Ücretsiz WordPress Hosting: Limitler, Tuzaklar ve Doğru Senaryolar

Ücretsiz WordPress hosting kavramı, internetin en eski ve en yanıltıcı vaatlerinden biridir. Bir Google aramasıyla onlarca "100% Free, No Ads, No Card Required" başlıklı sayfaya ulaşırsınız; her biri sınırsız bant genişliği, tek tıkla WordPress kurulumu ve 99.9% uptime sözü verir. Gerçek tablo ise çok daha katmanlıdır: gerçekten ücretsiz olan birkaç sağlayıcının arkasında inaktivite politikaları, agresif kaynak limitleri, gizli reklam katmanları, ToS hassasiyetleri ve çoğu zaman hesabınızın uyarısız silinmesini içeren uzun vadeli risk yatar.

Bu rehber; kişisel blog, küçük portfolyo, öğrenci projesi veya geçici demo gibi düşük trafikli senaryolar için ücretsiz hosting'in nerede gerçekten anlamlı olduğunu, hangi tuzaklara dikkat etmeniz gerektiğini ve nispeten daha sürdürülebilir kurulumun nasıl yapılacağını anlatıyor. Vendor-neutral bir teknik bakışla; gerçek PHP/MySQL limitlerini, sağlayıcı kategorilerini, kendi VPS'inizde "sıfır maliyetli WordPress" kurma yollarını ve ne zaman ücretli hostinge geçmenin daha karlı olduğunu rakamlarla göstereceğim.

İlgili rehberler: Hosting nedir, türleri ve fiyatları · VPS Nedir, VDS Farkı · LSCache (LiteSpeed Cache) Rehberi · Let's Encrypt ile Ücretsiz SSL · cPanel ile Web Sitesi Yönetimi · WordPress SEO Plugin Önerileri

"Ücretsiz Hosting" Aslında Ne Anlama Geliyor?

Ücretsiz hosting tek bir kategori değil — birbirinden çok farklı dört iş modelinin ortak adıdır. Hangisini kullandığınızı bilmek, gerçek kullanım koşullarını ve hesabınızın ne zaman askıya alınabileceğini de bilmek demektir. Aşağıda dört modelin objektif tanımlarını bulacaksınız.

• Subdomain modeli (PaaS): WordPress.com'un free planı en bilinen örnektir. Yazılım da hosting de aynı şirkete aittir, kontrol panelini sınırlı tutarlar (plugin yüklenemez, tema seçimi az, kod erişimi yok), karşılığında setup tamamen sizden bağımsızdır. Trafiğin ücreti, gösterilen reklamlar ve premium upsell ile ödenir.
• Klasik shared hosting freemium: AwardSpace, InfinityFree, GoogieHost gibi sağlayıcılar. Standart cPanel benzeri panel + 1-5GB disk + WordPress installer. Ücretli planlarına müşteri "funnel"ı olarak çalışır; bu yüzden ücretsiz plandaki performans ve destek bilinçli olarak kısıtlıdır.
• Trial / dev sandbox: CloudAccess (30 gün), Wordify DevSites, bazı managed WP servislerinin geliştirici sandbox'ları. "Geliştirme amaçlı" ücretsizdir; production'a geçmek için ücretli plana taşınmanız beklenir, custom domain genellikle ücretsiz planda çalışmaz.
• Cloud free tier (FaaS / serverless): Wasmer, Oracle Cloud Always Free, Google Cloud Free Tier, AWS Free Tier (12 ay). Aslında bir sunucu kaynağı vermezler; hesap başına aylık belirli compute/disk/bandwidth kotası verirler. WordPress'i bunun üstüne kendiniz kurarsınız ve kotayı aşmanız anında faturalandırma demektir.

Bu dört modelin ROI, kontrol seviyesi ve uzun vadeli risk açısından farklı yerleri vardır. Bu rehberin geri kalanı, her birini gerçek limitler, gerçek konfigürasyonlar ve gerçek senaryolarla işliyor.

WordPress Çalıştırmak İçin Asgari Sistem Gereksinimleri

Bir hosting'in WordPress'i çalıştırıp çalıştıramayacağını anlamak için önce yazılımın kendi gereksinimlerini bilmek gerek. WordPress.org tarafından 2026 itibarıyla önerilen minimumlar oldukça mütevazı görünebilir, ancak "çalışır" ile "hızlı çalışır" arasındaki fark bu rakamlarla ölçülmez.

