WordPress ve Arka Kapı Kodları

Zaman zaman, kullanıcıların saldırıya uğramış WordPress sitelerini düzeltmelerine yardımcı olduk. Bize ulaştıklarında çoğu zaman, zaten siteyi temizlemişlerdi ancak bilgisayar korsanı tekrar içeri girebilmişti. Bulduğumuz çoğu durumda, bilgisayar korsanının normal kimlik doğrulamasını atlamasına izin veren bir arka kapısı vardı.

Bir arka kapı nedir?

Arka kapı, normal kimlik doğrulamayı atlamanın ve tespit edilmeden sunucuya uzaktan erişme yeteneğini kazanmanın bir yöntemine atıftır. Çoğu akıllı bilgisayar korsanı her zaman arka kapıyı ilk şey olarak yükler. Bu, sömürülen eklentiyi bulup çıkardıktan sonra bile erişimi yeniden kazanmalarını sağlar. Arka kapılar sıklıkla güncellemelerden kurtulur, bu nedenle siteniz bu pisliği temizleyene kadar savunmasız kalır. Bazı arka kapılar, gizli yönetici kullanıcı adı oluşturmasına izin verir. Oysaki daha karmaşık arka kapılar hackerın tarayıcıdan gönderilen herhangi bir PHP kodunu çalıştırmasına izin verebilir. Diğerleri, sunucunuz olarak e-posta göndermelerine, SQL sorgularını çalıştırmalarına ve yapmak istedikleri her şeyi yapmalarına olanak tanıyan eksiksiz bir UI’ye sahiptir.

Bu Kod Nerede Gizlenir?

WordPress kurulumundaki arka kapılar en sık aşağıdaki konumlarda saklanır.

Temalar – Büyük olasılıkla kullandığınız geçerli temada değildir. Hackerlar kodun çekirdek güncellemelerden kurtulmasını ister. Öyleyse temalar dizininizde oturan eski Kubrick teması ya da etkin olmayan bir temanız varsa, kodlar muhtemelen orada olacaktır. Bu yüzden tüm etkin olmayan temaları silmenizi öneririz.

Eklentiler – Eklentiler, hackerın kodu üç nedenden dolayı gizlemesi için harika bir yerdir. Birincisi, insanlar gerçekten onlara bakmıyor. İkincisi, insanlar eklentilerini yükseltmeyi sevmediklerinden, yükseltmelerden kurtulacaklar. Üç, muhtemelen başlangıçta kendi güvenlik açıklarına sahip bazı kodları yanlış kodlanmış eklentiler var.

Uploads Dizini – Bir blogger olarak, yüklenen dizini asla kontrol etmiyorsunuz. Neden kontrol edesin ki? Siz sadece resmi yükleyin ve yayınınızda kullanın. Büyük olasılıkla, yükleme klasöründe yıllara ve aya göre bölünmüş binlerce görüntünüz var. Hackerın yüklenenler klasörüne arka kapı yüklemesi çok kolaydır çünkü binlerce medya dosyası arasında gizlenecektir, artı düzenli olarak kontrol etmiyorsun. Çoğu insan Sucuri gibi bir izleme eklentisine sahip değildir. Son olarak, uploads dizini yazılabilir, bu yüzden olması gerektiği gibi çalışabilir. Bu harika bir hedef yapar.

wp-config.php – Bu, bilgisayar korsanları tarafından çok iyi hedeflenen dosyalardan biridir. Aynı zamanda çoğu insanın bakması gereken ilk yerlerden biri.

Ayrıca wp-content.old.tmp, data.php, php5.php gibi isimler veya bu tür bir şey kullanabilir ancak PHP ile bitmesi gerekmez, bir .zip dosyası bile olabilir. Çoğu durumda, bu dosyalar genellikle tüm işlemlerini gerçekleştiren base64 koduyla kodlanır.

Arka Kapıyı Bulma ve Temizleme

Artık arka kapının ne olduğunu ve nerede bulunabileceğini biliyorsunuz. Temizlemek dosyayı veya kodu silmek kadar kolaydır, ancak, zor kısım onu ​​bulmaktır. Bu işi kolaylaştırmak için Sucuri yada Exploit Scanner kullanabilirsiniz. Eklentilerin geliştiricisi değilseniz, binlerce kod satırında hangi kodun kullanıldığını bilmek sizin için gerçekten zor. Yapabileceğiniz en iyi şey, eklentiler dizininizi silmek ve eklentilerinizi sıfırdan yeniden yüklemektir. Evet, harcayacak çok zamanınız varsa, emin olmanızın tek yolu budur.

Tarayıcı eklentilerinden biri yüklenenler klasöründe sahte bir dosya bulacaktır. Bir .php dosyasının yükleme klasörünüzde olmasının iyi bir nedeni yoktur. Klasör, çoğu durumda medya dosyaları için tasarlanmıştır. İçeride bir .php dosyası varsa, gitmesi gerekir.

Yukarıda belirttiğimiz gibi, genellikle etkin olmayan temalar hedeflenir. Yapılacak en iyi şey onları silmek .

Bazen yönlendirme kodları .htaccess dosyasına eklenmektedir. Sadece dosyayı silin ve o kendini yeniden yaratır. Olmazsa, WordPress yönetici panelinize gidip Ayarlar »Kalıcı bağlantılar sayfasında kaydet düğmesine tıklayın.

wp.config.php dosyasını varsayılan wp-config-sample.php dosyasıyla karşılaştırın. Yerinde olmayan bir şey görürseniz, ondan kurtulun.

Exploits ve SPAM için Veri Tabanı Taraması

Akıllı bir bilgisayar korsanı asla tek bir güvenli noktaya sahip olmaz, çok sayıda yaratırlar. Veri dolu bir veritabanını hedeflemek çok kolaydır. Kötü PHP işlevlerini, yeni yönetim hesaplarını, SPAM bağlantılarını vb. veritabanında saklayabilirler.

Site Footer