WordPress

    WordPress Guncelleme Yonetimi ve Guvenli Guncelleme

    WordPress core, tema ve eklenti guncellemelerini guvenle yonetme

    11 dk okuma Güncellendi: 10 Temmuz 2026

    WordPress'i güncel tutmak, bir sitenin güvenliğini korumanın en ucuz ve en etkili yoludur; buna rağmen en çok ihmal edilen bakım işidir. Panele girdiğinizde beliren "5 güncelleme mevcut" bildirimini görmezden gelmek, gerçekte "5 açık kapıyı kilitlemeyi ertelemek" anlamına gelir. Yıllar içinde binlerce hacklenmiş WordPress sitesi inceledik ve büyük çoğunluğunun ortak noktası hep aynıydı: aylardır güncellenmemiş bir çekirdek sürümü, eski bir tema ya da terk edilmiş bir eklenti. Saldırganlar sizin sitenizi kişisel olarak hedef almaz; bilinen bir açığı taşıyan her siteyi otomatik botlarla tarar ve bulduğunu ele geçirir.

    Öte yandan "her çıkanı hemen yükle" tavsiyesi de tehlikelidir. Test edilmeden yapılan bir güncelleme, çalışan bir siteyi bir anda beyaz ekrana çevirebilir; özellikle birbirine bağımlı eklentilerin ve özelleştirilmiş temaların olduğu kurulumlarda. Bu rehberde amacımız iki uç arasında sağlam bir denge kurmak: neden güncel kalmanın kritik olduğunu, güncelleme öncesi yedeğin neden pazarlık konusu olmadığını, staging (deneme) ortamında test etmenin nasıl yapıldığını, minor ve major sürüm farkını, WordPress 6.x'in otomatik güncelleme ayarlarını ve bir şey bozulduğunda geri almanın (rollback) yollarını adım adım göreceğiz. Sonunda kendi siteniz için uygulanabilir bir güncelleme takvimi çıkaracaksınız.

    Neden Güncel Kalmak Güvenliğin Temelidir#

    Bir WordPress kurulumu üç ayrı katmandan oluşur: çekirdek (core), tema ve eklentiler. Bu katmanların her biri kod içerir ve her kod, zamanla keşfedilen güvenlik açıkları barındırabilir. Bir açık kamuya duyurulduğunda (genellikle geliştirici yamayı yayınladıktan sonra), o açığın tarifi de internete düşer. Yani güncellemeyi geciktirdiğiniz her gün, saldırganların elindeki hazır bir sömürü kodunun sizin sitenizde çalışma ihtimalini artırır.

    Rakamlar bunu net gösterir. Hacklenen WordPress sitelerinin büyük bölümünde giriş noktası, çekirdeğin kendisi değil, güncellenmemiş bir eklentidir. Popüler bir form eklentisindeki bir açık, o eklentiyi kullanan yüz binlerce siteyi aynı anda hedef haline getirir. Çekirdek WordPress ise güvenlik güncellemelerini otomatik dağıttığı için genellikle daha güvenlidir; asıl risk üçüncü taraf kodda yatar.

    Güncellemeyi sadece bir güvenlik meselesi olarak da görmemek gerekir. Yeni sürümler performans iyileştirmeleri, yeni PHP sürümleriyle uyumluluk ve hata düzeltmeleri de getirir. Eski bir eklenti sürümü, güncel PHP 8.x ile çakışıp sitenizi yavaşlatabilir ya da hata log'unuzu şişirebilir. Konu güvenliğin tümünü kapsıyorsa, WordPress güvenliği rehberimizi de mutlaka okuyun; güncelleme, oradaki daha geniş savunma stratejisinin sadece bir parçasıdır.

    Güncelleme Öncesi Mutlaka Yedek Alın#

    Bu adımda pazarlık yoktur: hiçbir güncellemeyi yedeksiz yapmayın. Güncelleme işlemlerinin ezici çoğunluğu sorunsuz geçer, ama bozulan yüzde birlik dilim, tam da yedeğinizin olmadığı gün başınıza gelir. Yedek, güncellemenin geri dönüş sigortasıdır.

