WordPress Pharma Hack Yöntemlerinden Korunma

Son zamanlarda özellikle wordpress sitelerinde karşılaşılan bu pharma hack yöntemi ile ilgili bir başlığın faydalı olacağını düşündük, zira internette bununla ilgili pek fazla Türkçe kaynak yok.

Bu pharma hack nedir diye soracak olursak; aslında tam ismi bu olmayabilir, buna spam hack, pharma hack yada google cloaking hack gibi verilen isimler var, tam bir ismi olmadığı için şimdilik ona bu şekilde hitap edebiliriz, çoğunlukla smf, wordpress vb. açık kaynak cms lerde karşılaşılan bu durum genelde sitenizin toplu bir hack olayına kurban gitmesiyle başlıyor ve genelde sitenizin arama motorlarındaki görüntüsünü ve sıralamasını etkiliyor.

Siteniz size aynı şekilde görünüyor, dolayısıyla normal bir ziyarette bu durumu farkedemeyebiliyorsunuz, fakat arama motorlarında (özellikle google’da) sitenizin başlığı ve açıklaması farklı bir şekilde görünebiliyor. Burada zaman zaman pornografik içerikle karşılaşıldığı gibi çoğunlukla çince veya japonca bir takım metin görebilmeniz mümkün. Google’dan aldığınız hit başlangıçta etkilenmiyor olsada, ilerleyen dönemde temizlemediğiniz takdirde google bir süre sonra dizinde sitenizin bağlantısının altına “bu web sitesi saldırıya uğramış olabilir” notunu düşüyor. Belli bir süre sonra yerleştirilen içerikte zararlı bir öğe bulunursa tamamen dizinden kaldırması yada sansürlenmeside olağan. Aynı zamanda her ne kadar googledan size gelen hit başlangıçta etkilenmiyor gibi olsada, hemen çıkma oranı artacağı için seo açısından onarımı zor tahribat yaratabilir.

Peki bunun sebebi ne? Neden benim sıradan blog sitemi yada hiçbir popülaritesi olmayan kurumsal web sitemi hacklemek istesinler, zaten sitenin görüntüsündede bir sorun oluşmamış diye düşünebilirsiniz. Fakat bu sadece sizin sitenizi hedef alan bir saldırı değil. Bu baştada belirttiğimiz üzere toplu bir saldırı. Web sitelerine çoğunlukla warez tema veya eklentilerle bulaşan zararlı bir kod parçası, bu bir js dosyası ve bir php dosyası içerisindede olabilir. Hosting hesabınızdaki dosyalar üzerinde bazı değişiklikler yapılabilmesini sağlıyor. (eskiden c99 veya r57 shell vardı, bunlar gibi düşünebilirsiniz). Bu değişiklikler lede web sitenizin yayınını tam olarak kesmeden, farklı içerikler yerleştirilebiliyor. Siteniz ziyaretçiler için aynı görüntüde kalsa bile arama motorlarına farklı görünüyor, arama motorlarıda sitenizde bu yabancı ve zararlı içeriğe yer verdiğinizi, link verdiğinizi düşünüyor. Ayrıca burada siteniz üzerinden bir örümcek trafiği alabilmelerini de sağlıyor.

Bundan nasıl kurtulacağız? Bu tarz bir durumla karşı karşıya kaldığınızda, öncelikli olarak ne tür bir saldırıya maruz kaldığınızı saptamanız gerekiyor. Burada birden fazla yöntem var çünkü. Url yerleştirme, içerik yerleştirme veya kod yerleştirme gibi. Bunlarla ilgili google tarafından paylaşılan dökümanlara isimlerine tıklayarak ulaşabilirsiniz. Google saldırıyı nasıl doğrulayabileceğiniz ve savuşturabileceğiniz hakkında ciddi bilgilendirme ve ipuçları veriyor.

Bu tarz bir durumla karşılaştığınızda ilk yapmanız gereken ne tür saldırıya maruz kaldığınızı öğrenmek ve google tarafından önerilen bu işlemleri uygulamak. Google webmaster tools sayfasıda size konu hakkında yardımcı olacaktır. Sitenizi google webmaster araçları konsolunda doğrulayın ve güvenlik önerileri kısmını inceleyin. Buradan hangi tür saldırıyla karşılaştığınızı ve nereden devam edeceğini öğrenebilirsiniz. Google tarafından sunulan önerilerden ziyade, mutlaka hosting sağlayıcınızlada durumu görüşün ve onlarında önerilerini alın. Bu durumla karşılaşan mağdurların yaklaşık %-60ı hosting sağlayıcısından aldıkları destek sayesinde bu sorundan kurtulmuşlar.

Ek olarak, bir müşterimizin wordpress sitesi için bu konu hakkında yazdığım ticket yanıtınıda aşağıya eklemek istiyorum, müşterimiz bu tavsiyeler sonucu çok kısa bir sürede bu sorundan kurtulduğunu söylüyor.

“Merhaba,

xxxx.com sitenizin wordpress kullanıcı şifreleri sıfırlanmıştır. Epostanız üzerinden yeni şifrelere ulaşabilirsiniz.

Wp nin index dosyasında şifrelenmiş bazı kodlar var ve htaccess üzerinden bazı rewrite kuralları yazdırmış ve harici sitemap tanımlaması yapmış.

Ek olarak birçok dizin ve dosyanınızın chmod değeri 777. Güvenliğiniz için aksi gerekmedikçe chmod değeri (permission) klasörler için 755, dosyalar içinse 644 değeri yeterlidir.