• PHP 7.4+ (önerilen 8.1 / 8.2 / 8.3): Eski PHP sürümlerinde güvenlik yamaları kesilmiş durumda. PHP 8.x %20-40 daha hızlıdır.
• MySQL 5.7+ veya MariaDB 10.4+: PostgreSQL desteklenmez (yalnızca community plugin'ler ile sınırlı şekilde).
• HTTPS desteği: WordPress 5.7+ admin paneli HTTPS varsayar; modern eklentiler de HTTPS olmadan çalışmaz.
• RAM 256-512 MB: WordPress + MySQL + PHP-FPM birlikte. WooCommerce eklenirse 1 GB altı yetersiz.
• Disk 1 GB: WordPress core + temalar + birkaç eklenti + medya kütüphanesinin başlangıç boyutu. Üretim sitesi 6 ay içinde 5-10 GB'a çıkabilir.
• HTTP modülleri: Apache için mod_rewrite, Nginx için try_files direktif desteği — pretty permalink için şart.
• cron desteği: WP-Cron yetersiz kalır; gerçek system cron erişimi yoksa scheduled post ve backup işleri stabil çalışmaz.

Bu rakamlar minimumdur. Tipik bir kurumsal WordPress sitesi (10-30 eklenti, WooCommerce, çoklu dil) 2 GB RAM ve PHP-FPM için 4-8 worker'a kolayca tırmanır. Ücretsiz planlar bu üst sınırları neredeyse hiç sunmaz — bu yüzden "WordPress kurulur" ile "WordPress üretimde sürdürülebilir" arasındaki çizgiyi en başta çizmek gerekir.

Sağlayıcı Karşılaştırması: Gerçek Limitler 2026

Aşağıdaki tablo, 2026 verilerine göre en yaygın ücretsiz WordPress hosting seçeneklerinin kaynak limitlerini özetliyor. Veriler sağlayıcıların kendi sitelerinden (Mart-Mayıs 2026) çekildi; politikalar değişebilir, satın alma kararı öncesi mutlaka güncel sürümünü doğrulayın.

• WordPress.com Free: 1 GB depolama, sınırsız bant genişliği, subdomain (sitename.wordpress.com), plugin yok, custom theme yok, WordPress reklamları var, custom domain için ücretli plana geçmek gerekir.
• InfinityFree: 5 GB disk, "sınırsız" bant genişliği (adil kullanım kotası uygulanır), 400 MySQL DB, PHP 8.3, Softaculous installer, ücretsiz SSL, custom domain destekler, reklam yok. Inode limit 30K-50K civarı — orta-büyük WordPress sitelerinde sorun çıkarır.
• AwardSpace Free: 1 GB disk, 5 GB aylık bant genişliği, 1 ana domain + 3 subdomain, 1 MySQL DB, PHP destekli, e-posta hesabı dahil. Inactivity politikası uygulanır.
• GoogieHost: 1 GB SSD, 100 GB aylık bant genişliği, tek site, LiteSpeed cache, ücretsiz SSL, Cloudflare entegrasyonu. Yıllık "yenileme" istenir; pasif hesap silinir.
• CloudAccess: 30 günlük trial, 500 MB disk, 1 GB RAM, cloudaccess.host subdomain. Custom domain için ücretli plana geçmek zorunlu, aylık login yoksa hesap kapatılır.
• Wasmer Hobby: 100K aylık ziyaretçi, 1 GB depolama, 150 GB bant genişliği, 100 MB MySQL veritabanı, 1 uygulama. Serverless WASM altyapı, otomatik ölçek; veritabanı boyutu ciddi limit.
• Wordify DevSites: Production değil, geliştirici sandbox. Ücretli ($2/ay'dan başlar) ama yine ucuz; gerçek free tier yok.
• 000webhost (artık Hostinger free): 300 MB depolama, 3 GB bant, MySQL, 1 site. Yedekleme yok, daily login zorunluluğu olabilir.

Bu liste mutlak değil — yıl içinde sağlayıcılar plan değiştirir, yeni oyuncular eklenir, eski şirketler kapanır. Karar verirken üç kriteri birlikte değerlendirin: kaynak limitleri (CPU, RAM, disk, MySQL boyutu), uzun vadeli güvence (inactivity, ToS, hesap silme politikaları) ve çıkış stratejisi (full backup ihraç edilebilir mi, custom domain taşınabilir mi).

Subdomain Modeli: WordPress.com Free Planı Detaylı Analiz

WordPress.com'un free planı, sıfırdan blog açmak isteyen ve teknik müdahalede bulunmak istemeyen kullanıcılar için en az komplikasyona sahip seçenektir. Bir e-posta + parola, üç dakika içinde yayında olan bir blog. Karşılığında çok ciddi bir ödün veriyorsunuz: kontrol.

• Plugin yüklenemez: Yoast SEO, RankMath, WP Rocket, WooCommerce — hiçbiri kurulamaz. Free planda yalnızca Jetpack'in alt seviye özellikleri kullanılabilir.
• Custom theme yok: Yalnızca platformun onayladığı küçük tema havuzundan seçim yaparsınız. CSS düzenleme bile premium plan ister.
• Custom domain yok: siteadi.wordpress.com formatında çalışır. Custom domain ($4/ay'dan başlayan plan) gerektirir.
• WordPress reklamları: Free planda WordAds platformunun reklamları gösterilir; gelirini kullanıcı almaz.
• FTP / SFTP yok, dosya erişimi yok: Tema dosyalarını editleyemezsiniz, child theme oluşturamazsınız.
• Veri ihracı sınırlı: Export aracı içerik (post, sayfa, yorum) verir; full WordPress backup'ı (plugin, tema, uploads) vermez. Migrate etmek isterseniz manuel iş yığını.
• Trafik limiti pratik olarak yok: "Unlimited bandwidth" söylenir; gerçekte spike'lar throttle edilebilir, ToS ihlal edilirse hesap kapanır.

