Güvenlik

WordPress wp-config.php Dosyası ile Yapılabilecek Gelişmiş Güvenlik Ayarları

  • 14 dk okuma
  • Hostragons Ekibi
WordPress wp-config.php Dosyası ile Yapılabilecek Gelişmiş Güvenlik Ayarları

WordPress wp-config.php dosyası ile yapılabilecek gelişmiş güvenlik ayarları; veritabanı erişimini korumak, oturum anahtarlarını güçlendirmek, dosya düzenlemeyi kapatmak, debug çıktısını güvenli yönetmek, SSL kullanımını zorlamak ve kritik dizin yollarını sınırlandırmak için uygulanan yapılandırmalardır. Kısaca wp-config.php, WordPress sitenizin güvenlik merkezlerinden biridir; doğru ayarlarla saldırı yüzeyini azaltır, yetkisiz erişim riskini düşürür ve olası bir güvenlik olayında hasarı sınırlar.

WordPress kurulumu yapan çoğu site sahibi wp-config.php dosyasını yalnızca veritabanı adı, kullanıcı adı ve şifre bilgilerini girilen teknik bir dosya olarak görür. Oysa bu dosya, canlı bir web sitesinde güvenlik mimarisinin kritik parçasıdır. Özellikle e-ticaret siteleri, üyelik sistemleri, kurumsal web siteleri ve yüksek trafikli bloglar için doğru yapılandırılmış wp-config.php dosyası; basit bot saldırılarına, panel üzerinden dosya manipülasyonuna, hata mesajı sızıntılarına ve oturum çalma girişimlerine karşı güçlü bir savunma katmanı sağlar.

Bu rehberde Hostragons blogu için WordPress wp-config.php dosyası üzerinde uygulanabilecek gelişmiş güvenlik ayarlarını adım adım ele alacağız. Her ayarın ne işe yaradığını, hangi durumda kullanılmasını önerdiğimizi ve uygulama öncesi nelere dikkat edilmesi gerektiğini sade ama teknik doğrulukla açıklayacağız. Eğer henüz güvenli ve güncel bir barındırma altyapınız yoksa, wp-config.php sertleştirmesiyle birlikte güvenilir bir WordPress hosting seçimi de önemlidir. Bu noktada WordPress hosting paketleri ve güvenli web hosting çözümleri sayfaları ilgili olabilir.

wp-config.php Dosyası Nedir ve Neden Güvenlik İçin Kritiktir?

wp-config.php, WordPress kök dizininde yer alan ve sitenin temel çalışma parametrelerini tutan yapılandırma dosyasıdır. WordPress bu dosya üzerinden veritabanına bağlanır, güvenlik anahtarlarını okur, hata ayıklama davranışını belirler, dosya sistemi işlemlerini yönetir ve bazı gelişmiş sabitleri çalıştırır. Bu nedenle dosyanın içeriği, sıradan bir tema dosyasından çok daha hassastır.

Bu dosyada genellikle şu kritik bilgiler bulunur:

  • Veritabanı adı, kullanıcı adı, şifre ve sunucu bilgisi
  • Authentication Unique Keys ve Salts olarak bilinen oturum güvenlik anahtarları
  • Veritabanı tablo ön eki
  • Debug ve loglama ayarları
  • Dosya düzenleme, güncelleme ve SSL davranışını kontrol eden sabitler
  • WordPress bellek limiti ve geçici dosya dizini gibi çalışma ayarları

Bir saldırgan wp-config.php içeriğine erişirse, veritabanı bağlantı bilgilerini ele geçirebilir. Bu durumda yalnızca WordPress paneli değil, veritabanındaki kullanıcı hesapları, sipariş kayıtları, formlar, içerikler ve özel müşteri verileri de risk altına girer. Bu yüzden wp-config.php dosyasını korumak, WordPress güvenliğinin temel adımlarından biridir.

Başlamadan Önce: Yedek, Test ve Erişim Planı

wp-config.php dosyasında yapılacak küçük bir yazım hatası bile sitenizin beyaz ekran hatası vermesine, veritabanı bağlantısının kopmasına veya yönetim paneline erişimin kesilmesine neden olabilir. Bu nedenle değişiklik yapmadan önce üç aşamalı bir güvenlik planı uygulayın.

