Siteniz Sürekli Hackleniyor mu?

Ne kadar güncelleme yapsanız, dosyaları temizleseniz bile siteniz sürekli hackleniyor mu? Muhtemelen sitenizde bulunan bir arka kapı var. Bu yazıda, arka kapı kullanımlarının ne olduğuna, eklentiler yardımıyla nasıl kurtulabileceğinizi, sitenizin neden saldırıya uğradığını ve bir daha olmaması için nasıl güvence altına alacağınızı inceleyeceğiz.

Bir Arka Kapı Açığı Nedir?

Siteniz hacklendiğinde bilgisayar korsanı, sitenize ve yönetici paneline istedikleri zaman erişmek için kendi yollarını ekler, buna arka kapıdan yararlanma denir. Buradaki anahtar, korsanların giriş sayfasından giriş yapmadan sitenize girebilmesidir.

Sitenizi bir ev olarak düşündüğünüzde anlamak daha kolaydır. Davet ettiğiniz herkes, sitenizin giriş sayfası gibi, ön kapıdan girebilir. Ancak bir davetsiz misafir evinizin arkasındaki bir kapıyı kesip, derme çatma kapı için kendi anahtarını yarattığında, siz bile bilmeden bu arka kapıdan evinize girebilirler.

Benzer şekilde, bir bilgisayar korsanı anahtar işlevi gören bir komut dosyası oluşturabilir. Sitenize kendi arka kapılarını oluşturarak enjekte ederler, böylece istedikleri zaman erişebilirler.

Düzenli kullanıcıların – sizin gibi site yöneticileriyle birlikte – sitenize giriş sayfasından erişmeleri gerekirken, bilgisayar korsanının ihtiyacı olmayacak ve bu, neredeyse hiç belirlenmeden her şeye erişebilmelerini sağlayacaktır.

Bir bilgisayar korsanı, sitenize sistematik olarak ulaşmak için oluşturdukları bir programı kullanabilir, daha sonra genellikle birkaç şey yapabilir:

  • WordPress sitenize bir dosya yükleme veya oluşturma
  • Genellikle hesabınıza girerek, kendilerini gizli bir yönetici olarak ekleme
  • Tarayıcı aracılığıyla gönderdikleri PHP kodunu yürütme
  • Spam amaçlı kişisel bilgi toplama
  • Sitenizdeki herhangi bir şeyi, genellikle spam amacıyla, kendi amaçları için değiştirme
  • Sitenizden spam e-postalar göndererek siz göndermişsiniz gibi gösterme

Bir dosya eklendiği zaman, genellikle WordPress çekirdeğinin bir parçası olan meşru bir dosya gibi görünmesi için adlandırılır. Dosyayı sunrise.php, php5.php, users-wp.php, wp-config.zip veya benzer bir şekilde adlandırılmış olabilir. Dosyanın normal görünmesini sağlayarak, sitenize tespit edilmeden sızmaya devam edebilirler.

Tipik olarak, bilgisayar korsanları arka kapı dosyasını wp-include ve wp-content klasörlerine, eklentilerine veya uploads klasörlerine ekler, ancak wp-config.php dosyanızı da değiştirebilirler.



Hacker’lar Sitenize Nasıl Giriyor?

WordPress Core

WordPress’in kendisi güvenlidir, ancak bir hacker’ın sitenize hala girebilmesi için bazı yollar vardır. Bunun nedeni, WordPress çekirdeğindeki iyileştirmelerin düzenli olarak yapılmasıdır, ancak bazen bu ayarlamalar öngörülemeyen güvenlik açıklarına sahiptir.

Bu güvenlik açıkları bir filmdeki hatalar gibi davranır. Çoğu izleyici muhtemelen filmden zevk aldıklarını fark etmeyeceklerdir, ancak diğer zeki insanlar görecektir.

Bazen WordPress’in yeni bir sürümü, üzerinde güvenlik açıkları ile herkese sunulur. Bu açıklar WordPress güvenlik ekibi tarafından bulunup hızlıca kapatılsada yinede hacker’lar bu açıklardan faydalanarak girebilirler.

Güvenlik sorunları bulunabilse de bu, WordPress’in güvenli olmadığı anlamına gelmez. Güncel tutarsanız, bilinen güvenlik açıklarını içermediğinden emin olabilirsiniz.

