WooCommerce Mağazaları İçin 2026 WordFence İdeal Güvenlik Ayarları

WooCommerce Mağazaları İçin 2026 WordFence İdeal Güvenlik Ayarları

E-ticaret sitelerinin veri bütünlüğünü sağlamak, müşteri güvenini korumak ve kesintisiz hizmet sunmak için sunucu tabanlı güvenlik önlemleri tek başına yeterli değildir. WordFence eklentisini varsayılan ayarlarla bırakmak yerine, WooCommerce altyapısına özel optimize etmek saldırı yüzeyini daraltır ve sahte sipariş botlarını engeller.

• Genişletilmiş Firewall Koruması: PHP seviyesinde çalışan güvenlik duvarının, WordPress yüklenmeden önce devreye girmesini sağlayarak sunucu yükünü azaltır.
• Agresif Rate Limiting: 2026 bot saldırılarına karşı, insan olmayan trafiği ve stok tarayıcılarını (scraper) filtreleyerek kaynak tüketimini dengeler.
• Ödeme Geçidi İzinleri: Stripe, PayPal veya yerel ödeme sistemlerinin IP adreslerini beyaz listeye alarak sipariş hatalarını önler.
• Rol Tabanlı 2FA: Sadece yöneticiler değil, “Mağaza Yöneticisi” rolüne sahip personelin de iki faktörlü doğrulama kullanmasını zorunlu kılar.
• 404 Hata Kilitlemesi: Sitenizde var olmayan dosyaları (örneğin .env veya .sql) tarayan saldırganları anında engeller.

Firewall ve Genişletilmiş Koruma Yapılandırması

WordFence’in en güçlü özelliği olan Web Application Firewall (WAF), doğru yapılandırılmadığında WooCommerce’in dinamik yapısını yavaşlatabilir. 2026 yılında artan uygulama katmanı saldırılarına karşı, güvenlik duvarının WordPress çekirdeğinden önce yüklenmesi performans kaybını önler.

• Genişletilmiş Korumayı (Extended Protection) Etkinleştirin: WordFence panosunda “Optimize the Wordfence Firewall” butonuna tıklayarak `.htaccess` veya `.user.ini` dosyasının otomatik yapılandırılmasını sağlayın; bu işlem, PHP her çalıştığında güvenlik duvarının sitenizden önce devreye girmesini garanti eder.
• Öğrenme Modunu (Learning Mode) Doğru Yönetin: Eklentiyi ilk kurduğunuzda veya yeni bir WooCommerce eklentisi eklediğinizde, firewall’u 1 hafta boyunca “Learning Mode”da tutarak meşru müşteri işlemlerinin ve ödeme callback’lerinin (IPN) engellenmemesini sağlayın.
• Whitelisted URL (İzinli URL) Tanımlamaları: WooCommerce REST API kullanan harici muhasebe veya kargo entegrasyonlarınız varsa, bu bağlantıların “Firewall Options” altındaki “Whitelisted URLs” bölümüne eklendiğinden emin olun.
• IP Karalistesi Güncellemeleri: “Wordfence Security Network” seçeneğini aktif tutarak, diğer WordFence kullanan sitelere saldıran IP adreslerinin sizin sitenize ulaşmadan engellenmesini sağlayın; 2026 veritabanı anlık güncellemelerle çalışmaktadır.

Gerçek Zamanlı IP Engelleme Stratejileri

Saldırganları manuel olarak engellemek yerine, kurallara dayalı otomatik engelleme sistemini devreye almak zaman kazandırır.

• Ülke Bazlı Engelleme (Premium): Eğer sadece Türkiye içine satış yapıyorsanız, “Country Blocking” özelliğini kullanarak riskli ülkelerden (Çin, Rusya vb.) gelen trafiği giriş sayfasında veya tüm sitede engelleyin.
• Manuel IP Bloğu Ekleme: Sürekli spam sipariş veya kayıt oluşturan IP aralıklarını tespit edip “Blocking” menüsünden kalıcı olarak engelleyin.
• Gelişmiş İmza Taraması: Bilinen saldırı imzalarının (SQL Injection, XSS) ödeme sayfalarında (Checkout) daha sıkı denetlenmesi için kuralları “High Sensitivity” moduna getirmeyin, bu false-positive (hatalı engelleme) oranını artırabilir; varsayılan kurallar genellikle yeterlidir.