1. Tam Yedek Alın

Önce dosya ve veritabanı yedeği alın. Yalnızca wp-config.php dosyasını bilgisayarınıza indirmek yeterli değildir; yapılan bir değişiklik veritabanı bağlantısını etkileyebileceği için veritabanı yedeği de önemlidir. Kontrol panelinizde otomatik yedekleme özelliği varsa son yedek tarihini kontrol edin. Gerekirse manuel yedek oluşturun. Bu konuda web sitesi yedekleme rehberi içeriğiyle ilerleyebilirsiniz.

2. Değişiklikleri Tek Tek Uygulayın

Aynı anda 8 veya 10 güvenlik ayarı eklemek yerine her değişiklikten sonra siteyi, yönetim panelini ve kritik formları test edin. Örneğin önce dosya düzenlemeyi kapatın, ardından siteyi kontrol edin. Sonra debug ayarını yapılandırın. Bu yöntem, bir hata oluştuğunda hangi satırın soruna neden olduğunu hızlıca bulmanızı sağlar.

3. FTP veya Dosya Yöneticisi Erişiminiz Hazır Olsun

wp-config.php hatalı kaydedilirse WordPress paneline giremeyebilirsiniz. Bu yüzden cPanel dosya yöneticisi, SFTP veya güvenli dosya transfer erişiminizin çalıştığından emin olun. SFTP kullanımı, FTP’ye göre daha güvenlidir çünkü bağlantı şifreli gerçekleşir. Güvenli erişim için SFTP nedir ve nasıl kullanılır başlıklı bir rehber faydalı olabilir.

wp-config.php Güvenlik Ayarları Özeti

Aşağıdaki tablo, bu rehberde anlatılan temel ve gelişmiş güvenlik ayarlarını pratik biçimde özetler. Canlı sitede uygulama yapmadan önce her satırı sitenizin ihtiyaçlarına göre değerlendirin.

AyarAmaçÖnerilen DurumRisk Seviyesi
Güvenlik anahtarlarını yenilemeOturum çalma riskini azaltmakKurulumda ve şüpheli erişim sonrasıDüşük
DISALLOW_FILE_EDITPanelden tema ve eklenti düzenlemeyi kapatmakTüm canlı sitelerdeDüşük
Debug çıktısını gizlemeHata mesajı ve yol bilgisini saklamakTüm canlı sitelerdeOrta
SSL zorunluluğuPanel trafiğini şifrelemekSSL olan tüm sitelerdeDüşük
Veritabanı ön eki değiştirmeOtomatik SQL saldırılarını zorlaştırmakYeni kurulumlardaOrta
Dosya izinlerini sıkılaştırmaYetkisiz yazma işlemlerini engellemekTüm sitelerdeOrta
Otomatik güncellemeleri yönetmeGüvenlik yamalarını hızlandırmakKüçük sürümlerde açıkDüşük

Güvenlik Anahtarları ve Salt Değerlerini Güçlendirin

WordPress oturum güvenliği, wp-config.php içindeki AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY ve bunların salt karşılıklarıyla desteklenir. Bu anahtarlar, kullanıcı çerezlerini ve oturum doğrulama süreçlerini daha güvenli hale getirir. Anahtarlar zayıf, varsayılan ya da uzun süredir değişmemişse oturum güvenliği zayıflayabilir.

Önerilen uygulama, WordPress’in resmi secret key üreticisi üzerinden yeni ve rastgele anahtarlar oluşturmaktır. Bu anahtarlar genellikle 64 karakterden uzun, rastgele semboller içeren ve tahmin edilmesi pratikte imkansız değerlerdir. Yeni anahtarları wp-config.php içindeki mevcut satırlarla değiştirmeniz yeterlidir.

Bu işlemin etkisi nettir: Tüm aktif kullanıcı oturumları sonlanır ve kullanıcıların yeniden giriş yapması gerekir. Eğer bir yönetici hesabının ele geçirildiğinden şüpheleniyorsanız, salt değerlerini yenilemek hızlı bir acil durum adımıdır. Özellikle 6 ayda bir veya güvenlik ihlali şüphesinde bu anahtarları yenilemek iyi bir operasyondur.

