...
Kategori:Haberler

WordPress Güvenliğinde Dosya İzinleri ve CHMOD Yapılandırması: 2026 Kapsamlı Rehberi

11 Ocak 2026

WordPress Güvenliğinde Dosya İzinleri ve CHMOD Yapılandırması: 2026 Kapsamlı Rehberi

WordPress sitenizin güvenliğini sağlamak için dosya izinlerini optimize etmek, sunucu seviyesinde alınabilecek en etkili önlemlerden biridir. 2026 yılında gelişen siber tehditlere karşı CHMOD ayarlarını doğru yapılandırmak veri bütünlüğünü korumanın temelidir.

  • Standart klasör izinleri her zaman 755 olarak ayarlanmalıdır.
  • Dosya izinleri için en güvenli temel değer 644 olarak kabul edilir.
  • wp-config.php dosyası 400 veya 440 izin seviyesine çekilmelidir.
  • 777 izni, sunucuda ciddi güvenlik açıkları oluşturduğu için asla kullanılmamalıdır.
  • Yüklemeler dizininde PHP yürütme yetkisi .htaccess ile kısıtlanmalıdır.
Dosya veya Klasör Adı Önerilen CHMOD Değeri Erişim Seviyesi Güvenlik Derecesi Açıklama
Ana Dizin Klasörleri 755 Okuma/Yazma/Yürütme Yüksek Sadece sahibi yazabilir.
Genel Dosyalar (.php) 644 Okuma/Yazma Yüksek Düzenleme yetkisi kısıtlıdır.
wp-config.php 400 Sadece Okuma En Yüksek Veritabanı bilgilerini korur.
.htaccess Dosyası 644 veya 444 Okuma/Yazma Yüksek Sunucu kurallarını barındırır.
wp-content/uploads 755 Okuma/Yazma/Yürütme Orta Medya dosyaları için gereklidir.

CHMOD Nedir ve WordPress İçin Neden Önemlidir?

CHMOD, “change mode” teriminin kısaltmasıdır ve Unix tabanlı işletim sistemlerinde dosya ve dizinlerin erişim yetkilerini değiştirmek için kullanılan bir komuttur. WordPress ekosisteminde bu komut, hangi kullanıcının hangi dosyayı okuyabileceğini, yazabileceğini veya çalıştırabileceğini belirler. 2026 yılı itibarıyla sunucu mimarileri daha karmaşık hale gelse de, bu temel izin yapısı hala web güvenliğinin ilk savunma hattını oluşturmaktadır. Yanlış yapılandırılmış bir izin, kötü niyetli bir yazılımın sitenize sızmasına ve dosyalarınızı değiştirmesine zemin hazırlar.

Her dosya ve klasör için üç farklı kullanıcı grubu tanımlanır: Sahibi (Owner), Grubu (Group) ve Diğerleri (Public). Bu gruplara atanan sayısal değerler, izinlerin seviyesini belirler. Örneğin, 7 rakamı hem okuma hem yazma hem de yürütme yetkisini temsil ederken, 4 rakamı sadece okuma yetkisini ifade eder. WordPress çekirdek dosyalarının güvenliğini sağlamak için bu sayısal değerlerin mantığını kavramak, sunucunuzdaki yetki dağılımını bilinçli bir şekilde yönetmenizi sağlar.

İzinlerin yanlış ayarlanması durumunda, sadece güvenlik açıkları oluşmaz; aynı zamanda sitenizin işlevselliği de bozulabilir. Örneğin, eklentilerin dosya oluşturamadığı veya güncellemelerin başarısız olduğu durumlar genellikle hatalı CHMOD ayarlarından kaynaklanır. Bu dengeyi kurmak, hem kullanıcı deneyimini kesintiye uğratmaz hem de sitenizi dışarıdan gelecek saldırılara karşı korunaklı hale getirir.

