WordPress Güvenlik Eklentileri: Wordfence vs Sucuri

WordPress Güvenlik Eklentileri: Wordfence vs Sucuri

WordPress, dünya genelinde web sitelerinin %43'ünü güçlendiren açık kaynaklı bir platform olduğundan siber saldırıların da en büyük hedeflerinden biridir. Doğru güvenlik eklentisi seçimi, sitenizi kötü niyetli saldırılara karşı korumanın ilk adımıdır. Bu yazıda WordPress güvenlik dünyasının iki devi olan Wordfence ve Sucuri'yi detaylıca karşılaştırıyoruz.

Wordfence Security

Wordfence, 4 milyonun üzerinde aktif kurulumu ile WordPress'in en popüler güvenlik eklentisidir.

Wordfence'in Temel Özellikleri

Web Application Firewall (WAF)

Wordfence'in endpoint tabanlı WAF'ı, saldırıları sunucunuza ulaşmadan engeller. Premium sürümde gerçek zamanlı kural güncellemeleri yapılır; ücretsiz sürümde ise kurallar 30 gün gecikmeli güncellenir.

Malware Tarayıcısı

Wordfence, WordPress çekirdek dosyalarını, temalarını ve eklentilerini bilinen malware imzalarıyla karşılaştırarak tarar.

Tarama kapsamı:
✓ WordPress çekirdek dosyaları
✓ Tema dosyaları
✓ Eklenti dosyaları
✓ Yüklenen dosyalar
✓ Veritabanı içerikleri

Login Güvenliği

• Brute force saldırı engelleme
• İki faktörlü kimlik doğrulama (2FA)
• CAPTCHA koruması
• Başarısız giriş denemesi limitleri

IP Engelleme ve Ülke Kısıtlama

Belirli IP adreslerini veya ülkeleri engelleyebilirsiniz. Türkiye kaynaklı olmayan zararlı trafiği premium sürümde etkin biçimde filtreleyebilirsiniz.

Wordfence Fiyatlandırması

Plan	Fiyat	Özellikler
Ücretsiz	$0/yıl	Temel WAF, tarayıcı (30 gün gecikmeli)
Premium	$119/yıl	Gerçek zamanlı WAF, IP blacklist
Care	$490/yıl	Yönetilen güvenlik
Response	$950/yıl	1 saatlik müdahale garantisi

Sucuri Security

Sucuri, bulut tabanlı güvenlik altyapısı ile Wordfence'den farklı bir yaklaşım benimser.

Sucuri'nin Temel Özellikleri

Bulut Tabanlı WAF

Sucuri'nin WAF'ı bulut üzerinde çalışır; tüm trafik Sucuri sunucularından geçer. Bu yaklaşım, saldırıları sunucunuza ulaşmadan engeller ve DDoS koruması da sağlar.

Malware Temizleme Garantisi

Sucuri'nin en güçlü özelliği, sınırsız malware temizleme garantisidir. Site hacklendiyse Sucuri ekibi elle müdahale eder.

CDN ve Performans

Sucuri, güvenlik hizmetinin yanı sıra Anycast CDN altyapısı sunar. Bu sayede hem güvenlik hem de performans tek pakette çözülür.

İzleme ve Uyarı Sistemi

• DNS değişiklik izleme
• SSL sertifika izleme
• Uptime monitörü
• E-posta ve SMS uyarıları

Sucuri Fiyatlandırması

Plan	Fiyat	Özellikler
Basic	$199/yıl	WAF, CDN, malware temizleme
Pro	$299/yıl	Gelişmiş WAF kuralları
Business	$499/yıl	Öncelikli destek
Custom	İletişim	Enterprise çözümler

Wordfence vs Sucuri: Detaylı Karşılaştırma

Kurulum ve Kullanım Kolaylığı

Wordfence, WordPress eklentisi olarak kurulur ve yapılandırması birkaç dakika alır. Kontrol paneli WordPress admin içinde yer alır; bu da yönetimi kolaylaştırır.