Doğru senaryo: Yazı yazmaya odaklanmak isteyen, hiç teknik müdahale yapmayacak, hobi blog yazarları için en stressiz seçenek. Yedek alma, sunucu izleme, plugin güncellemesi gibi dertler yok. Yanlış senaryo: Adsense / Google AdSense gelirine odaklı, SEO için Yoast/RankMath kullanmak isteyen, custom domain ile kişisel marka inşa etmek isteyen herkes.

.com'a Karşı.org Ayrımı

Yeni başlayanların en sık karıştırdığı konudur. WordPress.org açık kaynak yazılımdır — istediğiniz hosting'e indirir, kurarsınız. WordPress.com Automattic'in işlettiği managed bir SaaS. Bu rehberde ücretsiz hosting derken çoğunlukla "WordPress.org yazılımını ücretsiz bir hosting'e kurmak"tan bahsediyoruz; WordPress.com free planı bu kategorinin yalnız bir alt kümesidir.

Klasik Free Shared Hosting: InfinityFree Üzerinden Detaylı Analiz

InfinityFree, free shared hosting kategorisinin en uzun ömürlü oyuncularından biridir. 2014'te kuruldu, hâlâ aktif ve gerçekten reklam takmadan, kredi kartı istemeden hesap veriyor. Bu da "nasıl ayakta kalıyor?" sorusunu doğuruyor — cevap, ücretli kardeş şirket iFastNet'in altyapısının marjinal kapasitesini ücretsiz olarak satması ve yıllık dönüşüm oranını düşük tutarak çalışıyor olması.

• Disk 5 GB: Çoğu kişisel blog için fazlasıyla yeterli.
• "Sınırsız" bant genişliği: Pratikte günlük CPU saniye limiti ve I/O limiti var. Sayfa hızı testleri (GTmetrix, Lighthouse) gibi yoğun istekler hesabı geçici askıya aldırır.
• Inode limit ~30,000-50,000: Inode = dosya/dizin sayısı. WordPress core ~3K, popüler eklentiler 5-10K daha ekler; medya kütüphanesi büyüdükçe limit asıl baskıyı oraya yapar.
• PHP 8.3 + MariaDB 11.4: Modern. Eski PHP'ye dönüş seçeneği var.
• 400 MySQL veritabanı: Pratikte 1-2 yeterli; yüksek rakam pazarlama amaçlıdır.
• Reklam yok, fakat "powered by" footer: Subdomain kullanırken zorunlu olabilir.
• Custom domain destekler: Ücretsiz Freenom domainleri 2024'te kapatıldıktan sonra ucuz .xyz / .top registrar'larından alınan domain'i bağlayabilirsiniz. SSL otomatik (Let's Encrypt benzeri Comodo/InfinityFree SSL).
• Yedekleme YOK: Bu en kritik noktadır. Sunucu çökerse veya hesap askıya alınırsa kendi yedekleriniz yoksa veriniz kaybolur.
• Aylık "daily hits" limit: 50,000 günlük hit. Trafik artarsa cevaplanmamış 503 görürsünüz.

InfinityFree üzerinde WordPress kurmak Softaculous installer ile 60 saniye sürer. Ancak ilk başta yapmanız gereken ek üç şey vardır: harici cron, harici yedek ve harici e-posta servisi. Bunları aşağıda tek tek göstereceğim.

Free Hosting'de Manuel WordPress Kurulumu (CLI)

Softaculous yerine manuel kurulum tercih ederseniz — ki bu, kullanılmayan eklentilerin yüklenmemesi açısından daha temiz bir başlangıç verir — şu adımları kullanın:

Çoğu free shared hosting SSH erişimine izin vermez; o yüzden wp-cli ile kurulum çoğunlukla mümkün değildir. FTP üzerinden upload + browser tabanlı 5-dakikalık installer sequence en yaygın yoldur.

Harici Cron ile WP-Cron'u Devre Dışı Bırakmak

WordPress varsayılan olarak wp-cron.php'yi her sayfa isteğinde çalıştırmayı dener. Bu, düşük trafikli sitelerde gecikmeli post yayınlanmasına, scheduled backup'ların kaçırılmasına ve istek başına 50-200ms ek gecikmeye yol açar. Free hosting'de system cron erişimi yoksa harici bir cron servisi kullanın.