Panel Üzerinden Dosya Düzenlemeyi Kapatın

WordPress yönetim panelinde tema ve eklenti dosyalarının düzenlenmesine izin veren bir editör bulunur. Bu özellik geliştirme sırasında pratik görünse de canlı sitelerde ciddi risk oluşturur. Bir saldırgan yönetici hesabına erişirse, paneldeki dosya düzenleyici üzerinden zararlı PHP kodu ekleyebilir.

wp-config.php dosyasına şu sabiti ekleyerek panelden dosya düzenlemeyi kapatabilirsiniz: define('DISALLOW_FILE_EDIT', true);

Bu ayar, WordPress panelindeki tema ve eklenti dosya düzenleyicisini devre dışı bırakır. Günlük yayın yapan bloglar, kurumsal siteler ve WooCommerce mağazaları için varsayılan olarak aktif edilmesini öneririz. Dosya değişiklikleri gerekiyorsa bunlar SFTP, Git veya güvenli dağıtım süreçleriyle yapılmalıdır.

Daha ileri bir seçenek olarak dosya yükleme ve güncelleme işlemlerini de sınırlayan DISALLOW_FILE_MODS sabiti kullanılabilir. Ancak bu ayar eklenti ve tema güncellemelerini de engelleyebileceği için sadece bakım penceresi dışında değişiklik yapılmaması gereken çok hassas sistemlerde tercih edilmelidir.

Debug Ayarlarını Canlı Siteye Uygun Hale Getirin

WordPress geliştirme ortamında WP_DEBUG değerini açmak faydalıdır; hataları görür, uyumsuz eklentileri bulur ve tema problemlerini teşhis edersiniz. Ancak canlı sitede ekrana basılan hata mesajları; sunucu yolu, eklenti adı, dosya konumu, veritabanı sorgu ipuçları ve PHP sürümü gibi saldırganın işine yarayabilecek bilgiler içerebilir.

Canlı ortamda güvenli yaklaşım şu mantıktır: Hataları ziyaretçiye gösterme, gerekirse özel bir log dosyasına yaz. Bunun için WP_DEBUG false olmalı; geliştirme aşamasında loglama gerekiyorsa WP_DEBUG_LOG true, WP_DEBUG_DISPLAY false olarak kullanılmalıdır. Örnek mantık şöyledir: define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false);

Bir hata araştırması yapmanız gerekiyorsa kısa süreli loglama açın, sorunu çözün ve tekrar kapatın. Ayrıca log dosyasının herkese açık dizinden erişilemediğinden emin olun. Çünkü debug.log dosyası bazen site köküne yakın konumlarda oluşabilir ve yanlış yapılandırılmış sunucularda dışarıdan okunabilir. Bu tür riskleri azaltmak için doğru hosting yapılandırması kritiktir. WordPress hata kayıtları nasıl yönetilir ve güvenli WordPress hosting bu noktada doğal devam içerikleridir.

SSL ve Yönetim Paneli Güvenliğini Zorunlu Hale Getirin

SSL sertifikası, kullanıcı ile sunucu arasındaki trafiği şifreler. WordPress paneline kullanıcı adı ve şifreyle giriş yapıldığı için admin trafiğinin HTTPS üzerinden gerçekleşmesi zorunlu olmalıdır. Özellikle ortak ağlardan, ofis dışından veya mobil bağlantılardan yönetim paneline erişen ekiplerde bu ayar daha da önemlidir.

wp-config.php içinde FORCE_SSL_ADMIN sabitiyle yönetim panelinde SSL zorunlu hale getirilebilir: define('FORCE_SSL_ADMIN', true);

Bu ayarın doğru çalışması için alan adınızda geçerli SSL sertifikası bulunmalıdır. Henüz SSL kullanmıyorsanız öncelikle sertifika kurulumunu tamamlayın. SSL yalnızca güvenlik için değil, kullanıcı güveni ve SEO açısından da temel bir gerekliliktir. Hostragons üzerinden SSL seçenekleri için SSL sertifikası ürünleri sayfasına, alan adı yönetimi için domain sorgulama ve domain tescil sayfasına göz atabilirsiniz.