Sucuri, DNS seviyesinde yapılandırma gerektirir. Alan adınızın nameserver veya DNS kayıtlarını Sucuri'ye yönlendirmeniz gerekir. Bu işlem teknik bilgi gerektirmekle birlikte daha kapsamlı koruma sağlar.

Performansa Etkisi

Wordfence sunucu kaynaklarını kullanır. Yüksek trafikli sitelerde CPU ve RAM tüketimi artabilir. cPanel Hosting ile kullanıyorsanız Wordfence'in tarama zamanlamalarını gece saatlerine ayarlamanızı öneririz.

Sucuri ise trafiği kendi sunucularından geçirdiği için sitenizin kaynaklarını neredeyse hiç tüketmez. Dahası CDN sayesinde performansı artırır.

Ücretsiz Sürüm Karşılaştırması

Wordfence'in ücretsiz sürümü, temel WAF ve malware tarama özellikleriyle başlangıç için yeterlidir. Sucuri'nin ücretsiz eklentisi ise sadece izleme ve tarama sunar; WAF için ücretli plan gerekir.

Plesk Hosting paketlerimizle WordPress sitenizi Imunify360 sunucu güvenliği ile de koruyabilirsiniz.

Hangisini Seçmelisiniz?

Wordfence önerilir:

• Küçük-orta ölçekli WordPress siteleri için
• Teknik bilgi gerektirmeden hızlı kurulum isteyenler için
• Bütçe kısıtı olanlar için (ücretsiz sürüm mevcut)
• Sunucu seviyesinde kontrol isteyenler için

Sucuri önerilir:

• Yüksek trafikli ve kritik ticari siteler için
• DDoS koruması gerektirenler için
• Malware temizleme garantisi isteyenler için
• CDN ve güvenliği tek pakette isteyenler için

Ek Güvenlik Önerileri

Her iki eklentiden bağımsız olarak şu önlemleri mutlaka alın:

1. WordPress ve eklentileri güncel tutun - Güncel olmayan yazılımlar en büyük güvenlik açığıdır
2. Güçlü şifreler kullanın - Parola yöneticisi ile benzersiz şifreler oluşturun
3. XML-RPC'yi devre dışı bırakın - Saldırganların sık kullandığı bir giriş noktasıdır
4. Düzenli yedek alın - Güvenlik ihlali durumunda hızlı geri dönüş için
5. SSL sertifikası kullanın - Veri iletişimini şifreleyin

Yüksek güvenlik gerektiren projeleriniz için E5V4 VDS sunucularımızı tercih edebilirsiniz. Dedicated sunucu kaynakları ve root erişimi ile güvenlik yapılandırmasını tam kontrolünüzde tutun.

Sonuç

Wordfence ve Sucuri, WordPress güvenliği için en güvenilir iki seçenektir. Küçük ve orta ölçekli siteler için Wordfence'in ücretsiz sürümü iyi bir başlangıç noktasıdır. Kritik ticari uygulamalar ve yüksek trafikli siteler için ise Sucuri'nin bulut tabanlı koruması daha uygun bir yatırım olacaktır. Her iki durumda da güçlü bir hosting altyapısı, donanımlı güvenlik önlemlerinin vazgeçilmez tamamlayıcısıdır.

Not: Büyükweb'in LiteSpeed tabanlı hosting altyapısı, WordPress siteniz için en iyi performansı sunar. Hosting planlarımızı inceleyin.

---

Ilgili Büyükweb Hizmetleri:

• [WordPress icin optimize hosting paketleri](
  MASK29)
• [Yüksek performansli VDS üzerinde WordPress](
  MASK30)
• [Tüm hosting ve sunucu paketlerimiz](
  MASK31)

Üçüncü Seçenek: Solid Security (eski iThemes Security)

Wordfence ve Sucuri'nin yanı sıra Solid Security (önceden iThemes Security) ciddi bir alternatiftir; özellikle 2024'ten sonra StellarWP ekosistemine geçtikten sonra hızlı geliştirme.

