WordPress, dünya genelinde milyonlarca web sitesine güç veren açık kaynaklı bir içerik yönetim sistemidir. Bu yaygınlık, onu siber saldırganların en çok hedef aldığı platformların başına taşımaktadır. Bir WordPress sitesini korumak için alınabilecek onlarca önlem bulunsa da bunların büyük çoğunluğu teknik bilgi gerektirir. Oysa en temel ve en gözden kaçan güvenlik açıklarından biri son derece basit bir ihmalden kaynaklanmaktadır: varsayılan “admin” kullanıcı adının değiştirilmemiş olması. Bu makale, söz konusu riskin neden bu kadar ciddi olduğunu, saldırganların bu zafiyeti nasıl istismar ettiğini ve sorunu kalıcı olarak nasıl çözebileceğinizi teknik derinlikte ele almaktadır.
Varsayılan “admin” Kullanıcı Adı Neden Bu Kadar Tehlikelidir?
WordPress’i ilk kurduğunuzda sistem, yönetici hesabı için varsayılan olarak “admin” kullanıcı adını önerir. Pek çok kullanıcı bu öneriyi değiştirmeden geçer ve yıllarca aynı kullanıcı adıyla siteyi yönetir. Saldırganlar ise bu davranış kalıbını çok iyi bilmektedir.
Bir brute force (kaba kuvvet) saldırısında, otomatik bot yazılımları hedefe aldıkları siteye saniyeler içinde binlerce parola denemesi gönderir. Bu denemelerin ilk ve en yaygın hedefi, tahmin edilmesi son derece kolay olan “admin” kullanıcı adıdır. Kullanıcı adı zaten biliniyorsa saldırganın yapması gereken tek şey parolayı kırmaktır. Bu, brute force saldırısının başarı olasılığını teorik olarak iki katına çıkarır; zira kimlik bilgilerinin yalnızca yarısı keşfedilmesi gereken bilinmeyendir.
Bunun ötesinde, WordPress’te varsayılan olarak kullanıcı listeleri kamuya açık olabilir. /wp-json/wp/v2/users REST API uç noktası veya /?author=1 gibi yazar arşivi URL’leri üzerinden saldırganlar, sitenizdeki kullanıcı adlarını kolaylıkla tarayabilir. Eğer bu listede “admin” görünüyorsa, geri kalan iş yalnızca doğru parolanın bulunmasına kalır.
Brute Force Saldırılarında admin Kullanıcı Adının Rolü
Kaba kuvvet saldırıları genellikle credential stuffing (kimlik bilgisi doldurma) ve dictionary attack (sözlük saldırısı) olmak üzere iki temel yöntemle gerçekleştirilir. Credential stuffing’de, daha önce sızdırılmış veri tabanlarından elde edilen kullanıcı adı ve parola çiftleri otomatik araçlarla sistematik biçimde denenir. Dictionary attack’ta ise yaygın parola listeleri sırayla sisteme gönderilir.
Her iki yöntemde de “admin” kullanıcı adı, listelerin en başında yer alır. Shodan ve Censys gibi tarama motorlarına göre internete açık WordPress kurulumlarının önemli bir kısmı hâlâ bu varsayılan kullanıcı adını kullanmaktadır. Saldırganlar bu siteleri birkaç dakika içinde tespit edebilir ve otomatik araçlarla parola deneme döngüsünü başlatabilir.
Ayrıca WordPress, başarısız giriş denemelerini varsayılan olarak sınırlandırmaz. Yani herhangi bir ek güvenlik eklentisi kurulmamışsa bot yazılımları /wp-login.php adresine saatte on binlerce istek gönderebilir. Kullanıcı adı “admin” olduğunda bu saldırıların etkinliği dramatik biçimde artar.
Varsayılan Kullanıcı Adını Değiştirmenin Üç Yöntemi
WordPress, kurulduktan sonra yönetici kullanıcı adını doğrudan kontrol panelinden değiştirmenize izin vermez. Bu kısıtlamayı aşmak için aşağıdaki üç yöntemden birini kullanabilirsiniz.
