Web’de yayın yapan milyonlarca sitenin arka planında hangi teknolojinin çalıştığını bilmek; rakip analizi, güvenlik araştırması, SEO karşılaştırması ve teknik denetim açısından son derece değerli bir bilgidir. W3Techs verilerine göre WordPress, 2025 itibarıyla tüm web sitelerinin yaklaşık %43’ünü ve içerik yönetim sistemi (CMS) kullanan sitelerin %62’sinden fazlasını güçlendirmektedir. Bu denli yaygın bir platformun dijital ekosistemde bıraktığı izler de son derece karakteristiktir. Bir sitenin WordPress ile inşa edilip edilmediğini anlamak için kaynak kodundan HTTP başlıklarına, URL yapısına ve meta verilerine kadar onlarca teknik ipucu mevcuttur. Bu makalede bu yöntemler sistematik biçimde ve teknik derinlikte ele alınmaktadır.
Kaynak Kodu İncelemesi: En Doğrudan Yöntem
Bir web sitesinin altyapısını tespit etmenin en güvenilir yolu, sayfanın HTML kaynak kodunu incelemektir. Tarayıcıda Ctrl+U (Windows/Linux) veya Cmd+Option+U (macOS) tuş kombinasyonuyla erişilen kaynak kodda WordPress’e özgü pek çok iz bulunabilir.
İlk ve en belirgin iz, <head> bölümündeki generator meta etiketidir:
<meta name="generator" content="WordPress 6.5.3" />Bu etiket varsayılan olarak WordPress tarafından eklenir ve sitenin hangi sürümü kullandığını doğrudan açıklar. Güvenlik bilincine sahip yöneticiler bu etiketi kaldırabilir; ancak yapılandırmaların büyük çoğunluğunda bu bilgi açık kalmaya devam etmektedir.
İkinci kritik iz, stil sayfası ve JavaScript dosyalarının yüklendiği wp-content yolu referansıdır:
<link rel="stylesheet" href="https://example.com/wp-content/themes/astra/style.css" />
<script src="https://example.com/wp-content/plugins/elementor/assets/js/frontend.js"></script>/wp-content/themes/ ve /wp-content/plugins/ dizin yapısı, WordPress’e özgüdür ve başka hiçbir CMS tarafından bu biçimde kullanılmaz. Bu iki string’den herhangi birinin kaynak kodda geçmesi, sitenin WordPress olduğuna dair neredeyse kesin bir kanıttır.
URL Yapısı ve Dizin Haritası
WordPress’in dosya organizasyonu kendine özgü bir hiyerarşi izler. Doğrudan URL çubuğundan erişilebilen bazı yollar, platformu ele verir:
/wp-login.php — WordPress yönetim paneline erişim için kullanılan giriş sayfasıdır. Bu URL’e istek atıldığında HTTP 200 veya 302 yanıtı geliyorsa, site büyük olasılıkla WordPress çalıştırıyordur. Güvenlik nedeniyle bu sayfayı gizleyen ya da farklı bir URL’e taşıyan eklentiler mevcut olsa da varsayılan kurulumların çok büyük bölümünde bu yol açık kalmaktadır.
/wp-admin/ — Yönetim panelidir. Doğrudan erişim, oturum açmamış kullanıcıları /wp-login.php?redirect_to=/wp-admin/ adresine yönlendirir. Bu yönlendirme davranışının kendisi bile WordPress’in bir işaretidir.
/wp-json/ — WordPress 4.7 sürümüyle birlikte gelen REST API uç noktasıdır. Bu adrese GET isteği yapıldığında dönen JSON yanıtı, sitenin adını, açıklamasını ve desteklediği API sürümlerini içerir:
{
"name": "Örnek Site",
"description": "WordPress ile güçlendirilmiş",
"url": "https://example.com",
"namespaces": ["wp/v2", "oembed/1.0"]
}/xmlrpc.php — Uzaktan içerik yönetimine olanak tanıyan bu dosya, WordPress kurulumlarında standart olarak bulunur. GET isteğine “XML-RPC server accepts POST requests only” şeklinde yanıt vermesi, WordPress kurulumunun güçlü bir göstergesidir.
