Virüs Temizleme Hizmeti
WordPress sitelerde virüs temizleme işi, “bir güvenlik eklentisi kurup tarattım, bitti” seviyesinde değildir. Virüs bulaştıysa ortada iki gerçek vardır: Birincisi, siteye yetkisiz bir giriş olmuştur. İkincisi, bu girişin bir sebebi ve bir yolu vardır. Sebep bulunmadan ve o yol kapatılmadan yapılan temizlik, çoğu zaman geçici pansumandır; birkaç gün sonra aynı yönlendirme tekrar başlar, aynı dosya tekrar enjekte edilir, aynı spam linkler tekrar görünür. DatWeb olarak virüs temizleme hizmetini yılların klasik disiplinine uygun yürütürüz: önce teşhis, sonra temizleme, ardından sertleştirme ve kontrol. İşin sonunda sadece “site açılıyor” değil, “site güvenli ve stabil” demek isteriz.
Virüs bulaşmasının belirtileri genelde kendini çabuk belli eder: ana sayfanın farklı bir siteye yönlenmesi, tarayıcıların “zararlı site” uyarısı vermesi, admin panelde tuhaf kullanıcılar oluşması, arama sonuçlarında alakasız başlıkların çıkması, sayfalara spam içerik eklenmesi, e-posta ile spam gönderimi, sunucuda anormal CPU kullanımı veya bazı sayfalarda 500 hataları gibi. Ancak burada kritik nokta şudur: Belirti nerede görünürse görünsün, kaynak çoğu zaman daha derindedir. Bazen bir tema dosyasına tek satır eklenir, bazen uploads klasörüne sahte PHP dosyaları bırakılır, bazen de veritabanında wp_options içine gizli script eklenir. Bu yüzden biz “gözle görüneni düzeltip” işi kapatmayız; kök nedeni bulmadan teslim yapmayız.
DatWeb süreci önce güvenli bir çerçeveye alarak başlar. Canlı sitede rastgele müdahale etmek, hem veri kaybı riski taşır hem de sorunun izini kaybettirebilir. Bu nedenle gerekli durumlarda bakım modu uygulanır, kritik erişimler kısıtlanır ve mevcut durum kayıt altına alınır. Ardından dosya yapısı, tema ve eklenti dizinleri, wp-config.php ve kritik çekirdek dosyaları kontrol edilir. Bu kontrol “şu dosya farklı görünüyor” gibi yüzeysel bir bakış değildir; amaç, bulaşmanın nereye oturduğunu, kendini tekrar üretip üretmediğini ve hangi yollarla tetiklendiğini anlamaktır. Klasik usul budur: önce resim netleşir, sonra müdahale edilir.
Temizlik tarafında en önemli prensip, WordPress çekirdeği ve güvenilir bileşenlerin doğrulanmasıdır. WordPress’in core dosyaları, tema ve eklentiler, güvenilir kaynaklardan gelen temiz sürümlerle karşılaştırılır. Şüpheli veya değiştirilmiş dosyalar tespit edildiğinde iki yaklaşım uygulanır: ya temiz sürümle değiştirilir ya da ilgili dosyada güvenli bir şekilde zararlı kod ayıklanır. Burada acelecilik tehlikelidir. Çünkü bazı saldırılar, görünüşte masum bir dosyanın içine obfuscation (gizleme) teknikleriyle saklanır; base64, eval, gzinflate gibi yöntemlerle kodu saklar ve her çağrıda tekrar üretir. DatWeb, bu tür yapıları tespit eder ve kök kodu temizler. “Sildim” demekle bitmez; sistemin kendini yeniden yazdığı mekanizma kırılmalıdır.
Virüs temizliğinde sadece dosyalarla uğraşırsan eksik kalırsın. WordPress’in en kritik alanlarından biri veritabanıdır. Çünkü saldırganlar bazen dosya bırakmadan, içeriklerin içine script enjekte eder. wp_posts içindeki içeriklerde, sayfa builder verilerinde, widget alanlarında veya wp_options gibi tablolarda saklanan zararlı parçalar çok yaygındır. Örneğin sayfanın içine görünmeyen bir iframe koyulur, kullanıcıyı farklı sayfalara yönlendiren linkler eklenir, menü linkleri değiştirilir ya da site başlığına bile spam eklenir. DatWeb virüs temizleme hizmetinde veritabanı kontrolü şarttır. Şüpheli kayıtlar analiz edilir, temizlenir ve normal akışa döndürülür. Aksi halde, dosyaları temizlesen bile veritabanı tekrar zararlı kod basabilir.
Bir diğer kritik konu, kullanıcı ve yetki kontrolüdür. Virüs bulaşmasının çok yaygın sebeplerinden biri zayıf parola, ele geçirilmiş admin hesabı veya gereksiz yetkili kullanıcıların sitede bulunmasıdır. DatWeb sürecinde WordPress kullanıcıları tek tek kontrol edilir: gereksiz adminler kapatılır, şüpheli hesaplar devre dışı bırakılır, parola sıfırlama uygulanır ve mümkünse iki aşamalı doğrulama gibi ek korumalar önerilir. Ayrıca dosya izinleri de gözden geçirilir. Çünkü yanlış dosya izinleri, saldırganın yazma yetkisi elde etmesini kolaylaştırır. Bu kısım “teknik detay” gibi görünür ama gerçekte tekrar bulaşmayı önleyen ana kilitlerden biridir.
Virüs temizleme hizmetinin kalıcı olması için güvenlik sertleştirme adımları mutlaka uygulanmalıdır. DatWeb burada klasik bir checklist ile ilerler: WordPress çekirdeği, tema ve eklentiler güncel mi; kullanılmayan eklentiler kaldırılmış mı; giriş sayfası koruma altına alınmış mı; brute force denemeleri sınırlanmış mı; wp-admin erişimi güvenli mi; xmlrpc gibi riskli alanlar kontrol edilmiş mi; güvenlik logları izlenebilir hale getirilmiş mi; yedekleme düzeni doğru mu. Bu maddelerin bir kısmı her projede standarttır, bir kısmı sitenin yapısına göre değişir. Ama prensip aynı: kapıyı açık bırakırsan hırsız tekrar girer.
Virüs Temizleme : WordPress’te virüsün en büyük davetiyesi, lisanssız (nulled) tema ve eklentilerdir. “Ucuz olsun” diye indirilen crackli paketler, çoğu zaman içine arka kapı yerleştirilmiş şekilde gelir. Bugün site çalışır, yarın bir sabah yönlendirme başlar, sonra e-posta spam gönderir, sonra da hosting hesabın kara listeye girer. DatWeb olarak virüs temizliğinde bu konuyu net söyleriz: Temizlikten sonra aynı lisanssız bileşenleri kullanmaya devam edersen, sorun tekrar eder. Kalıcı çözüm, güvenilir kaynak ve güncel bileşenlerdir. Bu, işin geleneksel ve değişmeyen gerçeğidir.
Temizlik tamamlandıktan sonra test ve doğrulama aşaması gelir. DatWeb burada sadece ana sayfayı açıp “tamam” demez. Admin panel girişleri, kritik sayfalar, form gönderimleri, e-posta bildirimleri, yönlendirmeler, medya yükleme, tema fonksiyonları ve varsa e-ticaret akışları kontrol edilir. Çünkü bazen saldırı sırasında dosyalar bozulur, form eklentisi çalışmaz, e-posta gönderimi kesilir veya ödeme sayfası hata verir. Temizleme işi “zararlıyı silmek” kadar “sitenin işlevini geri kazanmak” anlamına da gelir. Bu nedenle fonksiyon testleri yapılmadan teslim edilmez.
Virüs temizliği sonrasında arama motoru tarafında uyarılar varsa, bunun da yönetilmesi gerekir. Örneğin Google Search Console “güvenlik sorunu” bildirmiş olabilir ya da tarayıcılar “zararlı içerik” uyarısı gösterebilir. Bu uyarıların kalkması bazen zamana bağlıdır; ancak sitenin temiz, güvenli ve doğrulanabilir hale getirilmesi bizim tarafımızdan tamamlanır. Gerekli durumlarda temizliğin ardından yeniden değerlendirme süreci için teknik hazırlık yapılır: zararlı içeriklerin kaldırıldığından emin olunur, şüpheli URL’ler temizlenir, sitemap düzenlenir ve indeksleme mantığı kontrol edilir. Buradaki amaç, sitenin itibarı ve görünürlüğünün toparlanmasına zemin hazırlamaktır.
