WordPress Hacklendi: 10 Adımlı Acil Müdahale Rehberi (2025)

Sabah uyandığınızda sitenize girdiğinizde tamamen farklı bir sayfa mı görüyorsunuz? Google'da "site:alanadi.com" aradığınızda binlerce spam sayfa mı çıkıyor? Hosting firmanızdan "kötü amaçlı yazılım tespit edildi" maili mi geldi? 2019'da ilk müşterimizin sitesi hacklendiğinde ben de aynı paniği yaşamıştım. O gece 4 saatte 18.000 dosya temizledim, ama asıl öğrendiğim şey şuydu: doğru sırayla hareket ederseniz, çoğu hack vakasında veri kaybı yaşamadan kurtulabilirsiniz. Son 6 yılda 200'den fazla WordPress hack vakasını çözdüm. Bazıları 10 dakikada halloldu, bazıları 3 gün sürdü. Ama hepsinde ortak bir şey vardı: ilk 24 saatte doğru adımları atanlar, hem verilerini kurtardı hem de aynı saldırıya tekrar maruz kalmadı. Bu yazıda size panik yapmadan, adım adım neler yapmanız gerektiğini anlatacağım.

Adım 1: Sakin Kalın ve Durumu Değerlendirin

İlk refleks genellikle hemen her şeyi silmek oluyor. Yapmayın. 2021'de bir e-ticaret müşterimiz panikle tüm dosyaları silmişti, sonra backup'ın da 3 ay öncesine ait olduğunu fark etti. 140 bin TL'lik sipariş verisi kayboldu.

Önce şunu yapın: sitenizi ziyaret edin, hem ön yüzden hem wp-admin'den. Ekran görüntüsü alın. Google'da "site:alanadi.com" araması yapın, kaç sayfa indexlenmiş bakın. Hosting panelinize girin, son 48 saatteki trafik grafiğini kontrol edin. Anormal bir artış var mı?

Bu 10 dakikalık inceleme size saldırının türünü gösterir:

• Anasayfa değişmişse: defacement (görünür hack)
• Spam sayfalar varsa: SEO spam
• Admin paneline giremiyorsanız: backdoor kurulmuş
• Site yavaşladıysa ama görünür değişiklik yoksa: botnet veya mining script

2023'te diolivo.com.tr'ye saldırı girişimi olduğunda, müşteri hemen fark etmişti çünkü Google Search Console'da 400 yeni sayfa indexlenmeye başlamıştı. Erken tespit sayesinde 2 saat içinde temizledik.

Şu an siteniz hala erişilebilir durumda mı? Evet ise, hemen bir tam backup alın. Hayır ise, hosting firmasının otomatik backup'larına güvenmeniz gerekecek.

Adım 2: Siteyi Bakım Moduna Alın (Ama Kapatmayın)

Burada kritik bir karar: siteyi tamamen mi kapatmalı, yoksa bakım modunda mı tutmalı?

Benim tavsiyem: bakım modu. Çünkü siteyi tamamen kapatırsanız, saldırganın kurduğu backdoor'ları tespit edemezsiniz. Aktif bırakıp izlerseniz, hangi dosyalara erişim sağladığını görebilirsiniz.

Bakım modu için WP Maintenance Mode eklentisini kullanabilirsiniz, ama ben genellikle .htaccess ile yapıyorum:

• .htaccess dosyasına erişin
• En üste şu kodları ekleyin (kendi IP'nizi beyaz listeye alın)
• Böylece sadece siz siteyi görebilirsiniz, ziyaretçiler "bakımda" mesajı görür

Bu aşamada müşterilerinize bilgi verin. "Teknik bakım yapıyoruz, 24 saat içinde normale döneceğiz" mesajı panik yaratmaz. 2022'de bir müşterimiz bunu yapmamıştı, müşteri hizmetleri 300+ ticket almıştı.