/wp-cron.php — Zamanlanmış görevleri yöneten bu dosya da yalnızca WordPress kurulumlarında bulunur. Doğrudan istek atılması güvenlik açısından tercih edilmese de varlığı WordPress’i işaret eder.
/readme.html — Varsayılan WordPress kurulumunda yer alan bu dosya, platform adını ve sürüm bilgisini açıkça içerir. Birçok yönetici bu dosyayı silmeyi ihmal eder.
HTTP Başlıkları ve Sunucu Yanıtları
Tarayıcı geliştirici araçlarının Network sekmesinden veya curl -I https://example.com komutuyla incelenebilen HTTP başlıkları da platform tespitinde değerli ipuçları sunar.
X-Powered-By başlığı bazen doğrudan “WordPress” ya da kullanılan önbellekleme eklentisinin adını içerebilir. X-Pingback başlığı ise neredeyse yalnızca WordPress’e özgüdür:
X-Pingback: https://example.com/xmlrpc.phpBu başlık, sitenin WordPress pingback mekanizmasını kullandığını ve /xmlrpc.php dosyasının etkin olduğunu doğrular.
Link başlığı da karakteristik bir WordPress izi taşır:
Link: <https://example.com/wp-json/>; rel="https://api.w.org/"api.w.org referansı, WordPress’in resmi REST API ilişkisini belgeler ve bu başlığın varlığı platforma dair güçlü bir kanıttır.
Set-Cookie başlıklarında wordpress_logged_in_ veya wp-settings- önekli çerez adları görülmesi de WordPress oturum yönetiminin işaretidir.
Tema ve Eklenti Dosyalarından Platform Tespiti
Kaynak kodda veya ağ isteklerinde görülen dosya yolları, yalnızca WordPress’i değil; kullanılan temayı ve eklentileri de açığa çıkarabilir. /wp-content/themes/[tema-adı]/ yolu incelenerek sitenin hangi temayı kullandığı tespit edilebilir. Çoğu temanın style.css dosyası şu biçimde bir başlık içerir:
/*
Theme Name: Astra
Theme URI: https://wpastra.com/
Author: Brainstorm Force
Version: 4.6.0
*/Bu dosyaya /wp-content/themes/[tema-adı]/style.css adresiyle doğrudan erişilebilir. Benzer şekilde eklenti dosyaları da /wp-content/plugins/[eklenti-adı]/ dizininden yüklenebilir ve bu yollar kaynak kodda açıkça görünür.
Özelleştirilmiş Sınıf İsimleri ve HTML Yapısı
WordPress, <body> etiketine otomatik olarak sınıf (class) isimleri ekler. Bu sınıflar son derece karakteristiktir:
<body class="home page-template-default page page-id-2 wp-custom-logo ...">page-id-, postid-, single-post, category-, tag- gibi önekler WordPress’in dinamik sınıf oluşturma sisteminin ürünleridir ve özellikle tam bir eşleşme olmasa bile bu kalıplar WordPress’in varlığına işaret eder. Bunun yanı sıra wp-block- önekli sınıflar, WordPress 5.0 ile gelen Gutenberg blok editörünün işaretidir.
Otomatik Keşif Bağlantıları
WordPress, HTML <head> bölümüne bazı otomatik bağlantı etiketleri ekler:
<link rel="EditURI" type="application/rsd+xml" title="RSD" href="https://example.com/xmlrpc.php?rsd" />
<link rel="wlwmanifest" type="application/wlwmanifest+xml" href="https://example.com/wp-includes/wlwmanifest.xml" />wlwmanifest.xml (Windows Live Writer manifest dosyası) ve EditURI bağlantısı, WordPress’in onlarca yıldır taşıdığı ve çoğu zaman kaldırılmayan kalıntı işaretlerdir. Özellikle wlwmanifest.xml referansı, yanlış pozitif oranı son derece düşük bir WordPress belirtecidir.
