WordPress Pharma Hack Korunma

WordPress pharma hack;

Son zamanlarda özellikle wordpress sitelerinde karşılaşılan bu saldırı türü ile ilgili bir başlığın faydalı olacağını düşündük, zira internette bununla ilgili pek fazla Türkçe kaynak yok. (Biz bu yazıyı yayınladıktan sonra birçok site cümle sonlarımızı falan değiştirerek kopyalamış aslında ama. Aslı taklitten her zaman iyidir. Ayrıca yazıyı 2019 itibarıyla güncellediğimizide belirtmekte fayda var.)

 

Pharma hack

 

Pharma Hack Nedir?

diye soracak olursak; aslında tam ismi bu olmayabilir. Buna spam hack, pharma hack yada google cloaking hack gibi verilen isimler var. Tam bir ismi olmadığı için şimdilik ona bu şekilde hitap edebiliriz. Çoğunlukla wordpress içerik yönetim sisteminde karşılaşılan bu durum genelde sitenizin toplu bir hack olayına kurban gitmesiyle başlıyor. Geneldede sitenizin arama motorlarındaki görüntüsünü ve sıralamasını etkiliyor.

Siteniz size aynı şekilde görünebiliyor, dolayısıyla normal bir ziyarette bu durumu farkedemeyebiliyorsunuz. Fakat arama motorlarında (özellikle google’da) sitenizin başlığı ve açıklaması farklı bir şekilde görünebiliyor. Burada zaman zaman pornografik içerikle karşılaşıldığı gibi çoğunlukla çince veya japonca bir takım metin görebilmeniz mümkün. Açılış sayfanızın yönlendirilmesi sonucu google bir süre sonra dizinde sitenizin bağlantısının altına “bu web sitesi saldırıya uğramış olabilir” notunu düşüyor. Belli bir süre sonra tamamen dizinden kaldırması yada sansürlenmeside olağan. Aynı zamanda sitenizde hemen çıkma oranı artacağı için seo açısından onarımı zor tahribat yaratabilir.

 

Peki bunun sebebi ne?

Neden benim sıradan blog sitemi yada hiçbir popülaritesi olmayan kurumsal web sitemi hacklemek istesinler diye düşünebilirsiniz. Fakat pharma hack genelde sadece sizin sitenizi hedef alan bir saldırı değil. Bu baştada belirttiğimiz üzere toplu bir saldırı. Web sitelerine çoğunlukla warez tema veya eklentilerle bulaşan zararlı bir kod parçası. Bu bir js dosyası ve bir php dosyası içerisindede olabilir. Hosting hesabınızdaki dosyalar üzerinde bazı değişiklikler yapılabilmesini sağlıyor. (eskiden c99 veya r57 shell vardı, bunlar gibi düşünebilirsiniz). Bu değişiklikler lede web sitenizin yayınını tam olarak kesmeden, farklı içerikler yerleştirilebiliyor. Siteniz ziyaretçiler için aynı görüntüde kalsa bile arama motorlarına farklı görünüyor. Arama motorlarıda sitenizde bu yabancı ve zararlı içeriğe yer verdiğinizi, link verdiğinizi düşünüyor. Ayrıca burada siteniz üzerinden bir trafik alabilmelerini de sağlıyor.

 

Bundan nasıl kurtulacağız?

Bu tarz bir durumla karşı karşıya kaldığınızda, öncelikli olarak ne tür bir saldırıya maruz kaldığınızı saptamanız gerekiyor. Burada birden fazla yöntem var çünkü. Url yerleştirme, içerik yerleştirme veya kod yerleştirme gibi. Bunlarla ilgili google tarafından paylaşılan dökümanlara isimlerine tıklayarak ulaşabilirsiniz. Google saldırıyı nasıl doğrulayabileceğiniz ve savuşturabileceğiniz hakkında ciddi bilgilendirme ve ipuçları veriyor.

Bu tarz bir durumla karşılaştığınızda ilk yapmanız gereken ne tür saldırıya maruz kaldığınızı öğrenmek ve google tarafından önerilen işlemleri uygulamak. Google webmaster tools sayfasıda size konu hakkında yardımcı olacaktır. Sitenizi google webmaster araçları konsolunda doğrulayın ve güvenlik önerileri kısmını inceleyin. Buradan hangi tür saldırıyla karşılaştığınızı ve nereden devam edeceğini öğrenebilirsiniz. Google tarafından sunulan önerilerden ziyade, mutlaka hosting sağlayıcınızlada durumu görüşün ve önerilerini alın. Bu durumla karşılaşan mağdurların yaklaşık %-60ı hosting sağlayıcısından aldıkları destek sayesinde bu sorundan kurtulmuşlar.

