WordPress Güvenlik Analizi

WordPress Siteniz Güvende mi?

Açık eklentiler, varsayılan giriş yolları, xmlrpc.php, wp-config.php ifşası ve daha fazlası — WordPress'e özel 15 güvenlik kontrolü.

%43

CMS pazar payı

%90

Saldırıların WordPress hedefi

15+

WordPress özel kontrol

70K+

Bilinen eklenti açığı

Ne Tarıyoruz?

WordPress'e özel güvenlik kontrolleri

wp-config.php Erişimi

Veritabanı şifresi içeren yapılandırma dosyasına erişilebilirlik testi.

XML-RPC Sömürüsü

xmlrpc.php üzerinden brute force ve DDoS amplification riski.

Varsayılan Giriş Yolu

/wp-admin ve /wp-login.php'nin bot saldırılarına karşı koruması.

Eklenti Açıkları

Yüklü eklentilerin bilinen CVE açıklarına karşı karşılaştırılması.

WordPress Versiyonu

Eski ve yamasız WordPress çekirdeği tespiti.

Kullanıcı Adı İfşası

/wp-json/wp/v2/users endpoint'inden kullanıcı adı sızdırılması.

Dizin Listeleme

/wp-content/uploads/ gibi dizinlerin listelenebilirliği.

Debug Modu

WP_DEBUG aktifken hata mesajlarının site ziyaretçilerine gösterilmesi.

Örnek Bulgular

Gerçek tarama çıktısından örnekler

Risk

Parametre

Payload

Sonuç

CRITICAL

/wp-config.php

Doğrudan erişim

Dosya içeriği okunabilir durumda — DB şifresi açıkta.

CRITICAL

/xmlrpc.php

system.multicall

Brute force amplification mümkün — 1 istekte 1000 deneme.

HIGH

/wp-json/wp/v2/users

GET isteği

3 kullanıcı adı ifşa oldu: admin, editor, john.

HIGH

WordPress 5.8.3

Bilinen CVE

4 kritik güvenlik açığı içeren eski versiyon.

Tam raporu gör

MEDIUM

/wp-content/uploads/

Dizin listeleme

Tüm yüklenen dosyalar listelenebiliyor.

Tam raporu gör

PASS

/wp-admin

Giriş sayfası limit ile korunuyor, user enumeration engelleniyor.

Tam raporu gör

Nasıl Çalışır?

WordPress tarama süreci

WP Parmak İzi

WordPress versiyonu, aktif tema ve eklentiler tespit edilir, bilinen CVE veritabanıyla karşılaştırılır.

Kritik Dosya Testleri

wp-config.php, xmlrpc.php ve kullanıcı endpoint'leri erişim ve açık analizine tabi tutulur.

Yapılandırma Raporu

Güvenlik skor hesaplanır, öncelikli açıklar listelenir ve adım adım kapatma kılavuzu oluşturulur.

Risk Seviyeleri

Bulgular dört seviyede raporlanır

KRİTİK

wp-config.php erişimi veya xmlrpc amplification açık. Siteniz aktif saldırı altında olabilir. Acil müdahale.

YÜKSEK

Kullanıcı adı ifşası veya eski WordPress versiyonu. Saldırı vektörü açık, 24 saat içinde kapatın.

ORTA

Dizin listeleme veya debug modu aktif. Bilgi ifşası riski, planlı bakımda çözülmeli.

TEMİZ

İncelenen alanda güvenlik açığı tespit edilmedi. Mevcut yapılandırma güvenli standartları karşılıyor.

Sıkça Sorulan Sorular

WordPress güvenliği hakkında merak edilenler.

En yaygın saldırılar brute force (xmlrpc.php üzerinden), eklenti açıkları ve eski WordPress sürümlerine yönelik bilinen CVE saldırılarıdır. Ayrıca bahis/casino enjeksiyonu da WordPress sitelerinde sıkça görülür.

xmlrpc.php, sistem multicall yöntemiyle tek bir HTTP isteğinde binlerce şifre denemesi yapılmasına izin verir. Kullanmıyorsanız tamamen devre dışı bırakılmalıdır.

Eklentileri düzenli güncelleyin, kullanmadıklarınızı silin (devre dışı bırakmak yetmez) ve yalnızca aktif geliştirilen eklentileri kullanın. Wordfence gibi bir güvenlik eklentisi ekleyin.

`.htaccess` ile dosyaya doğrudan erişimi engelleyin ve dosyayı web kökünün bir üst dizinine taşıyın. WordPress bunu otomatik olarak tanır.

Raporumuzda her açık için adım adım kapatma kılavuzu yer alır. Daha hızlı çözüm için uzman ekibimize iletişim sayfasından ulaşabilirsiniz.

WordPress Sitenizi Hemen Tarayın

URL'nizi girin, 15 kontrolü anında çalıştırın