WordPress sitenizi düzenli olarak güncellemezseniz, güvenlik düzeltmeleri uygulanmaz ve siteniz de kullanmakta olduğunuz WordPress sürümüyle aynı güvenlik açıklarına sahip olur. Bir hacker daha sonra sitenize girmek için güvenlik boşluğunu kullanabilir.

Eklentiler ve Temalar

Bu aynı zamanda eklentiler ve temalar için de geçerlidir. Bazen, güvenlik açıklarını da içerirler ve bunları düzenli olarak güncellemezseniz, hatalar kapatılmaz ve bir bilgisayar korsanı onları yetkisiz bir giriş elde etmek için kullanabilir.

Hepsi bağımsız geliştiriciler veya şirketler tarafından yaratıldığından, tüm temalar ve eklentiler eşit değildir. Bir eklenti ya da temanın resmi WordPress dizinleri üzerinden halka açık olması için geçmesi gereken bir tarama süreci olsa da, bir bilgisayar korsanı olaydan sonra kendilerine kötü amaçlı komut dosyaları enjekte edebilir ve tüm kullanıcılara ulaştırabilir.

Bazı eklentiler veya temalar, düzgün kodlanmış olmadan piyasaya sürülebilir. Tarama süreci, bir başvurunun kabul edilmek için geçmesi gereken en iyi uygulamaların bir listesini içermesine rağmen, asgari bir gerekliliktir ve sunulan eklentilerin ve temaların tüm beklentileri aşması şiddetle tavsiye edilir.

Eklentilerin korunmasız olabileceğini düşünmek korkutucu olabilir, ancak çoğu güvenlidir. Bu nedenle, yalnızca güvendiğiniz ve genel olarak iyi bir üne sahip olan geliştiricilerin ve şirketlerin eklentilerini ve temalarını indirip kullanmak inanılmaz derecede önemlidir.

Çoğu geliştirici, eklentileri ve temaları gönüllü olarak sunar ve düzenli bakıma dikkat etmek, yalnızca günlük işlerinden sonra boş zamanlarında karşılayabilecekleri bir şeydir. Bu, bir güvenlik açığı bir süre kapatılmadan devam edebileceği anlamına gelir.

Hız ve Güvenlik İhtiyacı

Eklentilerinizi, temalarınızı ve sitenizi tamamen güncel tutmak önemlidir, ancak bunu istediğiniz zaman yapmanız yeterli değildir. Bir güncelleme mevcut olur olmaz, mümkün olan en kısa sürede yükseltme yapmanız gerekir. Bunu yapmak için ne kadar beklerseniz, bir bilgisayar korsanı sitenizi savunmasız olarak keşfeder ve saldırır.

Tüm sitenizi güncel tutmak çok önemli olsa da, almanız gereken tek güvenlik önlemi bu değil. Sitenizin güvenliğini artırmak, önemli bir adımdır. Bu, sitenizin güvenli kalmasını sağlamak için ek güvenlik önlemleri almak anlamına gelir. Defender, iThemes Security, WordFence gibi bir güvenlik eklentisi kurmayı, sitenizde manuel değişiklikler yapmayı ve  güçlü şifreler kullanmayı içerebilir.

Sitenizin güvenliğini güçlendirmezseniz, özellikle “şifre”, “wordpress123” veya “adminpass” gibi kolayca tahmin edilebilecek şifreleri kullanıyorsanız, sitenizi bilgisayar korsanlarının kolayca izleyebilmesi için açık bırakabilirsiniz. Bunun gibi güvensiz bir şifre kullanmak evinizin kapı koluna bir anahtar bırakmakla aynı olacaktır.

Güvenlikle ilgili en iyi uygulamaları takip etmemek veya sitenizi korumayı ihmal etmek, eklentileri ve temaları güncellememek, sonuçta sitenizde bir arka kapı kullanılmasına neden olabilir.



Kötü Amaçlı Dosyaları Algılama ve Silme

Duyurulara Göz Atma

Öncelikle ve en önemlisi, WordPress çekirdeğindeki son güvenlik açıklarının, eklentilerin veya temaların geliştiricilerin kendilerinden veya WordFence ve Sucuri sitelerinde olanlar gibi güvenlik bloglarından gelen duyurular bulmaya çalışın.

Sizinle ilgili olabilecek bir güvenlik açığı hakkında bilgi görürseniz, araştırın ve bir çözüm olup olmadığını görün.

Siteniz Hacklenmiş Görünüyormu?