DatWeb virüs temizleme hizmetinin çıktısı net ve somuttur. Bir: dosya sistemi ve veritabanı dahil olmak üzere zararlı kodlardan arındırılmış WordPress sitesi. İki: bulaşmanın kaynağına göre kapatılmış giriş noktaları ve güçlendirilmiş güvenlik ayarları. Üç: güncel, temiz ve doğrulanmış çekirdek, tema ve eklenti yapısı. Dört: test edilmiş, stabil çalışan admin panel ve ön yüz. Beş: tekrar bulaşma riskini azaltan bakım ve güvenlik düzeni. Bizim için bu işin standardı budur. “Şimdilik düzeldi” diye bırakmak, müşteriyi aynı soruna tekrar mahkûm etmektir; DatWeb bunu yapmaz.
Son olarak şunu söyleyeyim: Virüs temizleme, tek başına bir “tamir” işi değildir; iyi yapıldığında bir “düzen kurma” işidir. WordPress güvenliği, geçmişten beri aynı temele dayanır: güncel yazılım, doğru yetki yönetimi, temiz kaynak, disiplinli bakım. DatWeb yaklaşımı da budur. Bu nedenle virüs temizleme hizmetimiz, sadece saldırıyı temizlemekle kalmaz; sitenin ileride daha az sorun çıkaracağı, daha güvenli ve yönetilebilir bir yapıya dönüşmesini hedefler.
WordPress’e Bulaşan Virüs Türleri
Virüs Temizleme WordPress’e bulaşan zararlı yazılımlar tek tip değildir; farklı amaçlarla farklı yöntemler kullanırlar. Kimi para kazanmak için siteyi spam ağına çevirir, kimi ziyaretçiyi başka sitelere yönlendirir, kimi de sunucu kaynaklarını sömürüp arka planda madencilik ya da botnet işi yapar. Bu yüzden “virüs temizleme” dediğin iş, önce neyle uğraştığını doğru sınıflandırmayı gerektirir. DatWeb tarafında biz, bulaşma türünü belirleyip ona göre temizlik ve sertleştirme yaparız; çünkü her saldırının izi, saklandığı yer ve tekrar bulaşma yolu farklıdır.
En yaygın türlerden biri SEO spam (Japon keyword spam, pharma spam) dediğimiz bulaşmalardır. Bu saldırılarda WordPress, arama motoruna farklı, kullanıcıya farklı içerik gösterecek şekilde manipüle edilir. Arama sonuçlarında alakasız ürün/ilaç anahtar kelimeleri görünür, Search Console’da binlerce garip URL çıkabilir. Bu tür bulaşmalar bazen wp_posts içinde içeriklere gömülür, bazen de tema dosyalarına eklenen koşullu kodlarla “sadece Google botu gelince” tetiklenir. Temizliği sadece görünene göre yaparsan kaçırırsın; logik temizlemek gerekir.
İkinci yaygın tür redirect malware (yönlendirme virüsü)dür. Kullanıcı siteye girince rastgele bahis, yetişkin içerik veya sahte kampanya sitelerine yönlendirilir. Bu yönlendirme bazen header.php içine tek satır JavaScript olarak eklenir, bazen wp_options içinde saklanır, bazen de .htaccess üzerinden belirli user-agent’lara özel çalışır. En sinir bozucu tarafı, her kullanıcıda görünmemesi olabilir; belirli cihazlarda ya da belirli saatlerde tetiklenebilir. Bu yüzden “bende görünmedi” demek, temiz olduğu anlamına gelmez.
Virüs Temizleme : Üçüncü grup backdoor (arka kapı) bulaşmalarıdır. Saldırgan siteye bir kere girdikten sonra tekrar tekrar erişebilmek için gizli bir kapı bırakır. Bu, uploads içine atılmış masum görünümlü bir PHP dosyası, kullanılmayan bir eklentinin içine gömülmüş bir dosya, hatta görsel gibi görünen ama PHP çalıştıran bir yapı olabilir. Backdoor’lar genelde obfuscation ile saklanır; base64, eval, gzinflate gibi yöntemlerle kod gizlenir. Sadece “zararlı dosyayı sildim” dersen, başka bir yerde ikinci kapı kalır ve saldırı geri döner.
Dördüncü tür web shell (uzaktan komut kabuğu) bulaşmalarıdır. Bu, saldırganın sunucu üzerinde komut çalıştırmasına, dosya yüklemesine, veritabanına erişmesine imkân veren araçlardır. Genellikle uploads, tmp benzeri dizinlerde, isim olarak da “cache.php, old.php, class.php” gibi dikkat çekmeyen dosyalarla saklanır. Shell varsa mesele büyüktür; sadece WordPress değil, hosting hesabının tamamı risk altındadır. Temizlik burada daha sert yapılır, dosya izinleri ve sunucu tarafı kontrolü şarttır.
Beşinci grup spam mailer türleridir. Site üzerinden toplu spam e-posta göndermek için PHP mailer scriptleri bırakılır. Sonuç: hosting IP’si kara listeye girer, e-postaların teslimi bozulur, hatta sunucu hesabın askıya alınabilir. Bu bulaşmalar bazen bağımsız bir “mailer” dosyası olarak durur, bazen tema/eklenti içine gömülür. Temizliğe ek olarak SMTP düzeni ve mail gönderim güvenliği de kontrol edilmelidir.
Altıncı tür kredi kartı/ödeme hırsızlığı (skimmer, Magecart benzeri) bulaşmalarıdır. WooCommerce gibi e-ticaret sitelerinde ödeme sayfasına JavaScript enjekte edilerek kullanıcı kart verisi çalınmaya çalışılır. Bu, en kritik ve yüksek riskli senaryodur. Çünkü sadece site değil, müşteri verisi ve hukuki/itibari sonuçlar devreye girer. Skimmer genelde checkout sayfalarında tetiklenir ve dışarıya veri gönderir. Bu tür vakalarda temizlik + sertleştirme + log kontrolü ve ödeme akışının yeniden doğrulanması gerekir.
Yedinci grup cryptominer ve kaynak sömürücü bulaşmalardır. Site açılır ama sunucu CPU sürekli yüksek olur, site yavaşlar, hosting kaynak limitleri dolar. Saldırgan arka planda madencilik veya botnet işi yapar. Bu tür bulaşmalar cron görevleriyle kendini çalıştırabilir, gizli dosyalarla kaynak tüketebilir. Temizlikte sadece dosyayı değil, zamanlanmış görevleri ve süreçleri de kontrol etmek gerekir.
Sekizinci tür defacement (site yüzü değiştirme) vakalarıdır. Ana sayfa hacklenir, saldırgan mesaj bırakır. Bu daha “gösterişli” olduğu için çabuk fark edilir ama genellikle arka planda başka kapılar da bırakılmış olabilir. Sadece görünür sayfayı düzeltip geçmek büyük hatadır; defacement çoğu zaman daha derin bir yetki ihlalinin belirtisidir.
Dokuzuncu grup veritabanı enjeksiyonları ve gizli içerik bulaşmalarıdır. Özellikle wp_options içine saklanan scriptler, widget alanlarına eklenen linkler, sayfalara görünmez backlink basma gibi yöntemler görülür. Bu bulaşmalar, dosya temiz olsa bile içerikten yeniden üreyebilir. O yüzden veritabanı kontrolü virüs temizlemenin ayrılmaz parçasıdır.
Bu virüs türlerinin ortak noktası şudur: WordPress’e bulaşma genelde zayıf parola, güncel olmayan eklenti/tema, lisanssız (nulled) paketler, yanlış dosya izinleri veya sunucu zafiyetleri üzerinden olur. DatWeb yaklaşımı, önce hangi tür bulaşma olduğunu tespit etmek, sonra temizliği doğru yerden yapmak ve en önemlisi aynı kapıyı tekrar açtırmamaktır. Çünkü WordPress güvenliğinin kuralı eskidir ve değişmez: güncel yazılım, temiz kaynak, doğru yetki ve düzenli bakım.
SEO Spam (Japon Keyword Spam, Pharma Spam)
SEO spam dediğimiz bulaşma türü, WordPress sitelerde en sık görülen ve en çok can sıkan saldırı tiplerinden biridir. Çünkü bu saldırı genellikle “site çalışıyor gibi görünür” ama arka planda sitenin itibarı sessizce bitirilir. Kullanıcı siteye girince her şey normal görünebilir; fakat Google’da arama yaptığında sitenin altında Japonca kelimeler, ilaç isimleri, casino içerikleri, sahte ürün sayfaları gibi alakasız sonuçlar çıkmaya başlar. Search Console’a girdiğinde binlerce anlamsız URL, garip başlıklar ve spam içerikler görürsün. İşin kötüsü şu: Bu saldırı türü sadece görüntü bozmaz; sitenin güven sinyalini düşürür, sıralamaları çökertebilir ve uzun vadede domainin “spam” etiketine yaklaşmasına yol açabilir. DatWeb yaklaşımı burada nettir: Bu iş, yalnızca içerik silme işi değildir; bulaşmanın mantığını kırma işidir.