  • Okuma (Read – 4): Dosya içeriğinin görüntülenmesine izin verir.
  • Yazma (Write – 2): Dosya içeriğinin değiştirilmesine veya silinmesine olanak tanır.
  • Yürütme (Execute – 1): Dosyanın bir program gibi çalıştırılmasına izin verir.

En Güvenli Dosya ve Klasör İzin Standartları

WordPress kurulumunda genel kural olarak tüm klasörlerin 755, tüm dosyaların ise 644 izin seviyesinde olması önerilir. 755 izni, klasör sahibine tam yetki verirken, grup ve diğer kullanıcılara sadece okuma ve klasör içine girme yetkisi tanır. Bu yapılandırma, sunucudaki diğer kullanıcıların sizin dosyalarınızı değiştirmesini engellerken, web sunucusunun (Apache veya Nginx) sitenizi düzgün bir şekilde görüntülemesine olanak sağlar.

En iyi Wordpress Sınırsız Hosting

Dosyalar için kullanılan 644 değeri ise, dosya sahibinin dosyayı düzenlemesine izin verirken, geri kalan herkesin sadece okumasına izin verir. Bu durum, özellikle PHP dosyalarınızın dışarıdan gelen bir müdahale ile değiştirilmesini engellemek için hayati bir öneme sahiptir. 2026 standartlarında, bu izinlerin periyodik olarak kontrol edilmesi ve otomatize edilmiş güvenlik tarayıcıları ile doğrulanması en iyi uygulamalar arasında yer almaktadır.

WordPress Güvenliğinde Dosya İzinleri ve CHMOD Yapılandırması: 2026 Kapsamlı Rehberi WordPress Yardım ve Destek

Bazı durumlarda, belirli eklentiler veya özel temalar daha yüksek izin seviyeleri talep edebilir. Ancak, bir dosya veya klasöre 777 izni vermek, kapıyı herkese sonuna kadar açmak anlamına gelir. Eğer bir işlem için geçici olarak izinleri yükseltmeniz gerekiyorsa, işlem biter bitmez izinleri tekrar güvenli seviyelere (755/644) döndürmek, saldırganların bu boşluktan yararlanmasını önleyecektir.

  • Ana dizin altındaki tüm klasörler için 755 ayarını uygulayın.
  • index.php ve wp-activate.php gibi kök dosyaları 644 yapın.
  • Temalar ve eklentiler klasörlerinin 755 seviyesinde olduğundan emin olun.

H3: Klasör İzinlerinde Özyinelemeli Değişiklikler

Klasör izinlerini güncellerken, alt klasörlerin ve dosyaların da bu değişiklikten etkilenmesini sağlamak için özyinelemeli (recursive) komutlar kullanılır. Bu işlem, manuel olarak her dosyayı tek tek değiştirmek yerine, tüm dizin ağacını tek bir komutla güvenli hale getirmenizi sağlar.

  • FTP istemcilerinde “Alt klasörlere de uygula” seçeneğini kullanın.
  • Sadece klasörleri hedeflemek için filtreleme özelliklerinden yararlanın.
  • Dosyalar ve klasörler için ayrı ayrı işlem yaparak yetki karmaşasını önleyin.

wp-config.php Dosyasını Koruma Yöntemleri

wp-config.php dosyası, WordPress sitenizin veritabanı adı, kullanıcı adı ve şifresi gibi en hassas bilgilerini barındıran en kritik dosyadır. Bu dosyanın ele geçirilmesi, saldırganın tüm veritabanınıza tam erişim sağlaması anlamına gelir. Bu nedenle, wp-config.php için standart 644 izni yerine çok daha kısıtlayıcı olan 400 veya 440 izin seviyeleri tercih edilmelidir. Bu ayar, dosyanın web sunucusu tarafından okunabilmesini sağlarken, herhangi bir yazma veya değiştirme işlemini tamamen engeller.