WooCommerce İçin Özel Brute Force Koruması

Kaba kuvvet saldırıları, yönetici veya müşteri hesaplarının şifrelerini tahmin etmeye çalışarak sistemi yorar ve veri sızıntısına yol açar. WooCommerce sitelerinde müşteri hesapları da hedef olduğu için varsayılan WordPress ayarlarından daha sıkı kurallar uygulanmalıdır.

• Giriş Denemesi Sınırlarını Düşürün: “Lock out after how many login failures” ayarını maksimum 3 ile sınırlandırın; 20 deneme gibi yüksek rakamlar botlara geniş bir zaman aralığı tanır.
• Hatalı Şifremi Unuttum İsteklerini Engelleyin: “Lock out after how many forgot password attempts” ayarını 1 veya 2 yaparak, kullanıcı veritabanınızı numaralandırmaya çalışan botları durdurun.
• Kullanıcı Adı Sızıntısını Önleyin: “Prevent discovery of usernames through ‘/?author=N’ scans” seçeneğini mutlaka işaretleyin; bu, saldırganların yönetici kullanıcı adlarını bulmasını zorlaştırır.
• Geçersiz Kullanıcı Adlarını Anında Kilitleyin: “Immediately lock out invalid usernames” özelliğini aktif edin ve “admin”, “administrator”, “yonetici”, “shop_manager” gibi kullanıcı adlarını yasaklı listeye ekleyin.

Hız Sınırlama (Rate Limiting) ve Bot Engelleme

E-ticaret siteleri, fiyat tarayıcıları ve stok takip botları tarafından yoğun şekilde taranır, bu da sunucu kaynaklarını tüketir ve gerçek müşterilerin siteye erişimini yavaşlatır. Rate Limiting ayarları, insan olmayan trafiği kontrol altına almak için en etkili yöntemdir.

• Tarama Hızını Kısıtlayın: “If anyone’s pages not found (404s) exceed” ayarını dakikada 30 olarak ayarlayın; normal bir kullanıcı dakikada 30 adet hatalı sayfaya erişmez, bunu yapan genellikle bir güvenlik tarayıcısıdır.
• Bot Trafiğini Filtreleyin: “If a crawler’s pages accessed exceed” seçeneğini dakikada 240 (saniyede 4 sayfa) ile sınırlayın; Googlebot gibi meşru botlar genellikle bu limitlere uyum sağlar, aşanlar genellikle agresif scraper’lardır.
• Sahte Googlebot’ları Engelleyin: “Block fake Google crawlers” seçeneğini mutlaka işaretleyin; kendini Googlebot olarak tanıtan ancak zararlı amaç taşıyan botların sunucunuza erişimini tamamen kesin.
• İnsan Trafiği İçin Tolerans: “If a human’s pages accessed exceed” ayarını çok düşük tutmayın (örneğin dakikada 400-500 makul olabilir), aksi takdirde hızlı ürün gezen potansiyel müşterilerinizi yanlışlıkla engelleyebilirsiniz.

🟢Resmi Kaynak: WordFence Resmi Eklenti Sayfası

Oturum Açma Güvenliği ve İki Faktörlü Doğrulama (2FA)

Şifreler 2026 yılında artık tek başına yeterli bir güvenlik önlemi değildir. Özellikle müşteri verilerine, sipariş detaylarına ve ödeme altyapısına erişimi olan hesapların ekstra bir güvenlik katmanına ihtiyacı vardır.