Ayrıca yeni şifre belirlerken daha zor parolalar seçmenizi öneririm, 123qwe gibi şifreler çok yaygın kullanıldığından bruteforce tarzı tekniklerle ile çok rahat kırılabiliyor, her ne kadar virüs temizlenmiş olsada virüs bulaşmasına sebep olan güvenlik zaafiyeti giderilmedikçe tekrar bulaşma ihtimali çok yüksek.

Google a bu sitenin yeniden değerlendirilmesi için webmaster araçları üzerinden yeni bir bildirim gönderdim, benzer sorunla karşılaştığınız web siteleri için;

İlk adımda cpanelde dosya yöneticisini açın dosyaların ve klasörlerin yazma izinlerine bakın,
Güvenliğiniz için aksi gerekmedikçe chmod değeri (permission) klasörler için 755, dosyalar içinse 644 değeri yeterlidir.

2. olarak wordpress ve tüm eklenti güncellemelerini yükleyin.

3. olarak .htaccess dosyasını standart bir .htaccess le değiştirin (farklıysa)

4. olarak index.php dosyasını aynı şekilde varsayılan bi index.php ile değiştirin.

5. adımda kök dizinde bulunan (özellikle .xml) dosyalarını kontrol edin, sonradan eklenmiş bir site haritası wordpress in orjinal dosyalarında olmayan temp.php system.php vs. gibi içeriği şifreli dosyalar varsa silin.

6. adımda ftp wordpress ve veritabanı şifrelerinin tümünü değiştirin. (Yeni veritabanı şifresini wp-config.php deki eskinin yerine yazmayı unutmayın.)

7. Cms ler için kullandığınız temaları her zaman tema sahibinin sitesinden veya güvenilir kaynaklardan satın alarak indirmenizi ve eklentileri de aynı şekilde wordpress deposundan yada güvenilir kaynaklardan yüklemenizi öneririm, warez tema ve eklentilerde bu durumla çok sık karşılaşılabilir. Bu tanıma uymayan kullandığınız eklenti ve temaları hosting hesabınızdan silin ve hosting hesabınızdaki dosyaları cpanel üzerindeki antivirüs yazılımıyla mutlaka taratın, çıkan riskleri temizleyin.

8. adımda sitenin kök dizinine delorie.html adında boş bir dosya oluşturun ve http://www.delorie.com/web/lynxview.html adresinden veya bunun yerine google gibi getir aracından sitenin botlar tarafından nasıl okunduğunu inceleyin.

9. Eğer kaynaklardan virüslü içerik gitmişse google webmaster araçları konsolundan yeniden değerlendirme talebinde bulunun. Talebin detaylarına yaptığınız işlemleri yazabilirsiniz, bu işlemleri sırasıyla yapın ve dosya kopyalaması yapacağınız wordpress sürümlerinin aynı olmasına dikkat edin.”

Eğer bir wordpress site sahibiyseniz ve bu sorunla müzdaripseniz, bütün bu adımları tek tek uygulamak yerine;
kullandığınız wordpress sürümünü (güncel sürüme güncellemeniz tavsiye edilir) wordpress.org resmi siteden indirin ve manuel güncelleme yapar gibi root altındaki wp-content dizini ve wp-config.php dosyası dışındaki tüm dosya ve klasörleri wordpress orjinal dosyalarıyla değiştirin (üzerine yazdırın). Bu işlem virüsü temizleyecektir, fakat virüsün bulaştığı açık kapatılmadıkça tekrar bulaşabileceğini unutmayın. Bu sebep şifreleriniz yada yazma izinleri olabilir, warez eklenti ve tema olabilir.

Başka ve daha kolay bir yol, sitenizin eski tarihli bir yedeğini yüklemek olabilir. Tabi bu yedeğin ne kadar güncel olduğu önemli. Ve eklemek gerekirse buda sadece virüsü temizleyecek olup, eğer bulaşma sebebini temizlemezseniz tekrarlama ihtimali olacaktır.

WordPress Pharma Hack Yöntemlerinden Korunma” üzerine 4 yorum

  1. Merhabalar,
    Bu anlatılanları ve benzerlerinin envai çeşidini yaptım her defasında wp-admin sayfasındaki admin parolamı değiştiriyorlar. bruteforce saldırısı ile gelmediklerini çok iyi biliyorum sucuri filan gibi eklendiler bu saldırıları gösterebiliyor, en azından denenen hamlelerden anlayabiliyorsunuz. zaten wp-admin sayfası yerine farklı bir şey kullanıyorum. Ama adamlar buralara hiç takılmadan bir yerden dosya enjekte edip doğrudan mysql üzerinden parolayı değiştiriyorlar. Hosting firmasına söyledim cpanelin en güncel halini yükleyin dedim güncellediler! bir daha olmaz sandım ama yine oldu. Yukarıdakilerin çoğunu yaptım ama ısrarla bir yerlerden girip suya sabuna dokunmadan direk db üzerinden değiştiriyorlar. Bir yöntemden bahsediyorlardı, file manager üzerinden bir dosyadadeğişiklik yapmak isterlerse ikinci bir şifre koyuluyordu, o yüntemi açıklayan bir yazınız var mı?
    İYi günler dilerim.

    • Merhaba, elbette wordpress tarafında olabileceği gibi sunucu tarafındaki mevcut güvenlik zaafiyetleride sebep olabilir. Eğer sorunu düzeltemediyseniz iletişim formundan ulaşmanız halinde detaylı inceleyerek yardımcı olmaya çalışabiliriz.

Yorum yapın

This site uses Akismet to reduce spam. Learn how your comment data is processed.