PaaS / Serverless: Wasmer ve Cloud Free Tier

Wasmer'in Hobby planı 2024'te yayınlandığında WordPress dünyasında dikkat çekti. Cold start'ı milisaniye seviyesinde tutan WebAssembly tabanlı bir runtime; 100K aylık ziyaretçi sınırı küçük blog için fazlasıyla yeterli. Tek ciddi sorun: 100 MB MySQL veritabanı limiti. WordPress core kurulumu boş halde ~5 MB; 1000 post + 50 plugin sonrası 80-90 MB'a kolayca ulaşılır.

Cloud free tier'lar (Oracle Always Free, Google Cloud, AWS) farklı bir kategoride. Bunlar size küçük bir VM (Oracle: 4 ARM core + 24 GB RAM Always Free, gerçek bir cömertlik) verir; üzerinde WordPress'i siz kurarsınız. Tipik kurulum: Ubuntu 22.04 + Nginx + PHP 8.3-FPM + MariaDB. Tek koşul: hesap doğrulamak için kredi kartı istenir, kotayı aşmanız anında faturalandırma demektir.

Oracle Always Free Üzerinde WordPress Kurulumu

Bu kurulum gerçek bir VPS deneyimi sunar; Let's Encrypt ile SSL kurulumu ve Nginx yapılandırma rehberi takip edilince tam üretime hazır bir WordPress sitesi sıfır lisans maliyetiyle ayağa kalkar.

Nginx Konfigürasyonu (PHP-FPM ile WordPress)

Trial / Sandbox: Wordify DevSites ve CloudAccess

Trial modeli, üretime geçmeden önce "deneyip karar ver" felsefesinde çalışır. CloudAccess 30 gün ücretsiz; süre dolduğunda site kapanır veya ücretli plana taşınmanız beklenir. Wordify'ın DevSites'ı tam ücretsiz değil ama "developer-friendly" ucuz fiyatla benzer fonksiyonu sunar.

Bu modeli tercih edin eğer: ajansta çalışıyorsunuz ve müşteriye sunmadan önce site geliştiriyorsunuz, WordPress kurulumu deneyip görsel olarak değerlendirmek istiyorsunuz, çoklu staging ortamı kurmak için gerçek kontrol ihtiyacınız var. Tercih etmeyin eğer: kalıcı bir site kurmak istiyorsanız — trial bittikten sonra site silinir veya ücret çekilmeye başlar.

Ücretsiz Hosting'in Görünmez Maliyetleri

"Free" sözcüğü sadece para kasasında karşılığını ödediği için aldatıcıdır; gerçek maliyet zaman, risk ve fırsat maliyeti üzerinden ödenir. Aşağıdaki maddelerin her biri ücretsiz hosting kullanan birinin er ya da geç karşılaştığı durumlardır.

• Performans cezası: Ücretsiz hesaplar paylaşılan sunucularda en düşük öncelikle çalıştırılır. CPU throttle, I/O kuyruk gecikmesi, paylaşımlı cache miss — sayfa yükleme süreniz tipik bir $5/ay VPS'in 2-4 katı olabilir.
• SEO ceza riski: Yavaş sayfa = düşük Core Web Vitals = sıralama kaybı. Sayfa Hızı ve Core Web Vitals 2026 rehberinde anlattığımız üzere LCP > 4s olan siteler organik trafiğin yarısını kaybedebiliyor.
• İçerik kaybı riski: Yedekleme genellikle yok. Sağlayıcı kapanırsa, hesabınız ToS ihlali gerekçesiyle askıya alınırsa, sunucu çökerse — verileriniz gider.
• SSL / sertifika geçerlilik sorunları: Bazı ücretsiz sağlayıcıların kendi SSL'i tarayıcılarda "güvenli değil" uyarısı veriyor; Let's Encrypt entegrasyonu olmaması ciddi bir kırmızı bayraktır.
• E-posta gönderimi sorunu: Free hosting'de SMTP genellikle paylaşılan IP'den çıkar. Bu IP'ler büyük ihtimalle Gmail/Outlook spam listesindedir. wp_mail() ile şifre sıfırlama maili giden müşterileriniz e-postayı asla almaz.
• Migrasyon kilidi: WordPress.com gibi managed servislerden çıkış zor; full database export, plugin/tema verileri, kullanıcı meta'sı manuel taşınır.
• Hidden data mining: Bazı sağlayıcılar (özellikle adı duyulmamış olanlar) ücretsiz hesaplara <script> enjekte eder; bu script kullanıcı analitiği toplar veya affiliate link açar. Browser DevTools ile bunu mutlaka kontrol edin.
• Toplam sahip olma maliyeti: Yıl içinde ücretsizden ücretliye geçerken yapacağınız migrasyon emeği, baştan ucuz bir VPS'le başlamaktan birkaç saat daha pahalıdır.