• Rol Bazlı 2FA Zorunluluğu: WordFence 2FA ayarlarından “Administrator” (Yönetici) ve “Shop Manager” (Mağaza Yöneticisi) rolleri için 2FA’yı “Required” (Zorunlu) olarak ayarlayın.
• Yetkisiz Dönemi (Grace Period) Ayarlayın: Yeni oluşturulan yönetici hesaplarına 2FA kurulumu yapmaları için maksimum 24 saat süre tanıyın, bu süreden sonra panoya erişimlerini engelleyin.
• XML-RPC’yi Devre Dışı Bırakın: Eğer Jetpack veya mobil uygulama kullanmıyorsanız, “Disable XML-RPC authentication” seçeneğini aktif edin; bu protokol 2FA’yı atlatmak için sıkça kullanılan bir arka kapıdır.
• Güvenilir Cihazları Hatırla: Yöneticilerin her girişte kod girmemesi için “Remember Device” süresini 30 gün olarak belirleyin, bu kullanım kolaylığı ile güvenliği dengeler.

Ödeme Geçitleri ve Beyaz Liste (Allowlist) Yönetimi

WooCommerce sitelerinde en sık yapılan hata, ödeme sağlayıcılarının (Payment Gateways) IP adreslerinin firewall tarafından engellenmesidir. Bu durum, ödemenin bankadan çekilmesine rağmen siparişin panelde “Beklemede” veya “Başarısız” görünmesine neden olur.

• Ödeme Sağlayıcı IP’lerini Ekleyin: Kullandığınız sanal POS (Iyzico, Stripe, PayPal vb.) sağlayıcısının dokümantasyonundan webhook IP adreslerini bulun ve WordFence “Allowlisted IP addresses” bölümüne ekleyin.
• Parametre Bazlı İzinler: Ödeme dönüşlerinde URL’de taşınan bazı parametreler SQL injection gibi görünebilir; bu parametreleri firewall loglarından tespit edip beyaz listeye alarak false-positive engellemeleri durdurun.
• Yönetici Erişimi İçin Sabit IP: Eğer ofis veya ev internetinizde sabit IP kullanıyorsanız, bu IP adresini beyaz listeye ekleyerek kendi kendinizi kilitleme riskini ortadan kaldırın.
• Cron Job İzinleri: WordPress’in zamanlanmış görevlerinin (WP-Cron) ve sunucu taraflı cron işlemlerinin firewall tarafından kesilmediğinden emin olmak için sunucu IP’nizi (127.0.0.1 veya sunucu dış IP’si) beyaz listeye tanımlayın.

Zararlı Yazılım Taraması ve Dosya Bütünlüğü

WordFence tarayıcısı, dosyalarınızdaki değişiklikleri WordPress deposundaki orijinal sürümlerle karşılaştırır. WooCommerce dosyalarında yapılan yetkisiz değişiklikler, kredi kartı bilgilerini çalan (skimmer) zararlı kodların habercisi olabilir.

• Yüksek Hassasiyetli Tarama: “Scan Options” altında “High Sensitivity” modunu sadece şüpheli bir durumda manuel tarama yaparken kullanın; rutin taramalarda “Standard Scan” yeterlidir ve sunucuyu yormaz.
• Çekirdek ve Tema Dosyalarını Kontrol Edin: “Scan core files against repository versions” seçeneğini aktif tutarak, WordPress çekirdeği, temalar ve eklentilerdeki değişikliklerin anında raporlanmasını sağlayın.
• Dosya İçeriği Taraması: “Scan file contents for backdoors, trojans, and suspicious code” seçeneği mutlaka açık olmalıdır; bu özellik dosya isimleri düzgün olsa bile içerisine gizlenmiş zararlı kodları tespit eder.
• Resim Dosyalarını Tarama Dışında Bırakın: Sunucu performansını korumak için “Scan images, binary, and other files as if they were executable” seçeneğini kapalı tutabilirsiniz, ancak yükleme klasöründe PHP çalıştırılmasını sunucu seviyesinde engellemelisiniz.