    Sağlam bir yedek hem dosyaları (özellikle wp-content klasörü) hem de veritabanını içermelidir. İkisinden yalnızca birini alırsanız geri yükleme yarım kalır. cPanel kullanıyorsanız SSH ya da terminal üzerinden hızlı bir manuel yedek şöyle alınır:

    # Dosyaları arşivle (public_html içinde)
    tar -czf ~/yedek-$(date +%F).tar.gz public_html
    
    # Veritabanını dışa aktar
    mysqldump -u db_kullanici -p db_adi > ~/veritabani-$(date +%F).sql
    

    Eklenti tarafını tercih ediyorsanız UpdraftPlus gibi bir araçla tek tıkla yedek alıp Google Drive veya S3 gibi dış depolamaya gönderebilirsiniz. Yedekleme yöntemlerini ve 3-2-1 kuralını ayrıntılı ele aldığımız WordPress yedekleme rehberimize göz atın. Kritik siteler için otomatik ve dış depolamaya çıkan bir yedekleme çözümü şarttır; Clou.TR'nin yedekleme hizmeti bu işi sizin adınıza planlı olarak yürütür.

    Yedeği aldıktan sonra, geri yükleyebildiğinizden emin olmak için en azından bir kez test ortamında dönme provası yapın. Test edilmemiş yedek, olmayan yedektir.

    Staging Ortamında Test Etmek#

    Canlı sitede doğrudan güncelleme yapmak, uçağı havada tamir etmeye benzer. Doğru yaklaşım, sitenizin birebir kopyasını (staging) alıp güncellemeleri önce orada denemektir. Bir şey bozulursa ziyaretçileriniz hiçbir şeyin farkına varmaz; sorunu düzeltir, ardından değişikliği canlıya taşırsınız.

    Çoğu modern hosting paneli tek tıkla staging oluşturma sunar. cPanel'de WordPress Toolkit veya Softaculous, "Create Staging / Clone" seçenekleriyle bunu otomatikleştirir. Sürecin mantığı şudur:

    1. Canlı sitenin bir kopyasını bir alt dizine ya da alt alan adına (staging.siteniz.com) klonlayın.
    2. Klon üzerinde önce çekirdek, sonra temalar, en son eklentileri güncelleyin.
    3. Ön yüzü ve yönetim panelini dikkatle gezin: ana sayfa, iletişim formu, ödeme akışı, üye girişi gibi kritik işlevleri test edin.
    4. Her şey yolundaysa değişiklikleri canlıya "push" edin (Toolkit'in Deploy özelliği) ya da güncellemeleri canlıda güvenle tekrarlayın.

    Staging kurmayla ilgili derin bir anlatım için WordPress staging ortamı ve staging ortamı nedir yazılarımıza bakabilirsiniz. Kendi başınıza staging kurmak zorunda değilsiniz; WordPress'e uygun paylaşımlı planlarda bu araçlar hazır gelir. WordPress hosting paketlerimizi inceleyebilirsiniz.

    Aşağıdaki tablo, farklı senaryolar için doğru yaklaşımı özetler:

    SenaryoStaging Şart mı?Yaklaşım
    Kişisel blog, birkaç eklentiÖnerilirYedek al, doğrudan güncelle
    Kurumsal / e-ticaret sitesiEvet, zorunluStaging'de test et, sonra canlıya taşı
    Özelleştirilmiş tema/child temaEvetStaging'de görsel regresyon kontrolü yap
    Sadece güvenlik yaması (minor core)HayırOtomatik güncellemeye bırakılabilir

    Minor ve Major Sürüm Farkı#

    WordPress sürüm numaraları rastgele değildir; bir mantık taşır ve bu mantığı anlamak risk yönetiminin temelidir. Sürümler 6.5.2 gibi üç parçadan oluşur.

    • Major (majör) sürüm: İlk iki hane değişir (6.46.5). Yeni özellikler, arayüz değişiklikleri ve bazen geriye dönük uyumluluğu etkileyen kod değişiklikleri içerir. Blok editörüne yeni bir yetenek gelmesi ya da bir API'nin değişmesi burada olur. Risk yüksektir, mutlaka staging'de test edilmelidir.
    • Minor (minör) sürüm: Son hane değişir (6.5.16.5.2). Neredeyse tamamen güvenlik yamaları ve hata düzeltmelerinden oluşur; yeni özellik getirmez. Risk çok düşüktür ve WordPress bunları varsayılan olarak otomatik uygular.