Virüs Temizleme : SEO spamın iki popüler adı vardır: Japon keyword spam ve pharma spam. Japon keyword spamda arama sonuçlarına Japonca anahtar kelimeler basılır; pharma spamda ise ilaç ve benzeri “pharmacy” içerikleri, sahte ürün sayfaları ve satış bağlantıları yayılır. Ama amaç aynıdır: Saldırgan senin domain otoriteni kullanarak kendi spam ağını büyütmek ister. Kendi domainiyle bunu yapamaz; çünkü yeni domainler hızlı kara listeye girer. Senin eski, oturmuş, indekslenen domainin onlar için altın madeni gibidir. Bu yüzden WordPress siteler, özellikle güncel olmayan eklentiler veya lisanssız tema/eklenti kullanımı nedeniyle hedef olur.
Bu bulaşma türünün en temel özelliği “gizli çalışmasıdır”. Çoğu zaman spam sayfalar normal menüde görünmez, admin panelde doğrudan fark edilmez ve siteyi ziyaret eden kullanıcıya gösterilmez. Saldırgan bunu bilerek yapar. Çünkü site sahibi durumu hemen fark ederse temizlik başlar. Bunun yerine saldırgan, spamı arama motoru botlarına veya belirli user-agent’lara gösterir. Buna cloaking (örtme) yaklaşımı da denir. Yani Google botu gelince başka içerik, normal kullanıcı gelince başka içerik sunulur. Bu yüzden “bende görünmüyor, demek ki yok” cümlesi SEO spam vakalarında geçerli değildir.
SEO spam WordPress’e birkaç farklı yoldan yerleşebilir. Birincisi, dosya sistemine eklenen zararlı PHP kodlarıdır. Saldırgan tema dosyalarına, özellikle functions.php, header.php gibi sık çağrılan dosyalara koşullu kod ekleyebilir. Bu kod, Google botu algıladığında spam linkler üretir, sahte sayfalar oluşturur veya yönlendirme yapar. İkinci yol, veritabanı enjeksiyonlarıdır. wp_posts içine içeriklerin arasına görünmez linkler basılabilir; wp_options içine widget ya da tema ayarları üzerinden spam script eklenebilir. Üçüncü yol, .htaccess ve sunucu yönlendirme kuralları üzerinden manipülasyondur. Bazen de wp-cron veya zamanlanmış görevler üzerinden belirli aralıklarla spam içerik tekrar tekrar yazılır. Yani sen bir şeyi temizlersin, birkaç saat sonra geri gelir. Bu geri gelme mekanizması kırılmadıkça temizlik bitmiş sayılmaz.
Japon keyword spamın tipik işaretlerinden biri, Google’da “site:alanadiniz.com” sorgusunda ortaya çıkan alakasız sayfalardır. URL’ler genelde tuhaf olur: /jp/ gibi klasörler, rastgele karakter dizileri, sahte kategori sayfaları veya ürün sayfaları… Başlıklar Japonca, açıklamalar alakasız, bazen de içerikler tamamen otomatik üretilmiş olur. Pharma spamda da benzer şekilde “cheap pills”, ilaç isimleri, sahte eczane ürünleri gibi aramalarla siten indekslenmiş görünür. Search Console’da “Spam tarafından oluşturulan sayfalar” gibi uyarılar çıkabilir veya performans raporunda alakasız sorgular görünmeye başlayabilir. Bu aşamaya geldiyse, mesele artık sadece güvenlik değil, SEO itibarı meselesidir.
Temizliğe yaklaşımda en büyük hata, sadece görünen spam sayfaları silmektir. Bu, evin salonunu temizleyip bodrumdaki lağımı bırakmaya benzer. Saldırganın bıraktığı backdoor (arka kapı) duruyorsa, spam tekrar üretilir. DatWeb’in yaklaşımı önce bulaşmanın kaynağını bulmaktır. Hangi dosyalara müdahale edilmiş, hangi tablolar etkilenmiş, yeni kullanıcı açılmış mı, cron görevleri var mı, .htaccess’te anormal kurallar var mı? Bu soruların cevabı bulunmadan temizlik yapılmaz. Çünkü SEO spam vakaları, genelde “tek bir noktadan” değil, birden fazla katmandan beslenir.
Dosya tarafında özellikle şu alanlar yüksek risk taşır: wp-content/uploads (çünkü birçok sunucuda yazma yetkisi buradadır), wp-content/plugins (güncel olmayan eklentiler), wp-content/themes (tema dosyaları) ve wp-includes/wp-admin gibi core dizinleri (saldırgan bazı vakalarda core dosyaları da değiştirebilir). Uploads içine atılan sahte PHP dosyaları, bazen “image.php”, “cache.php” gibi masum isimler taşır. Bazıları görsel gibi görünür ama içinde PHP çalıştırır. Bu tip dosyalar temizlenmeden SEO spam bitmez. Tema dosyasında base64 ile gizlenmiş bir eval bloğu varsa, o blok her sayfa çağrısında spam üretmeye devam eder. Bu nedenle temizlik, kod seviyesinde yapılır; sadece “dosyayı sil” mantığıyla yürütülmez.
Veritabanı tarafında en çok etkilenen alanlar wp_options ve wp_posts’tur. wp_options içinde theme_mods veya widget ayarları gibi alanlara script basılabilir. wp_posts içinde içeriklere görünmez linkler, display:none ile saklanan spam blokları eklenebilir. Ayrıca bazı saldırılar, yeni sayfalar/özel yazı tipleri oluşturup bunları menüde göstermeden indekslenmesini sağlar. WordPress admin panelinde sayfa listesinde “taslak” gibi görünür veya özel bir post type altında gizlenebilir. Bu yüzden veritabanı taraması ve şüpheli içeriklerin ayıklanması şarttır. Sadece dosyaları temizleyip bırakmak, içerikten yeniden üremeyi engellemez.
SEO spamın kalıcı etkisi, sitenin indeks ve sıralama performansını bozmasıdır. Google, bir domaini spamla ilişkilendirmeye başlarsa, temizledikten sonra bile toparlanma zaman alabilir. Bu nedenle temizliğin yanında “temiz kaldığını” gösterecek teknik düzen de önemlidir. Örneğin gereksiz spam URL’ler 404’e düşebilir; fakat Google bunları hâlâ taramaya çalışır. Bu durumda sitemap’in temiz olması, canonical düzeninin sağlam olması ve Search Console’da kapsam raporlarının takip edilmesi gerekir. Bazı durumlarda spam URL’ler için uygun şekilde 410 (gone) veya doğru 301 yönlendirmeleri düşünülür; ama burada acele karar verilmez. Çünkü yanlış 301, spamı gerçek sayfalara taşır gibi algılanabilir ve daha kötü sonuç doğurabilir. Kısacası, SEO spam temizliği sadece “hack temizliği” değil, “indeks düzeni” işidir.
Bu saldırıların sık görülen giriş noktaları da klasik: güncel olmayan eklentiler, nulled (lisanssız) tema/eklenti, zayıf admin parolaları, açık bırakılan dosya izinleri, eski PHP sürümleri ve sunucu tarafındaki zafiyetler. DatWeb olarak işin bu kısmında net konuşuruz: Lisanssız tema/eklenti kullanıyorsan, SEO spam tekrar eder. Çünkü o paketler çoğu zaman en baştan arka kapılı gelir veya güvenlik açığı barındırır. Ayrıca “kullanmıyorum ama duruyor” dediğin eski eklenti bile risktir. WordPress’te kullanılmayan eklenti, kapalı da olsa saldırı vektörü olabilir. Bu yüzden temizlik sonrası sertleştirme şarttır: gereksiz eklentileri kaldırmak, tüm bileşenleri güncellemek, admin kullanıcılarını düzenlemek, brute force koruması, dosya izinlerinin düzeltilmesi ve düzenli yedekleme mekanizması oluşturmak gerekir.
Virüs Temizleme : SEO spamla mücadelede teşhis ve doğrulama da kritik rol oynar. Sitenin sadece ön yüzüne bakmak yetmez. Search Console performans raporu, kapsam raporu, güvenlik sorunları bölümü ve “site:” sorguları izlenir. Ayrıca bazı vakalarda spam içerik sadece belirli user-agent’lara gösterildiği için, farklı tarayıcı/cihaz testleri ve bot benzeri isteklerle kontrol gerekir. Bu kontrol, temizliğin doğru yapıldığını doğrulamaya yarar. “Temizledim” demek yerine “temiz kaldığını” görmeden işi kapatmak, profesyonel iş değildir.