1. Yeni Yönetici Hesabı Oluşturup Eskisini Silmek
Bu yöntem teknik bilgi gerektirmeyen en pratik çözümdür. Adımlar şu şekildedir:
- WordPress yönetici paneline giriş yapın ve Kullanıcılar > Yeni Ekle menüsüne gidin.
- Güçlü ve tahmin edilemez bir kullanıcı adı belirleyin (örneğin rastgele harf-rakam kombinasyonu). Rol olarak Yönetici seçin ve geçerli bir e-posta adresi girin.
- Yeni hesapla oturum açın. Ardından eski “admin” hesabına gidin ve silin. Silme işlemi sırasında WordPress size eski hesaba ait içeriklerin yeni kullanıcıya atanmasını teklif eder; bunu onaylayın.
- Bu işlem sonrasında eski “admin” hesabı tamamen ortadan kalkar ve saldırganların hedef alabileceği bir yüzey kapanmış olur.
2. phpMyAdmin Üzerinden Doğrudan Veritabanı Düzenlemesi
Hosting kontrol panelinizden (cPanel, Plesk vb.) phpMyAdmin’e erişin. WordPress veritabanını açın ve wp_users tablosunu bulun. “admin” kullanıcısının bulunduğu satırda user_login alanını düzenleyin ve yeni kullanıcı adını girin. Değişikliği kaydedin.
Bu yöntem daha hızlıdır ancak dikkatli uygulanması gerekir. Veritabanı üzerinde işlem yapmadan önce mutlaka bir yedek alın. Yanlış bir düzenleme sitenizi erişilemez hale getirebilir. Ayrıca wp_usermeta tablosunda bu kullanıcıya ait meta veriler varsa tutarsızlık oluşmaması için kullanıcı ID’sinin değil yalnızca kullanıcı adının değiştirildiğine dikkat edin.
3. WP-CLI ile Komut Satırından Değiştirme
Sunucuya SSH erişiminiz varsa ve WP-CLI yüklüyse bu işlemi tek satırlık bir komutla gerçekleştirebilirsiniz:
wp user update 1 --user_login=yeni_kullanici_adi --allow-rootBurada 1 sayısı, “admin” hesabının varsayılan kullanıcı ID’sidir. Bu değeri önce wp user list komutuyla doğrulamanız önerilir. WP-CLI yöntemi, özellikle çok sayıda WordPress sitesini yöneten geliştiriciler ve ajanslar için en verimli çözümdür.
Kullanıcı Adı Seçiminde Dikkat Edilmesi Gerekenler
Yeni yönetici kullanıcı adını belirlerken bazı kriterleri gözetmek güvenlik düzeyini önemli ölçüde artırır. İsminizi, alan adınızı veya sitenizle kolayca ilişkilendirilebilecek herhangi bir ifadeyi kullanmayın. “webmaster”, “administrator”, “siteadmin” gibi tahmin edilmesi kolay genel terimlerden de kaçının.
İdeal bir yönetici kullanıcı adı; büyük ve küçük harf, rakam ve mümkünse özel karakter içeren, en az 12 haneli, herhangi bir kelime veya isimle birebir örtüşmeyen rastgele bir dizeden oluşmalıdır. Örneğin xK7mP2nQwZ biçiminde bir kullanıcı adı, sözlük saldırılarına karşı son derece dirençlidir.
Kullanıcı adınızı bir parola yöneticisinde saklamanız, hem güvenliği hem de erişim kolaylığını dengelemenin en akıllıca yoludur.
REST API ve Yazar Arşivleri Üzerinden Kullanıcı Adı Sızıntısını Önlemek
Kullanıcı adınızı değiştirseniz bile WordPress’in bazı varsayılan özellikleri bu bilgiyi dışarıya sızdırabilir. REST API kullanıcı uç noktası (/wp-json/wp/v2/users) ve yazar arşiv URL’leri (/?author=1), saldırganların kullanıcı adlarını keşfetmek için başvurduğu başlıca kanallardır.