    Aynı ayrım eklentiler ve temalar için de geçerlidir çünkü çoğu geliştirici semantik sürümleme (SemVer) kullanır. MAJOR.MINOR.PATCH biçiminde:

    Değişen haneAnlamıÖrnekDikkat düzeyi
    PATCH (son)Hata/güvenlik düzeltmesi3.1.43.1.5Düşük — güvenle güncelle
    MINOR (orta)Geriye uyumlu yeni özellik3.1.53.2.0Orta — changelog'u oku
    MAJOR (ilk)Kırıcı değişiklik olabilir3.2.04.0.0Yüksek — mutlaka test et

    Pratik kural: Bir eklenti major sürüm atlıyorsa (özellikle WooCommerce, sayfa yapıcılar veya SEO eklentileri gibi kritik parçalar), önce geliştiricinin changelog notunu okuyun. "Breaking change" ya da "requires PHP 8.1+" gibi uyarılar görürseniz, güncellemeyi staging'de denemeden canlıya asla dokunmayın.

    WordPress 6.x Otomatik Güncelleme Ayarları#

    WordPress 5.5'ten bu yana eklenti ve temalar için de otomatik güncelleme desteği bulunur; 6.x serisi bunu daha da olgunlaştırdı. Doğru yapılandırıldığında otomatik güncelleme, insan hatasını ve ihmali ortadan kaldıran güçlü bir araçtır. Ancak "her şeyi otomatiğe al" demek değildir; katmanına göre ayarlamak gerekir.

    Çekirdek (core): WordPress, minor güvenlik sürümlerini varsayılan olarak otomatik yükler ve bunu kapatmamanızı şiddetle öneririz. Major sürümleri ise varsayılan olarak yüklemez. Bu davranışı wp-config.php üzerinden kontrol edebilirsiniz:

    // Sadece minor (güvenlik) güncellemeler — önerilen varsayılan
    define( 'WP_AUTO_UPDATE_CORE', 'minor' );
    
    // Tüm çekirdek güncellemeleri otomatik (major dahil) — dikkatli kullanın
    define( 'WP_AUTO_UPDATE_CORE', true );
    
    // Tüm otomatik çekirdek güncellemeleri kapat — önerilmez
    define( 'WP_AUTO_UPDATE_CORE', false );
    

    Eklenti ve temalar: Bunları panelden yönetebilirsiniz. Eklentiler ekranında her satırın sağında "Otomatik güncellemeleri etkinleştir" bağlantısı bulunur. Burada akıllı bir strateji şudur: Düşük riskli, çok kullanılan ve iyi bakımlı eklentileri (örneğin Yoast SEO, Wordfence) otomatik güncellemeye alın; iş akışınızın kalbindeki kritik eklentileri (WooCommerce, özel ödeme geçitleri, sayfa yapıcılar) ise manuel bırakıp staging'de test edin.

    Otomatik güncellemeler, WordPress'in dahili wp_version_check zamanlanmış görevi (WP-Cron) ile tetiklenir. Sunucu tarafında gerçek bir cron ile bunu güvenilir hale getirmek isterseniz WP-Cron'u devre dışı bırakıp sistem cron'una bağlayabilirsiniz:

    # wp-config.php içine: WP-Cron'un sayfa yüklemesinde çalışmasını kapat
    # define( 'DISABLE_WP_CRON', true );
    
    # Sunucu crontab'ına ekle — her 15 dakikada bir tetikle
    */15 * * * * curl -s https://siteniz.com/wp-cron.php?doing_wp_cron > /dev/null 2>&1
    

    Zamanlanmış görevlerin mantığını daha derin öğrenmek için Linux cron görevleri yazımıza bakabilirsiniz. WP-CLI kullanan ileri seviye yöneticiler ise güncellemeleri tamamen komut satırından yönetebilir:

    # Güncel olmayanları listele
    wp plugin list --update=available
    wp core check-update
    
    # Belirli bir eklentiyi güncelle
    wp plugin update woocommerce
    
    # Tüm eklentileri güncelle (dikkatli — önce staging)
    wp plugin update --all
    
    # Çekirdeği güncelle
    wp core update
    

    Bir Şey Bozulduğunda Geri Alma (Rollback)#

    Her önlemi almanıza rağmen bir güncelleme siteyi bozabilir. Panikleme anı değil, hazırlıklı olma anıdır. Geri alma stratejisi katmana göre değişir.