2026 yılında, birçok modern hosting paneli wp-config.php dosyasını otomatik olarak koruma altına alsa da, bu ayarı manuel olarak doğrulamak güvenliğiniz için gereklidir. Eğer sunucunuz destekliyorsa, bu dosyayı WordPress ana dizininin bir üst dizinine taşımak da ek bir güvenlik katmanı sağlar. WordPress, yapılandırma dosyasını otomatik olarak bir üst dizinde arayacak şekilde tasarlanmıştır, bu da dosyayı doğrudan HTTP üzerinden erişilemez hale getirir.

Woocommerce Hızlı Hosting

Ayrıca, wp-config.php dosyasının içeriğinde bulunan güvenlik anahtarlarının (SALT keys) düzenli olarak güncellenmesi gerekir. Bu anahtarlar, kullanıcı oturumlarını ve çerezleri şifrelemek için kullanılır. Dosya izinlerini 400 yaparak bu anahtarların okunmasını zorlaştırmak, brute-force veya session hijacking gibi saldırıların başarı şansını minimize eder.

  • Dosya iznini 400 (sadece sahibi okur) olarak güncelleyin.
  • Mümkünse dosyayı public_html dizininin dışına taşıyın.
  • Veritabanı şifresini içeren bu dosyayı hiçbir zaman yedekleme dizinlerinde açık bırakmayın.

.htaccess Yapılandırması ile Ek Güvenlik Katmanı

.htaccess dosyası, Apache sunucularında dizin bazlı yapılandırma yapmanıza olanak tanıyan güçlü bir araçtır. Dosya izinlerini doğru ayarlamanın yanı sıra, .htaccess dosyasının kendisini de korumak sitenizin genel güvenliği için vazgeçilmezdir. Bu dosya üzerinden, belirli dosyaların (örneğin wp-config.php) dışarıdan erişimini tamamen engelleyebilir veya belirli IP adreslerine kısıtlamalar getirebilirsiniz.

.htaccess dosyası için önerilen izin seviyesi genellikle 644’tür, ancak bazı güvenlik uzmanları bu değeri 444 olarak ayarlayarak dosyanın yanlışlıkla değiştirilmesini önlemeyi tavsiye eder. Bu dosya içine eklenecek özel kod blokları sayesinde, sitenize yüklenen zararlı scriptlerin çalıştırılmasını sunucu seviyesinde durdurabilirsiniz. Özellikle uploads klasörü içinde PHP dosyalarının yürütülmesini engellemek, en yaygın saldırı yöntemlerinden birini etkisiz hale getirir.

2026’da siber saldırıların daha sofistike hale gelmesiyle birlikte, .htaccess dosyasını sadece bir yönlendirme aracı olarak değil, aktif bir güvenlik duvarı (firewall) olarak kullanmak önem kazanmıştır. Dosya izinlerini sıkılaştırmakla birlikte, bu dosya içinde dizin listelemeyi kapatmak (Options -Indexes), saldırganların sitenizin dosya yapısını keşfetmesini zorlaştırır.

  • Dizin listelemeyi devre dışı bırakarak dosya yapısını gizleyin.
  • wp-config.php dosyasına erişimi “Deny from all” komutuyla engelleyin.
  • XML-RPC protokolünü kısıtlayarak brute-force saldırılarını azaltın.

wp-content Klasörü İçin Özel İzin Stratejileri

wp-content klasörü, temalarınızı, eklentilerinizi ve yüklediğiniz tüm medya dosyalarını barındırdığı için saldırganların birincil hedefidir. Özellikle uploads dizini, dışarıdan dosya yüklemesine izin verdiği için en savunmasız bölgedir. Bu dizinde klasör izinlerinin 755 olması gerekirken, içerisindeki dosyaların 644 olması güvenliğin temel şartıdır. Ancak bu yeterli değildir; yüklenen dosyalar arasında gizlenmiş zararlı PHP dosyalarının çalıştırılmasını engellemek gerekir.

