den VPS’e geçiş rehberimizde anlattığımız kontrol listesi, taşıma sürecinizi çok daha öngörülebilir hale getirecektir.

Taşıma Stratejisi: Sıfırdan Kurulum mu, Temiz Yedekten Dönüş mü?

Tekrarlayan hack vakalarında belki de en kritik karar, “Bu WordPress kurulumunu kurtaralım mı, yoksa sıfırdan mı kuralım?” sorusudur. Net olmak gerekirse:

• Hack uzun süredir fark edilmediyse,
• Yedeklerinizin ne zamandan beri enfekte olduğunu bilmiyorsanız,
• Çok sayıda arka kapı bulunduysa,

en temiz yol çoğu zaman yeni ve tertemiz bir WordPress kurulumu yapıp, sadece temizlenmiş içerik ve medyayı taşımaktır.

Temiz kurulum + veri taşıma yaklaşımı

1. Yeni sunucu veya yeni hesap üzerinde güncel bir WordPress kurulumu yapın.
2. Eski siteden sadece temizlenmiş veritabanını ve medya dosyalarını alın.
3. Temalarınızı ve eklentilerinizi kesinlikle resmi kaynaklardan yeniden indirin; eski dosyaları taşımayın.
4. Yeni kurulumda SALT anahtarlarını, admin hesabını ve parolaları baştan güvenli şekilde oluşturun.

Staging ortamı kullanmanın avantajı

Taşıma öncesi, sitenizi bir staging (önizleme) ortamında ayağa kaldırıp test etmek, hem SEO açısından hem de kullanıcı deneyimi açısından büyük rahatlık sağlar. cPanel üzerinde staging kurulumunu adım adım anlattığımız WordPress staging ortamı rehberine göz atarak:

• Önce temiz sitenizi alt alan adında çalıştırabilir,
• Tüm fonksiyonları ve formları test edebilir,
• Daha sonra DNS yönlendirmesini yaparak kesintisiz geçiş sağlayabilirsiniz.

DCHost ile Pratik Yol Haritası ve Son Söz

Özetleyelim: WordPress siteniz sürekli hackleniyorsa sorun sadece “bir dosyada virüs var” meselesi değildir. Çoğu zaman; eksik yedekleme, zayıf parolalar, güncel olmayan eklentiler, yanlış dosya izinleri ve paylaşımlı hosting’in doğal sınırlarının birleşiminden oluşan yapısal bir problemdir. Bu yüzden çözüm de tek adımlık değildir; temizlik + sertleştirme + doğru altyapı seçimi üçlüsünü birlikte düşünmek gerekir.

DCHost tarafında müşterilerle çalışırken genelde şu adımları öneriyoruz:

• Mevcut sitede kapsamlı temizlik ve analiz (dosya, veritabanı, log’lar).
• WordPress ve cPanel için güvenlik sertleştirme, otomatik yedeklerin devreye alınması.
• Sitenin profilini (trafik, eklenti yükü, güvenlik ihtiyacı) değerlendirip, gerektiğinde VPS veya dedicated gibi daha izole çözümlere geçiş.
• Yeni ortamda staging → test → canlıya alma akışıyla kesintisiz taşıma.

Eğer siz de “Artık bu hack döngüsünü kırmak istiyorum” noktasındaysanız, önce bu yazıdaki adımlarla mevcut sitenizi olabildiğince temizleyin ve sertleştirin. Ardından, yedekleme, güvenlik ve altyapı tarafında daha kalıcı bir yol haritası çizmek için DCHost ekibiyle birlikte sitenizin profilini gözden geçirebilirsiniz. Böylece, her saldırıda panik olmak yerine, önceden tasarlanmış ve test edilmiş bir güvenlik ve taşıma stratejisi ile çok daha sakin kalırsınız.