    En sağlam yol: Yedekten geri yükleme. Güncelleme öncesi aldığınız yedeği geri döndürmek, siteyi bilinen çalışır bir duruma getiren en güvenilir yöntemdir. UpdraftPlus gibi eklentiler tek tıkla geri yükleme sunar; manuel yedek aldıysanız dosyaları açıp veritabanını içe aktarırsınız.

    Tekil eklenti/tema için: Rollback eklentisi. Sorun tek bir eklentinin son sürümünden kaynaklanıyorsa, tüm siteyi geri döndürmek yerine sadece o eklentiyi önceki sürüme indirmek yeterlidir. WP Rollback eklentisi tam olarak bunu yapar: eklenti listesinde her satıra bir "Rollback" bağlantısı ekler ve WordPress.org deposundaki önceki sürümlerden istediğinizi kurmanızı sağlar.

    Eklentiler ekranı → İlgili eklentinin altında "Rollback" → 
    Önceki kararlı sürümü seç → Onayla → Sorunlu güncelleme geri alındı
    

    WP Rollback yalnızca WordPress.org'da barınan (ücretsiz) eklenti ve temalarda çalışır; premium/lisanslı eklentilerde geliştiricinin sunduğu eski sürüm arşivini manuel yüklemeniz gerekir.

    Erişim tamamen kesildiyse (beyaz ekran): Panele bile giremediğiniz durumda, sorunlu eklentiyi FTP veya cPanel Dosya Yöneticisi ile devre dışı bırakabilirsiniz. Yapmanız gereken tek şey, wp-content/plugins/ altındaki ilgili eklenti klasörünün adını değiştirmektir:

    # FTP/SSH ile — sorunlu eklentiyi geçici devre dışı bırak
    cd wp-content/plugins
    mv sorunlu-eklenti sorunlu-eklenti_devredisi
    

    WordPress, klasörünü bulamadığı eklentiyi otomatik olarak devre dışı sayar ve site genellikle geri gelir. Sonra panele girip durumu düzgün ele alabilirsiniz. Bu tür kurtarma senaryolarının ayrıntısı için WordPress hata çözümü yazımız işinizi görecektir. İşin içinden çıkamazsanız Clou.TR'nin WordPress bakım hizmeti devreye girer.

    Uygulanabilir Bir Güncelleme Takvimi#

    Güncellemeleri "aklıma geldikçe" yapmak, en sonunda hiç yapmamaya dönüşür. Bunun yerine site kritikliğine göre bir ritim belirleyin ve ona sadık kalın. Aşağıdaki takvim, çoğu site için sağlam bir başlangıç noktasıdır:

    SıklıkYapılacak işKim için
    Otomatik / anlıkÇekirdek minor güvenlik yamalarıHerkes (varsayılan açık kalsın)
    HaftalıkDüşük riskli eklenti/tema güncellemeleri, yedek kontrolüBlog, kurumsal tanıtım siteleri
    İki haftada birKritik eklentileri staging'de test edip güncellemeE-ticaret, üyelik siteleri
    AylıkMajor sürüm değerlendirmesi, changelog okuma, PHP uyumluluğuTüm profesyonel siteler
    Üç ayda birKullanılmayan eklenti/temaları kaldırma, güvenlik denetimiHerkes

    Takvimin işleyen tarafı, her seferinde aynı adımları izlemektir: (1) yedek al, (2) staging'de güncelle ve test et, (3) canlıya taşı, (4) canlıda son bir kontrol yap. Ayrıca kullanmadığınız her eklenti ve temayı silin — pasif dursa bile kodu sunucuda durur ve bir açık taşırsa saldırı yüzeyiniz olur. En güvenli eklenti, kurulu olmayan eklentidir.

    Sitenizin ayakta olup olmadığını sürekli izlemek de bu döngünün parçasıdır; bir güncelleme sonrası site sessizce düşerse anında haberdar olmak istersiniz. Panelimizdeki uptime uyarıları tam da bunun için vardır. Daha geniş bir bakım ve sertleştirme yaklaşımı için ise WordPress sertleştirme rehberimiz güncelleme disiplininizi tamamlar.