SSL zorlaması sonrası sonsuz yönlendirme hatası oluşursa, genellikle proxy, CDN veya load balancer yapılandırması doğru algılanmıyordur. Böyle bir durumda sunucu tarafındaki HTTPS başlıkları ve WordPress site adresi ayarları kontrol edilmelidir.

Veritabanı Bilgilerini ve Tablo Ön Ekini Daha Güvenli Yönetin

wp-config.php dosyasındaki DB_NAME, DB_USER, DB_PASSWORD ve DB_HOST değerleri WordPress’in veritabanına bağlanmasını sağlar. Bu bilgilerin güçlü ve ayrıcalıkları sınırlı olması gerekir. En sık yapılan hatalardan biri, veritabanı kullanıcısına gereğinden fazla yetki vermektir.

Canlı WordPress sitesi için veritabanı kullanıcısının yalnızca ihtiyaç duyduğu izinlere sahip olması önerilir. Genellikle SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER ve INDEX gibi izinler yeterlidir. Sunucu yönetimi seviyesinde tüm veritabanlarına erişen geniş yetkili kullanıcıları WordPress yapılandırmasında kullanmak risklidir.

Tablo Ön Eki Konusunda Doğru Yaklaşım

WordPress varsayılan tablo ön eki wp_ değeridir. Yeni kurulumlarda bunu daha farklı ve rastgele bir değer yapmak, otomatik saldırı araçlarının işini zorlaştırır. Örneğin wp_ yerine hr7x_ gibi kısa ama tahmin edilmesi zor bir ön ek tercih edilebilir. Ancak mevcut sitede tablo ön ekini değiştirmek sadece wp-config.php içindeki table_prefix değerini değiştirmekle bitmez; veritabanındaki tablo adları ve bazı usermeta kayıtları da güncellenmelidir.

Bu nedenle mevcut canlı sitede tablo ön eki değişikliği yapacaksanız önce tam yedek alın, işlemi mümkünse staging ortamında test edin ve ardından canlıya taşıyın. Yeni kurulumlarda ise en baştan farklı bir ön ek kullanmak daha güvenli ve daha risksizdir.

wp-config.php Dosyasını Kök Dizinin Dışına Taşıma Seçeneği

WordPress, bazı sunucu yapılandırmalarında wp-config.php dosyasını kök dizinin bir seviye üstünde de okuyabilir. Örneğin WordPress dosyaları public_html içinde duruyorsa, wp-config.php dosyası public_html dışında bir üst dizine taşınabilir. Bu yöntem, web üzerinden doğrudan erişim riskini azaltır.

Ancak bu uygulama her hosting ortamında aynı şekilde çalışmayabilir. Paylaşımlı hostinglerde dizin izinleri, kontrol paneli yapısı veya güvenlik politikaları nedeniyle dosyayı üst dizine taşımak mümkün olmayabilir. Ayrıca bakım yapan kişilerin dosya konumunu bilmesi gerekir; aksi halde ileride hata ayıklama süreci uzar.

Bu yöntemi uygulamadan önce hosting sağlayıcınızın dosya yapısını kontrol edin. Eğer yönetimli WordPress hosting kullanıyorsanız destek ekibinden önerilen dizin yapısını öğrenin. Hostragons altyapısında doğru dizin ve izin yönetimi için hosting kontrol paneli rehberi içeriği destekleyici olabilir.

Dosya İzinleri ve Yazma Yetkilerini Sıkılaştırın

wp-config.php güvenliği yalnızca içindeki sabitlerle değil, dosyanın işletim sistemi seviyesindeki izinleriyle de ilgilidir. Genel öneri, wp-config.php dosyasının herkes tarafından yazılabilir olmamasıdır. Çoğu Linux tabanlı hosting ortamında dosya izinleri 400, 440 veya 600 gibi daha sınırlı değerlerle yapılandırılabilir. Hangi değerin çalışacağı sunucu kullanıcısı ve PHP çalışma modeliyle ilgilidir.

Pratik yaklaşım şöyledir: Dosya sitenin çalışmasını bozmayacak en düşük izinle tutulmalıdır. 777 gibi herkese yazma izni veren ayarlar kesinlikle kullanılmamalıdır. 644 bazı ortamlarda varsayılan çalışır ancak daha hassas kurulumlarda 600 veya 440 tercih edilebilir. Değişiklik sonrası site açılışı, yönetim paneli ve eklenti güncelleme ekranları test edilmelidir.