Türkiye'deki Yerel Sağlayıcılar ve Ücretsiz Trial Seçenekleri

Türkiye'deki yerel hosting sağlayıcıları (Natro, Turhost, İsimTescil, GoDaddy Türkiye, Hostinger TR vb.) genellikle gerçek anlamda ücretsiz tier sunmaz; bunun yerine 30 günlük "para iade garantisi" pencerelerini ve düşük başlangıç fiyatlarını (₺19-39 / ay civarı entry plan) kullanıyorlar. Bu, gerçek anlamda "free" değildir; ama deneme amacıyla kullanışlı bir mekanizmadır.

• Kısa süreli kampanyalar: Bazı yerel sağlayıcılar yıl sonu / Black Friday'de 1 yıllık ücretsiz hosting ücretsiz .com domain'i ile bundle eder.
• Eğitim kurumu indirimleri: .edu ve .k12 uzantılı kurumsal e-postaya sahipseniz GitHub Student Pack veya Namecheap kampanyası gibi paketlerle yıllık ücretsiz hosting almak mümkün.
• Para iade garantisi: 30 gün riski sıfır. Beğenmezseniz iade ederek farklı sağlayıcı denersiniz; trial olarak kullanışlı.
• Yerel destek avantajı: Türkçe destek ekibi, Türkçe dökümantasyon, KDV faturası — yerel sağlayıcının asıl değer önerisi.

Eğer ciddi bir proje kurmak istiyor ama bütçeniz dar ise, hosting nedir ve türleri rehberindeki shared/VPS/managed karşılaştırma tabloları ile kendi senaryonuza en uygun planı seçebilirsiniz. Çoğu durumda ₺50-100/ay'lık bir entry shared plan, ücretsiz alternatifin çıkardığı dertlerden çok daha düşük bir maliyettir.

WordPress.com Free Plan İçin Çıkış Stratejisi (Migrasyon)

Subdomain'le başlayıp uzun vadede self-hosted WordPress'e taşımak yaygın bir yoldur. Doğru sırayı bilmek, SEO ekosisteminin kaybolmaması açısından kritik. Süreç tipik olarak 4 aşama:

• 1. Tam içerik export: WordPress.com admin → Tools → Export. WXR formatında XML dosyası alırsınız. Sadece content (post, sayfa, yorum, meta).
• 2. Yeni hosting + WordPress.org kurulumu: VPS, shared veya managed hosting fark etmez; WordPress 6.x kurun.
• 3. WXR import: Yeni site → Tools → Import → WordPress → WXR dosyasını yükle. Görseller WordPress.com CDN'inden otomatik indirilir (boyut limiti aşılırsa manuel uploads klasörü transferi gerekir).
• 4. Domain redirect: WordPress.com'da "Site Redirect" özelliği ücretli ($13/yıl) — kalıcı 301 redirect kurar. Custom domain bağlıysa DNS'i yeni hosting'e çevirin, eski subdomain'den 301 atın.

Ücretsiz WordPress'i Hızlandırmak: Cache, CDN ve Optimizasyon

Ücretsiz hosting'in en büyük zayıflığı performans. Ancak doğru cache + CDN kombinasyonu ile bu açığın büyük kısmı kapanabilir. Üç katmanlı yaklaşım kullanın: application cache (WordPress eklentisi), edge cache (Cloudflare), browser cache (HTTP headers).

• WP Super Cache veya W3 Total Cache: Ücretsiz, statik HTML cache üretir. Disk yazılı cache olduğu için PHP execute olmadan sayfa servis edilir.
• LiteSpeed Cache: Sağlayıcı LiteSpeed sunucu kullanıyorsa (örn. GoogieHost, A2, Hostinger) en iyi seçim — server-level cache. Detaylar LSCache rehberinde.
• Cloudflare Free: Static asset cache (görseller, CSS, JS) edge'den servis edilir; origin yükü %60-80 azalır. "Cache Everything" Page Rule ile HTML de edge cache edilebilir (e-ticaret/login dışı sayfalarda).
• Görsel optimizasyon: ShortPixel, Smush gibi pluginler JPEG/PNG'yi WebP'ye dönüştürür, %50 boyut azaltır.
• Lazy loading: WordPress 5.5+'tan beri native — loading="lazy" görsel attribute'u otomatik eklenir. Above-the-fold hero image için fetchpriority="high" manuel eklenmeli.

Cloudflare Page Rule ile Tam HTML Edge Cache

Bu kombinasyon ücretsiz bir hosting üstündeki WordPress'in TTFB'sini 1.2s'den 100-150ms'e indirebilir. Çoğu küçük blog için bu yeterlidir.

Güvenlik Tarafı: Free Hosting'de Hardening

Ücretsiz hosting'de güvenlik daha da kritik çünkü sağlayıcı genellikle WAF, DDoS koruması veya gelişmiş izleme sunmaz. WordPress'in en temel hardening prosedürlerini elle uygulamanız gerekir.

