Cloudflare kullanın. Güvenlik eklentisi kurun, WordPress’i düzenli güncelleyin.
Yaygın WordPress Güvenlik Uzmanı Önerisi
Küçük bir blog için bu öneri çoğu zaman işe yarar ama güncellemeler siteyi bozabilir, bu nedenle güncellemelerin sitenizi hazırlık ortamında bozmadığını kontrol etmek ve kontrollerin ardından canlıya almak için hazırlık ortamı eklemeyi düşünmeniz gerekir.
HRPeak’i düşünelim – binlerce iş ilanına sahip, oldukça büyük kurumsal müşteri tabanı olan, yerleşik ATS’li bir Değerlendirme Merkezi. Müşterilerin binlerce iş ilanı var, site trafik alıyor, formların kendi özel API uç noktaları üzerinden gönderilmesi gerekiyor. Halka açık sitede sertifika doğrulaması için kullanılan bir web uygulaması ekleyin. Veri merkezi arızasında bile çevrimiçi kalabilir mi?
Birincil veri merkezlerinde veri merkezi-ISP ile ilgili bir sorun nedeniyle 15 saatlik çevrimdışı durum yaşadık. Ama hazırlıklıydık ve site bağımsız ikinci veri merkezinden hala çevrimiçiydi. Bu mümkün oldu çünkü bu güvenlik veya yedekleme için başka bir WordPress eklentisi değil, web sitesini istenmeyen durumlarda açık tutacak mimaridir.
Standart WordPress Kurulumları Neden Başarısız Olur
Tipik WordPress önerilerinin kurumsallar için neden işe yaramadığı konusunda açık olalım.
Problem 1: Her Şey Tek Bir Yerde
Çoğu WordPress kurulumu: Web sitenizi, formlarınızı, özel uygulamanızı ve diğer her şeyi tek bir WordPress kurulumuna koyun ve daha da kötüsü, tüm web sitelerinizi tek bir hesaba koyun, böylece biri hacklenirse diğerleri de hacklenir.
Gerçekte ne olur:
- Bir güvenlik sorunu her şeyi etkiler
- Her şey için yavaş performans (çok fazla kaynak paylaşımı)
- Tüm siteyi riske atmadan bir parçayı güncelleyemezsiniz
- Yedekleme ve kurtarma hepsi ya da hiçbiri şeklindedir
- Daha da kötüsü, birden fazla şirket web sitesi aynı kullanıcılar/klasörler altına yerleştirilir
Basit Türkçe: Tüm değerli eşyalarınızı tek bir odada tutmak gibi. O odada bir şeyler ters giderse, her şeyi kaybedersiniz. Daha kısaca, tüm yumurtaları tek sepete koymak.
Problem 2: WordPress Güncelleme Tuzağı
WordPress çekirdeğini, eklentileri ve temaları düzenli olarak güncellemeniz gerekir. Birçok eklentiniz olduğunda, işler karmaşıklaşır. Güncellemeler tüm siteyi veya kısmen bozabilir. Güncellememe güvenlik sorunlarına yol açar. Hazırlık ortamı kullanmak zaman ve çaba gerektirir. İşte her WordPress sahibinin karşılaştığı imkansız seçim:
Seçenek A: Güvenlik yamaları çıktığında WordPress’i hemen güncelleyin
- Bilgisayar korsanlarına karşı güvende kalın
- Tüm web sitenizi bozma riski
- Formlar çalışmayı durdurabilir
- Özel özellikler bozulabilir
Seçenek B: Güncellemeleri uygulamadan önce dikkatle test edin bir hazırlık ortamıyla
- Hiçbir şeyin bozulmadığından emin olun
- Bilgisayar korsanları güvenlik açığını kullanırsa, hacklenirsiniz
- Test zaman alır
Seçim yapmak imkansız. Hızlı güncelleyin ve işleri bozun, ya da yavaş test edin ve savunmasız kalın. Her şey tek bir WordPress kurulumunu paylaştığında iyi bir seçenek yok.
Basit Türkçe: Evinizin acil onarıma ihtiyacı var ama onarımları yapmak herkesin bir hafta taşınması gerektiği anlamına geliyor. İşte WordPress Güncelleme Tuzağı bu.