DatWeb olarak SEO spam temizliğinde hedefimiz üç parçalıdır: Birincisi, zararlı kodu ve spam içeriği tamamen kaldırmak. İkincisi, tekrar üretim mekanizmasını (arka kapı, cron, .htaccess kuralı, gizli dosya) yok etmek. Üçüncüsü, WordPress’i yeniden güvenli ve yönetilebilir hale getirmek; yani güncel, temiz, düzenli bir sistem kurmak. Bu yapıldığında site sadece spamdan kurtulmaz; ileride aynı tuzağa düşme ihtimali ciddi şekilde azalır.
SEO spam, WordPress dünyasında “sessiz itibar katili”dir. Çoğu kişi site çalıştığı için önemsemez, ta ki sıralamalar çökene ve Search Console alarm verene kadar. Bu yüzden erken fark etmek ve doğru temizlemek şarttır. Disiplinli temizlik + sertleştirme + indeks kontrolü üçlüsü uygulanmadan bu iş bitmiş sayılmaz. DatWeb’in tavrı da budur: geçici çözüm değil, kalıcı düzen.
Redirect Malware (Yönlendirme Virüsü)
Redirect malware, WordPress sitelerde en sinir bozucu bulaşma türlerinden biridir. Çünkü çoğu zaman site sahibi “bende bir şey yok” der, müşteri “site beni bahis sitesine attı” diye arar, sen kontrol edince yine normal görünür. Bu virüsün olayı zaten budur: Herkese görünmez, her seferinde tetiklenmez, bazen sadece mobilde, bazen sadece belirli ülkelerde, bazen de sadece Google’dan gelen trafikte çalışır. Yani rastgele değil, planlı çalışır. Bu yüzden redirect virüsüyle mücadele, klasik “tek sefer tarattım temiz” yaklaşımıyla olmaz; tetikleme mantığını anlamadan temizliğin başarılı olması zordur. DatWeb olarak bu işi teşhis–temizlik–sertleştirme üçlüsüyle ve kanıt odaklı yürütürüz.
Redirect virüsünün temel amacı kullanıcıyı kendi sitenden alıp saldırganın para kazandığı bir ağa taşımaktır. Kullanıcı bir sayfaya girer girmez, bazen 1-2 saniye sonra, bazen de sayfa içinde bir etkileşimden sonra başka bir adrese gönderilir. Bu adresler çoğu zaman bahis, sahte kampanya, yetişkin içerik, “telefonun virüslü” tarzı sahte uyarı sayfaları ya da dolandırıcılık siteleridir. Saldırgan burada genellikle affiliate (ortaklık) trafiği satar veya reklam ağı üzerinden para kazanır. Senin domainin de bu işin “taşıyıcısı” olur. Sonuç olarak marka itibarı zarar görür, kullanıcı güveni biter, Google tarafında da kalite sinyali düşebilir.
Redirect malware’ın en kritik özelliği, tetikleme koşullarıdır. Birçok vakada yönlendirme sadece belirli user-agent’larda çalışır. Örneğin iPhone Safari’de tetikler, Chrome’da etmez. Veya sadece Google’dan gelen kullanıcıları hedefler; doğrudan URL yazınca yönlendirme yapmaz. Bazen de sadece Türkiye IP’lerinde çalışır, VPN açınca kaybolur. Bu strateji, site sahibinin olayı fark etmesini geciktirir. Bu yüzden teşhis aşamasında “bana denk gelmedi” demek asla yeterli değildir. Doğru yaklaşım, farklı cihaz ve tarayıcı kombinasyonlarında test yapmak, referer bazlı (Google’dan gelmiş gibi) girişleri kontrol etmek ve gerektiğinde sunucu loglarını incelemektir.
Virüs Temizleme :Redirect virüsü WordPress’te birkaç farklı katmana yerleşebilir. En yaygın kaynaklardan biri tema dosyalarıdır. Özellikle header.php, footer.php, functions.php gibi her sayfada çalışan dosyalara eklenen küçük bir JavaScript parçacığı veya koşullu PHP bloğu, belirli şartlarda yönlendirme yapar. İkinci yaygın kaynak wp_options tablosudur. Bazı saldırılar, widget alanlarına, tema ayarlarına veya özel option kayıtlarına script basar. Üçüncü kaynak .htaccess ve sunucu yönlendirmeleridir. Burada “sadece mobil user-agent gelince 302 at” gibi kurallarla yönlendirme yapılabilir. Dördüncü kaynak ise uploads klasörüne bırakılan sahte dosyalar ve backdoor’lardır. Saldırgan bir arka kapı bırakır, sen temizlesen bile yeniden enjekte eder. Bu yüzden “sildim geçti” yaklaşımı, çoğu redirect vakasında işe yaramaz.
Bu bulaşmanın belirtileri bazen çok nettir: kullanıcı siteye girer girmez başka sayfaya düşer. Bazen de daha sinsi olur: sayfa yüklenir, sonra bir anda pop-up gibi bir şey çıkar veya yeni sekme açılır. Hatta bazı vakalarda sadece tek bir sayfada olur; örneğin bir blog yazısı açıldığında tetikler, ana sayfada değil. Bu da temizlikte işleri zorlaştırır, çünkü virüs sayfa bazlı koşullarla çalışabilir. Ayrıca yönlendirmeler bazen 301/302 gibi sunucu kodlarıyla olur, bazen de JavaScript ile tarayıcı üzerinden yapılır. Bu ayrım önemlidir: sunucu yönlendirmesi ile tarayıcı yönlendirmesi farklı yerlerde aranır. DatWeb teşhisinde önce yönlendirmenin hangi katmanda yapıldığını belirleriz.
Temizlik sürecinde DatWeb’in yaklaşımı önce “kaynağı bulmak”tır. Çünkü redirect virüsü çoğu zaman bir semptom değil, bir mekanizmadır. Örneğin wp_head içine gizlenmiş script bulursun, silersin, iki saat sonra geri gelir. Bu durumda asıl sorun backdoor’dur. Ya da header.php temiz görünür ama .htaccess içinde user-agent kontrolüyle yönlendirme vardır. Bu nedenle temizlik; tema dosyalarını, aktif eklentileri, wp_options içeriğini, .htaccess kurallarını, uploads dizinini ve zamanlanmış görevleri birlikte ele almayı gerektirir. Özellikle base64 ile gizlenmiş, eval ile çalışan kod blokları ve dışarıdan script çeken satırlar dikkatle incelenir. Saldırganın en sevdiği numara, kodu “normal bir analytics scripti gibi” göstermek veya rastgele dosya isimleriyle saklamaktır.
Temizliğin veritabanı ayağı da ihmal edilmez. wp_options içinde özellikle widget_text, theme_mods, custom_css ve benzeri alanlar kontrol edilir. Çünkü saldırgan, admin panelde fark edilmesi zor bir yere script basabilir. Ayrıca bazı sayfa builder’ların (Elementor gibi) depoladığı JSON veri içinde de script saklanabilir. Bu tip durumlarda sadece dosyayı temizlemek yetmez; ilgili içerik alanını da temizlemek gerekir. DatWeb burada “tek tek ayıkla ve doğrula” yöntemiyle ilerler. Kısa yoldan çözmeye çalışırsan, virüsün bir parçası mutlaka kalır.
Redirect malware temizlendikten sonra, asıl önemli bölüm başlar: sertleştirme. Çünkü yönlendirme virüsünün girdiği kapıyı kapatmazsan, aynı şey tekrar olur. DatWeb sertleştirmede şunları standart görür: WordPress çekirdeği, tema ve eklentileri güncellemek; kullanılmayan eklentileri kaldırmak; admin kullanıcılarını kontrol etmek, şüpheli hesapları kapatmak; parolaları sıfırlamak; giriş alanına brute force koruması koymak; dosya izinlerini düzeltmek; wp-config ve kritik dosyaları korumaya almak; gerektiğinde XML-RPC gibi riskli yüzeyleri kontrol etmek. Burada açık konuşayım: lisanssız (nulled) tema/eklenti kullanıyorsan, redirect virüsü tekrar eder. Çünkü o paketlerin içinde çoğu zaman arka kapı hazır gelir. Temizleyip tekrar aynı paketi kullanmak, kapıyı tekrar açık bırakmaktır.
Temizlik sonrası doğrulama aşaması da şarttır. Redirect virüslerinde “temizledik” demek için sadece siteyi bir kez açmak yetmez. Farklı tarayıcılar (Chrome, Firefox, Safari), farklı cihazlar (mobil/desktop), farklı giriş senaryoları (Google’dan gelmiş gibi, sosyal medyadan gelmiş gibi, doğrudan URL ile) test edilir. Ayrıca mümkünse sunucu loglarında şüpheli istekler ve anormal yönlendirme yanıtları kontrol edilir. Bazı durumlarda tarayıcı önbelleği ve servis worker gibi modern web bileşenleri bile virüsü “hissettiriyor” gibi yapabilir; bu yüzden cache temizliği ve CDN davranışı da değerlendirilir.
