Kategori:Haberler

WordPress Güvenliğini Zirveye Taşıyan Dosya İzinleri ve CHMOD Yapılandırma Rehberi (2026 Güncel)

11 Ocak 2026

WordPress Güvenliğini Zirveye Taşıyan Dosya İzinleri ve CHMOD Yapılandırma Rehberi (2026 Güncel)Kapsamlı İnceleme

2026 yılı itibarıyla dijital dünyada siber tehditlerin karmaşıklığı artarken, bir WordPress sitesinin güvenliğini sağlamanın en temel ve en kritik adımı hala dosya izinleri (CHMOD) yapılandırmasından geçmektedir. Dosya izinleri, sunucunuzdaki dosyalara kimlerin erişebileceğini, kimlerin bu dosyaları değiştirebileceğini ve kimlerin çalıştırabileceğini belirleyen dijital bir protokoller bütünüdür. Yanlış yapılandırılmış bir izin seti, saldırganlara sitenizin kapılarını ardına kadar açabilirken; doğru yapılandırma, en yetenekli botların bile içeri sızmasını engelleyen görünmez bir zırh görevi görür. Bu rehberde, bir WordPress sitesinin dosya hiyerarşisini nasıl güvence altına alacağınızı teknik detaylarıyla inceleyeceğiz.

  • Tüm WordPress dizinleri (klasörler) için standart güvenlik protokolü 755 olarak ayarlanmalıdır.
  • Tüm kök dizin ve alt dizin dosyaları için en güvenli erişim seviyesi 644 değeridir.
  • Sitenizin kalbi olan wp-config.php dosyası, sunucu tipine göre 440 veya 400 ile tamamen izole edilmelidir.
  • 777 (Dünya genelinde yazılabilir) izni, 2026 standartlarında kesinlikle bir güvenlik açığı olarak kabul edilir ve asla kullanılmamalıdır.
  • Dosya sahipliği (Ownership), izinler kadar kritiktir; dosyalar mutlaka web sunucusu kullanıcısı (www-data/apache) tarafından sahiplenilmelidir.
Dosya/Klasör Türü Önerilen CHMOD Erişim Yetkisi Risk Seviyesi Açıklama
Ana Dizin ve Klasörler 755 rwxr-xr-x Düşük Sahibi yazar, diğerleri sadece okur ve girer.
Genel Dosyalar (.php, .html) 644 rw-r–r– Düşük Sadece sahibi değiştirebilir.
wp-config.php 440 / 400 r–r—– Kritik Veritabanı bilgilerini korumak için en dar izin.
.htaccess Dosyası 444 / 644 r–r–r– Orta Sunucu yapılandırma güvenliği sağlar.
wp-content/uploads 755 rwxr-xr-x Düşük Medya yüklemeleri için standart izin.

CHMOD Nedir ve WordPress İçin Neden Hayatidir?

CHMOD (Change Mode), Unix ve Unix benzeri işletim sistemlerinde dosya ve dizinlerin erişim yetkilerini değiştirmek için kullanılan bir komuttur. WordPress ekosisteminde bu komut, web sunucusunun (Apache, Nginx, Litespeed) dosyalarınızı okuyup okuyamayacağını veya üzerlerine veri yazıp yazamayacağını belirler. Üç temel yetki türü vardır: Okuma (Read – 4), Yazma (Write – 2) ve Çalıştırma (Execute – 1). Bu rakamların toplamı, kullanıcı (User), grup (Group) ve diğerleri (Public) için üç haneli bir kod oluşturur. Örneğin, 755 kodu, sahibine tam yetki (4+2+1=7), gruba ve halka ise sadece okuma ve çalıştırma yetkisi (4+1=5) verir.

2026 yılındaki gelişmiş saldırı vektörleri düşünüldüğünde, dosya izinleri sadece bir ayar değil, bir savunma stratejisidir. Eğer bir saldırgan sitenizdeki bir açığı kullanarak sunucuya sızarsa, ilk yapacağı şey dosya izinlerini kontrol etmektir. Eğer dosyalarınız “yazılabilir” (örneğin 777) durumdaysa, saldırgan kötü amaçlı kodlarını doğrudan PHP dosyalarınıza enjekte edebilir. Bu durum, sitenizin bir spam merkezine dönüşmesine veya ziyaretçilerinizin verilerinin çalınmasına neden olur. Doğru CHMOD ayarları, saldırganın hareket alanını kısıtlayarak, olası bir sızıntının tüm sisteme yayılmasını engeller.