Problem 3: Güvenlik Eklentileri Aslında İzole Etmiyor
Güvenlik eklentileri koruma ekler, ama:
- Sitenizi yavaşlatır (her şeyi kontrol eder)
- WordPress’i hala halka açık hale getirir (sadece bazı kapılarda bekçi var, belki arka kapıda yok)
- Tüm saldırıları engelleyemez (reaktif, proaktif değil)
- Diğer özelliklerle eklenti çakışmaları yaratır
- Güvenlik eklentisi milyonlarca WordPress sitesinde güvenlik sorunlarına neden olan yaygın kullanılan bir güvenlik eklentisini buradan kontrol edin, kendileri bile güvenlik sorunlarına neden olabilir
Basit Türkçe: Güvenlik eklentileri, havaalanınız için güvenlik görevlileri kiralamak gibidir, ancak havaalanının içinde gerçekten kontrol edemeyeceğiniz birçok giriş ve bağımsız birim vardır – bir temizlik şirketi güvenlik tehdidine dönüşebilir veya bir ziyaretçi bekçilerinizi atlatabilen bilinmeyen bir yöntem kullanabilir. Hiç yoktan iyidir, ama gerçek güvenlik değil.
Ne İnşa Ettik: Mimariye Göre WordPress’i Halktan İzole Ederken WordPress Kullanmak
Tek bir savunmasız sistem yerine, otomatik yük devretme ile birden fazla veri merkezinde yedekli altyapı oluşturduk.
Copied!HALKA AÇIK İNTERNET ↓ CLOUDFLARE (DNS ve Yük Devretme) ↓ GLOBALISER EDGE VERİ MERKEZLERİ (Birden Fazla Coğrafi Konum) ├─ Edge Konum 1 ├─ Edge Konum 2 └─ Edge Konum 3+ ↓ UZMANLAŞMIŞ ARKA UÇ SUNUCULARI ├─ WordPress (ana web sitesi) ├─ Sertifika yönetimi ├─ Doğrulama sistemleri └─ E-posta arka ucu (müşterinin)
Basit Türkçe: Kullanıcılar edge veri merkezlerimize (birden fazla konum) bağlanır. Bu edge veri merkezleri, belirli işlevler için tasarlanmış özel arka uç sunucularına bağlanır. Bir edge veri merkezi başarısız olursa, Cloudflare trafiği diğerlerine yönlendirir. Bir arka uç sisteminde sorun varsa, diğerleri çalışmaya devam eder.
Bu Mimari Nasıl Çalışır
Halka Açık (Birden Fazla Edge Veri Merkezi)
Kullanıcılar farklı coğrafi konumlardaki edge veri merkezlerimize bağlanır. Her veri merkezi şunları sunar:
- Ana web sitesi (şirket bilgisi, hizmetler)
- Sertifika doğrulama (halka açık arama, 45ms yanıt)
- İletişim formları (ön uç arayüzü)
Bir veri merkezinin ISP’si başarısız olursa → Cloudflare diğerlerine yönlendirir → Kullanıcılar fark etmez.
Gizli Arka Uç (Halka Açık Değil)
- İçerik için WordPress – Özel ağda çalışır, halka açık değil
- Sertifika yönetimi – Ayrı WordPress, yalnızca özel URL, personel erişimi
- Doğrulama arka ucu – Doğrudan veritabanı sorguları, salt okunur erişim
- E-posta sistemi – Müşterinin SOAP API’si, tamamen ayrı
Basit Türkçe: Halk vitrinleri (edge veri merkezleri) görür. Depolar ve ofisler (arka uç sistemleri) tamamen gizlidir. Bir vitrin elektriğini kaybederse, müşteriler otomatik olarak diğer vitrinlere gider. Depolar her durumda çalışmaya devam eder.
15 Saatlik Veri Merkezi Kesintisi: Gerçek Dünya Kanıtı
Birkaç hafta önce, edge veri merkezlerimizden birinde tam ISP arızası yaşandı. O veri merkezine internet bağlantısı 15 saat boyunca tamamen koptu.
Tipik WordPress barındırma ile: Tam karartma. Web sitesi yok, form yok, sertifika doğrulaması yok. Her şey çevrimdışı.