Virüs Temizleme : DatWeb yönlendirme virüsü temizleme hizmetinin çıktısı şudur: site içindeki yönlendirme mekanizmasının tamamen kaldırılması, bulaşmayı tekrar üreten arka kapıların temizlenmesi, WordPress bileşenlerinin doğrulanması ve tekrar bulaşmayı azaltan güvenlik sertleştirmesinin uygulanması. Hedefimiz, kullanıcıların siteye güvenle girebildiği, Google tarafında itibar kaybı yaşamayan ve işletmenin sürekli “biri yine şikâyet etti” stresiyle yaşamadığı bir düzen kurmaktır. Redirect malware, doğru ele alınırsa temizlenir; ama hafife alınırsa aylarca sürer. DatWeb’in tavrı bu yüzden nettir: işi kökünden bitiririz.
Virüs Temizleme
Backdoor (Arka Kapı) Zararlıları
Backdoor (arka kapı) zararlıları, WordPress saldırılarında en tehlikeli ve en çok gözden kaçan türlerden biridir. Çünkü backdoor’un amacı “siteyi bozmak” değildir; siteye kalıcı erişim sağlamaktır. Saldırgan bir kere içeri girdiyse, temizlense bile tekrar girebilmek için arka planda gizli bir giriş bırakır. İşte bu kapı durduğu sürece, sen bugün SEO spamı da temizlesen, yarın redirect virüsü de silsen aynı saldırı tekrar eder. Bu yüzden DatWeb’de virüs temizleme işinin en kritik aşaması backdoor avıdır. Net söyleyeyim: backdoor bulunmadan biten temizlik, temizlik değildir.
Virüs Temizleme : Backdoor’lar genelde “masum gibi görünen” bir dosya veya kod parçası şeklinde saklanır. Bu bazen uploads klasöründe duran tek bir PHP dosyasıdır, bazen tema dosyalarının içine gömülmüş küçük bir bloktur, bazen de bir eklentinin içine eklenmiş gizli bir dosyadır. Saldırganın hedefi, dosyayı ilk bakışta fark etmeyeceğin şekilde saklamaktır. Dosya isimleri çoğu zaman şüphe çekmez: cache.php, old.php, class.php, wp-vcd.php gibi. Hatta bazen görsel dosyası gibi davranan ama içinde PHP taşıyan yapılar da görülür. Bu yüzden backdoor temizliği, “dosya adına bak, sil” gibi çocuk işi yöntemlerle olmaz; kod seviyesinde analiz gerekir.
Virüs Temizleme :Backdoor’un çalışma mantığı farklı biçimlerde olabilir. En yaygın yöntem, PHP içinde uzaktan komut çalıştırmayı sağlayan fonksiyonların kötüye kullanılmasıdır. Örneğin saldırgan, belirli bir URL parametresi geldiğinde kod çalıştıracak şekilde bir kapı bırakır. Bu kapı şifrelenmiş olabilir, obfuscation ile gizlenmiş olabilir veya sadece belirli IP’lerden gelen isteklere cevap verecek şekilde ayarlanmış olabilir. Bazı backdoor’lar, WordPress’e yeni bir admin kullanıcı ekler ve bunu görünmeyecek şekilde saklar. Bazıları, wp_options içine gizli bir seçenek yazar ve oradan tetiklenir. Bazıları da wp-cron üzerinden belirli aralıklarla kendini günceller, yeni dosya indirir, yeni spam içerik üretir. Yani backdoor sadece “giriş” değildir; saldırganın siteyi uzaktan yönetme panelidir.
WordPress’te backdoor’ların en sevdiği yerler belli: wp-content/uploads (yazma yetkisi genelde vardır), wp-content/cache veya geçici klasörler, tema dizinleri ve “kullanılmayan ama sunucuda duran” eklenti klasörleri. Özellikle uploads içi risklidir çünkü site düzenli olarak buraya dosya yükler; yani dosya değişiklikleri doğal görünür. Saldırgan da bunu kullanır. Bir diğer riskli alan, mu-plugins gibi otomatik çalışan yapılar veya wp-config.php gibi kritik dosyalardır. Eğer saldırgan wp-config içine küçük bir include satırı eklediyse, backdoor her istekte devreye girebilir. Bu yüzden DatWeb yaklaşımında sadece “aktif tema/aktif eklenti” bakışı yetmez; tüm wp-content ve kritik dosyalar taranır.
Backdoor’ların tespiti zor olmasının bir nedeni de gizleme teknikleridir. Saldırgan kodu okunmaz hale getirir: base64 ile şifreler, eval ile çalıştırır, gzinflate ile sıkıştırır, karakterleri parçalar, değişken isimlerini anlamsız yapar. Kodun içine “normal bir analytics kodu” gibi görünen satırlar ekler, hatta bazen WordPress fonksiyonlarıyla karıştırır. Bu yüzden backdoor tespiti, sadece antivirüs taramasıyla sınırlı kalmamalıdır. DatWeb’de backdoor temizliğinde dosya değişiklikleri, şüpheli fonksiyon kullanımları, beklenmeyen dış bağlantılar (remote include), cron tetiklemeleri ve anormal dosya izinleri gibi sinyaller birlikte değerlendirilir. Klasik ustalık burada devreye girer: saldırganın mantığı okunur.
Backdoor bulaşmasının en büyük göstergesi şudur: Sen temizlik yaparsın, kısa süre sonra aynı saldırı geri gelir. SEO spam geri basar, yönlendirme yeniden başlar, siteye tekrar spam kullanıcı eklenir. Bu döngü varsa, yüzde doksan backdoor vardır. İkinci gösterge, dosya sisteminde “kendiliğinden” tekrar ortaya çıkan dosyalardır. Üçüncüsü, admin panelde açıklanamayan kullanıcılar, eklentiler veya ayarlar görmendir. Dördüncüsü, sunucu loglarında sürekli aynı IP’den ya da aynı user-agent’tan gelen garip istekler ve parametrelerdir. Backdoor genelde “kapı” olduğu için, saldırgan gelip giderken iz bırakır; bu iz doğru okunursa kapı bulunur.
DatWeb’in backdoor temizliğinde izlediği yöntem disiplinlidir. Önce mevcut durum sabitlenir; yedek alınır, kritik veriler korunur. Sonra dosya sistemi ve veritabanı birlikte analiz edilir. Şüpheli dosyalar tek tek incelenir, temiz core dosyaları doğrulanır, tema ve eklentiler güvenilir kaynaklardan yeniden kurulacak şekilde planlanır. Backdoor kodu tespit edildiğinde, sadece o dosyayı silmekle kalmayız; o dosyayı siteye sokan mekanizmayı da ararız. Çünkü backdoor’un kendisi sonuçtur; sebep genellikle bir zafiyettir: güncel olmayan eklenti, zayıf parola, yanlış izinler veya lisanssız paket. Sebep kapatılmadan “kapı” hep tekrar açılır.
Temizlikten sonra sertleştirme olmazsa olmazdır. Backdoor vakalarında sertleştirme daha agresif olur: tüm admin parolaları sıfırlanır, gereksiz yönetici hesapları kaldırılır, dosya izinleri düzenlenir, giriş denemeleri sınırlandırılır, kullanılmayan eklentiler tamamen kaldırılır, tema/eklenti güncellemeleri yapılır, mümkünse iki aşamalı doğrulama devreye alınır. Bazı projelerde wp-admin erişimi ek kurallarla sınırlandırılabilir veya sunucu düzeyinde ek güvenlik önlemleri alınır. Ayrıca düzenli yedekleme ve izleme (log takibi) kurulur. Çünkü backdoor mantığı, fırsat buldu mu tekrar yazılmaktır. Sen de fırsatı kapatırsın.
Bu noktada net konuşmak gerekir: Nulled (lisanssız) tema ve eklentiler backdoor’un en büyük kaynağıdır. “Temizledik” deyip aynı crackli paketi geri koymak, eve giren hırsızın anahtarını geri vermektir. DatWeb, bu konuda taviz vermez. Kalıcı çözüm istiyorsan, güvenilir kaynak kullanacaksın. WordPress güvenliği, yıllardır aynı kuralı tekrar eder: güncel yazılım + temiz kaynak + doğru yetki. Bu üçü yoksa backdoor tekrar gelir.