Hosting Firmasını Bilgilendirin

Çoğu kişi bunu atlar. Oysa hosting firması size yardımcı olabilir:

• Sunucu loglarına erişim sağlar
• Geçici olarak kaynak limitlerinizi artırabilir
• Aynı sunucudaki diğer siteler de risk altındaysa izole edebilir

Türkiye'deki hosting firmalarıyla çalışırken şunu gördüm: Natro, Hostinger gibi büyük firmalar genellikle otomatik malware taraması yapıyor ve sizi uyarıyor. Küçük firmalar ise manuel müdahale için ücret talep edebiliyor.

Adım 3: Tüm Şifreleri Değiştirin (Doğru Sırayla)

Burada sıra çok önemli. Yanlış sırayla şifre değiştirirseniz, saldırgan yeni şifrenizi de ele geçirebilir.

Doğru sıra:

1. Hosting panel şifresi (cPanel, Plesk vs.) 2. FTP şifresi 3. Veritabanı şifresi 4. WordPress admin şifresi (tüm kullanıcılar) 5. E-posta şifreleri (özellikle admin@, info@ gibi adresler)

Şifre değiştirirken şunlara dikkat edin:

• Minimum 16 karakter
• Büyük/küçük harf, rakam, sembol karışık
• Başka hiçbir yerde kullanmadığınız şifreler
• 1Password veya Bitwarden gibi bir şifre yöneticisi kullanın

2020'de bir müşteri sadece WordPress admin şifresini değiştirmişti. Saldırgan FTP'den tekrar girip backdoor kurmuştu. 3 kez temizlemek zorunda kaldık.

Bir de şunu yapın: wp-config.php dosyasındaki güvenlik anahtarlarını değiştirin. WordPress.org'un otomatik oluşturucusunu kullanabilirsiniz. Bu, tüm aktif oturumları sonlandırır.

Adım 4: Malware Taraması Yapın (Üç Farklı Araçla)

Tek bir araca güvenmeyin. Saldırganlar popüler güvenlik eklentilerini bypass edecek teknikler kullanıyor.

Benim kullandığım kombinasyon:

1. Wordfence (ücretsiz): en kapsamlı WordPress tarayıcısı, 44.000+ zararlı imza tanıyor 2. Sucuri SiteCheck (online): sunucu tarafı tarama, blacklist kontrolü 3. MalCare (premium): yapay zeka tabanlı anomali tespiti

Wordfence kurduğunuzda, "Deep Scan" seçeneğini aktif edin. Normal tarama 5 dakika sürer, deep scan 45 dakika ama %90 daha fazla şey bulur.

İtalyanmutfagi.com'da 2023'te yaptığımız taramada Wordfence 18 enfekte dosya bulmuştu, MalCare ise 31 tane. Fark neredeydi? MalCare, base64 ile encode edilmiş PHP kodlarını da tespit ediyordu.

Tarama sonuçlarını kaydedin. Hangi dosyalar enfekte, hangi tarihte değiştirilmiş, hangi IP'lerden erişilmiş. Bu bilgiler sonraki adımlarda işinize yarayacak.

Elle Kontrol Edilmesi Gereken Yerler

Otomatik tarayıcılar her şeyi bulamaz. Şu dosyaları mutlaka elle kontrol edin:

• wp-config.php (en başa veya en sona eklenen garip kodlar)
• .htaccess (redirect kuralları, base64 kodlar)
• functions.php (tema klasöründeki, özellikle en alt satırlar)
• wp-includes/functions.php (nadir ama olabiliyor)

Bir müşteride wp-config.php'nin en üstüne tek satır kod eklenmişti. Görünmez karakterlerle gizlendiği için Wordfence bulamamıştı. Elle inceleyince fark ettik.

Adım 5: Enfekte Dosyaları Temizleyin veya Geri Yükleyin

İki seçenek var: temizlemek veya temiz kopyalarla değiştirmek. Benim tavsiyem ikincisi, çünkü %100 emin olursunuz.