    Sıkça Sorulan Sorular#

    Güncellemeleri otomatiğe almak güvenli mi?#

    Katmanına göre değişir. Çekirdeğin minor (güvenlik) güncellemelerini otomatik bırakmak son derece güvenlidir ve önerilir; bunlar yalnızca yama içerir. Düşük riskli, iyi bakımlı eklentileri de otomatiğe alabilirsiniz. Ancak WooCommerce, ödeme geçitleri veya özelleştirilmiş sayfa yapıcılar gibi iş kritik eklentileri manuel bırakıp önce staging'de test etmek daha doğrudur.

    Güncelleme sonrası sitem beyaz ekran verdi, ne yapmalıyım?#

    Panik yapmadan sorunun kaynağını izole edin. Panele girebiliyorsanız son güncellenen eklentiyi devre dışı bırakın; giremiyorsanız FTP ya da cPanel Dosya Yöneticisi ile wp-content/plugins/ altındaki ilgili eklenti klasörünün adını değiştirin, WordPress onu otomatik pasif sayar. Sorun devam ederse güncelleme öncesi aldığınız yedeği geri yükleyin.

    Minor ve major güncelleme arasındaki fark nedir?#

    Minor güncelleme sürüm numarasının son hanesini değiştirir (6.5.16.5.2) ve neredeyse tamamen güvenlik yamaları ile hata düzeltmelerinden oluşur; riski düşüktür. Major güncelleme ilk hanelerde olur (6.46.5), yeni özellikler ve bazen geriye dönük uyumluluğu etkileyen değişiklikler getirir; bu yüzden mutlaka test edilerek uygulanmalıdır.

    Her eklenti güncellemesinden önce gerçekten yedek almalı mıyım?#

    Kritik siteler için evet, istisnasız. Otomatik ve dış depolamaya çıkan bir yedekleme çözümü kurarsanız bu iş sizin için zaten sürekli yapılır ve her güncelleme öncesi ekstra manuel yedek almanız gerekmez. Düşük riskli tekil eklenti güncellemelerinde en azından güncel bir günlük yedeğin var olduğundan emin olmanız yeterlidir.

    Uzun süredir güncellenmemiş bir sitede güncellemeleri nasıl yakalarım?#

    Tek seferde her şeyi güncellemeye çalışmayın; kademeli ilerleyin. Önce tam bir yedek alın ve bir staging kopyası oluşturun. Ardından çekirdeği, sonra temaları, en son eklentileri güncelleyin. Eklentileri de birer birer güncelleyip her adımda siteyi kontrol edin ki bir sorun çıkarsa hangi eklentinin sebep olduğunu bilesiniz. Çok eski kurulumlarda PHP sürüm uyumluluğunu da kontrol etmeyi unutmayın.

    Kullanmadığım eklentileri sadece pasif bırakmak yeterli mi?#

    Hayır. Pasif bir eklentinin kodu hâlâ sunucunuzda durur ve içinde bir güvenlik açığı barındırıyorsa saldırganlar bunu kullanabilir. Pasifleştirmek yürütülmesini durdurur ama dosyaları kaldırmaz. Kesin çözüm, kullanmadığınız eklenti ve temaları tamamen silmektir — böylece saldırı yüzeyinizi küçültürsünüz.

    Kapanış#

    WordPress güncelleme yönetimi, teknik bir görevden çok bir disiplin meselesidir. Doğru yaklaşım karmaşık değildir: güncel kal, ama gözü kapalı değil. Her güncelleme öncesi yedek al, kritik değişiklikleri staging'de test et, minor ile major arasındaki riski ayırt et, düşük riskli katmanları otomatiğe bırak ve bir şey bozulduğunda geri dönebileceğin bir rollback planın olsun. Bu döngüyü bir takvime bağladığınızda, güncellemeler korkulan bir iş olmaktan çıkıp rutin bir bakım adımına dönüşür.

    Bu disiplini kurmanın en kolay yolu, size doğru araçları hazır sunan bir altyapıdan geçer. Clou.TR'nin WordPress'e optimize hosting paketleri tek tıkla staging, otomatik yedekleme ve güncel PHP sürümleriyle gelir; sürekli izleme için uptime uyarıları, güncelleme yükünü tamamen bize devretmek isterseniz de WordPress bakım hizmetimiz devrededir. Ek koruma katmanları için WAF ve SSL çözümlerimize de göz atabilir, tüm hosting seçeneklerimizi karşılaştırabilirsiniz. Güncel bir site, güvenli bir sitedir — gerisini altyapı halleder.

    wordpressguncellemebakim

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.