DatWeb backdoor temizleme hizmetini siteye kalıcı erişim sağlayan arka kapıların tamamen kaldırılması, bu kapıları tekrar üreten mekanizmaların yok edilmesi, WordPress çekirdeği ve bileşenlerin doğrulanması ve tekrar bulaşma riskini düşüren güvenlik sertleştirmesi. Böylece site sadece “bugün” temiz olmaz; yarın da saldırgana açık kapı bırakmaz. Backdoor’u ciddiye almazsan, her temizlik boşa gider. Biz ciddiye alırız ve işi kökünden bitiririz.
Virüs Temizleme
Web Shell (Uzaktan Komut Kabuğu)
Web shell, WordPress’e bulaşan zararlılar arasında “en tehlikeli sınıf” diyebileceğimiz bir türdür. Çünkü web shell’in amacı sadece siteye spam basmak ya da yönlendirme yapmak değildir; saldırgana sunucu üzerinde uzaktan komut çalıştırma imkânı verir. Yani olay WordPress sınırını aşar, hosting hesabının tamamı risk altına girer. Web shell varsa saldırgan, dosya yükleyebilir, dosya silebilir, veritabanı bilgilerini çekebilir, yeni backdoor bırakabilir, spam mailer kurabilir, hatta aynı sunucudaki diğer sitelere sıçramaya çalışabilir. Bu yüzden DatWeb’de web shell tespiti ve temizliği “normal virüs temizliği” gibi ele alınmaz; daha sert, daha kontrollü ve daha geniş kapsamlı müdahale gerekir.
Virüs Temizleme : Web shell genellikle tek bir dosya gibi görünür ama arkasında bir kontrol paneli vardır. Saldırgan bu dosyayı çağırır, bir arayüz üzerinden komut verir, dosya sisteminde gezinir, yeni dosyalar yükler, zip açar, veritabanına bağlanır. Kimi shell’ler basit bir PHP dosyasıdır; kimileri ise obfuscation ile gizlenmiştir ve normal bir dosya gibi görünür. Bazıları “resim” uzantısıyla gelir ama yanlış yapılandırılmış sunucularda yine çalışabilir; bazıları da mevcut bir dosyanın içine gizlenerek fark edilmemeye çalışır. Bu yüzden web shell tespiti, sadece “şüpheli dosya adı” aramakla bitmez; davranış analizi ve iz sürme ister.
WordPress ortamında web shell’in en sık saklandığı yer wp-content/uploads dizinidir. Çünkü uploads genelde yazılabilir durumdadır ve site zaten buraya dosya yükler; yani saldırganın bıraktığı dosya kalabalığın içinde kaybolur. Ayrıca wp-content/cache, tmp benzeri dizinler, hatta kullanılmayan eklenti klasörleri de shell saklamak için tercih edilir. Dosya isimleri çoğu zaman dikkat çekmez: cache.php, index.php, old.php, class.php, wp-admin.php gibi. Hatta bazen dosya adını “normal bir WordPress dosyası” gibi seçer, böylece gözden kaçırır. Eğer sunucuda dosya listelemeyi açan bir zafiyet veya yanlış izin varsa, iş daha da kolaylaşır.
Web shell’in en belirgin işareti, sunucu tarafında anormal davranıştır. Örneğin hosting CPU sürekli yükselir, süreçler şişer, siteler yavaşlar, disk alanı durduk yere dolar, spam mail çıkışı artar, loglar garip isteklerle dolup taşar. Bazı vakalarda site yönlendirme yapmaz bile; sadece arka planda saldırgan aktif olarak sunucuyu kullanır. Bu yüzden “site açılıyor, demek ki sorun yok” cümlesi web shell vakalarında tamamen yanlıştır. Shell, sessizce çalışabilir.
DatWeb’de web shell temizliği önce teşhisle başlar: shell’in nerede olduğu, kaç tane olduğu, hangi tarihlerde yazıldığı, hangi isteklerle çağrıldığı ve hangi kullanıcı/servis tarafından tetiklendiği araştırılır. Burada sunucu logları (access/error log), dosya değişiklik zamanları ve şüpheli istek parametreleri önemli ipuçları verir. Shell dosyaları çoğu zaman belirli parametrelerle çağrılır ve logda “tuhaf” görünür. Ayrıca bazı shell’ler kendi kendine güncellenir; uzaktan başka dosyalar indirir. Bu durumda temizlik sadece tek dosyayı silmekle bitmez; indirilen diğer dosyalar, cron tetikleri ve backdoor zinciri de temizlenmelidir.
Temizlik aşamasında temel prensip şudur: sadece shell’i kaldırmak yetmez; shell’in geldiği açık da kapatılmalıdır. Çünkü saldırgan shell’i bir zafiyet üzerinden atmıştır: güncel olmayan eklenti, zayıf şifre, lisanssız tema/eklenti, yanlış dosya izinleri, eski PHP sürümü veya sunucu tarafında bir güvenlik açığı. Açık kapanmadan shell geri gelir. DatWeb bu yüzden temizlikle birlikte sertleştirmeyi birlikte yürütür: tüm WordPress çekirdeği ve bileşenler güncellenir, kullanılmayan eklentiler kaldırılır, yönetici hesapları kontrol edilir, parolalar sıfırlanır, dosya izinleri düzeltilir ve yazılabilir dizinlerin davranışı gözden geçirilir.
Web shell vakalarında kritik bir risk daha vardır: aynı hosting hesabındaki diğer siteler. Paylaşımlı hosting kullanıyorsan, saldırgan bir site üzerinden diğerlerine sıçramaya çalışabilir. Bu yüzden DatWeb yaklaşımı “tek siteyi temizledim” diye bırakmaz; aynı hesap altında başka WordPress kurulumları varsa risk değerlendirmesi yapılır. Gerekirse izolasyon, ayrı kullanıcı/dizin yapısı veya hosting tarafında ek önlemler önerilir. Çünkü shell, saldırganın eline “çok amaçlı anahtar” verir. Bu anahtar bir kez elde edildi mi, bir siteyi temizlemek yetmeyebilir.
Bir diğer önemli nokta, web shell’in bazen görünür bir zarara yol açmaması ama veri güvenliği riski taşımasıdır. Saldırgan veritabanı şifrelerini çekmiş olabilir, wp-config içinden anahtarları almış olabilir, admin cookie/oturum bilgilerini kopyalamış olabilir. Bu nedenle web shell temizliğinden sonra parola ve anahtar sıfırlamaları önemlidir: WordPress admin kullanıcı şifreleri, FTP/cPanel şifreleri, veritabanı şifreleri, SMTP şifreleri, varsa API anahtarları. Çünkü shell, yalnızca dosya değil, kimlik bilgisi hırsızlığına da kapı aralar.
DatWeb web shell temizleme hizmetinin sonunda yapılan doğrulama da “site açılıyor mu” ile sınırlı değildir. Admin panel, formlar, e-posta, kritik sayfalar test edilir; ama asıl doğrulama sunucu davranışıdır: anormal CPU kullanımı düzelmiş mi, şüpheli istekler kesilmiş mi, yeni dosya yazımı devam ediyor mu, loglarda aynı pattern var mı. Gerekirse belirli süre izleme ve log kontrolü yapılır. Çünkü web shell saldırıları, temizlikten sonra da “kalıntı” bırakabilir. Kalıntı kalırsa saldırgan yeniden kontrolü alabilir.
Son olarak açık konuşalım: Nulled (lisanssız) tema/eklenti ve güncellenmeyen WordPress bileşenleri web shell için en kolay davetiyedir. “Ucuz olsun” diye yapılan bu tercih, sonunda çok daha pahalıya patlar: IP kara listeye girer, e-posta teslimi bozulur, hosting kapanır, müşteri verisi riske girer. DatWeb bu konuda taviz vermez. Web shell temizliği yapılacaksa, temizliğin kalıcı olması için sistemin güvenli kaynaktan ve güncel bileşenlerle devam etmesi şarttır.
Özetle web shell, WordPress dünyasında “sunucuya uzanan el”dir. DatWeb olarak bu tür vakalarda hedefimiz üçlüdür: shell dosyalarını ve zincir dosyaları tamamen kaldırmak, shell’in giriş yolunu kapatmak ve sunucu/WordPress tarafında tekrar bulaşmayı zorlaştıracak sertleştirmeyi uygulamak. Bu iş hafife alınmaz; alınırsa sadece site değil, tüm hesap elden gider.
