Wordpress oldukça güvenliksiz bir CMS sistemi diyebilirim. Bitmek bilmeyen çekirdek açıkları özellikle milyonlarca indirmeye sahip eklentilerde oluşan güvenlik açıkları her geçen gün büyüyor. Gelişen teknoloji ve yapay zeka ile sektörün en iyi güvenlik yazılımları devre dışı bırakılabiliyor. Evet yanlış duymadınız güvenlik yazılımları artık kendilerini koruyamıyor!
2021-2022 yılı arasında aldığım çoğu sitede arka planda imunify360 ve site içerisinde wordfence tarzında güvenlik için en iyi yazılımlar bulunmasına rağmen siteler ele geçirebiliyor. İşin en garip tarafı ise birkaç kod satırı ile kötü amaçlı yazılımların varlığından bile haberiniz olmuyor. Bu kodlar güvenlik sistemlerini devre dışı bırakıp hatalara neden oluyor ve bu yüzden sitenize virüs bulaştığından haberiniz bile olmuyor. Tabi bunun apayrı bir yüzüne değinecek olursam bu yazılımlar belirli şifrelenmiş, topluluk tarafından açığa çıkarılmış yada mevcut veri tabanındaki açıkları taramakta ama en basitinden bir dosya yükleme kodunu bile tespit edemiyor. Yani sitenizde kötü amaçlı bir yazılım olmasına gerek yok. Bu tarz dosyalar sitenize gizlenir güvenlik yazılımlarının tespit edeceği birkaç dosya kod eklenir ve sitenizin temiz olduğunu düşünürsünüz ama olay bundan ibaret değil.
Gelin en çok karşılaştığım saldırılara birlikte bakalım.
1- mplugin.php: dosyası kötü amaçlı kod içeriir. admin_ips.txt dosyası ise siteye giren admin kullanıcılarının ip adresini buraya kaydederek rastgele sitelere yönlendirmeyi görmemenizi sağlar. Bu en basit virüslerdendir. Genellikle plugins klasörü içerisinde bulunur çoğu güvenlik yazılımı tarafından kolayca tespit edilir. mplugin.php dosyası ve admin_ips.txt şeklindedir.
Ayrıca veri tabanında options kısmında bu tarz tablolar oluşturur.
default_mont_options
hide_admin
log_install
logged_admin
cookies_admin
ip_admin
auto_update
search_engines
display_ad
hide_logged_in
ad_code
2- Japonca Anahtar Kelime Hack: Kaldırdıktan sonra bile zararlından kurtulamayacağınız corona virüsü gibi bir şey. Kısaca müdahale edilmedikçe milyonlarca indeks oluşturan tarama bütçesini sömüren search consol üzerinde her yere hata dolduran bir virüs. Genel olarak bu linkler japonca bir şekilde rastgele isimlerle oluşur bunlara tıklayan insanlar sahte d@landırıcı sitelere yönlenir.
Genellikle buna benzer linkler olur:
https://siteadresi.com/recollection....8/1329603.html
https://www.siteadresi.com/recollect...9/1394686.html ...
3- Alfa-Shell : Güvenlik açıkları zayıf parolalar yüzüden yüklenip sitenizin içerisinden geçebilirler. Genellikle wordpress dışında hack temalı bir paneldir. Bu panel ile dosya yükleyebilirler silebilirler dosya izinlerini değiştirebilirler. JavaScript kodu ile başka sitelere yönlendirme yaparlar.
4- Viagra Hack: Bu virüs genellikle +18 viagra satan sitelere yönlendirir. Buda japonca hack gibi anahtar kelimeler ve açıklamalar ile google indeksleri dolar taşar.
5-E$cort hacklink: Genellikle header üzerine eklenir tüm sitede +18 kelimeler ve linkler bulunur
6- Kripto Para Madenciliği: Arka planda javascript sayesinde sunucu özelliklerini cpu kullanımını tavan yapar. Bu kodlar sitenizin yavaşlamasını ziyaretçilerinizin sitenize girdiğinde bilgisayarlarına daha fazla cpu kullanımına neden olur.