Hiçbir şey bulamazsanız, önbelleğinizi ve çerezlerinizi temizlemeyi, ardından sitenizi ziyaret etmeyi deneyin. Dilerseniz farklı bir tarayıcı kullanabilir veya Chrome’da gizli bir sekme açabilirsiniz.

Siteye devam etmenin güvenli olmadığını bildiren bir mesaj varsa, bu ilk ipucunuzdur. Sitenizi ziyaret ederken güvenli olmadığını söyleyen bir mesaj görürseniz, saldırıya uğramış olabilirsiniz. Bu, SSL sertifikanızın düzgün çalışmaması durumunda olabilir. Tarayıcınızın adres çubuğundaki URL’nin yanında sarı veya kırmızı bir asma kilit görüyorsanız, belirli bir hata iletisini görmek için tıklayın.

Sertifikanızın süresi dolmuş veya geçersizse, SSL sertifikanızla düzeltilebilecek bir sorun olabilir.

Sertifikanın güvenilir olmadığını veya SSL şifrelemesinin kurulu olmadığını bildiren bir hata mesajı görürseniz, saldırıya uğramış olabilirsiniz. Araştırmanızdaki bir sonraki adım sitenize bakmaya çalışmak ve yorumlarınızda, özellikle de yazılarınızda veya sayfalarınızda herhangi bir spam olup olmadığını görmek olmalıdır.

Ayrıca yayınlarınızdan birini ziyaret etmeyi deneyin ve bağlantıyı kopyalayın. Facebook’u açın ve bağlantıyı durum satırına yapıştırın. Bağlantıyı yayınlamak yerine, site önizlemesinin yüklenmesini bekleyin. Açıklama spam gibi görünüyorsa, bir hacker sitenizin başlık koduna yerleştirmiştir.

Gizli Kullanıcılarını Denetleme

Sitenizin her yerinde spam bulsanız bile, dedektiflik çalışmalarınız henüz bitmedi. Yönetici panelinizde Kullanıcılar> Tüm Kullanıcılar’a gidin.

Sayfanın en üstünde, sahip olmanız gereken toplam yönetici veya süper yönetici kullanıcı sayısına bakın, ardından listeden arayın.

Tüm süper yöneticileriniz listede yoksa, bir arka kapı açılışı vardır. Listede bulunmayan en az bir ekstra yönetici hesabı varsa, bir arka kapınız var demektir.

Ayrıca, üstte görüntülenen toplam kullanıcı sayısını da listedeki tüm kullanıcılarla kontrol ettiğinizden emin olun. Hacker, şüphe uyandırmamak için farklı bir kullanıcı rolüne sahip bir hesap oluşturmuş olabilir. Bu durumda bile, arka kapı hala her şeye erişebilmelerini sağlayabilir.

Dosyaları İnceleyin

Kontrol etmeniz gereken son bir yer var ve o da sitenizin dosyalarında.

Bütün dosyalarınızı indirip ve WordPress dosyalarına karşı kontrol edin. Olmaması gereken bir şey görürseniz, dosyanın içeriğini görüntüleyin.

Dosyadaki kodu görüntüleyin. WordPress’e tanıdık gelmeyen bir komut dosyası görürseniz, muhtemelen bir arka kapı bulmuşsunuzdur.

eval($_POST['hacker-key']);

veya

eval(base64_decode(""));

benzeri kodlar görüyorsanız bunlar, saldırıya uğramış bir sitenin ve arka kapının belirtileri olabilir. Bu tür kodlar, bir hacker’ın sitenize komut dosyası eklemesine izin verir.

Arka kapı dosyasını silin ve buna benzer başka bir şey arayın. Bilgisayar korsanları çoğu zaman normal dosyalarınızın arasına yerleştirir, böylece bir tanesini kaçırmanız ve daha sonra kullanması için bırakmanız için daha fazla şansı vardır.


Eklentiler ile Hızlı Temizlik Çalışması

Sitenizi bir bilgisayar korsanının izlerini aramak için bir eklenti kullanmak, en iyi ve en kolay seçenektir. Sitenizi otomatik olarak aramak ve değişiklikleri bildirmek için seçebileceğiniz mükemmel eklentiler vardır. Eklenti hack ilgili bir şey tespit ederse, size bildirir ve hatta sizin için düzeltmeyi teklif eder.

Bu ücretsiz ve premium eklentiler, WordPress’in hem tekli hem de Multisite kurulumlarında harika çalışmaktadır. Ayrıca, sitenin güvenli kalmasını sağlamak için sık sık güncellenir.

Site Footer