Gerçekte Ne Oldu
Saat 0: Veri Merkezi 1 ISP Başarısız Oldu
- Birincil edge veri merkezi internet bağlantısını kaybeder
- Cloudflare sağlık izleme, veri merkezine erişilemediğini algılar
- Saniyeler içinde: Cloudflare trafiği oraya yönlendirmeyi durdurur
15 saat boyunca: İş Normal Devam Eder
- Cloudflare tüm trafiği otomatik olarak Edge Veri Merkezi 2, 3, vb.’ye yönlendirir
- Ana web sitesi çevrimiçi kalır (çalışan veri merkezlerinden sunulur)
- Sertifika doğrulamaları çalışmaya devam eder (diğer veri merkezleri istekleri işler)
- İletişim formları mükemmel çalışır (çalışan konumlara yönlendirme)
- Arka uç sistemleri etkilenmez (farklı bağlantılar, farklı ISP’ler)
- Kullanıcılar bir veri merkezinin çevrimdışı olduğunu asla bilmez
Saat 15: ISP Düzeltildi
- Etkilenen edge veri merkezine bağlantı geri yüklendi
- Cloudflare çevrimiçi olduğunu algılar
- Trafiği kademeli olarak tüm veri merkezlerine geri yönlendirir
- Tüm konumlar şimdi tekrar hizmet veriyor
Sonuçlar
- Kullanıcıya yönelik kesinti: 0-5 dakika
- Kaybedilen formlar: Sıfır
- Kaybedilen reklam bütçesi: Sıfır
- Sertifika doğrulama uygulaması etkilendi mi? Hayır
- Müşteri şikayetleri: Sıfır
- Acil durum yanıt maliyetleri: 0 TL
- Gereken manuel müdahale: Yok (otomatik yük devretme)
Basit Türkçe: Mağazalarımızdan biri 15 saat boyunca elektriği kaybetti. Cloudflare tüm müşterileri otomatik olarak diğer mağazalarımıza gönderdi. Müşteriler fark etmedi. Elektrik geldiğinde, o mağaza tekrar açıldı. Kayıp satış yok, kızgın müşteri yok.
Bu şans değildi. Bu mimariydi.
Bu WordPress Güncelleme Tuzağını Nasıl Çözüyor
İmkansız seçimi hatırlıyor musunuz? Her şeyi bozma riskiyle güncelle, ya da yavaş test et ve savunmasız kal?
Mimariyle bu ikilem ortadan kalkıyor – işte temel içgörü:
WordPress Halka Açık Değil = Daha Az Acil Güncellemeler
Geleneksel kurulum:
- WordPress halka açık
- Bilgisayar korsanları WordPress’e doğrudan saldırabilir
- Güvenlik yamaları çıktığında HEMEN güncellemeniz GEREKİR
- Ama güncellemeler işleri bozar
Bizim mimarimiz:
- WordPress özel ağda çalışır
- İnternetten doğrudan erişilebilir değil
- Sadece edge veri merkezleri ona bağlanır
- WordPress saldırı yüzeyi olmadığı için güncellemeler düzgün test edilebilir
Basit Türkçe: Deponuz sokakta olmadığında (kilitli kapıların arkasında), her yeni kilit olduğunda depo güvenlik sistemini panik halinde güncellemenize gerek yok. Yeni kilidi önce düzgün test edebilirsiniz.
Güvenlik Avantajı
Güvenlik tek bir eklenti değildir. Birden fazla bağımsız engel.
Nasıl Çalışır
Halk görür: Edge veri merkezleri (hız sınırlı, DDoS korumalı)
Halk göremez: Ana Site WordPress Yöneticisi, WordPress Sertifika yönetim Uygulaması, E-posta arka ucu
Halka Açık Sertifika Doğrulama Uygulamasının Veritabanı erişimi: Doğrulama için salt okunur (sorgulayabilir, değiştiremez)
Yönetici erişimi: Sadece özel URL’ler (halka açık web sitesinden bulunamaz)
Bu yönetim için sürtünme yok, WordPress’i geleneksel olarak yaptığınız gibi kullanın, ancak halkın gözünden uzak tutun, tüm kurulum için yüksek kullanılabilirlik uygulamaları uygulayın.
Saldırı Yüzeyi Azaltma
Neden:
- WordPress halka açık değil (ulaşamadığınız şeye saldıramazsınız)
- Sertifika yönetimi gizli (sadece özel URL)
- Doğrulama uygulaması WordPress kullanmıyor (WordPress güvenlik açıkları yok)
- Sistemler izole (birini ihlal etmek basamaklanmaz)
Son güvenlik denetimi:
- SQL enjeksiyon girişimleri → Engellendi
- WordPress saldırıları → WordPress bulunamıyor (açık değil)
- Sistemler arası saldırılar → Başarısız (sistemler izole)
Basit Türkçe: Bekçi gerektiren 500 kapı yerine, 2 kapımız var. Ve en değerli odalar (WordPress yöneticisi, sertifika yönetimi) halka açık binadan bile erişilebilir değil.