Özellik	Solid Security
30+ hardening kuralı	tek tıkla aktif
2FA (TOTP + email + magic link)	ücretsizde dahil
Brute force protection	local + network ban
User Security Check	her kullanıcıya rapor
File Change Detection	hash bazlı
Pro fiyat	$99/yıl tek site

Wordfence'ten farkı: WAF kendi başına yok (Cloudflare/Sucuri ile birlikte kullanılır), bunun yerine WordPress hardening + login security odaklı. Hafif, hızlı.

Ücretsiz Hafif Alternatifler

Bütçe sıfırsa veya basit bir blog için All In One WP Security & Firewall:

• Tamamen ücretsiz, premium yok (NetSCC dağıtımı)
• Login lockdown, 2FA, file integrity, .htaccess auto-write
• Yüksek özelleştirilebilir security score sistemi
• WAF kuralları .htaccess'te (Apache/LiteSpeed gerekli)

Limit Login Attempts Reloaded — sadece login brute-force engelleme. Wordfence/Solid Security yapamadığında en azından bunu kur. 2M+ aktif kurulum, hafif (~50 KB).

Detaylı Karşılaştırma Tablosu

Özellik	Wordfence Free	Wordfence Premium	Sucuri Basic	Solid Security Pro	AIOS Free
WAF	endpoint, 30g gec.	endpoint, real-time	bulut, real-time	yok	.htaccess kuralları
Malware tarama	✓	✓ + kötü URL DB	✓	hash-based file check	✓ basit
Malware temizleme	manuel	manuel	Sucuri ekibi	manuel	manuel
2FA	✓	✓	yok (ayrı eklenti)	✓ TOTP + email + magic	✓ TOTP
DDoS koruma	yok	sınırlı	✓ bulut tabanlı	yok	yok
CDN	yok	yok	✓ Anycast	yok	yok
Login security	✓	✓	yok	✓ tam	✓
Sunucu yükü	orta-yüksek	orta-yüksek	düşük	düşük	düşük
Yıllık fiyat	$0	$119	$199	$99	$0
En uygun	Küçük blog	Profesyonel site	Yüksek trafik / e-ticaret	Hardening odaklı	Sıfır bütçe

WordPress Hardening Checklist (Plugin'siz)

Eklentilerin yapamadığını wp-config.php + .htaccess + sunucu seviyesi çözer:

// wp-config.php — kritik ayarlar

// Salts'ı rotate et — https://api.wordpress.org/secret-key/1.1/salt/
// Saldırı sonrası mutlaka yenile

// Database prefix değiştir (yeni kurulum)
\$table_prefix = 'wp_xy7k_';   // wp_ default'u tahmin edilebilir

// Dosya düzenlemeyi kapat (admin panelinden tema/plugin edit)
define('DISALLOW_FILE_EDIT', true);

// Otomatik güncelleme (minor + security)
define('WP_AUTO_UPDATE_CORE', 'minor');

// SSL force admin
define('FORCE_SSL_ADMIN', true);

// Eklenti/tema kurulumu kapatma (production'da)
define('DISALLOW_FILE_MODS', true);

// Debug log dosyaya, ekrana değil
define('WP_DEBUG', false);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);

// Revision sınırı
define('WP_POST_REVISIONS', 5);

// XML-RPC sadece IP whitelist
// (.htaccess'te yapılır — aşağıda)

# .htaccess (Apache/LiteSpeed) — sıkı koruma

# wp-config.php erişimini engelle
<Files wp-config.php>
  Require all denied
</Files>

# .htaccess kendisini koru
<Files .htaccess>
  Require all denied
</Files>

# wp-includes'a doğrudan PHP erişimi
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

# uploads/ içinde PHP çalıştırma yasak
<Directory /var/www/html/wp-content/uploads/>
  <FilesMatch "\.(php|phtml|phar)$">
    Require all denied
  </FilesMatch>
</Directory>

