WordPress Güvenlik Testi
WordPress altyapısı doğru kurulduğunda güçlüdür; ancak küçük bir ayar eksikliği bile saldırganlara gereksiz bir erişim yüzeyi açabilir.
Bu sayfadaki WordPress Güvenlik Testi, sitenizi pratik ve anlaşılır bir şekilde kontrol ederek riskleri görünür hale getirir.
Sonuç ekranında yalnızca “var/yok” bilgisi değil; hangi bulgunun neden önemli olduğu ve nasıl düzeltileceği de net biçimde sunulur.
Neden güvenlik testi yaptırmalısınız?
Birçok WordPress vakasında sorun; zayıf parola gibi bilinen başlıkların ötesinde, yanlış yapılandırılmış erişimler ve eksik güvenlik başlıklarıdır.
Özellikle HTTP Security Headers, XML-RPC/REST API, dizin listeleme, wp-login ve dosya izinleri gibi alanlar düzenli kontrol edilmediğinde
bot saldırıları, brute-force denemeleri ve yetkisiz erişim girişimleri hızla artar. Bu test, bu kritik noktaları tek tek kontrol ederek aksiyon almanızı kolaylaştırır.
Test kapsamında kontrol edilen başlıca alanlar
- HTTP Security Headers: X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Content-Security-Policy gibi güvenlik başlıklarının durumu
- XML-RPC/REST API: Gereksiz açık uçlar, erişim kısıtları ve saldırı yüzeyini büyüten yapılandırmalar
- Dizin listeleme: Sunucuda “directory listing” açık mı, kritik klasörler dışarıdan görülebiliyor mu
- wp-login: Giriş sayfası korumaları, brute-force riskleri ve önerilen sertleştirme adımları
- Dosya izinleri: WordPress çekirdek dosyaları ve klasör izinleri için temel güvenlik kontrolü
Sonuçları nasıl yorumlamalısınız?
Güvenlik bulgularında önemli olan, “kaç madde çıktı” değil, hangi riskin önce kapatılması gerektiğidir.
Örneğin giriş denemeleri artmış bir sitede wp-login sertleştirmesi öncelik olabilir; hassas veri işleyen projelerde ise güvenlik başlıkları ve erişim yüzeyi daha kritik hale gelir.
Bu nedenle bulgular, uygulanabilir bir sırayla ele alınmalıdır.
Güvenlik sertleştirme için hızlı öneriler
- Güçlü parola + iki aşamalı doğrulama (2FA) kullanın
- Gereksiz XML-RPC kullanımını kapatın veya sınırlandırın
- Güvenlik başlıklarını doğru şekilde yapılandırın
- Dizin listelemeyi kapatın ve hassas klasörleri dışa kapatın
- Dosya izinlerini minimum yetki prensibine göre düzenleyin
- Güncelleme takibi: WordPress çekirdek, tema ve eklentileri düzenli güncelleyin
Sık Sorulan Sorular
WordPress Güvenlik Testi ne kadar sürer?
Test süresi sitenizin yanıt hızına ve kontrol edilen başlıklara göre değişir. Çoğu senaryoda tarama kısa sürede tamamlanır ve sonuçlar anında görüntülenir.
Bu test siteme zarar verir mi?
Hayır. Test, güvenlik kontrollerini pasif yöntemlerle yapar; sitenizde dosya değiştirme veya veri güncelleme gibi bir işlem gerçekleştirmez.
HTTP Security Headers neden önemlidir?
Güvenlik başlıkları, tarayıcı tarafında birçok saldırı türüne karşı ek koruma sağlar. Özellikle tıklama kaçırma (clickjacking), MIME sniffing ve bazı XSS senaryolarında etkisi büyüktür.
XML-RPC ve REST API tamamen kapatılmalı mı?
Her site için tek bir doğru yoktur. XML-RPC çoğu projede gereksizdir ve sınırlandırılması önerilir. REST API ise bazı tema/eklentiler için gerekli olabilir.
Doğru yaklaşım, ihtiyaca göre kısıtlama ve erişim kontrolüdür.
Dizin listeleme açık olursa ne olur?
Dizin listeleme açıksa, saldırganlar klasör yapınızı ve bazı dosyaları görebilir. Bu durum keşif sürecini kolaylaştırır ve hedefli saldırı riskini artırır.
Dosya izinleri için önerilen güvenli ayarlar nelerdir?
Genel pratikte klasörler için 755, dosyalar için 644 kullanılır. Ancak sunucu altyapınıza ve kullanıcı/owner yapınıza göre farklılık gösterebilir.
Önemli olan, yazma yetkilerini gereksiz yere genişletmemektir.
Testte sorun çıkarsa düzeltmeyi siz yapıyor musunuz?
Bu sayfa, riskleri ve önerileri netleştirir. Dilerseniz bulgulara göre sertleştirme adımlarını planlayabilir veya teknik destek ekibinizle uygulanacak işleri madde madde paylaşabilirsiniz.