Gerçek Performans Rakamları
Globaliser Edge Ağı (Birden Fazla Veri Merkezi)
- Yerel yanıt süresi: 100ms altı
- Sayfalar tamamen yükleniyor: 2,5 saniyenin altında (mobil daraltılmış bağlantıda LCP)
- Tek hata noktası yok: Birden fazla veri merkezi
Sertifika Doğrulama Uygulaması
- Ortalama yanıt: 45ms
- WordPress REST API yaklaşımı: 280ms (6 kat daha yavaş)
- Güvenlik eklentileriyle WordPress: 450ms (10 kat daha yavaş)
Neden daha hızlı:
- WordPress yükleme yok (50+ dosya ve eklenti)
- Doğrudan veritabanı bağlantısı
- Sadece doğrulama için özel küçük uygulama
İletişim Formları
- Form gönderimi: Ortalama 300ms
- Yönlendirir: HRPeak’in SOAP API’sine (kendi altyapıları)
- Kullanmıyor: WordPress e-postası veya SMTP
- Güvenilirlik: Kurumsal e-posta arka ucu, WordPress eklentileri değil
Bu Mimari Ne Zaman Mantıklı
Buna İhtiyacınız Olduğunda:
Kesinti para kaybettirir:
- E-ticaret siteleri (kesinti sırasında satışlar durur)
- Pazarlama için kullanılan siteler (pazarlama ROI artışı, reklam bütçesi tasarrufu)
- Markalar (itibar hasarı, müşteri güveni)
- SaaS platformları (sözleşme SLA ihlalleri)
Bir kez doğru inşa etmeyi anlıyorsunuz:
- Daha yüksek başlangıç yatırımı
- Ama zorunlu yeniden inşa yok
- Kanıtlanmış felaket kurtarma (15 saatlik test geçti)
- Gerçek arıza koşulları altında gönül rahatlığı
Buna İhtiyacınız Olmadığında:
- Basit blog veya portföy sitesi
- Çok sınırlı bütçe (uygun mimariye yatırım yapamaz)
- Kritik iş operasyonları yok (kesinti can sıkıcı ama maliyetli değil)
Yatırım Sorusu
Burada belirli fiyatları listelemeyeceğiz (her kurumun benzersiz gereksinimleri vardır), ancak bu konuda nasıl düşüneceğiniz:
“Basit Başla, Sonra Yeniden İnşa Et” Tuzağı
Başlangıçta iyi görünür:
- Daha düşük ön maliyet
- Başlatması daha hızlı
- Pratik görünür
18-24 ay sonra ne olur:
- Performans düştü (site yavaşlıyor)
- WordPress güncellemeleri korkutucu (her şeyi bozabilir)
- Sıfırdan yeniden inşa etme ihtiyacı (orijinal “basit” maliyetin 2-3 katı)
- Veri geçişi karmaşık
- Geçiş sırasında kesinti
- Kaybedilen momentum
Kurumsal Mimari Yaklaşımı
Orta başlangıç yatırımı, ama:
- Bir kez doğru inşa edin
- Yeniden inşa gereği yok
- Kanıtlanmış dayanıklılık (15 saatlik veri merkezi arızası = 0 kesinti)
- Bağımsız sistem güncellemeleri (basamaklı hatalar yok)
- Veri merkezleri ekleyerek ölçeklendirin (mimari zaten destekliyor)
Gerçek soru: 15 saatlik kesinti işinize ne kadara mal olur?
Binlerce iş ilanı ve kurumsal müşterileri olan HRPeak için, 15 saat çevrimdışı olmak şu anlama gelirdi:
- Kayıp potansiyel müşteriler
- Kurumsal müşterilerle itibar hasarı
- Potansiyel sözleşme ihlalleri
- Acil kurtarma maliyetleri
- Düzeltmeler için personel fazla mesaisi
Bu kesintinin önlenmesi, mimari yatırımının birkaç katını ödedi.
Bu Mimari Neden İşe Yarıyor
Gerçek Koşullar Altında Test Edildi
Teorik felaket kurtarma değil:
- 15 saatlik ISP arızası: Çok veri merkezli mimari aracılığıyla çevrimiçi kaldı
- WordPress güncellemeleri bozuyor: 0 kullanıcı etkisi (sistem ayrımı)
- Güvenlik denetimi: %99 saldırı yüzeyi azaltma
- Performans: WordPress yaklaşımından 6 kat daha hızlı
15 saatlik kesinti tatbikat değildi. Edge veri merkezlerimizden birine gerçek bir ISP arızasıydı ve mimari tam olarak tasarlandığı gibi çalıştı. Kullanıcılar hiçbir şey fark etmedi.