Ek olarak, bir müşterimizin wordpress sitesi için bu konu hakkında yazdığım ticket yanıtınıda siz okuyucularımıza  göre güncelleyerek aşağıya eklemek istiyorum. Müşterimiz bu tavsiyeleri uygulaması sonucu çok kısa bir sürede bu sorundan kurtulduğunu söylüyor.

 

Yapılacaklar;

“Merhaba,

Google a bu sitenin yeniden değerlendirilmesi için webmaster araçları üzerinden yeni bir bildirim gönderdim, benzer sorunlarla karşılaştığınız web siteleri için;

  1. İlk olarak sitenizin tam bir yedeğini alın.
  2. Websitenizin ne tür bir saldırıya maruz kaldığını anlamak için güvenliğinizi araştırın. Google search console da sitenizle ilgili gelen güvenlik mesajlarını kontrol edin ve örnek url lerle ilgili bilgileri toplayın. Bu örnek linkleri sucuri sitecheck taramasıyla blacklistlerde kontrol edin.
  3. Eğer elinizde sitenizin eski tarihli bir yedeği varsa bu yedeği yükleyerek zararlı içerik olup olmadığını kontrol edin. Eğer zararlı içerik yoksa ve içerik kaybınız olmayacaksa bu sürümü kullanarak 9uncu maddeye kadar tüm maddeleri atlayabilirsiniz. Zararlı içeriğin tamamen temizlendiğinden emin olmak için  search console daki google gibi getir aracından sitenin botlar tarafından nasıl okunduğunu inceleyin. Bir antivirüs ve sucuri servisiyle tarama yapın. Eğer yedeğinizde virüslüyse yedek yerine güncel sitenizle 4üncü maddeden devam edin.
  4. WordPress.org resmi sitesinden wordpress’in son sürüm dosyalarını indirin ve config.php dosyasıyla wp-content dizini dışındaki tüm dosya klasörlerin üzerine orjinallerini yazdırın. (Manuel güncelleme yapın). Bu işlem virüsü %90 ihtimalle temizleyecektir fakat virüsün bulaştığı açık kapatılmadıkça tekrar bulaşabileceğini unutmayın. Eğer wordpress pharma hack virüsü temizlendiyse 9uncu adıma geçerek önlemleri okuyun. Temizlenmemişse 5inci maddeyle devam.
  5. WordPress sitelerinde bu virüsü en can sıkıcı hale getiren sebep, yukardaki maddelerin virüsü temizleyememiş olmasıdır. Burası önemli, bu virüsler 2019 yılı itibarıyla evrim geçirdiler ve turkcoder.net olarak bu konuyu tekrar yazdık. Olay şu ki; bu virüsler artık genellikle temanızın functions.php dosyasına saklanıyorlar, ve şifrelenmiş bir şekilde. Bunu sucuri taramasında veya antivirüs taramasında bulma ihtimaliniz var. Ama eğer sucuri bunu göremiyorsa ve search console’a bu virüsle ilgili örnek url eklenmemişse temanızın fonksiyon dosyasını açın ve okuyun. Bu dosyada şifreli bir kısım varsa veya password koruması tarzı kodlar görüyorsanız direk olarak temanızın orjinal fonksiyon dosyasıyla değiştirin. Eğer manuel değişiklikler yapmadıysanız temanızı komple üstüne yazdırın veya child-theme kullanarak dosyaları orjinalleriyle değiştirin. Kullandığınız eklenti ve temaların wordpress deposundan veya (themeforest vb.) güvenilir kaynaklardan indirilmiş orjinal ve en güncel versiyon olduklarından emin olun.
  6. Cpanel aracılığıyla hosting hesabınızdaki tüm dosyalar üzerinde virüs taraması yapın. Eğer cpanelinizde antivirüs yoksa barındırma firmanızdan imunify tarayıcı yüklemelerini isteyin, eğer bunu hemen yapamıyorlarsa dosyalarınızı indirin ve kendiniz taratın. Antivirüsünüzün uyardığı dosyaların standart wordpress cms eklenti veya tema dosyası olmaması durumunda bunları hosting hesabınızdan silin ve  yüklemeyin.
  7. Tüm bunlara rağmen eğer sitenizde hala zararlı bir kod parçacığı hala görünüyorsa public_html deki tüm dosyaları indirin. Klasörde *.js ve *.php aramaları yaparak bu dosyaları listeletin. Tümünü seçin ve notepad++ la açarak kodu tüm dosyalarda aratın, bi miktar ram harcayabilir ve zaman alabilir. Eşleşen dosyaları orjinalleriyle değiştirin, orjinal değilse silin. Eğer search console yada sucurinin verdiği zararlı kod/bağlantı buradada çıkmazsa bu kez phpmyadmin aracılığıyla aratın. Bazı sitelerde hacklenme sonrası bu zararlı kod parçacıklarının postların altına yani database ‘e eklendiğinede tanıklık ediyoruz.
  8. Tüm dosyaları ve database’i taradınız hala sitenizde zararlı içerik uyarısı alıyorsanız öncelikle sucurinin size sonucu önbellekten gösterdiğini söylemeliyim. Yeni bir tarama yapmak için sonuçlar sayfasında sayfanın alt kısmında önbelleği temizle ve tekrar tara linkini göreceksiniz. Önbelleği de temizlediğiniz halde hala zararlı içerik görünüyorsa; wordpress aktarıcısıyla içeriğinizi tüm içeriği dışa aktarın; hosting hesabınızı terminate edin. WordPress i, temanızı ve eklentilerinizi tekrar yükledikten sonra aktarıcıyı tekrar çalıştırarak içeriğinizi tekrar yükleyin. Aktarıcının revolution slider gibi harici eklenti içeriklerini ve tema ayarlarını yedeklemeyeceğini unutmayın. Bunları ilgili tema/eklentilerin kendi panelleri üzerinden dışa/içe aktarın. Aktarıcı ilk tercihiniz olmasın diye tüm işlemlerin sonunda yazıyoruz. Çünkü yüksek içeriğe sahip sitelerde dışa/içe aktarma genelde php limitlerine veya cpu/ram limitlerine takılıyor. Ayrıca bazı içeriklerin aktarıcıya dahil olmayışı(smtp ayarları vb gibi) süreci uzatabiliyor. Bu işlemleri yaparken aktarıcıyla ilgili zaman aşımı vb. hatayla karşılaşmanız durumunda hosting sağlayıcınızdan limitler konusunda yardım isteyin. Bu işlem wordpress pharma hack virüsünü tamamen temizleyecektir.
  9. Hosting hesabınızın güncel php / sql sürümünü çalıştırdığından emin olun. Değilse cpanelinizde easy apachenin veya cloudlinux un multiphp yöneticisi aracılığıyla güncel ve stabil sürümü seçin. Eğer seçicide yoksa hosting sağlayıcınızdan güncel sürümü yüklemesini isteyin.
  10. Hosting hesabınıza ait tüm ftp-cpanel/mysql/wordpress vb. şifreleri karmaşık güçlü şifreler kullanarak değiştirin. Bu şifreleri başka sitelere üye olurken kullanmadığınızdan emin olun.
  11. Dosya ve klasör izinlerini kontrol edin. Güvenliğiniz için aksi gerekmedikçe chmod değeri (permission) klasörler için 755, dosyalar içinse 644 değeri yeterlidir.
  12. Google webmaster araçları konsolundan yeniden değerlendirme talebinde bulunun. Talebin detaylarına yaptığınız işlemleri yazabilirsiniz. Bu işlemleri sırasıyla yapın ve dosya kopyalaması yapacağınız wordpress cms eklenti ve tema sürümlerinin aynı olmasına dikkat edin. Ayrıca listelendiğiniz diğer blacklistler için de gerekli işlemleri uygulayın.”