WordPress’in dinamik yapısı, sürekli olarak dosya okuma ve yazma işlemlerini içerir. Eklenti güncellemeleri, tema değişiklikleri ve medya yüklemeleri sırasında sistemin belirli klasörlere yazma yetkisine ihtiyacı vardır. Ancak bu yetkiyi tüm dizinlere vermek büyük bir hatadır. İdeal bir yapılandırmada, WordPress çekirdek dosyaları sadece okunabilir olmalı, sadece belirli dizinler (uploads gibi) kontrollü yazma yetkisine sahip olmalıdır. Bu dengeyi kurmak, hem sitenizin performansını optimize eder hem de siber hijyen standartlarını karşılamanızı sağlar.

Klasör İzinlerinde Altın Kural: Neden 755 Kullanmalıyız?

WordPress kurulumunuzdaki tüm klasörler için evrensel olarak kabul edilen en güvenli izin seviyesi 755’tir. Bu ayar, klasörün sahibine (genellikle FTP kullanıcınız veya web sunucusu) dosyaları listeleme, klasör içine girme ve dosya ekleme/silme yetkisi verir. Diğer kullanıcılar ve ziyaretçiler ise klasöre girebilir ve içindeki dosyaları görebilir ancak hiçbir şeyi değiştiremez veya silemez. Bu, bir kütüphaneye benzer; herkes içeri girebilir ve kitapları okuyabilir (okuma/çalıştırma), ancak sadece kütüphaneci yeni kitap ekleyebilir veya mevcutları raflardan kaldırabilir (yazma).

En iyi Wordpress Sınırsız Hosting

755 izninin “Çalıştırma” (Execute) biti, klasörler söz konusu olduğunda dosyaların çalıştırılmasından ziyade, klasörün içine “girilebilmesi” anlamına gelir. Eğer bir klasörün çalıştırma iznini kaldırırsanız (örneğin 644 yaparsanız), web sunucusu o klasörün içeriğine erişemez ve bu da sitenizde 403 Forbidden hatalarına yol açar. Bu nedenle, wp-admin, wp-includes ve temalarınızın bulunduğu wp-content klasörleri mutlaka 755 olarak kalmalıdır. 2026’da kullanılan modern kontrol panelleri (cPanel, Plesk, CyberPanel) genellikle bu ayarı otomatik olarak yapsa da, manuel kontroller her zaman gereklidir.

WordPress Güvenliğini Zirveye Taşıyan Dosya İzinleri ve CHMOD Yapılandırma Rehberi (2026 Güncel) WordPress Yardım ve Destek

Güvenlik uzmanları, bazı durumlarda daha katı olan 750 iznini de önermektedir. 750 izninde, “diğerleri” (Public) kategorisindeki kullanıcıların klasöre erişimi tamamen kesilir. Eğer sunucunuzda sadece sizin siteniz barınıyorsa ve sunucu yapılandırmanız buna izin veriyorsa, 750 kullanmak bir tık daha fazla güvenlik sağlar. Ancak paylaşımlı hosting kullanıyorsanız, 750 izni bazı sunucu servislerinin sitenizi görüntülemesini engelleyebilir. Bu yüzden 755, uyumluluk ve güvenlik arasındaki en ideal denge noktasıdır.

Dosya Güvenliğinin Temeli: 644 İzin Seviyesi ve Detayları

WordPress sitenizdeki tüm PHP, HTML ve görsel dosyaları için standart izin seviyesi 644 olmalıdır. Bu kodun anlamı şudur: Dosya sahibi dosyayı okuyabilir ve üzerinde değişiklik yapabilir (4+2=6), grup ve diğerleri ise dosyayı sadece okuyabilir (4). Dosyalar için “Çalıştırma” (1) iznine genellikle ihtiyaç duyulmaz çünkü PHP dosyaları sunucu tarafında yorumlanır ve doğrudan bir “binary” gibi çalıştırılmazlar. 644 ayarı, sitenizin içeriğinin ziyaretçiler tarafından görülmesini sağlarken, dışarıdan kimsenin bu dosyaların içeriğini değiştirememesini garanti altına alır.