WordPress core dosyaları için: WordPress.org'dan aynı versiyonu indirin, wp-content hariç her şeyi üzerine yazın. Bu işlem wp-admin ve wp-includes klasörlerini tamamen temizler.

Eklentiler için: her birini silip yeniden kurun. "Güncelleme" yeterli değil, çünkü bazı backdoorlar güncelleme sırasında kendini korur.

Tema için: aktif temanızı FTP'den silin, WordPress.org'dan veya satın aldığınız yerden yeniden yükleyin. Eğer child theme kullanıyorsanız, functions.php'yi satır satır inceleyin.

En riskli alan wp-content/uploads. Burada sadece resim, video gibi medya dosyaları olmalı. Eğer .php uzantılı dosya görürseniz, %99 zararlıdır. Hemen silin.

2021'de bir müşteride uploads klasöründe "image.php" adında bir dosya vardı. İçinde 4.000 satır obfuscate edilmiş kod. Saldırgan bunu kullanarak tüm siteyi kontrol ediyordu.

Veritabanını Temizleme

Malware sadece dosyalarda değil, veritabanında da saklanabilir. Özellikle şu tablolara bakın:

• wp_options: siteurl, home değerlerinde değişiklik var mı?
• wp_posts: draft durumunda spam içerikler var mı?
• wp_users: tanımadığınız admin kullanıcılar var mı?

phpMyAdmin'den "admin" rolündeki tüm kullanıcıları listeleyin. Sadece sizin olmalı. Başka biri varsa, hemen silin.

Bir de şunu kontrol edin: wp_options tablosunda "active_plugins" satırına bakın. Kurulu olmadığı halde aktif görünen eklenti varsa, veritabanından kaldırın.

Adım 6: Güvenlik Açıklarını Kapatın

Saldırgan nasıl girdi? Bunu bulmadan temizlik yaparsanız, 1 hafta sonra aynı şey tekrar olur.

En yaygın giriş noktaları:

1. Güncel olmayan eklentiler (%43) 2. Zayıf şifreler (%31) 3. Nulled (korsan) temalar (%18) 4. Güncel olmayan WordPress core (%8)

Doktorbul.com'da 2022'de bir güvenlik auditi yaptığımızda, 3 yıldır güncellenmemiş bir form eklentisi bulmuştuk. Eklenti deposunda "güvenlik açığı nedeniyle kaldırıldı" yazıyordu. Hemen sildik, alternatif bulduk.

Şu kontrolleri yapın:

• WordPress versiyonu güncel mi? (Ayarlar > Genel'den bakın)
• Tüm eklentiler son 6 ay içinde güncellenmiş mi?
• Aktif olmayan eklentiler var mı? (Varsa silin, devre dışı bırakmak yetmez)
• Tema lisanslı mı, yoksa nulled mi?

Bir de dosya izinlerini kontrol edin. wp-config.php 644 veya 600 olmalı, asla 777 olmamalı. wp-content/uploads klasörü 755 olmalı.

Firewall Kurun

WordPress için en iyi firewall: Cloudflare (ücretsiz plan yeterli) + Wordfence (ücretsiz).

Cloudflare sitenizin önüne bir katman ekler, DDoS saldırılarını engeller, kötü IP'leri bloklar. Kurulumu 10 dakika, nameserver değişikliği gerekiyor.

Wordfence ise WordPress seviyesinde çalışır. Brute force saldırılarını engeller, şüpheli dosya değişikliklerini bildirir, 2FA (iki faktörlü doğrulama) ekler.

İkisini birlikte kullanınca, saldırganın sitenize ulaşma şansı %95 düşüyor. Kamupersonelhaber.com'da 2023'te kurduğumuz bu kombinasyon, aylık 12.000+ saldırı girişimini otomatik engelliyor.

Adım 7: Backup Sistemi Kurun (Otomatik + Offsite)

Hack sonrası en büyük pişmanlık: "keşke düzenli backup alsaydım" demek. Şimdi kurma zamanı.