# XML-RPC sadece Jetpack/WP App IP'lerine
<Files xmlrpc.php>
  Require ip 192.0.64.0/18  # Automattic
  Require all denied
</Files>

# Author enumeration engelle (?author=1)
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F,L]

2FA Detaylı

WordPress için 2FA seçenekleri:

Yöntem	Güvenlik	Kullanılabilirlik	Eklenti
TOTP (Google Auth)	yüksek	iyi (telefon gerekli)	Two Factor, Wordfence, Solid Security
U2F / WebAuthn (YubiKey)	en yüksek	mükemmel (donanım)	Two Factor, Solid Security
Email OTP	orta	mükemmel	WP 2FA, AIOS
SMS	düşük (SIM swap)	iyi	önerilmez 2026'da
Magic Link	iyi	çok iyi	Solid Security
Backup codes	yüksek	iyi (kayıp telefon)	tüm eklentiler

Pratik öneri: Tüm admin'lere zorunlu TOTP + backup codes. WebAuthn destekleyen donanım key'i varsa tercih et — phishing-proof.

Wordfence İleri Yapılandırma

# Wordfence Settings → Firewall → Brute Force Protection
- Lock out after how many login failures: 5
- Lock out after how many forgot password attempts: 3
- Count failures over what time period: 5 minutes
- Amount of time a user is locked out: 1 hour
- Immediately lock out invalid usernames: ON
- Block IPs who send POST requests to known vulnerable URLs: ON
- Don't let WordPress reveal valid users in login errors: ON
- Prevent users registering 'admin' username: ON
- Prevent the use of passwords leaked in data breaches: ON  ← critical

# Firewall → All Firewall Options
- Web Application Firewall Status: Enabled and Protecting
- Update Firewall Rules: Realtime (Premium)
- Rules: 7 days delayed (Free) — 30 days delayed default; 7 better than nothing

# Login Security → Two-Factor Authentication
- Allow remembering device for 30 days: ON (UX)
- Required for: All Administrators

config.inc.php (object-based override) ile multisite ayarları zorlanabilir.

Cloudflare + WordPress — Edge WAF

Sucuri yerine ucuz alternatif: Cloudflare (ücretsiz veya Pro $25/ay):

# Cloudflare WAF Custom Rules
1. (http.request.uri.path eq "/wp-login.php" and ip.geoip.country ne "TR")
   → Managed Challenge

2. (http.request.uri.path eq "/xmlrpc.php")
   → Block (kullanmıyorsan)

3. (http.request.uri.path matches "(?i)/wp-content/uploads/.*\.(php|phtml|phar)$")
   → Block

4. (http.request.uri.query contains "author=" and http.user_agent eq "")
   → Managed Challenge

5. (http.request.uri.path eq "/wp-admin/admin-ajax.php" and rate(1m) > 30)
   → Challenge

Page Rules: /wp-admin/* için Always Use HTTPS + Cache Bypass (cache'lenmesin).

Wordfence ile birlikte: Cloudflare gerçek IP'yi CF-Connecting-IP header'ında verir; Wordfence Settings → General → "How does Wordfence get IPs?" → "Use the Cloudflare CF-Connecting-IP HTTP header" seç.

Imunify360 — Sunucu Seviyesi Çözüm

Büyükweb cPanel hosting paketlerinde Imunify360 dahildir; eklenti seviyesinden bir kademe yukarı:

• ModSecurity OWASP CRS + custom rules
• Real-time malware scan + auto-cleanup
• Reputation-based IP blocking (CleanMX, Spamhaus)
• Proactive Defense (PHP runtime injection blocker)
• KernelCare canlı kernel patch
• Hosted Scanner — ftp/sFTP yüklemelerini de tarar

Imunify360 ile Wordfence Free kombinasyonu çoğu siteyi karşılar; Wordfence Premium'a gerek kalmadan bulut bazlı koruma + uygulama bazlı WAF birleşir.