Ek olarak wp-config.php dosyasına erişimi web sunucusu düzeyinde engellemek de önemlidir. Modern hosting altyapılarında PHP dosyaları doğrudan kaynak olarak gösterilmez; ancak yanlış yapılandırılmış sunucularda risk oluşabilir. Bu nedenle güvenilir hosting altyapısı, dosya izinleri kadar önem taşır.

Otomatik Güncellemeleri Güvenlik Odaklı Yönetin

WordPress çekirdeği, eklentiler ve temalar düzenli olarak güvenlik güncellemeleri alır. wp-config.php üzerinden otomatik güncelleme davranışını belirli ölçüde yönetebilirsiniz. Güvenlik açısından küçük sürüm güncellemelerinin otomatik yapılması genellikle önerilir. Çünkü bu güncellemeler çoğunlukla güvenlik ve hata düzeltme odaklıdır.

Örneğin WordPress çekirdeğinde küçük güncellemeleri açık tutmak, bilinen zafiyetlere karşı gecikmeyi azaltır. Ancak büyük sürüm geçişleri, tema ve eklenti uyumluluğu açısından test gerektirebilir. Bu nedenle kurumsal sitelerde en sağlıklı yöntem; otomatik güvenlik yamalarını açık tutmak, büyük güncellemeleri staging ortamında test ettikten sonra canlıya almaktır.

Güncelleme stratejisinde üç temel kural kullanabilirsiniz: Önce yedek, sonra test, en son canlıya uygulama. Bu basit sıralama, güvenlik ile süreklilik arasında doğru dengeyi kurar.

PHP Bellek Limiti ve Kaynak Tüketimini Kontrol Altında Tutun

wp-config.php dosyasında WP_MEMORY_LIMIT ve WP_MAX_MEMORY_LIMIT değerleriyle WordPress’in kullanabileceği bellek miktarı tanımlanabilir. Bu ayarlar doğrudan güvenlik ayarı gibi görünmese de kaynak tüketimi saldırılarında, hatalı eklentilerde ve yoğun admin işlemlerinde önemlidir.

Örneğin küçük bir blog için 128M çoğu zaman yeterliyken, WooCommerce mağazaları veya çok dilli sitelerde 256M gerekebilir. Ancak bellek limitini gereksiz şekilde çok yükseltmek, hatalı bir eklentinin daha fazla kaynak tüketmesine ve sunucu performansını düşürmesine neden olabilir. Doğru değer, sitenin trafiği, eklenti sayısı ve hosting paketinin kaynaklarıyla birlikte değerlendirilmelidir.

Eğer sık sık bellek hatası alıyorsanız yalnızca limiti yükseltmek yerine sorunun kaynağını araştırın. Ağır eklentiler, optimize edilmemiş sorgular, eski PHP sürümü veya yetersiz hosting paketi sebep olabilir. Performans ve güvenlik birlikte ele alınmalıdır. Bu konuda WordPress performans optimizasyonu ve yüksek performanslı hosting paketleri içerikleri doğal bağlantı fırsatı sunar.

Geçici Dosya Dizini ve Yükleme Davranışlarını Güvenli Tutun

Bazı hosting ortamlarında WordPress geçici dosyaları varsayılan sistem dizinlerinde tutar. Bu normaldir; ancak hatalı izinlendirilmiş ortak dizinler güvenlik riski oluşturabilir. wp-config.php üzerinden WP_TEMP_DIR tanımlanarak WordPress’in geçici dosyaları kullanacağı dizin belirlenebilir.

Bu yöntemi kullanacaksanız dizinin public erişime kapalı, yazma izni kontrollü ve sadece ilgili site kullanıcısı tarafından erişilebilir olmasına dikkat edin. Özellikle dosya yükleme, medya işleme ve eklenti güncelleme süreçlerinde geçici dizinler aktif kullanılır. Yanlış yapılandırılmış bir geçici dizin, yükleme hatalarına veya dosya sızıntısı riskine neden olabilir.

