Ağ ve Sunucu Durumu +90 232 332 07 72 [email protected]
Ana Sayfa / Blog / Güvenlik & KVKK

wp-admin Girişini Koruma: Brute Force Saldırıları ve 2FA Rehberi

Hostmana 29 May 2026 9 dk okuma

WordPress'in en güçlü yönü olan kolay kullanımı, aynı zamanda en zayıf noktasını oluşturur: herkesin bildiği bir giriş adresi (/wp-admin ve /wp-login.php). Türkiye'de barındırılan WordPress sitelerinin sunucu loglarına baktığınızda, trafiğin önemli bir bölümünün gerçek ziyaretçilerden değil, giriş ekranına saniyede onlarca şifre deneyen botlardan geldiğini görürsünüz. Bu yazıda WordPress admin koruması ve brute force saldırılarına karşı katmanlı bir savunma kuracağız; sadece eklenti önerip geçmeyecek, sunucu ve panel seviyesinde de neler yapabileceğinizi anlatacağız.

Brute Force Saldırısı Tam Olarak Nedir?

Brute force (kaba kuvvet) saldırısı, bir saldırganın kullanıcı adı ve şifre kombinasyonlarını otomatik olarak tek tek deneyerek hesaba girmeye çalışmasıdır. WordPress özelinde bunun iki yaygın türü vardır:

  • Klasik brute force: Bilinen kullanıcı adı (admin) ile binlerce şifre denenir. Botlar sözlük kelimeleri, sızdırılmış parola listeleri ve yaygın varyasyonları (Sirket2024!, admin123 gibi) kullanır.
  • Credential stuffing: Başka bir sitenin veri ihlalinden çalınmış e-posta/şifre çiftleri WordPress girişinde denenir. Aynı şifreyi birden çok yerde kullanan kişiler için ölümcüldür.

Saldırının asıl tehlikesi sadece "hesabın ele geçirilmesi" değildir. Botlar binlerce isteği aynı anda gönderdiğinde, paylaşımlı hosting ortamında CPU ve bellek tüketimi tavan yapar; site, hiçbir hesap ele geçirilmese bile yavaşlar veya kaynak limiti aşıldığı için geçici olarak kapanır. Yani brute force hem bir güvenlik hem de bir performans sorunudur.

Saldırı Yüzeyini Anlamak: Botlar Nereden Giriyor?

WordPress'te giriş denemelerinin geldiği üç ana kapı vardır. Korumayı planlarken üçünü de düşünmek gerekir:

Kapı Açıklama Risk
wp-login.php Standart giriş formu En yaygın brute force hedefi
xmlrpc.php Uzaktan yayın/uygulama API'si system.multicall ile tek istekte yüzlerce deneme yapılabilir
REST API ?author=1 ile kullanıcı adı keşfi Geçerli kullanıcı adlarını sızdırır

Burada en çok gözden kaçan nokta xmlrpc.php'dir. Bu dosya, tek bir HTTP isteğinde yüzlerce şifre denemesine izin verdiği için botların favorisidir. Sitenizde Jetpack veya WordPress mobil uygulaması kullanmıyorsanız, bu dosyayı tamamen kapatmak en etkili önlemlerden biridir.

Birinci Katman: Temiz Bir Başlangıç

Hiçbir eklenti kurmadan, sadece temel hijyenle saldırı yüzeyinizin büyük kısmını ortadan kaldırabilirsiniz:

  1. admin kullanıcı adını asla kullanmayın. Botların %90'ı bu kullanıcı adını dener. Yeni bir yönetici hesabı oluşturup eski admin hesabını silin (içeriklerini yeni hesaba atayarak).
  2. Görünen ad ile giriş adı farklı olsun. WordPress, yazı altındaki yazar adından giriş kullanıcı adını tahmin etmeyi kolaylaştırır. Profil ayarlarından "Takma ad" belirleyip sitede onu gösterin.
  3. Güçlü ve benzersiz parola kullanın. En az 16 karakter, başka hiçbir yerde kullanılmamış. Bir parola yöneticisi bu işi sizin için yapar.
  4. Kullanılmayan hesapları temizleyin. Eski geliştirici, ajans veya stajyer hesapları açık kapı bırakır.

İkinci Katman: Giriş Denemelerini Sınırlama

Brute force'un mantığı "sınırsız deneme" üzerine kuruludur. Deneme sayısını sınırladığınız anda saldırı pratik olarak işe yaramaz hale gelir.