💡 Analiz: 2026 verilerine göre bu konu, dijital stratejilerde kritik bir rol oynamaktadır. Gelecek vizyonu için teknik altyapı önemlidir.

Özellikle index.php, wp-login.php ve tema dosyalarınızın 644 olması hayati önem taşır. Eğer bu dosyalar 666 veya 777 gibi bir izne sahip olursa, herhangi bir kullanıcı veya kötü niyetli bir script, bu dosyaların içine reklam linkleri, yönlendirme kodları veya kripto madencilik scriptleri yerleştirebilir. 2026 yılında, yapay zeka destekli tarayıcılar interneti sürekli tarayarak “yazılabilir” dosyaları tespit etmekte ve saniyeler içinde bu dosyalara sızmaktadır. 644 izni, bu tür otomatik saldırılara karşı en etkili pasif savunma yöntemidir.

Dosya izinlerini toplu olarak değiştirmek için FTP istemcileri (FileZilla gibi) veya SSH terminali kullanılabilir. SSH üzerinden “find . -type f -exec chmod 644 {} ;” komutunu kullanmak, tüm dosyaları tek seferde güvenli hale getirmenin en hızlı yoludur. Ancak bu işlemi yaparken wp-config.php gibi özel izin gerektiren dosyaları hariç tutmak veya sonrasında onları manuel olarak daha katı izinlere çekmek önemlidir. Unutmayın, dosya güvenliği statik bir durum değil, sürekli izlenmesi gereken dinamik bir süreçtir.

Woocommerce Hızlı Hosting

wp-config.php Dosyasını Zırhlamak: Özel İzin Ayarları

wp-config.php, bir WordPress sitesinin en hassas parçasıdır. Bu dosya; veritabanı adınızı, kullanıcı adınızı, şifrenizi ve güvenlik anahtarlarınızı (Salt Keys) barındırır. Bu dosyanın ele geçirilmesi, sitenizin tam kontrolünün saldırgana geçmesi demektir. Bu nedenle, wp-config.php dosyasına standart 644 izni vermek yerine çok daha kısıtlayıcı olan 440 veya 400 izinleri verilmelidir. 400 izni, dosyanın sadece sahibi tarafından okunabileceğini ve hiç kimse (sahibi dahil) tarafından değiştirilemeyeceğini belirtir.

2026 sunucu mimarilerinde, özellikle suPHP veya FastCGI gibi yapılar kullanılıyorsa, 400 izni mükemmel çalışır. Bu ayar yapıldığında, WordPress panelinden bir dosya düzenleyici kullanarak wp-config.php dosyasını değiştiremezsiniz. Bu bir dezavantaj gibi görünse de aslında büyük bir güvenlik avantajıdır. Dosyada değişiklik yapmanız gerektiğinde izinleri geçici olarak 600’e çekip, işleminiz bitince tekrar 400’e döndürmek en profesyonel yaklaşımdır. Bu sayede, sunucudaki başka bir kullanıcı veya bir güvenlik açığı üzerinden sızan saldırgan, bu dosyayı okuyamaz.

Ayrıca, wp-config.php dosyasını bir üst dizine taşımak da ek bir güvenlik katmanı sağlar. WordPress, eğer kök dizinde bu dosyayı bulamazsa otomatik olarak bir üst dizine bakar. Eğer dosya izinleriniz 400 ise ve dosya kök dizinin dışındaysa, saldırganların bu dosyaya web üzerinden veya standart scriptlerle ulaşması neredeyse imkansız hale gelir. Bu dosya üzerindeki her türlü “yazma” yetkisini kaldırmak, veritabanı güvenliğinizin ilk ve en önemli kalkanıdır.