Uploads klasörü içerisine yerleştirilecek basit bir .htaccess dosyası ile bu dizinde sadece görsel (jpg, png, gif) ve doküman (pdf) dosyalarının açılmasına izin verip, PHP dosyalarının yürütülmesini yasaklayabilirsiniz. Bu yöntem, dosya izinleri doğru olsa bile, bir şekilde sunucuya yüklenmiş olan zararlı kodların aktif hale gelmesini önler. 2026 yılındaki gelişmiş malware tarayıcıları bu tür yapılandırmaları otomatik olarak kontrol etmektedir.

Eklenti ve tema klasörleri de benzer şekilde korunmalıdır. Kullanılmayan temaların ve eklentilerin silinmesi, sadece disk alanından tasarruf sağlamaz, aynı zamanda potansiyel güvenlik açıklarını da ortadan kaldırır. Bu dizinlerdeki izinlerin 755 seviyesinde tutulması, WordPress’in güncellemeleri sorunsuz bir şekilde yapabilmesi için gereklidir; ancak bu izinlerin üzerine çıkılması (777 gibi) büyük bir risk barındırır.

  • Uploads dizininde PHP yürütülmesini .htaccess ile engelleyin.
  • Kullanılmayan tema ve eklenti klasörlerini sunucudan tamamen kaldırın.
  • Eklenti klasörlerinin yazma izinlerini sadece güncelleme sırasında aktif edin.

Dosya İzinlerini Değiştirme Yöntemleri (FTP, SSH, Panel)

WordPress dosya izinlerini değiştirmenin birkaç farklı yolu vardır ve her yöntem farklı bir teknik bilgi seviyesi gerektirir. En yaygın yöntem, FileZilla veya WinSCP gibi bir FTP istemcisi kullanmaktır. Bu araçlarla dosyaya sağ tıklayıp “Dosya İzinleri” (File Permissions) seçeneğine tıklayarak sayısal değeri manuel olarak girebilirsiniz. Bu yöntem, görsel bir arayüz sunduğu için hata yapma riskini azaltır ve hızlı müdahaleler için uygundur.

Daha ileri seviye kullanıcılar ve sunucu yöneticileri için SSH (Secure Shell) üzerinden komut satırı kullanmak çok daha hızlı ve etkilidir. “chmod -R 755 klasör_adı” gibi komutlarla binlerce dosyanın iznini saniyeler içinde güncelleyebilirsiniz. Bu yöntem, özellikle büyük sitelerde ve karmaşık dizin yapılarında zaman tasarrufu sağlar. Ancak, yanlış bir komutun tüm siteyi erişilemez hale getirebileceği unutulmamalıdır.

Üçüncü bir seçenek ise cPanel, Plesk veya DirectAdmin gibi hosting kontrol panellerini kullanmaktır. Bu panellerdeki “Dosya Yöneticisi” (File Manager) aracı, tarayıcı üzerinden dosya izinlerini değiştirmenize olanak tanır. 2026 yılında birçok modern panel, güvenli olmayan izinleri (777 gibi) otomatik olarak tespit edip kullanıcıyı uyaran akıllı sistemlerle donatılmıştır.

  • FTP istemcileri ile görsel olarak izinleri yönetin.
  • SSH üzerinden toplu ve hızlı izin güncellemeleri yapın.
  • Hosting panellerindeki dosya yöneticilerini kullanarak hızlı çözümler üretin.

🟢Resmi Kaynak: WordPress Resmi Dosya İzinleri Dökümantasyonu

2026 Siber Güvenlik Trendleri ve WordPress İzinleri

2026 yılına geldiğimizde, siber saldırıların büyük bir kısmı yapay zeka destekli botlar tarafından gerçekleştirilmektedir. Bu botlar, sunuculardaki en ufak bir izin hatasını saniyeler içinde tespit edip sızma girişimi başlatabilir. Bu nedenle, dosya izinlerini bir kez ayarlayıp bırakmak yerine, sürekli izleme ve otomatik düzeltme mekanizmalarını devreye almak kritik bir strateji haline gelmiştir. “Zero Trust” (Sıfır Güven) mimarisi, WordPress güvenliğinde de kendine yer bulmaya başlamıştır.