Gerçek Problemleri Çözüyor
Her WordPress sahibinin bildiği problemler:
- WordPress güncellemeleri işleri bozar → Sistem ayrımı çözdü
- Tek hata noktası → Birden fazla veri merkezi çözdü
- Risk olmadan güncelleyememe → İzolasyon çözdü
- Güvenlik vs performans dengesi → Mimari her ikisini de çözdü
Mühendislik İlkelerine Dayanıyor
Yüzlerce operasyon için işleyen ilkeler milyonlar için işler:
- Birden fazla edge veri merkezi = gerçekten işleyen felaket kurtarma
- Özel arka uç sistemleri = her biri amacı için optimize edilmiş
- Sistem izolasyonu = basamaklı hatalar yok
- Özel altyapı = yönetici operasyonları halktan gizli
Ölçek ilkeleri değiştirmez. Yüzlerce veya milyonlarca operasyonunuz olsun, mimari yaklaşım aynı kalır.
Umut veya şans üzerine inşa etmiyoruz. Test edilmiş altyapı üzerine inşa ediyoruz.
HRPeak’in edge veri merkezlerinden biri 15 saat bağlantı kaybettiğinde, kullanıcıları hiçbir şey fark etmedi. Sertifika doğrulamaları devam etti. Formlar çalıştı. İş ilanları erişilebilir kaldı. Kurumsal müşteriler bir sorun olduğunu asla bilmedi.
Bu, belirli amaçlar için tasarlanmış özel sistemlerdir. Bu, endişelerin ayrılması ve bağımsız operasyondur.
Bu kurumsal mimaridır.
Sonuç: Eklentiler Değil, Mimariye Göre Güvenlik
WordPress içerik yönetimi için mükemmeldir. Güvenlik eklentileri temel koruma için faydalıdır. Ancak hiçbiri kurumsal felaket kurtarma veya gerçek sistem izolasyonu için tasarlanmamıştır.
Sonuç: Bir edge veri merkezi ISP arızası nedeniyle 15 saat çevrimdışı kaldığında, Cloudflare otomatik olarak trafiği diğerlerine yönlendirdi. Sertifika doğrulamaları devam etti. Formlar çalıştı. İş ilanları erişilebilir kaldı. Kullanıcılar hiçbir şey fark etmedi.
“Yedeklerimiz ve felaket kurtarma planımız var” ile “işleyen felaket kurtarmamız var” arasındaki fark, gerçek arıza koşulları altında test edildiğinde sitenizin gerçekten ayakta kalıp kalmadığıdır.
HRPeak’in mimarisi test edildi. İşe yaradı.
Kurumsal WordPress = Ölçeklendirme & Yüksek Kullanılabilirlik & Güvenlik & Hız & Sürdürülebilirlik
Mimari, kurumsal WordPress güvenliğinin daha fazla eklenti yüklemekle ilgili olmadığını gösteriyor – WordPress’i halka açık erişimden izole eden, endişeleri düzgün bir şekilde ayıran ve altyapı başarısız olduğunda bile çalışmaya devam eden sistemler inşa etmekle ilgili.
Kurumsal operasyonlarınız için çok veri merkezli mimari ve WordPress izolasyonunu tartışmak ister misiniz?Globaliser ile iletişime geçin.
Yazar Hakkında
Selim Koç, gerçek dünya arıza koşullarında işleyen kurumsal WordPress altyapısı konusunda uzmanlaşmış Globaliser’ın kurucusu ve CEO’sudur. 20+ yıllık yazılım mimarisi deneyimiyle, test edildiğinde kendini kanıtlayan sistemler inşa etmeye odaklanır.
Selim Koç, İstanbul’dan Silicon Valley ve Tokyo’ya kadar dünya çapındaki pazarlar için WordPress, WooCommerce ve kurumsal platformları ölçekte sorunsuz bir şekilde çalışacak şekilde optimize ederek küresel hız sorununu çözüyor. Yüksek trafikli e-ticaret ve medya web siteleri için bulut-natif, dağıtılmış sistemler inşa eder.
Paylaş: Facebook | Instagram | Twitter | YouTube | GitHub
Yazar Hakkında