XML-RPC ve REST API Saldırı Yüzeyi

XML-RPC (xmlrpc.php)

Eski ama hâlâ var. Pingback amplification + brute force çoklayıcı olarak kötüye kullanılır:

# Test — kapanmış mı?
curl -d "<?xml version='1.0'?><methodCall><methodName>system.listMethods</methodName></methodCall>" \
  https://example.com/xmlrpc.php
# Boş veya 403 → kapalı
# methodResponse → açık

Jetpack ve mobil uygulama (WP App) kullanmıyorsan tamamen kapat. Kullanıyorsan IP whitelist (yukarıdaki .htaccess örneği).

WordPress REST API (/wp-json/)

Yeni saldırı yüzeyi — /wp-json/wp/v2/users ile kullanıcı adlarını dökmek mümkün:

curl https://example.com/wp-json/wp/v2/users
# Eğer JSON liste dönüyorsa → admin slug'ı sızdı → brute force kolaylaştı

Düzeltme — functions.php:

// Anonim REST API kullanıcı listesi engelle
add_filter('rest_endpoints', function($endpoints) {
    if (isset($endpoints['/wp/v2/users'])) {
        unset($endpoints['/wp/v2/users']);
    }
    if (isset($endpoints['/wp/v2/users/(?P<id>[\\d]+)'])) {
        unset($endpoints['/wp/v2/users/(?P<id>[\\d]+)']);
    }
    return $endpoints;
});

// veya tüm REST API'yi sadece auth'lu
add_filter('rest_authentication_errors', function($result) {
    if (!is_user_logged_in()) {
        return new WP_Error('rest_not_logged_in', 'Login required.', ['status' => 401]);
    }
    return $result;
});

"Hacked" — Adım Adım Müdahale

WordPress sitesi hacklendi şüphesi varsa:

1. İzole et (5 dk)

• Maintenance mode açık (.maintenance dosyası veya plugin)
• Hosting paneline gir, IP whitelist (sadece sen erişebilesin)
• Cron'ları durdur (wp_cron disable: define('DISABLE_WP_CRON', true);)

2. Tarama (30 dk)

• Wordfence/Imunify Tam Tarama
• File integrity check: wp-cli ile wp checksum core + wp checksum plugin --all
• find /var/www/html -name "*.php" -newer /tmp/baseline — son N gün eklenmiş PHP

3. Backdoor temizle (1-3 saat)

• Tipik backdoor lokasyonları: wp-content/uploads/*.php, wp-content/themes/[active]/inc/*.php, wp-content/plugins/[unknown]/, /wp-includes/wp-vcd.php
• Tema/plugin yeniden indir (yedek temizdiyse oradan, yoksa wp.org)
• Core dosyaları wp core download --force
• wp-config.php salts rotate
• Tüm kullanıcı şifrelerini sıfırla (özellikle admin)
• DB'de admin kullanıcı oluşturulmuş mu? wp user list

4. Doğrulama

• Tekrar Wordfence Tam Tarama → temiz mi?
• Search Console'da "Security Issues" → temiz mi?
• Google Safe Browsing test
• Sucuri SiteCheck (https://sitecheck.sucuri.net/)

5. Önlem

• Sebep tespit (eski plugin? zayıf admin şifre? eski hosting üzerinden?)
• Hosting taşıma (eğer compromise sunucu kaynaklıysa)
• 2FA + güçlü şifre tüm admin'lere
• Imunify360 + Cloudflare WAF

Çare bulunamıyorsa: Sucuri'nin $199/yıl planında ekibi manuel temizler — pahalı ama profesyonel iş, 24-48 saat süre.

Sıkça Sorulan Sorular

Wordfence ve Sucuri birlikte kullanılır mı?

Teknik olarak çakışmaz ama gereksiz. Sucuri bulut WAF + Wordfence endpoint WAF aynı koruma katmanı. Birini seç — ucuz: Wordfence Free + Cloudflare; profesyonel: Sucuri tek başına.

Cloudflare ücretsiz Wordfence yerine geçer mi?