Çerez Alanı ve Çoklu Site Güvenliği

WordPress çoklu site, alt alan adı veya alt dizin yapısı kullanan projelerde çerez alanı ve site URL değerleri daha hassas hale gelir. Yanlış çerez alanı tanımı, oturumların beklenmedik alt alan adlarında geçerli olmasına veya giriş döngülerine yol açabilir. Güvenlik açısından her site mimarisi için çerez kapsamı minimum gerekli alanla sınırlandırılmalıdır.

Örneğin admin.example.com, shop.example.com ve blog.example.com gibi yapılarda çerezlerin tüm alt alan adlarında mı, yoksa yalnızca belirli bir alan adında mı geçerli olacağı bilinçli belirlenmelidir. Gereğinden geniş çerez kapsamı, bir alt alandaki zafiyetin diğer alanlardaki oturumları etkileme ihtimalini artırabilir.

Çoklu site kullanıyorsanız wp-config.php içindeki multisite sabitlerini, domain mapping ayarlarını ve SSL yapılandırmasını birlikte değerlendirin. Bu tür projelerde alan adı ve SSL planlaması da önemlidir. çoklu domain yönetimi ve wildcard SSL sertifikası bağlantıları burada ilgili olabilir.

wp-config.php İçin Uygulanabilir Güvenlik Kontrol Listesi

Aşağıdaki listeyi canlı WordPress sitenizde periyodik olarak kontrol edebilirsiniz. Özellikle yeni eklenti kurulumlarından, tema değişikliklerinden, sunucu taşımasından ve şüpheli giriş denemelerinden sonra bu listeyi gözden geçirmek iyi bir alışkanlıktır.

  • wp-config.php dosyasının güncel bir yedeği güvenli yerde saklanıyor mu?
  • Güvenlik anahtarları ve salt değerleri benzersiz ve rastgele mi?
  • DISALLOW_FILE_EDIT aktif mi?
  • Canlı sitede WP_DEBUG kapalı veya güvenli loglama modunda mı?
  • Yönetim paneli HTTPS üzerinden zorunlu çalışıyor mu?
  • Veritabanı kullanıcısı gereksiz yetkilere sahip değil mi?
  • Tablo ön eki yeni kurulumlarda varsayılan wp_ dışında mı?
  • Dosya izinleri 777 gibi tehlikeli değerler içermiyor mu?
  • Otomatik güvenlik güncellemeleri kontrollü şekilde açık mı?
  • Hosting hesabında SFTP, yedekleme ve SSL doğru yapılandırılmış mı?

Sık Yapılan Hatalar ve Kaçınma Yolları

wp-config.php üzerinde en sık görülen hata, internetten bulunan kod parçalarını ne işe yaradığını anlamadan eklemektir. Her WordPress sitesi aynı sunucu, tema, eklenti ve trafik yapısına sahip değildir. Bu yüzden bir sitede sorunsuz çalışan ayar, başka bir sitede oturum sorununa veya güncelleme hatasına neden olabilir.

İkinci yaygın hata, canlı sitede debug çıktısını açık bırakmaktır. Bu durum hem kullanıcı deneyimini bozar hem de teknik bilgi sızıntısına yol açar. Üçüncü hata ise wp-config.php dosyasının yedeğini web kök dizininde wp-config-backup.php, wp-config-old.php gibi isimlerle bırakmaktır. Bu dosyalar yanlış sunucu ayarında düz metin olarak indirilebilir. Yedekler web erişimine kapalı alanda tutulmalıdır.

Dördüncü hata, dosya izinlerini sorun çözmek için 777 yapmak ve sonra eski haline almamaktır. Kısa vadede problemi çözer gibi görünse de güvenlik açısından çok tehlikelidir. Beşinci hata ise SSL kurulmadan FORCE_SSL_ADMIN aktif etmektir; bu durum yönetim paneline erişim sorunlarına neden olabilir.

Profesyonel Bir WordPress Güvenlik Katmanı Nasıl Kurulur?

wp-config.php sertleştirmesi önemli bir adımdır ancak tek başına tam güvenlik sağlamaz. Profesyonel bir güvenlik yaklaşımı katmanlı olmalıdır. Güçlü hosting izolasyonu, güncel PHP sürümü, web uygulama güvenlik duvarı, güvenilir SSL, düzenli yedekleme, sınırlı yönetici hesabı, iki faktörlü kimlik doğrulama ve log takibi birlikte düşünülmelidir.