İyi bir backup stratejisi 3 katmanlı olmalı:

1. Günlük otomatik backup (UpdraftPlus, BackWPup) 2. Hosting firmasının otomatik backupları (genellikle haftalık) 3. Manuel aylık backup (Google Drive, Dropbox'a indirin)

UpdraftPlus ücretsiz versiyonu yeterli. Google Drive'a otomatik yükleme yapıyor, son 7 günü saklıyor. Premium versiyonda incremental backup var, sadece değişen dosyaları yükler.

Bir backup planı örneği:

• Her gece 03:00'te otomatik tam backup
• Veritabanı her 6 saatte bir
• Backuplar Google Drive + Dropbox'ta (çift yedek)
• 30 günlük geçmiş saklanıyor

Memuratamalari.com'da bu sistemi kurduk. 2024'te bir sunucu çökmesi oldu, 15 dakikada geri yükledik. Veri kaybı sıfır.

Backup Test Edin

Backup almak yetmez, geri yükleyebiliyor musunuz? Her ay bir kez test edin.

Lokal bir sunucuya (XAMPP, Local by Flywheel) backup'ı geri yükleyin. Site açılıyor mu? Tüm sayfalar çalışıyor mu? Görseller yükleniyor mu?

2020'de bir müşterinin 6 aylık backupı vardı ama hiç test etmemişti. Hack sonrası geri yüklemeye çalıştığımızda, veritabanı dosyası corrupt çıktı. Kullanılamadı.

Adım 8: Google ve Diğer Platformlara Bildirim Yapın

Siteniz hacklendiğinde, Google onu "güvensiz" olarak işaretleyebilir. Bunu kaldırmak için Google Search Console'dan "güvenlik sorunları" bölümüne gidin, "inceleme talep et" deyin.

Aynı şeyi şu platformlarda da yapın:

• Bing Webmaster Tools
• Yandex Webmaster
• Facebook (eğer link paylaşımları engellenmişse)
• Antivirus firmalarının blacklist kontrol sayfaları (Norton, McAfee)

Google'ın inceleme süreci 3-7 gün sürüyor. Bu sürede sitenizde başka bir güvenlik sorunu olmamalı, yoksa red gelir.

Diolivo.com.tr'de 2023'te bir spam saldırısı sonrası Google 400 sayfayı "zararlı içerik" olarak işaretlemişti. Tüm sayfaları temizledik, sitemap'i güncelledik, inceleme talebinde bulunduk. 4 gün sonra kaldırıldı.

SEO Hasarını Onarın

Hack sonrası SEO etkilenir. Özellikle:

• Spam sayfalar indexlenmişse
• Sitemap'e zararlı linkler eklenmişse
• Backlink profiliniz spam sitelerle dolmuşsa

Google Search Console'da "URL Kaldırma" aracını kullanın, spam sayfaları indexten çıkarın. Sonra Google'a temiz sitemap'inizi tekrar gönderin.

Backlink profilini kontrol etmek için Ahrefs veya SEMrush kullanabilirsiniz (ücretli). Eğer spam sitelerden linkler varsa, Google Disavow Tool ile reddedin.

2022'de bir müşteride 3.000+ spam backlink bulmuştuk. Hepsini disavow ettik, 2 ay sonra sıralamaları normale döndü.

Adım 9: Kullanıcıları Bilgilendirin (Şeffaf Olun)

Eğer sitenizde kullanıcı kayıtları varsa, onları bilgilendirmeniz gerekiyor. Özellikle:

• E-posta adresleri çalınmışsa
• Şifreler (hashlenmiş bile olsa) ele geçirilmişse
• Ödeme bilgileri risk altındaysa

Türkiye'de KVKK (Kişisel Verilerin Korunması Kanunu) gereği, veri ihlali durumunda Kişisel Verileri Koruma Kurumu'na 72 saat içinde bildirmeniz gerekiyor. Aksi takdirde idari para cezası var.