Bu sızıntıyı önlemek için functions.php dosyanıza aşağıdaki kod parçacığını ekleyebilir veya bir güvenlik eklentisi kullanabilirsiniz:
add_filter('rest_endpoints', function($endpoints) {
if (isset($endpoints['/wp/v2/users'])) {
unset($endpoints['/wp/v2/users']);
}
if (isset($endpoints['/wp/v2/users/(?P<id>[\d]+)'])) {
unset($endpoints['/wp/v2/users/(?P<id>[\d]+)']);
}
return $endpoints;
});Yazar arşivi yönlendirmelerini devre dışı bırakmak için ise Yoast SEO gibi eklentilerin gelişmiş ayarlarından yazar arşivlerini kapatabilir ya da .htaccess kurallarıyla bu istekleri 404’e yönlendirebilirsiniz.
Kullanıcı Adı Değişikliğini Tamamlayan Güvenlik Katmanları
Yönetici kullanıcı adını değiştirmek güçlü bir başlangıçtır; ancak tek başına yeterli değildir. Bu adımı aşağıdaki önlemlerle desteklemek, WordPress sitenizi kapsamlı biçimde korur:
İki faktörlü kimlik doğrulama (2FA): Google Authenticator veya Authy gibi uygulamalarla entegre çalışan eklentiler (WP 2FA, Two Factor Authentication), kullanıcı adı ve parolanın ele geçirilmesi durumunda bile yetkisiz erişimi engeller.
Giriş denemelerini sınırlandırma: Limit Login Attempts Reloaded veya Wordfence gibi eklentiler, belirli sayıda başarısız girişimden sonra IP adresini geçici ya da kalıcı olarak engeller. Bu önlem, brute force saldırılarını fiilen işlevsiz kılar.
wp-login.php adresini gizleme veya yeniden adlandırma: WPS Hide Login eklentisi, giriş sayfasının URL’sini özelleştirmenize olanak tanır. Böylece saldırganların otomatik araçları standart giriş adresini bulamaz.
Güçlü parola politikası: Kullanıcı adı ne kadar karmaşık olursa olsun, zayıf bir parola tüm önlemleri geçersiz kılar. En az 16 karakterli, büyük/küçük harf, rakam ve sembol içeren parolalar kullanın ve her hesap için benzersiz bir parola belirleyin.
Mevcut Sitenizi Denetleme: Kullanıcı Adınız Güvende mi?
Eğer siteniz zaten yayında ve yönetici kullanıcı adınızın “admin” olup olmadığından emin değilseniz, bunu kontrol etmek için tarayıcı adres çubuğunuza https://siteniz.com/wp-json/wp/v2/users yazın. Dönen JSON çıktısında slug veya name alanında “admin” ifadesini görüyorsanız bu değişikliği en kısa sürede yapmanız gerekmektedir.
Ayrıca sitenize erişim loglarını incelemek de faydalıdır. Hosting kontrol panelinizden erişebildiğiniz access.log dosyasında /wp-login.php adresine yönelik çok sayıda POST isteği görüyorsanız siteniz aktif olarak brute force saldırısı altında olabilir. Bu durumda kullanıcı adı değişikliği aciliyet kazanır.
WordPress güvenliğinde en küçük ihmal bile büyük sonuçlar doğurabilir. Varsayılan “admin” kullanıcı adını değiştirmek, dakikalar içinde uygulanabilen ve brute force saldırılarına karşı direnci kökten artıran temel bir adımdır. Bunu REST API koruması, giriş kısıtlama ve iki faktörlü doğrulama ile desteklemek sitenizi çok katmanlı bir güvenlik mimarisine kavuşturur.
İleri Okuma ve Kaynaklar
- WordPress.org Resmi Dokümantasyonu – Kullanıcı Rolleri ve Yetkileri: https://wordpress.org/documentation/article/roles-and-capabilities/
- Wordfence Blog – Brute Force Attack Prevention Guide: https://www.wordfence.com/learn/brute-force-attacks-protection/
- WP-CLI Resmi Dokümantasyonu – wp user komutları: https://developer.wordpress.org/cli/commands/user/
