TECHNEIRO

TECHNEIRO
Siber Güvenlik

WordPress Sitenizde “Görünmez” Tehlike: Hackerlar, “mu-plugins” ile Gizli Arka Kapılar Açıyor!

ibrahim0

WordPress Sitenizde “Görünmez” Tehlike: Hackerlar, “mu-plugins” ile Gizli Arka Kapılar Açıyor!

Milyonlarca web sitesine güç veren WordPress, siber suçluların her zaman hedefinde olmuştur. Güvenlik firması Sucuri‘deki araştırmacılar, saldırganlar tarafından kullanılan yeni ve son derece sinsi bir yöntemi ortaya çıkardı. Hackerlar, WordPress’in “mu-plugins” (must-use plugins / kullanılması zorunlu eklentiler) dizinini istismar ederek, sitelerde tespit edilmesi çok zor olan gizli arka kapılar (backdoors) oluşturuyor ve bu sayede sunucular üzerinde kalıcı bir kontrol sağlıyor.

Bu tekniği bu kadar tehlikeli kılan şey, “mu-plugins”in doğası gereği, standart bir WordPress yönetici panelinde görünmez olmasıdır.

Sorun Nedir? “Kullanılması Zorunlu Eklentiler” (mu-plugins)

Bu saldırıyı anlamak için önce “mu-plugins”in ne olduğunu bilmek gerekir.

  • mu-plugins, WordPress kurulumunda otomatik olarak etkinleştirilen özel eklentilerdir ve wp-content/mu-plugins dizininde bulunurlar.
  • Onları saldırganlar için bu kadar çekici kılan şey ise, WordPress yönetici panelindeki standart Eklentiler sayfasında listelenmemeleri ve panel üzerinden devre dışı bırakılamamalarıdır. Bir mu-plugin’i kaldırmanın tek yolu, dosyayı doğrudan sunucudan silmektir.

Bu “görünmezlik” özelliği, bu yöntemi kullanan bir zararlı yazılımın, site sahibinin haberi olmadan aylarca sessizce çalışmasına olanak tanır.

Saldırı Zinciri: Adım Adım Sızma

Sucuri tarafından tespit edilen enfeksiyonda, saldırı zinciri şu şekilde işliyor:

  1. İlk Yükleyici: Saldırganlar, wp-content/mu-plugins dizinine wp-index.php adında zararlı bir PHP betiği yerleştiriyor. Bu betik, bir yükleyici (loader) görevi görüyor.
  2. İkinci Aşama Yükü: Bu yükleyici, ROT13 adı verilen basit bir şifreleme yöntemiyle gizlenmiş bir URL’den ikinci aşama zararlı kodu çekiyor.
  3. Veritabanına Gizlenme: Çekilen bu asıl zararlı kod, WordPress veritabanındaki wp_options tablosuna _hdra_core adıyla kaydediliyor. Bu, kodun dosya sisteminden silinse bile veritabanında kalmasını sağlar.
  4. Tam Kontrol: Bu arka kapı aktif hale geldiğinde, saldırgana site üzerinde tam kontrol sağlıyor.

Zararlı Yazılımın Yetenekleri Neler?

Bu arka kapı aktif olduğunda, saldırganlar site üzerinde istedikleri her şeyi yapabilirler:

  • Gizli Dosya Yöneticisi: Tema dizinine pricing-table-3.php adıyla gizli bir dosya yöneticisi enjekte ederek, sunucudaki dosyalara göz atma, yeni dosyalar yükleme veya mevcut dosyaları silme yetkisi kazanırlar.
  • Yeni Yönetici Kullanıcısı Oluşturma: Sitede “officialwp” adında yeni bir yönetici (administrator) kullanıcısı oluştururlar.
  • Zararlı Eklenti Yükleme: wp-bot-protect.php adında kötü amaçlı bir eklentiyi indirip etkinleştirirler.
  • Şifre Değiştirme ve Kilitleme: En tehlikeli yeteneklerinden biri de, “admin”, “root”, “wpsupport” gibi yaygın yönetici kullanıcı adlarının ve hatta kendi oluşturdukları “officialwp” kullanıcısının şifresini, kendi belirledikleri bir varsayılan şifreyle değiştirmesidir. Bu sayede, meşru site yöneticilerini kendi sitelerinden dışarı kilitleyebilirler.

Bu tam kontrolle birlikte saldırganlar, veri hırsızlığından, site ziyaretçilerine zararlı yazılım sunan kodlar enjekte etmeye veya onları dolandırıcı sitelere yönlendirmeye kadar her türlü kötü amaçlı eylemi gerçekleştirebilirler.

Nasıl Korunulur? Site Sahipleri İçin Önlemler

Bu tür gizli tehditlere karşı sitenizi korumak için proaktif olmanız gerekir:

  • Her Şeyi Güncel Tutun: WordPress çekirdeğini, tüm temalarınızı ve eklentilerinizi periyodik olarak en son sürüme güncelleyin.
  • Güçlü Şifreler ve 2FA Kullanın: Yönetici hesaplarınızı karmaşık şifreler ve iki faktörlü kimlik doğrulama (2FA) ile koruyun.
  • Düzenli Denetim Yapın: Sitenizin tüm bölümlerini, özellikle de tema ve eklenti dosyalarını düzenli olarak denetleyin. Özellikle wp-content/mu-plugins dizininde, sizin oraya koymadığınız şüpheli bir dosya olup olmadığını kontrol edin.

Bu yeni saldırı yöntemi, WordPress güvenliğinin sadece yönetici paneline bakmakla sınırlı olmadığını ve sunucu dosya sistemini de düzenli olarak kontrol etmenin ne kadar hayati olduğunu gösteriyor.

Siz WordPress sitenizin güvenliği için ne gibi önlemler alıyorsunuz? Hiç sitenizde şüpheli bir dosyayla karşılaştınız mı? Deneyimlerinizi yorumlarda bizimle paylaşın!

WordPress güvenliği ve en son siber tehditler hakkındaki en son haberler için techneiro.com‘u takip etmeye devam edin!

İlgili Gönderiler

VPN Bile Kurtaramaz: Tarayıcınız Konumunuzu Sızdırıyor!

ibrahim

LinkedIn’den ‘BrowserGate’ Skandalı: Gizli Eklenti Taraması

ibrahim

Düşündüğünüzden Daha Fazla Veri Toplayan 5 Popüler Uygulama

ibrahim

Bir Yorum Bırakın

Bir sonraki yorumumda kullanılmak üzere adımın, e-posta adresimin ve internet sitemin bu tarayıcıda kaydedilmesini sağla.