• wp-admin parolası 16+ karakter: 1Password, Bitwarden gibi parola yöneticisi kullanın. Brute force botları her gün milyonlarca tahmin yapar.
• 2FA aktive et: Wordfence, miniOrange, Two Factor plugin — TOTP (Google Authenticator) ile.
• wp-login.php yolunu değiştir: WPS Hide Login plugin ile /login veya /giris gibi özel URL'e taşıyın. Bot trafiği %95 düşer.
• XML-RPC kapat: xmlrpc.php brute-force amplifier olarak kullanılır. Disable XML-RPC plugin veya.htaccess kuralı.
• File editor kapat: define( 'DISALLOW_FILE_EDIT', true ); wp-config.php'ye ekle. Saldırgan paneli ele geçirse bile tema/plugin koduna erişemez.
• Plugin/tema güncellemeleri otomatik: Manual unutmak en yaygın güvenlik açığı.
• Limit Login Attempts Reloaded: 5 başarısız denemede IP banla.
• SSL/HTTPS zorunlu: HSTS header. Ücretsiz Let's Encrypt çoğu sağlayıcıda otomatik.
• Database tablo prefix değiştir: Default wp_ yerine wp_ax8z3_ gibi rastgele prefix. SQL injection vektörlerini azaltır.

OWASP'in WordPress hardening rehberi ek bir okuma kaynağı. Genel güvenlik için OWASP Top 10 2026 rehberimiz tüm web uygulamaları için temel referans.

Yedekleme: Ücretsiz Hosting'in #1 Eksiği

Ücretsiz hosting'in en sessiz tehlikesi yedek yokluğudur. Sağlayıcının altyapısı çökerse, hesabınız ToS ihlali ile askıya alınırsa veya şirket faaliyetini durdurursa, kendi yedeğiniz yoksa veriniz gider. Disiplinli bir yedekleme stratejisi şart.

• UpdraftPlus (Free): WordPress'in en popüler yedek eklentisi. Ücretsiz versiyon Google Drive, Dropbox, Amazon S3 (manuel API key ile) gibi remote depolara yedek atabilir. Haftalık tam yedek + günlük DB yedek tipik konfigürasyon.
• BackWPup (Free): UpdraftPlus alternatifi. Cron job tabanlı, scheduler güçlü.
• Manuel mysqldump + tar: SSH erişimi varsa en güvenilir yöntem. Cron job ile otomasyon.
• 3-2-1 kuralı: 3 kopya, 2 farklı medya, 1 offsite. Ücretsiz hosting + Google Drive + yerel disk = standart.

Bu script kendi VPS'iniz varsa çalışır. Tipik shared free hosting'te SSH/cron erişimi olmadığından UpdraftPlus tercih edin.

Custom Domain Bağlamak

Çoğu ücretsiz sağlayıcı (InfinityFree, AwardSpace, GoogieHost) siteadi.uzanti şeklindeki kendi domain'inizi bağlamayı destekler — yalnız parking nameserver'larını kullanmanızı isterler. Ücretsiz domain'in (Freenom 2024'te kapandı) yerine ucuz registrar'lardan ($1-3/yıl .xyz, .top, .online) domain alıp bağlamak en yaygın yoldur.

Cloudflare ücretsiz katmanı, ücretsiz hosting'in performans ve güvenlik açıklarını tek başına büyük ölçüde kapatır. Mutlaka kullanın.

E-posta Gönderimi: SMTP Tuzağı

WordPress'in wp_mail() fonksiyonu varsayılan olarak PHP'nin mail() fonksiyonunu kullanır; bu da hosting sunucusunun paylaşılan IP'sinden e-posta gönderir. Free hosting IP'leri büyük ihtimalle Spamhaus, Barracuda, SpamCop listelerinde işaretlidir. Sonuç: şifre sıfırlama e-postaları, müşteri sipariş onayları, abonelik bildirimleri — hiçbiri ulaşmaz.

Çözüm: bir transactional e-posta servisi entegre etmek. Tüm büyük servisler ücretsiz tier sunar:

• Brevo (eski Sendinblue): Aylık 9,000 e-posta ücretsiz. SMTP credentials veriyor.
• Mailgun: İlk 3 ay 5,000 e-posta/ay, sonra 1,000/ay free.
• Amazon SES: $0.10 / 1,000 e-posta — pratikte ücretsiz sayılır.
• SendGrid: 100 e-posta/gün ücretsiz.
• Postmark: 100 e-posta/ay ücretsiz; deliverability'de pazar liderlerinden.

Bu konfigürasyonla deliverability problemi çözülür. WP Mail SMTP plugin'i (free version) GUI tarafında aynı işi yapar.