Eklenti tarafı: Limit Login Attempts Reloaded, Wordfence veya WPS Limit Login gibi eklentiler, belirli sayıda başarısız denemeden sonra IP'yi geçici olarak engeller. Tipik bir ayar: 4 başarısız denemeden sonra 20 dakika kilit, tekrarlayan ihlalde 24 saat kilit.

Bu eklentilerin ayarlarında dikkat edilmesi gereken bir nokta: doğru IP'yi okuduğundan emin olun. Site bir ters proxy veya CDN arkasındaysa, eklenti gerçek ziyaretçi IP'si yerine proxy IP'sini görüp herkesi aynı kefeye koyabilir. Eklentinin "trusted proxy" veya X-Forwarded-For ayarını ortamınıza göre yapılandırın.

Üçüncü Katman: İki Faktörlü Kimlik Doğrulama (2FA)

Brute force'a karşı en güçlü tek savunma iki faktörlü kimlik doğrulamadır. Saldırgan parolanızı bilse bile, telefonunuzdaki ikinci faktör olmadan giriş yapamaz. Şifre tahmin etmeye dayalı tüm saldırılar 2FA karşısında çöker.

WordPress için yaygın 2FA yöntemleri:

  • TOTP (Authenticator uygulaması): Google Authenticator, Authy, Microsoft Authenticator veya FreeOTP gibi uygulamalar 30 saniyede bir değişen 6 haneli kod üretir. En önerilen yöntemdir çünkü internet bağlantısı veya SMS gerektirmez, araya girilemez.
  • E-posta ile kod: Daha basittir ama e-posta hesabınız ele geçirilmişse korumasızdır.
  • SMS: Pratiktir ancak SIM swap saldırılarına açık olduğu için en zayıf 2FA yöntemidir.

WordPress'te 2FA Nasıl Kurulur?

Adım adım, ücretsiz ve resmi Two-Factor eklentisiyle (WordPress'in çekirdek ekibi tarafından geliştirilir):

  1. Yönetim panelinde Eklentiler → Yeni Ekle bölümünden "Two-Factor" aratıp kurun ve etkinleştirin.
  2. Kullanıcılar → Profilim sayfasına gidin, "Two-Factor Options" bölümünü bulun.
  3. "Time Based One-Time Password (TOTP)" seçeneğini işaretleyin ve "View Options" ile QR kodunu açın.
  4. Telefonunuzdaki authenticator uygulamasıyla QR kodu okutun, ekrana gelen 6 haneli kodu girip kaydedin.
  5. Yedek kodları (Recovery Codes) mutlaka oluşturup güvenli bir yere kaydedin. Telefonunuzu kaybederseniz tek giriş yolunuz bunlardır.

Birden fazla yöneticisi olan sitelerde 2FA'yı tüm yönetici ve editör hesapları için zorunlu kılın. Tek bir korumasız yönetici hesabı, tüm sitenin zayıf halkasıdır.

Dördüncü Katman: Giriş Ekranını Gizleme

Botlar /wp-login.php adresini bildiği için doğrudan oraya saldırır. Bu adresi değiştirmek, otomatik saldırıların büyük bölümünü daha ilk anda boşa düşürür. WPS Hide Login gibi hafif bir eklenti ile giriş adresinizi siteadi.com/gizli-giris gibi yalnızca sizin bildiğiniz bir yola taşıyabilirsiniz.

Bu yöntem tek başına yeterli bir güvenlik değildir (security through obscurity), ancak gürültüyü ciddi şekilde azaltır: loglarınız temizlenir, sunucu yükü düşer ve gerçek hedefli saldırıları fark etmek kolaylaşır. Diğer katmanlarla birlikte kullanıldığında çok etkilidir.

Beşinci Katman: Sunucu ve Kontrol Paneli Tarafı

Eklentiler PHP çalıştığı için saldırıyı ancak istek WordPress'e ulaştıktan sonra durdurur. Saldırıyı daha sunucuya girerken kesmek çok daha verimlidir. İşte WordPress dışında yapabilecekleriniz:

  • .htaccess ile wp-login korumasi: Apache tabanlı kurulumlarda giriş sayfasını yalnızca kendi IP'nize açabilir veya basit bir HTTP şifresiyle ikinci bir kapı koyabilirsiniz. İkili koruma, bot girişini WordPress'e hiç ulaşmadan engeller.
  • xmlrpc.php'yi engelleyin: Sunucu yapılandırmasında bu dosyaya erişimi tamamen kapatmak, en büyük brute force vektörünü kökten yok eder.
  • Kontrol panelinin sağladığı araçlar: DirectAdmin ve Plesk gibi modern paneller, IP engelleme, ModSecurity (WAF) kuralları ve başarısız giriş izleme özellikleri sunar. Plesk üzerindeki WordPress Toolkit, tek tıkla "wp-admin'i güçlendirme" (hardening) seçenekleri içerir; xmlrpc kapatma, sürüm gizleme ve dosya izinlerini düzeltme gibi işleri otomatikleştirir.
  • Web Application Firewall (WAF): Sunucu önündeki bir güvenlik duvarı, bilinen kötü amaçlı IP'leri ve bot imzalarını trafiğiniz siteye ulaşmadan filtreler.

Paylaşımlı bir hosting kullanıyorsanız bu önlemlerin bir kısmı sağlayıcınızın altyapısında zaten aktiftir. Tam kontrol istiyorsanız yönetimli bir sunucu ortamı, güvenlik duvarı kurallarını kendi ihtiyacınıza göre şekillendirme imkânı verir.

Saldırı Altındayken Ne Yapmalı?

Sitenizin yavaşladığını ve loglarda yoğun giriş denemesi gördüğünüzü fark ettiyseniz, paniklemeden şu sırayı izleyin:

  1. Sunucu erişim loglarını inceleyin. wp-login.php ve xmlrpc.php isteklerinin yoğunluğuna ve hangi IP'lerden geldiğine bakın.
  2. xmlrpc.php'yi geçici olarak tamamen kapatın. Çoğu saldırı buradan geldiği için yük anında düşer.
  3. Sınırlı sayıda IP saldırıyorsa bunları sunucu güvenlik duvarından engelleyin. Yüzlerce farklı IP varsa (botnet), IP engellemek yerine giriş ekranını gizleme ve 2FA'ya güvenin.
  4. Tüm yönetici parolalarını sıfırlayın ve 2FA'yı zorunlu yapın. Saldırı sürerken bunu yapmak, başarılı bir girişi de boşa çıkarır.

Özet: Katmanlı Savunma Çalışır

Tek bir önlem mükemmel değildir; gücünüz katmanların birleşiminden gelir. İdeal bir kurulum şöyledir:

  • Güçlü parola + admin kullanıcı adının olmaması (temel)
  • Giriş denemesi sınırlama eklentisi
  • Tüm yöneticiler için zorunlu TOTP tabanlı 2FA
  • Giriş adresinin gizlenmesi
  • Sunucu/panel tarafında xmlrpc kapatma ve WAF

Bu beş katman bir arada çalıştığında, brute force botları için siteniz pratik olarak görünmez hale gelir; gerçek hedefli bir saldırgan bile parola katmanını geçse 2FA duvarına çarpar.

WordPress güvenliği, doğru hosting altyapısıyla başlar. Hostmana'nın DirectAdmin ve Plesk tabanlı hosting paketlerinde ModSecurity güvenlik duvarı ve IP engelleme araçları hazır gelir; tam kontrol isteyen kullanıcılar için yurt dışı sanal sunucularımız güvenlik kurallarını kendi ihtiyacınıza göre şekillendirmenize olanak tanır. Sitenizin durumunu hızlıca kontrol etmek için ücretsiz web araçlarımızla SSL, DNS ve erişilebilirlik testleri yapabilir, kurulum adımları için bilgi bankamıza göz atabilirsiniz. Bir saldırı şüphesinde veya yapılandırma konusunda yardıma ihtiyaç duyarsanız ekran paylaşımlı uzaktan canlı desteğimiz ya da iletişim sayfamız üzerinden bize ulaşın — güvenli bir başlangıç için buradayız.

← Tüm Yazılar Hosting Paketlerini İncele

İlgili Yazılar

Güvenlik & KVKK

DDoS saldırısı nedir ve sitenizi nasıl korursunuz?

 Güvenlik & KVKK

Web sitesi yedekleme stratejisi: 3-2-1 kuralı rehberi

 Güvenlik & KVKK

Web sitesi KVKK uyumu: 4 adımda eksiksiz rehber
Beste Ercan çevrimiçi
Merhaba! Size en uygun hosting/sunucu paketini bulmanızda yardımcı olabilir miyim?
Beste Ercan
Çevrimiçi · size özel paket arıyor