.htaccess Dosyası ve Güvenlik Duvarı Yapılandırması

.htaccess dosyası, Apache sunucularında sitenizin nasıl davranacağını belirleyen, yönlendirmeleri yöneten ve güvenlik kurallarını tanımlayan bir yapılandırma dosyasıdır. Bu dosya, WordPress’in kalıcı bağlantı (permalink) yapısını yönettiği gibi, aynı zamanda belirli IP adreslerini engellemek veya belirli klasörlere erişimi kısıtlamak için de kullanılır. Hassas doğası gereği, .htaccess dosyasının izinleri 444 veya 644 olarak ayarlanmalıdır. 444 izni (sadece okuma), dosyanın yanlışlıkla veya kötü niyetle değiştirilmesini engeller.

2026’da .htaccess dosyası, sadece bir yönlendirme aracı değil, aynı zamanda bir “Mikro Güvenlik Duvarı” olarak işlev görmektedir. Dosya izinlerini 444 yaparak, WordPress eklentilerinin (bazı güvenlik eklentileri dahil) bu dosyaya sürekli veri yazmasını engelleyebilirsiniz. Bu, başlangıçta zahmetli görünse de, dosyanın bütünlüğünü korumak adına kritik bir adımdır. Eğer bir eklenti .htaccess dosyasına yeni bir kural eklemek isterse, size uyarı verecektir; siz de manuel olarak izni açıp kuralı ekledikten sonra tekrar kilitleyebilirsiniz.

Önemli bir ipucu: .htaccess dosyasının kendisini de .htaccess içindeki kodlarla koruyabilirsiniz. Dosyanın içine ekleyeceğiniz küçük bir kod bloğu, bu dosyaya web tarayıcısı üzerinden erişmeye çalışan herkesi engelleyebilir. Dosya izinlerini (CHMOD) doğru ayarlamakla birlikte, dosya içeriğini de bu tür koruma kodlarıyla desteklemek, WordPress güvenliğinde “derinlemesine savunma” (Defense in Depth) prensibinin bir parçasıdır.

🚀 İpucu: Başarıya ulaşmak için sürekli optimizasyon ve güncel takip şarttır. Bu rehberdeki adımları uygulayın.

Hatalı İzinlerin (777) Doğurduğu Güvenlik Riskleri

WordPress dünyasında yapılabilecek en büyük hatalardan biri, bir hata ile karşılaşıldığında (örneğin görsel yükleyememe veya eklenti güncelleyememe) çözüm olarak dosya veya klasör izinlerini 777 yapmaktır. 777 izni, “Dünya genelinde yazılabilir, okunabilir ve çalıştırılabilir” anlamına gelir. Bu, evinizin kapısını ardına kadar açıp üzerine “İsteyen girebilir, eşyaları alabilir veya değiştirebilir” yazılı bir tabela asmakla eşdeğerdir. 2026 yılında, siber saldırganlar 777 iznine sahip dizinleri saniyeler içinde bulan otomatik araçlar kullanmaktadır.

777 izni verilen bir klasöre, herhangi bir kullanıcı kötü amaçlı bir PHP dosyası yükleyebilir ve bu dosyayı tarayıcı üzerinden çalıştırarak sunucunuzda tam yetki elde edebilir. Bu durum sadece sitenizin hacklenmesine değil, aynı zamanda sunucunuzun diğer sitelere saldırı düzenlemek için bir “zombi” olarak kullanılmasına da yol açabilir. Hosting firmanız, bu tür bir aktivite tespit ettiğinde hesabınızı kalıcı olarak askıya alabilir. Hiçbir modern WordPress eklentisi veya teması, düzgün yapılandırılmış bir sunucuda 777 iznine ihtiyaç duymaz.

Eğer sitenizde izinlerle ilgili bir sorun yaşıyorsanız, çözüm izinleri 777 yapmak değil, “Dosya Sahipliği” (Ownership) sorununu çözmektir. Çoğu zaman sorun, dosyaların FTP kullanıcısına ait olması ancak web sunucusunun (PHP) bu dosyaları değiştirmeye yetkisinin olmamasından kaynaklanır. Bu durumda teknik destek ekibinizden dosya sahipliğini “web server user” olarak güncellenmesini istemeniz, güvenliğinizi tehlikeye atmadan sorunu kökten çözecektir.

FTP ve SSH Üzerinden Dosya İzinleri Nasıl Değiştirilir?