Tam değil. Cloudflare ücretsiz L3/L4 koruma + sınırlı L7 WAF. WordPress-spesifik kural seti yok. Cloudflare + Wordfence Free veya Imunify360 kombinasyonu en iyi ücretsiz/uygun fiyatlı yapı.

LiteSpeed sunucularda Wordfence yavaşlatır mı?

Wordfence "Live Traffic" özelliği ve "Real-Time IP Blocklist" yüksek RAM/CPU. Live Traffic OFF + tarama saatleri gece (02:00-04:00) ile etki minimum. LiteSpeed Cache + Wordfence default uyumlu.

Multisite (network) için ne kullanmalı?

Wordfence Premium multisite plan var ama pahalı. Çoğu admin Solid Security Pro + Cloudflare kombinasyonu tercih eder; network admin merkezi yönetir.

"Hacked" görüntüsü ama WP temiz, hosting'den kaynaklı mı?

Mümkün — özellikle paylaşımlı hostingte cross-account contamination riski (CloudLinux + CageFS bunu engeller). Büyükweb cPanel paketleri CageFS izolasyon kullanır. Şüphe varsa hosting değiştirme + temiz import.

Düşük bütçe — sadece 1 plugin seçsem hangisi?

Wordfence Free — WAF + tarama + login security tek pakette, ücretsiz. AIOS alternatif ama UX daha karışık. Limit Login Attempts Reloaded sadece brute force için minimal.

"Wordfence kuruldu ama yine hacklendim" — neden?

1. Eski sürüm — auto-update kapalı 2) Zayıf admin şifre 3) Compromise admin oturumu (XSS, social) 4) Hosting bypass (FTP credentials çalındı, 3rd-party tema arka kapı). Wordfence WAF endpoint'tir; uygulama kodunun içine girmiş kötü amaçlı kod zaten WAF'ı pas geçer. Kombinasyon: WAF + dosya integrity + 2FA + temiz tema/plugin.

Premium WAF kuralları gerçekten 30 gün gecikme makul mu?

Ücretsizde 30 gün — 0day saldırıları riski açık. Eğer hedeflenen bir site (e-ticaret, popüler blog, haber) isen Premium'a değer. Düşük profilli kişisel blog için Free + Cloudflare yeterli.

Sunucumda zaten ModSecurity var, Wordfence gereksiz mi?

ModSecurity server-level; Wordfence WordPress-aware. ModSecurity /wp-login.php brute force görür ama "user enumeration via REST API" gibi WP-specific saldırıyı yakalamaz. Birlikte en güçlü — Imunify360 (yönetilen ModSecurity) + Wordfence Free yaygın stack.

Büyükweb'de WordPress Güvenliği

Büyükweb WordPress hosting ve cPanel hosting paketlerinde default güvenlik katmanları:

• Imunify360 WAF + malware tarama + Proactive Defense
• CageFS kullanıcı izolasyonu
• JetBackup günlük yedekleme + 1-tıkla geri yükleme
• Free SSL (Let's Encrypt + AutoSSL)
• ModSecurity OWASP CRS her domain için
• PHP Selector sürüm bazlı güvenlik patch'leri

Üzerine Wordfence/Solid Security/Cloudflare ekleyerek profesyonel WordPress güvenlik stack'ini tamamlayabilirsiniz. Yapılandırma desteği için 0850 302 60 70.

İlgili Rehberler

• WordPress Hosting Seçim Rehberi 2026
• WordPress Veritabanı Optimizasyonu
• WordPress Staging Ortamı Kurulumu
• Imunify360 cPanel Kurulum
• ModSecurity WAF Kurulumu

İlgili Büyükweb Hizmetleri

WordPress sitenizi hızlandırmak ve güvende tutmak için Türkiye lokasyonlu WordPress hosting paketlerimiz:

• WordPress Hosting
• cPanel Web Hosting
• Genel Web Hosting
• WordPress için VDS Sunucu
• WordPress Hosting Seçim Rehberi

Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.