Örneğin saldırgan bir eklenti zafiyetini kullanmaya çalıştığında WAF katmanı isteği engelleyebilir. Bir kullanıcı şifresi ele geçirilirse iki faktörlü doğrulama devreye girer. Bir dosya değişikliği gerçekleşirse yedekten hızlı dönüş yapılır. wp-config.php ise bu zincirde kritik yapılandırma ve sınırlama noktasıdır.

WordPress sitenizi yeni kuruyorsanız en baştan güvenlik odaklı ilerleyin: güçlü bir domain ve SSL planlaması yapın, güvenli hosting seçin, varsayılan tablo ön ekini değiştirin, salt anahtarlarını benzersiz oluşturun, panel dosya düzenlemeyi kapatın ve düzenli yedekleri aktif edin. Bu temel adımlar, ileride yaşanabilecek birçok sorunu başlamadan engeller.

Sonuç: Küçük Ayarlar, Büyük Güvenlik Etkisi

WordPress wp-config.php dosyası ile yapılabilecek gelişmiş güvenlik ayarları, sitenizin saldırı yüzeyini azaltan pratik ve etkili önlemler sunar. Salt anahtarlarını yenilemek, dosya düzenlemeyi kapatmak, debug çıktısını gizlemek, SSL’i zorunlu kılmak, veritabanı yetkilerini sınırlamak ve dosya izinlerini sıkılaştırmak; çoğu WordPress sitesi için yüksek fayda sağlayan adımlardır.

Bu ayarları uygularken acele etmeyin: yedek alın, tek tek değişiklik yapın ve her adımı test edin. Güvenli bir yapılandırma, doğru hosting altyapısı ve düzenli bakım ile birleştiğinde WordPress siteniz çok daha dayanıklı hale gelir. Daha güvenli ve sürdürülebilir bir altyapı planlıyorsanız Hostragons’un WordPress hosting, SSL sertifikası ve domain tescil çözümlerini inceleyerek ihtiyaçlarınıza uygun başlangıç noktasını belirleyebilirsiniz.

Sıkça Sorulan Sorular

wp-config.php dosyasını düzenlemek güvenli mi?

Evet, doğru şekilde yedek alıp değişiklikleri kontrollü uyguladığınızda güvenlidir. Ancak tek bir yazım hatası site erişimini etkileyebilir. Bu yüzden önce dosya ve veritabanı yedeği alın, ardından ayarları tek tek test ederek uygulayın.

wp-config.php dosyasındaki salt anahtarlarını değiştirirsem ne olur?

Tüm aktif kullanıcı oturumları sonlanır ve kullanıcıların yeniden giriş yapması gerekir. Bu işlem içerikleri silmez, veritabanını bozmaz. Özellikle şüpheli giriş, yönetici hesabı riski veya güvenlik ihlali sonrası önerilen hızlı bir önlemdir.

Canlı WordPress sitesinde WP_DEBUG açık kalmalı mı?

Hayır. Canlı sitede WP_DEBUG açık kalırsa hata mesajları ziyaretçilere teknik bilgi sızdırabilir. Güvenli yaklaşım, hataları ekranda göstermemek ve yalnızca kısa süreli ihtiyaçlarda kontrollü loglama kullanmaktır.

DISALLOW_FILE_EDIT eklenti ve tema güncellemelerini engeller mi?

Hayır, DISALLOW_FILE_EDIT yalnızca yönetim panelindeki dosya düzenleyicisini kapatır. Eklenti ve tema güncellemeleri normal şekilde devam eder. Güncellemeleri de kapatmak için farklı ve daha kısıtlayıcı ayarlar gerekir.

wp-config.php dosya izni kaç olmalı?

Sunucu yapılandırmasına göre değişmekle birlikte amaç, dosyayı çalışmayı bozmayacak en düşük izinle tutmaktır. 777 kesinlikle kullanılmamalıdır. Çoğu ortamda 600, 440 veya 644 çalışabilir; değişiklikten sonra site ve panel test edilmelidir.

Bu yazıyı paylaş:

Hostragons Ekibi

Hosting, sunucu ve alan adı konularında uzman ekibimizden güncel rehberler. Projeniz için doğru çözümü birlikte bulalım.

Bize Ulaşın