Cryptominer ve Kaynak Sömürücü Zararlılar
Cryptominer ve kaynak sömürücü zararlılar, WordPress sitelerde “göze batmadan zarar veren” saldırı türlerindendir. Çünkü çoğu zaman site açılır, içerikler yerindedir, kullanıcı ilk bakışta bir problem fark etmez. Ama arka planda sunucu kaynakları emilir: CPU sürekli yüksek çalışır, RAM şişer, disk I/O artar, site yavaşlar, hosting limitleri dolar ve sonunda ya siten çöker ya da hosting sağlayıcın hesabı askıya alır. Bu tür bulaşmaların amacı, senin sunucunu saldırganın paraya çevireceği bir makineye dönüştürmektir. Bir anlamda senin ödediğin hosting faturasıyla başkasına gelir kapısı açılır. DatWeb’de bu tip vakaları “performans sorunu” diye hafife almayız; çoğu zaman arkasında doğrudan kötü niyetli bir kaynak tüketimi vardır.
Virüs Temizleme Cryptominer’ın klasik hedefi kripto para madenciliği yapmaktır. Bazıları tarayıcı tabanlı çalışır: siteye giren kullanıcının tarayıcısını kullanarak CPU tüketir, sayfa açık kaldıkça madencilik yapar. Bazıları ise sunucu tarafında çalışır: doğrudan server üzerinde bir süreç başlatır, arka planda sürekli hesap yapar. WordPress dünyasında daha kritik olan genellikle sunucu taraflı olanıdır; çünkü 7/24 çalışır, kaynak tüketimini tavan yaptırır ve fark edilmesi zor olabilir. Kaynak sömürücü zararlılar ise illa madencilik yapmaz; botnet işlemleri, proxy servisleri, spam gönderimi için altyapı kurma, dosya sıkıştırma/açma, dışarıya trafik aktarma gibi amaçlarla da kaynak tüketebilir.
Bu bulaşmanın tipik belirtileri nettir: Site eskisine göre belirgin şekilde yavaşlar, özellikle admin panelde sayfalar geç açılır. Sunucu tarafında CPU kullanımı sürekli yüksek görünür, bazen anlık pik değil “sabit yüksek” olur. Hosting firması “kaynak aşımı” uyarısı gönderir, bazı sayfalarda 500/503 hataları çıkmaya başlar. E-posta gönderimi bozulabilir, cron işlemleri gecikir, yedekleme işlemleri yarıda kalabilir. Hatta bazı durumlarda sadece belirli saatlerde yavaşlık olur; saldırgan bunu planlayıp trafik yoğunken yük bindirebilir. Bu yüzden “hosting kötü” diye geçiştirmek yanlıştır; önce sistemin temiz olduğundan emin olmak gerekir.
Virüs Temizleme :Cryptominer ve kaynak sömürücü zararlılar WordPress’e genellikle iki yolla yerleşir. Birincisi, sunucuya bırakılan kötü niyetli süreçler ve dosyalardır. Bu dosyalar bazen wp-content/uploads içinde saklanır, bazen cache klasörlerine gömülür, bazen de tamamen WordPress dışı bir dizinde durur ama WordPress üzerinden tetiklenir. İkinci yol, WordPress’in içine yerleştirilen tetik mekanizmalarıdır: wp-cron görevleri, zamanlanmış işlemler veya her sayfa yüklenişinde çalışan küçük bir PHP kodu. Saldırgan şunu yapar: bir kere backdoor veya web shell ile içeri girer, sonra “kalıcı gelir” için miner’ı kurar ve tetiklemeyi sağlar. Sen sadece görünür dosyayı silersen, tetik mekanizması tekrar indirir ve tekrar çalıştırır.
Tarayıcı tabanlı madencilikte ise saldırgan genelde siteye bir JavaScript enjekte eder. Bu script, kullanıcı sayfadayken CPU’yu kullanır. Bu tür bulaşma çoğu zaman header.php gibi tema dosyalarında, wp_options içindeki widget/tema ayarlarında veya bir eklentinin içine gömülü halde bulunur. Kullanıcı tarafında cihaz ısınır, pil hızlı biter, sayfa kasar. Bazı tarayıcılar bunu engellemeye çalışsa da her zaman başarılı olmaz. Bu yüzden DatWeb’de kaynak sömürücü şüphesi varsa hem sunucu tarafını hem de tarayıcı tarafını kontrol ederiz.
DatWeb’in teşhis yaklaşımı önce “yük nereden geliyor?” sorusunu cevaplamaktır. CPU/RAM neden yükseliyor: gerçek trafik mi, kötü sorgu mu, yanlış cache mi, yoksa kötü niyetli süreç mi? Loglar, süreç listeleri, dosya değişiklikleri ve cron kayıtları incelenir. WordPress tarafında olağan dışı istekler, sürekli çağrılan dosyalar, anormal POST/GET parametreleri analiz edilir. Eğer miner sunucu tarafında çalışıyorsa, genelde arka planda sürekli bir süreç bırakır ve bu süreç belirli dosyalarla ilişkilidir. Bu dosyalar tespit edilmeden temizlik bitmez. Eğer tetik cron üzerindeyse, cron görevleri temizlenmeden ve güvene alınmadan sorun geri döner.
Temizlik aşamasında hedef, yalnızca miner dosyasını kaldırmak değil; zinciri kırmaktır. Miner’ın kendisi, onu indiren/başlatan mekanizma ve içeri sızmayı sağlayan açık birlikte ele alınır. WordPress çekirdeği, tema ve eklentiler güncellenir; kullanılmayan eklentiler kaldırılır; lisanssız paketler tamamen çıkarılır. Yönetici hesapları kontrol edilir, şüpheli kullanıcılar kapatılır, parolalar sıfırlanır. Dosya izinleri düzenlenir, özellikle uploads gibi dizinlerde PHP çalışmasını kolaylaştıran riskli durumlar varsa engellenir. Çünkü saldırganın en sevdiği şey, yazılabilir bir dizine dosya bırakıp oradan tetiklemektir.
Kaynak sömürücü zararlılarda performans tarafı da temizlik kadar önemlidir. Çünkü bazen saldırgan bir miner bırakmıştır ama aynı zamanda site zaten şişkin eklenti yüküyle zor yürüyordur. Temizlikten sonra siteyi stabilize etmek gerekir: gereksiz eklentiler azaltılır, cache mantığı toparlanır, veritabanı bakımı yapılır, görsel ve dosya optimizasyonu kontrol edilir. DatWeb burada “tek hamleyle mucize” vaat etmez; ama sistemin tekrar aynı duruma düşmemesi için gereken düzeni kurar. Aksi halde hosting yeniden sınır aşımına gider ve işletme yeniden kesinti yaşar.
Bu tür vakalarda en kritik gerçek şudur: Eğer siteye cryptominer bulaştıysa, büyük ihtimalle daha önce bir backdoor veya web shell üzerinden içeri girilmiştir. Yani miner, son aşamadır. Bu yüzden temizlikte sadece miner’ı kaldırıp bırakmak çok büyük hatadır; geride kalan arka kapı, yarın başka bir zararlı daha getirir. DatWeb bu nedenle kaynak sömürücü vakalarında backdoor/web shell izlerini özellikle arar ve temizliğin ana parçası yapar. Temizlik + sertleştirme birlikte yapılmadan “tamamdır” denmez.
DatWeb cryptominer ve kaynak sömürücü temizliği sonunda teslim edilen çıktı şudur: sunucuyu yoran kötü niyetli süreçlerin ve dosyaların kaldırılması, tetik mekanizmalarının (cron, gizli include, .htaccess kuralı vb.) temizlenmesi, WordPress bileşenlerinin doğrulanması ve tekrar bulaşmayı zorlaştıracak güvenlik sertleştirmesi. Ayrıca site performansı temel seviyede stabilize edilir; CPU tüketimi normale döner, yavaşlık azalır, hosting kaynak aşımı riski düşer. Çünkü amaç sadece temizlemek değil; siteyi tekrar güvenilir, stabil ve yönetilebilir bir hale getirmektir.
Virüs Temizleme :Cryptominer ve kaynak sömürücü zararlılar, işletmenin cebinden para çalar. Hosting faturasını yükseltir, ziyaretçiyi kaçırır, marka itibarını zedeler. Bu yüzden “yavaşladı, geçer” diye bırakılmaz. Disiplinli teşhis, kök temizlik ve sertleştirme ile bu iş çözülür. DatWeb’in yaklaşımı da her zaman bu çizgidedir: kalıcı düzen kurmak.