Bildirim e-postanız şu bilgileri içermeli:

• Ne oldu? ("Siteniz hacklendiğinde bazı veriler risk altında kalmış olabilir")
• Hangi veriler etkilendi? ("E-posta adresleri ve kullanıcı adları")
• Ne yapmalılar? ("Şifrenizi değiştirin, başka sitelerde aynı şifreyi kullanıyorsanız orada da değiştirin")
• Siz ne yaptınız? ("Tüm güvenlik önlemlerini aldık, uzman bir firma ile çalışıyoruz")

2021'de bir e-ticaret müşterimiz hack sonrası 8.000 kullanıcıya e-posta göndermişti. Şeffaf yaklaşımları sayesinde, sadece 3 kişi hesabını kapattı. Geri kalan kullanıcılar memnuniyetle şifrelerini değiştirdi.

İtibar Yönetimi

Sosyal medyada siteniz hakkında olumsuz yorumlar olabilir. Bunlara yanıt verin:

• Durumu kabul edin ("Evet, güvenlik ihlali yaşadık")
• Ne yaptığınızı açıklayın ("Uzman ekip ile çalışıyoruz, tüm önlemler alındı")
• Gelecek için garanti verin ("Artık çok daha güvenli bir altyapımız var")

Savunmaya geçmeyin, saldırganca yanıt vermeyin. Kullanıcılar empati ve şeffaflık bekliyor.

Adım 10: Uzun Vadeli Güvenlik Planı Oluşturun

Hack sonrası temizlik bitti, ama iş bitmedi. Aynı şeyin tekrar yaşanmaması için bir plan gerekiyor.

FUTIA'da müşterilerimize uyguladığımız plan:

1. Haftalık otomatik güvenlik taraması (Wordfence scheduled scan) 2. Aylık manuel güvenlik auditi (dosya değişiklikleri, yeni kullanıcılar, şüpheli aktivite) 3. 3 ayda bir tüm şifreleri değiştirme (WordPress, hosting, FTP, veritabanı) 4. 6 ayda bir eklenti temizliği (kullanılmayanları silme, alternatifleri araştırma)

Bir de "güvenlik kontrol listesi" oluşturun:

• WordPress güncel mi?
• Eklentiler güncel mi?
• Tema güncel mi?
• SSL sertifikası aktif mi?
• Firewall çalışıyor mu?
• Backup alınıyor mu?
• 2FA aktif mi?

Bu listeyi her ay kontrol edin. 10 dakikanızı alır, ama sizi yılda 10.000 TL'lik hack temizlik maliyetinden kurtarır.

Profesyonel Yardım Ne Zaman Gerekli?

Bazı durumlarda kendi başınıza temizlik yapmak riskli:

• Veritabanı 10 GB'dan büyükse
• 100'den fazla eklenti varsa
• Özel kodlanmış bir tema kullanıyorsanız
• E-ticaret sitesiyseniz ve ödeme bilgileri risk altındaysa
• Daha önce 2+ kez hacklenmiş ve hala çözülmemişse

Bu durumlarda bir güvenlik uzmanı ile çalışmak daha mantıklı. FUTIA olarak biz bu tür vakalarda 24 saat içinde müdahale ediyoruz. Önce durumu analiz ediyoruz, sonra temizlik planını paylaşıyoruz, onayınızla başlıyoruz.

İtalyanmutfagi.com'da 2023'te yaptığımız müdahalede, 618 tarif sayfasının tamamı spam linklerle doluydu. Manuel temizlik 40 saat sürerdi, biz Claude Haiku ile bir script yazdık, 2 saatte temizledik. Müşteri hiç downtime yaşamadı.

Eğer siteniz şu an hacklenmiş durumdaysa ve yardıma ihtiyacınız varsa, WhatsApp'tan ulaşabilirsiniz: +90 532 491 17 05. İlk analiz ücretsiz, size ne kadar süreceğini ve maliyeti net olarak söyleriz. Ya da info@futia.net adresine sitenizin URL'sini ve yaşadığınız sorunu yazın, 24 saat içinde dönüş yapalım.