Gerçek Performans Ölçümü: Ücretsiz vs Ücretli

Ücretsiz hosting'in performans cezasının somut rakamlarına bakalım. Aşağıdaki ölçümler 2026 başında yapılan testlerden — değerler kesin değil, mertebe gösteriyor:

• InfinityFree (boş WP): TTFB 800-1500ms, Lighthouse Performance 45-65, LCP 4-6s.
• InfinityFree + Cloudflare + WP Super Cache: TTFB 80-200ms (cache hit), Lighthouse 75-85, LCP 1.5-2.5s.
• WordPress.com Free: TTFB 200-400ms (kendi CDN'i), Lighthouse 70-85, LCP 2-3s.
• Oracle Always Free VM (Nginx + PHP-FPM + opcache): TTFB 60-100ms, Lighthouse 90-95, LCP 1-1.8s.
• $5/ay shared hosting (Hostinger entry): TTFB 100-250ms, Lighthouse 80-90, LCP 1.5-2.5s.
• $10/ay managed WordPress (Pressable, Kinsta): TTFB 50-150ms, Lighthouse 92-98, LCP 0.8-1.5s.

Net bulgular: Oracle Free Tier doğru kurulduğunda profesyonel hosting performansını yakalar — ama sysadmin emeği gerektirir. InfinityFree + Cloudflare kombinasyonu küçük blog için yeterli; sıfır setup ile WordPress.com Free de elverişli. Ciddi proje istiyorsanız aylık $5-10'luk shared veya managed hosting hem performans hem stabilite olarak önemli sıçrama sağlar.

Ne Zaman Ücretliye Geçmek Gerekir? (Karar Matrisi)

Bir kontrol listesi: aşağıdaki maddelerden 2-3 tanesi sizin için "evet"e dönüyorsa, ücretsiz hosting'i terk etme zamanıdır.

• Aylık 10K+ ziyaretçi alıyorsunuz.
• Site geliriniz var (AdSense, affiliate, ürün satışı).
• Custom domain ile uzun vadeli marka kuruyorsunuz.
• WooCommerce gibi ağır plugin kuracaksınız.
• Yedekleme ve recovery için SLA (servis seviye anlaşması) gerekiyor.
• Müşteri verisi tutuyorsunuz (KVKK / GDPR sorumluluğu).
• Sayfa hızı ve SEO sıralaması iş modelinizin parçası.
• Geliştirme + staging ortamı gerekli.
• E-posta deliverability kritik (üyelik, bildirim, makbuz).
• Çoklu kullanıcı / ekip yönetimi var (editör, yazar).

Bu liste %30+ "evet" alırsa, ücretsizden ücretliye geçişin maliyeti (ayda ₺50-200) işin gerektirdiği güvencenin yanında ihmal edilebilir. Hiçbir madde yok ise ücretsiz devam edebilirsiniz; "sadece denemek" senaryosunda da ücretsiz tercih edilir.

Sıfır Maliyetli, Anti-Lock-in Bir Setup Önerisi

Eğer gerçek anlamda sürdürülebilir, taşınabilir, güvenli bir ücretsiz WordPress kurmak istiyorsanız önerimiz şu yığındır:

• Domain: Ucuz registrar'dan (₺50-150/yıl) .com veya .net domain.
• Hosting: Oracle Cloud Always Free ARM VM (ücretsiz) veya InfinityFree + Cloudflare kombinasyonu (sıfır maliyet).
• SSL: Let's Encrypt (Certbot otomatik yenileme).
• CDN: Cloudflare Free.
• Cache: WP Super Cache (Apache) veya Nginx fastcgi_cache.
• SMTP relay: Brevo Free (9K e-posta/ay).
• Backup: UpdraftPlus + Google Drive + haftalık offsite Backblaze B2.
• Monitoring: UptimeRobot Free (50 monitor, 5 dakika aralık).
• DNS analytics: Cloudflare Analytics + Plausible self-hosted (aynı VM'de).
• Security: Wordfence Free + 2FA + WPS Hide Login + Limit Login Attempts.

Bu yığın aylık 5-20K ziyaretçili bir kişisel blog veya portfolyo için fazlasıyla yeterli, profesyonel görünür ve esas önemlisi: vendor lock-in olmadığı için tek bir tıkla başka sağlayıcıya taşınabilir. Sıfır maliyetli setup'ın da olabilecek en sağlamı.

Yaygın Hatalar

• Yedek almamak: "Sağlayıcı hallediyordur" varsayımı. Hayır, etmiyor.
• SMTP yapılandırmamak: Şifre reset maili gelmediğinde panik.
• Eklenti seçimini umursamamak: "Kötü" eklenti tek başına 500ms gecikme yaratır. Sadece ihtiyaç duyulan eklentiyi yükle.
• Tema seçimini fiyata göre yapmak: Free temada genellikle bloated kod, encrypted footer, gizli yönlendirmeler olabilir. WordPress.org dizininden onaylı tema seç.
• WordPress'i güncel tutmamak: Çoğu hack saldırısı, üç sürüm geride kalan WordPress'i hedefler. Auto-update aç.
• Admin kullanıcı adının "admin" olması: Brute force botlarının ilk denemesi. Mutlaka değiştir.
• HTTPS'i ihmal etmek: Modern Chrome HTTP siteyi "Not Secure" işaretler. Conversion'u öldürür.
• cPanel parolasıyla WordPress admin parolasının aynı olması: Bir sızdırılırsa diğeri de gider.
• Localhost'tan production'a doğrudan dosya kopyalama: wp-config.php'deki localhost ayarları production'da çakışır. wp-cli ile config update şart.
• Test sırasında WP_DEBUG = true bırakmak: Hata loglarına SQL parolası dahil her şey düşer.