/wp-includes/ dizinine yapılan referanslar da benzer şekilde platformu ele verir; bu dizin WordPress çekirdeğinin kütüphane dosyalarını barındırır.
Otomatik Tespit Araçları
Manuel incelemeye alternatif olarak çeşitli online araçlar ve tarayıcı eklentileri, platform tespitini otomatikleştirir:
Wappalyzer, tarayıcıya entegre çalışan ve ziyaret edilen her sitenin teknoloji yığınını (CMS, çerçeve, analitik araç, CDN vb.) gerçek zamanlı olarak gösteren açık kaynaklı bir araçtır. WordPress, Elementor, WooCommerce gibi bileşenleri ayrı ayrı tespit eder.
BuiltWith.com, bir sitenin kullandığı tüm teknolojileri ayrıntılı biçimde raporlar; kullanılan WordPress eklentileri, tema altyapısı ve barındırma sağlayıcısı hakkında kapsamlı bilgi sunar.
WPScan, yalnızca WordPress sitelerine yönelik özelleştirilmiş bir güvenlik tarayıcısıdır. Komut satırından çalıştırılabilen bu araç, WordPress sürümünü, aktif temaları, eklentileri ve bilinen güvenlik açıklarını tespit eder. Etik güvenlik araştırmacıları ve sistem yöneticileri tarafından yaygın biçimde kullanılır.
curl ile basit bir komut satırı sorgusu bile çok şey söyleyebilir:
curl -s https://example.com | grep -i "wp-content\|wp-includes\|wordpress"Bu komut, kaynak kodda WordPress’e özgü string’lerin varlığını hızla doğrular.
Gizleme Girişimleri ve Sınırlılıklar
Güvenlik bilinciyle hareket eden WordPress yöneticileri, bu izlerin bir bölümünü silebilir veya değiştirebilir: wp-content dizini yeniden adlandırılabilir, generator meta etiketi kaldırılabilir, /wp-login.php farklı bir URL’e taşınabilir ve REST API devre dışı bırakılabilir. Ancak tam gizleme pratikte son derece güçtür; çünkü her güncelleme bu değişikliklerin bir bölümünü sıfırlayabilir, eklentiler kendi izlerini bırakır ve HTML yapısındaki WordPress kalıpları genellikle olduğu gibi kalır. Ayrıca wp-cron.php veya xmlrpc.php gibi çekirdek dosyalar devre dışı bırakıldığında bazı eklenti işlevleri bozulabilir.
Platform tespitinde yanlış pozitifler de göz önünde bulundurulmalıdır: WordPress’e benzer dizin yapısı taklit eden statik siteler veya WordPress tabanlı ama ağır biçimde özelleştirilmiş kurumsal sistemler yanıltıcı sonuçlar doğurabilir. Bu nedenle tek bir ipucuna güvenmek yerine birden fazla yöntemin kombinasyonu tercih edilmelidir.
Değerlendirme
Bir sitenin WordPress çalıştırıp çalıştırmadığını anlamak, teknik bilgiye sahip herkesin uygulayabileceği sistematik bir süreçtir. Kaynak kodundaki wp-content yolları, wlwmanifest.xml referansı, /wp-json/ REST API uç noktası ve X-Pingback HTTP başlığı, tek başlarına bile güçlü kanıtlar sunar. Bu yöntemlerin bir arada uygulanması, tespit güvenilirliğini maksimum düzeye taşır ve güvenlik denetiminden rakip analizine kadar geniş bir kullanım alanında değerli içgörüler sağlar.
İleri Okuma ve Kaynaklar
- WordPress Codex & Developer Documentation — REST API Handbook (developer.wordpress.org): WordPress REST API’nin teknik mimarisi ve uç nokta yapısı hakkında resmi referans kaynağı.
- Sucuri & WPScan Documentation — WordPress Security Scanning Guide (wpscan.com/documentation): Platform tespiti ve güvenlik açığı taraması konusunda kapsamlı teknik rehber.
- Wappalyzer — Technology Lookup Documentation (wappalyzer.com): Otomatik CMS ve teknoloji tespitinin nasıl çalıştığını açıklayan resmi dokümantasyon.