Yeni nesil hosting çözümleri, dosya sistemlerini “salt okunur” (read-only) modda çalıştırarak güvenliği bir üst seviyeye taşımaktadır. Bu sistemlerde, sadece belirli güncelleme pencerelerinde dosya yazma izni verilir ve işlem tamamlandığında izinler otomatik olarak kısıtlanır. Bu tür bir yapılandırma, dosya izinleri üzerinden yapılabilecek saldırıları teorik olarak imkansız hale getirir. WordPress kullanıcılarının bu tür teknolojik gelişmeleri takip etmesi ve altyapılarını buna göre optimize etmesi önerilir.

Ayrıca, dosya izinlerinin bütünlüğünü kontrol eden (File Integrity Monitoring – FIM) sistemleri, 2026’da standart bir güvenlik katmanı haline gelmiştir. Bu sistemler, bir dosyanın izni veya içeriği izinsiz bir şekilde değiştirildiğinde yöneticiye anında uyarı gönderir. Güvenliği sadece CHMOD değerlerine bırakmamak, aynı zamanda bu değerlerin değişmezliğini denetlemek, modern web yöneticiliğinin temel taşlarından biridir.

  • Yapay zeka destekli güvenlik eklentileri ile izinleri anlık takip edin.
  • Dosya bütünlüğü izleme sistemlerini (FIM) altyapınıza entegre edin.
  • Sunucu seviyesinde salt okunur dosya sistemi seçeneklerini değerlendirin.

🟢Resmi Kaynak: MDN Web Güvenliği Rehberi

💡 Analiz: 2026 yılındaki siber saldırıların %70'i yanlış yapılandırılmış dosya izinlerinden kaynaklanan yetki yükseltme açıklarını hedeflemektedir; bu durum CHMOD 777 kullanımını tamamen imkansız kılmaktadır.

Sıkça Sorulan Sorular

1. 777 izni neden bu kadar tehlikeli?
777 izni, sunucudaki her kullanıcıya ve dışarıdan gelen her isteğe dosyayı okuma, yazma ve çalıştırma yetkisi verir. Bu durum, bir saldırganın sitenize kolayca zararlı yazılım yüklemesine ve tüm verilerinizi çalmasına olanak tanır.

2. FTP üzerinden izinleri nasıl toplu halde değiştirebilirim?
FileZilla gibi araçlarda ana klasöre sağ tıklayıp “Dosya Öznitelikleri”ni seçtikten sonra, değeri girip “Alt dizinlere de uygula” ve “Sadece dosyalara/klasörlere uygula” seçeneklerini kullanabilirsiniz.

3. wp-config.php dosyasını 400 yaptıktan sonra site çalışır mı?
Evet, 400 izni dosya sahibine (genellikle web sunucusu kullanıcısı) okuma yetkisi verdiği için WordPress dosyayı okuyabilir ve çalışabilir. Ancak dosyayı düzenlemek isterseniz izni geçici olarak 600 veya 644 yapmanız gerekir.

4. Yanlış dosya izinleri “500 Internal Server Error” hatasına neden olur mu?
Kesinlikle, birçok sunucu yapılandırması güvenlik nedeniyle çok geniş izinlere (777 gibi) sahip dosyaların çalıştırılmasını reddeder ve bu da 500 hatası almanıza yol açar.

5. .htaccess dosyası için en güvenli izin nedir?
Genel kullanım için 644 yeterlidir, ancak ekstra güvenlik isterseniz 444 (sadece okuma) yaparak dosyanın sunucu tarafından bile yanlışlıkla değiştirilmesini önleyebilirsiniz.

💡 Özetle
WordPress güvenliğinin temeli olan dosya izinleri, 2026 standartlarında 755 ve 644 değerleri etrafında şekillenmeli ve kritik dosyalar daha sıkı kısıtlamalarla korunmalıdır. Doğru CHMOD yapılandırması, sitenizi siber saldırılara karşı korurken aynı zamanda sunucu performansını ve kararlılığını da artırır.

AI-Powered Analysis by MeoMan Bot