Sıkça Sorulan Sorular

Ücretsiz WordPress hosting gerçekten %100 ücretsiz mi?

İki anlamda "ücretsiz" var: parasal ücretsiz (InfinityFree, WordPress.com Free) ve kotalı ücretsiz (Oracle Always Free, Wasmer Hobby). İkincisinde kotayı aşmanız anında faturalandırma demektir; kredi kartı sağlamış olduğunuz için "sürpriz fatura" riski var. Birincisinde para alınmaz ama kaynak limitleri sıkı uygulanır.

Free hosting'de WooCommerce çalışır mı?

Teknik olarak çalışır ama önerilmez. WooCommerce minimum 1-2 GB RAM, hızlı disk I/O ve cron job güvenilirliği ister. Ücretsiz shared hosting'de checkout sayfası 5-10 saniye gecikmeyle açılırsa abandoned cart oranı katlanır. WooCommerce için en az ₺100-200/ay hosting bütçesi ayırın.

WordPress.com'dan WordPress.org'a geçiş zor mu?

Orta seviye. İçerik export etmek (WXR) kolay ama görsellerin uploads klasörüne otomatik inmesi her zaman mükemmel olmaz. Plugin ve tema verisi taşınmaz — yeni site sıfırdan kurulur. Domain redirect için WordPress.com'da "Site Redirect" upgrade'i ($13/yıl) almanız gerekir.

Birden fazla site tek ücretsiz hesapta açabilir miyim?

Çoğu sağlayıcıda hayır. AwardSpace 1 ana domain + 3 subdomain'e izin verir; InfinityFree birden fazla addon domain destekler ama her hesap CPU/inode limitini kendi içinde yer. Multisite (WP Network) ücretsiz hosting'te genellikle çalışır ama yönetim panelinden kapanmış olabilir.

Reklam göstermem ToS'i ihlal eder mi?

Sağlayıcıya göre değişir. WordPress.com Free planında AdSense yasaktır (kendi WordAds'leri çalıştırılır). InfinityFree gibi shared free hosting'de site içeriği telif/yasalara uygun olduğu sürece AdSense problem değil; ancak "warez", proxy, file sharing içerikleri ToS ihlalidir ve hesap askıya alınır.

Free hosting'te HTTPS otomatik geliyor mu?

Çoğu modern sağlayıcıda evet (Let's Encrypt entegrasyonu). InfinityFree, GoogieHost, AwardSpace bunu otomatikleştirir. Çok eski / küçük sağlayıcılar manuel sertifika upload isteyebilir veya hiç sunmayabilir — bu durumda Cloudflare'in "Flexible SSL" modu ile origin HTTP olsa bile kullanıcıya HTTPS gösterirsiniz.

Sınırsız bant genişliği gerçek mi?

Hayır. "Unlimited bandwidth" pazarlama dilidir; arka planda her sağlayıcının adil kullanım politikası vardır. Tipik sınır: günlük CPU saniye limiti, dakikalık istek limiti, eşzamanlı bağlantı limiti. Trafik artarsa 503 alırsınız.

Kaynaklar ve İleri Okuma

• WordPress.org — Hosting Requirements
• WordPress.org — Recommended Hosting
• Make WordPress — Hosting Team Handbook
• wp-cli.org — komut satırı WordPress yönetimi
• WordPress Developer Handbook
• Cloudflare Learning Center — CDN Temelleri
• Let's Encrypt — Getting Started
• Oracle Cloud Always Free dokümantasyonu
• web.dev — Core Web Vitals optimizasyonu
• OWASP Top 10

İlgili Yazılar

• Hosting Nedir? Web Hosting Türleri ve Fiyatları — temel hosting kavramları
• VPS Nedir? VPS ile VDS Farkı — kendi VPS kurulumu
• LSCache (LiteSpeed Cache) Rehberi — performans
• Let's Encrypt ile Ücretsiz SSL — HTTPS
• cPanel ile Web Sitesi Yönetimi — panel kullanımı
• WordPress SEO Plugin Önerileri — Yoast/RankMath
• Sayfa Hızı ve Core Web Vitals 2026 — performans metrikleri
• Site Optimizasyonu Nasıl Yapılır? — uçtan uca
• OWASP Top 10 2026 — güvenlik
• Nginx Yapılandırma Rehberi — web sunucu
• DNS Sorgulama Aracı
• SSL Sertifika Kontrol Aracı