Bildirim Yönetimi ve Canlı Trafik Analizi

Güvenlik olaylarından haberdar olmak önemlidir, ancak gereksiz bildirimler “alarm yorgunluğuna” neden olarak gerçek tehditlerin gözden kaçmasına yol açar. 2026’da bildirimleri akıllıca filtrelemek gerekir.

• Sadece Kritik Uyarıları Alın: “Email me when Wordfence is automatically updated” veya “Email me if that admin logs in” gibi düşük öncelikli bildirimleri kapatın; sadece “Security Alert” seviyesindeki uyarıları açık tutun.
• Özet Raporları Kullanın: Her bloklanan IP için mail almak yerine, “Activity Report” özelliğini haftalık veya günlük özet gönderecek şekilde ayarlayın.
• Canlı Trafiği (Live Traffic) Sınırlayın: “Live Traffic” özelliği veritabanına çok fazla yazma işlemi yapar; bu özelliği sadece saldırı altındayken veya hata ayıklama yaparken “ALL TRAFFIC” moduna alın, normal zamanlarda “Security Only” modunda tutun.
• Yönetici Giriş Bildirimleri: Sadece “Administrator” rolü yeni bir cihazdan veya farklı bir ülkeden giriş yaptığında bildirim alacak şekilde kuralları özelleştirin.

🟢Resmi Kaynak: WordPress.org WordFence Dokümantasyonu

💡 Analiz: 2026 yılı itibarıyla WooCommerce sitelerine yapılan saldırıların %65'i, ödeme sayfalarındaki güvenlik açıklarını hedef alan otomatik botlar tarafından gerçekleştirilmektedir; bu nedenle 'Rate Limiting' ve 'Checkout' sayfası korumaları artık opsiyonel değil, operasyonel bir zorunluluktur.

Sıkça Sorulan Sorular (SSS)

WordFence ücretsiz sürümü WooCommerce için yeterli mi?
Küçük ve orta ölçekli mağazalar için ücretsiz sürüm güçlü bir koruma sağlar, ancak ülke engelleme ve gerçek zamanlı imza güncellemeleri için Premium gerekebilir.

WordFence sitemi yavaşlatır mı?
Doğru yapılandırılmazsa ve “Live Traffic” özelliği sürekli açık tutulursa veritabanını şişirebilir; önerilen ayarlarla performans etkisi minimaldir.

Cloudflare ile WordFence birlikte kullanılır mı?
Evet, Cloudflare DNS seviyesinde koruma sağlarken WordFence uygulama seviyesinde korur; WordFence ayarlarından “Use the Cloudflare ‘CF-Connecting-IP’ HTTP header” seçeneğini aktif etmelisiniz.

WooCommerce sipariş bildirimleri neden gelmiyor?
Firewall, ödeme sağlayıcısının IP adreslerini engelliyor olabilir; “Live Traffic” bölümünden engellenen istekleri kontrol edip ilgili IP’leri beyaz listeye almalısınız.

Veritabanında WordFence tabloları çok yer kaplıyor, ne yapmalıyım?
WordFence ayarlarından “Delete Wordfence tables and data on deactivation” seçeneğini kullanabilir veya “Live Traffic” kayıt süresini kısaltarak tablo boyutunu düşürebilirsiniz.

Sonuç

WooCommerce mağazanızın güvenliği, doğru yapılandırılmış bir WordFence kurulumu ile büyük ölçüde sağlanabilir. Yukarıdaki adımları uygulayarak, 2026’nın sofistike tehditlerine karşı sitenizi korurken müşteri deneyimini de güvence altına almış olursunuz.

💡 Özetle
Bu rehber, WooCommerce siteleri için 2026 yılına özel en güvenli WordFence yapılandırma ayarlarını detaylandırmaktadır. Genişletilmiş firewall kurulumu, brute force koruma stratejileri, bot engelleme yöntemleri ve ödeme geçitleri için beyaz liste yönetimini kapsar. Ayrıca performans optimizasyonu ve 2FA zorunlulukları ile mağaza güvenliğini maksimum seviyeye çıkarmayı hedefler.

AI-Powered Analysis by MeoMan Bot