Dosya izinlerini yönetmek için en yaygın kullanılan yöntem FTP (File Transfer Protocol) istemcileridir. FileZilla gibi popüler bir araçla sunucunuza bağlandığınızda, dosya veya klasöre sağ tıklayıp “Dosya İzinleri” (File Permissions) sekmesine girerek sayısal değeri manuel olarak yazabilirsiniz. “Alt dizinlere uygula” seçeneği sayesinde, tüm klasörleri 755 veya tüm dosyaları 644 yapma işlemini saniyeler içinde gerçekleştirebilirsiniz. Ancak bu işlem büyük sitelerde zaman alabilir ve bağlantı kopmalarına neden olabilir.

Daha profesyonel ve hızlı bir yöntem ise SSH (Secure Shell) kullanmaktır. Terminal üzerinden sitenizin ana dizinine giderek iki basit komutla tüm izinleri standartlara uygun hale getirebilirsiniz. Klasörler için: find . -type d -exec chmod 755 {} ; ve dosyalar için: find . -type f -exec chmod 644 {} ; komutları, binlerce dosyayı milisaniyeler içinde günceller. 2026’da SSH erişimi, güvenli ve hızlı yönetim için her WordPress yöneticisinin bilmesi gereken temel bir yetkinlik haline gelmiştir.

Son olarak, dosya izinlerini değiştirdikten sonra sitenizi mutlaka test etmelisiniz. Özellikle wp-config.php ve .htaccess üzerindeki kısıtlamalar bazen sunucu konfigürasyonuna bağlı olarak beklenmedik hatalara yol açabilir. Eğer bir değişiklik sonrası 500 Internal Server Error alıyorsanız, izinleri bir kademe gevşeterek (örneğin 400’den 440’a veya 600’e) tekrar denemelisiniz. Güvenlik, kullanılabilirlikten ödün vermeden en katı kuralları uygulama sanatıdır.

Sıkça Sorulan Sorular

  1. 777 izni neden kesinlikle kullanılmamalıdır? Çünkü bu izin, sunucudaki herkesin (ve her scriptin) dosyanıza yazmasına izin verir, bu da tam bir güvenlik felaketidir.
  2. Dosya izinlerini değiştirmek sitemi yavaşlatır mı? Hayır, dosya izinleri sunucu işletim sistemi seviyesinde kontrol edilir ve sitenizin yüklenme hızına herhangi bir olumsuz etkisi yoktur.
  3. Eklenti yükleyemiyorum, izinleri 777 mi yapmalıyım? Kesinlikle hayır. Bunun yerine klasör sahibinin (ownership) web sunucusu kullanıcısı olup olmadığını kontrol edin.
  4. wp-config.php için 400 mü yoksa 440 mı daha iyidir? Eğer sunucunuz destekliyorsa 400 en güvenlisidir; ancak hata alırsanız 440 veya 600 değerlerini deneyebilirsiniz.
  5. Tüm dosyaları tek tek mi değiştirmem gerekiyor? Hayır, FTP istemcilerindeki “alt dizinlere uygula” özelliği veya SSH komutları ile toplu değişim yapabilirsiniz.

Sonuç olarak, WordPress dosya izinleri (CHMOD), dijital varlığınızı koruyan ilk savunma hattıdır. 2026’nın karmaşık siber ortamında, standartlara uymak (klasörler için 755, dosyalar için 644) ve wp-config.php gibi kritik dosyaları özel olarak zırhlamak, profesyonel bir web yöneticisinin en önemli görevlerinden biridir. Doğru yapılandırılmış bir sistem, sadece saldırıları engellemekle kalmaz, aynı zamanda sunucu kaynaklarının daha verimli kullanılmasını sağlar ve olası bir hata durumunda sorunun kaynağını daha hızlı tespit etmenize yardımcı olur. Unutmayın, güvenlik bir varış noktası değil, sürekli bir iyileştirme yolculuğudur.

💡 Özetle
WordPress güvenliği için klasör izinleri 755, dosya izinleri 644 ve wp-config.php dosyası 400 olarak yapılandırılmalıdır. Bu ayarlar, 2026 standartlarında sitenizi yetkisiz erişimlere ve kötü amaçlı yazılım enjeksiyonlarına karşı koruyan en temel güvenlik önlemidir.

AI-Powered Analysis by MeoMan Bot