“WordPress Pharma Hack Korunma” üzerine 8 yorum

  1. Merhabalar,
    Bu anlatılanları ve benzerlerinin envai çeşidini yaptım her defasında wp-admin sayfasındaki admin parolamı değiştiriyorlar. bruteforce saldırısı ile gelmediklerini çok iyi biliyorum sucuri filan gibi eklendiler bu saldırıları gösterebiliyor, en azından denenen hamlelerden anlayabiliyorsunuz. zaten wp-admin sayfası yerine farklı bir şey kullanıyorum. Ama adamlar buralara hiç takılmadan bir yerden dosya enjekte edip doğrudan mysql üzerinden parolayı değiştiriyorlar. Hosting firmasına söyledim cpanelin en güncel halini yükleyin dedim güncellediler! bir daha olmaz sandım ama yine oldu. Yukarıdakilerin çoğunu yaptım ama ısrarla bir yerlerden girip suya sabuna dokunmadan direk db üzerinden değiştiriyorlar. Bir yöntemden bahsediyorlardı, file manager üzerinden bir dosyadadeğişiklik yapmak isterlerse ikinci bir şifre koyuluyordu, o yüntemi açıklayan bir yazınız var mı?
    İYi günler dilerim.

    Cevapla
    • Merhaba, elbette wordpress tarafında olabileceği gibi sunucu tarafındaki mevcut güvenlik zaafiyetleride sebep olabilir. Bu virüsler evrim geçiren ve kendini geliştirebilen yapıdalar. Dolayısıyla çözümlerde değişebiliyor, yazıyı güncelledik, tekrar göz atmanızı öneririm.
      Eğer sorunu düzeltemediyseniz iletişim formundan ulaşmanız halinde detaylı inceleyerek yardımcı olmaya çalışabiliriz.

      Cevapla
  2. Bundan hiç kurtulamayacağımı düşünmeye başlamıştımki yazınızı okudum pırıl pırıl oldu çok teşekkürler.

    Cevapla

Yorum yapın