Kredi Kartı ve Ödeme Hırsızlığı (Skimmer, Magecart Benzeri)
Kredi kartı ve ödeme hırsızlığı amaçlı bulaşmalar, WordPress dünyasında en kritik ve en ağır sonuç doğuran saldırı türüdür. Çünkü bu noktada mesele sadece sitenin bozulması değildir; doğrudan müşteri verisi, finansal güven ve marka itibarı devreye girer. Skimmer veya Magecart benzeri yapılar, özellikle WooCommerce gibi e-ticaret altyapılarında ödeme adımına sızarak kullanıcıdan kart bilgisi toplamaya çalışır. Bu bilgi bazen form alanlarından okunur, bazen ödeme sağlayıcının sayfasına gönderilmeden önce kopyalanır, bazen de tarayıcıda girilen veriler yakalanıp dışarıya sızdırılır. Sonuç net: Böyle bir olay yaşandığında, sadece teknik temizlik yetmez; işletmenin güvenlik, itibar ve bazı durumlarda hukuki süreçleri yönetmesi gerekir. DatWeb yaklaşımı bu yüzden serttir: bu tip vaka hafife alınmaz, hızlı ama kontrollü müdahale edilir.
Bu saldırı tipinin en sinsi tarafı şudur: Site normal çalışır. Kullanıcı sepete ürün ekler, ödeme sayfası açılır, hatta sipariş bile başarıyla tamamlanabilir. İşletme bu sırada hiçbir şey fark etmez. Saldırganın amacı da zaten budur. Siteyi çökertmez, gürültü çıkarmaz, mümkün olduğunca uzun süre görünmeden veri toplar. Bu nedenle skimmer vakalarında ilk sinyaller genelde dışarıdan gelir. Banka itirazları artar, müşteriler kartından izinsiz çekim oldu der, ödeme sağlayıcısı risk uyarısı verir, tarayıcı güvenlik uyarıları başlar veya güvenlik taraması yapan bir servis sitenin ödeme sayfasında şüpheli script tespit eder. Burada net konuşayım: Bu tür bir şüphe varsa, zaman kaybetmek doğrudan zararı büyütür.
Skimmer ve Magecart benzeri saldırıların çalışma mantığı çoğunlukla JavaScript tabanlıdır. Çünkü ödeme sayfasında veri tarayıcı üzerinden geçer ve JavaScript bu veriye erişebilir. Saldırgan genelde checkout sayfasına bir script enjekte eder. Bu script bazen tema dosyalarına gömülür, bazen bir eklenti dosyasının içine saklanır, bazen de veritabanındaki bir ayar alanından sayfaya basılır. Daha sofistike vakalarda, saldırgan doğrudan bir üçüncü taraf kaynağından script çeker. Yani ödeme sayfası yüklenirken dışarıdan bir JavaScript dosyası da yüklenir ve skimmer bunun içindedir. Bu yöntem özellikle tehlikelidir, çünkü saldırgan scripti dışarıdan güncelleyebilir ve senin sitede dosya değişikliği olmadan davranış değişebilir.
WordPress tarafında bulaşmanın en sık yerleştiği noktalar bellidir. Birincisi tema dosyalarıdır. Ödeme sayfasında çalışan ortak header veya footer içine eklenen tek satır bile yeter. İkincisi eklentilerdir. Güncel olmayan, lisanssız veya kötü yazılmış eklentiler saldırı vektörü olur. Üçüncüsü veritabanıdır. Bazı saldırılar wp_options içine ya da sayfa builder verilerinin içine script gömer. Dördüncüsü uploads dizinidir. Saldırgan buraya bir dosya koyar ve ödeme sayfasında bu dosyayı çağırır. Beşincisi sunucu yönlendirmeleri veya önbellek katmanlarıdır. Bazı vakalarda cache sistemi, temizlenmiş gibi görünen sayfayı aslında kirli şekilde servis edebilir. Bu yüzden temizlikte yalnızca WordPress dosyalarına bakmak yetmez; sayfanın gerçekten tarayıcıya ne gönderdiğini de doğrulamak gerekir.
Belirti tarafında dikkat edilmesi gereken şeyler vardır, ama şunu baştan kabul etmek gerekir: Bu saldırılar bilinçli olarak sessiz çalışır. Yine de bazı ipuçları yakalanabilir. Ödeme sayfasında sonradan eklenmiş, tanınmayan JavaScript dosyaları; checkout sayfasının kaynak kodunda beklenmedik dış domain çağrıları; normalde kullanılmayan bir analitik benzeri scriptin aniden ortaya çıkması; ödeme sayfasında gereksiz form alanlarının türemesi; tarayıcı konsolunda şüpheli ağ istekleri; ödeme adımında normal dışı gecikme; belirli cihazlarda daha sık yaşanan hatalar gibi sinyaller önemlidir. Ayrıca eğer WooCommerce kullanılıyorsa, ödeme sayfasına özel çalışan dosyalar ve enqueue edilen script listesi kontrol edilmelidir. Çünkü saldırgan çoğunlukla checkout koşulunda tetikleme yapar, diğer sayfalarda görünmez.
Virüs Temizleme : Skimmer vakalarında en kritik risk, kart verisinin gerçekten çalınıp çalınmadığıdır. DatWeb burada şunu net söyler: Bir skimmer bulunduysa, veri sızıntısı ihtimalini ciddiye almak zorundasın. Kesin olarak sızdı demek için delil gerekir; ama “sızmadı” demek için daha da güçlü delil gerekir. Bu yüzden müdahale planı, zarar kontrolü üzerinden kurgulanır. Önce bulaşmayı durdurmak, sonra kaynağı temizlemek, ardından tekrar bulaşmayı engellemek, en sonunda da itibar ve güven yönetimini yapmak gerekir. Bu sıralama tesadüf değil, yıllardır sahada çalışan klasik sıralamadır.
DatWeb müdahalesinde ilk hedef, ödeme akışını güvenli hale getirmektir. Şüphe güçlü ise checkout geçici olarak kapatılabilir veya ödeme sayfası bakım moduna alınabilir. Bu kulağa sert gelir ama doğru olandır. Çünkü her geçen dakika yeni müşterinin riske girmesi demektir. Ardından sistemden kanıt toplanır. Dosya ve veritabanı yedeği alınır, loglar saklanır, olayın zaman çizelgesi çıkarılmaya çalışılır. Bu aşamada panikle rastgele dosya silmek doğru değildir. Çünkü hem iz kaybolur hem de saldırganın bıraktığı ikincil kapılar gözden kaçabilir.
Temizlik aşamasında asıl mesele, enjekte edilen scripti bulmakla birlikte onu tekrar yazan mekanizmayı da yok etmektir. Skimmer çoğu zaman tek başına gelmez; arka planda bir backdoor, web shell veya yetki sızıntısı vardır. Saldırgan bir kez erişim aldıysa, sen temizlesene bile yeniden enjekte edebilir. Bu yüzden DatWeb temizlikte sadece checkout sayfasını hedeflemez. WordPress çekirdeği doğrulanır, tema ve eklentiler güvenilir kaynaklarla karşılaştırılır, şüpheli dosyalar ayıklanır, veritabanında script taşıyan alanlar kontrol edilir ve temizlenir. Ayrıca özellikle ödeme sayfasında yüklenen tüm scriptler tek tek gözden geçirilir. Burada amaç, ödeme adımına giren her kod parçasının meşru olduğundan emin olmaktır.
Bu tür saldırılarda üçüncü taraf bağımlılıklar da kritik rol oynar. Bazı siteler ödeme sayfasında gereksiz sayıda harici servis kullanır: izleme araçları, chat widgetları, reklam pikselleri, A/B test scriptleri gibi. Her harici script, potansiyel risk yüzeyi demektir. Skimmer saldırıları bazen doğrudan bu zincire sızar. Yani senin sitene değil, kullandığın bir üçüncü taraf script kaynağına müdahale edilir ve sen fark etmeden ödeme sayfana zararlı kod gelir. Bu senaryoda temizlik, sadece WordPress içindeki dosyaları temizlemekle bitmez; ödeme sayfasında çalışan üçüncü taraf kaynakları azaltmak, güvenilir kaynaklara sabitlemek ve gerektiğinde politikalarla sınırlandırmak gerekir. DatWeb bu noktada pragmatiktir: ödeme sayfasında gereksiz hiçbir şey bırakılmaz.
Sertleştirme aşaması skimmer vakalarında standarttan daha sıkı olmalıdır. Çünkü bu olay yaşandıysa, sitenin saldırıya açık yüzeyleri vardır. WordPress çekirdeği, tema ve eklentiler güncellenir. Kullanılmayan eklentiler kaldırılır. Admin kullanıcıları tek tek incelenir, gereksiz yetkiler kapatılır, parolalar sıfırlanır ve mümkünse iki aşamalı doğrulama devreye alınır. Dosya izinleri gözden geçirilir. Özellikle yazılabilir dizinlerde riskli davranışlar engellenir. Hosting erişimleri, panel şifreleri, FTP hesapları, veritabanı parolaları, SMTP ve API anahtarları da bu kapsamda değerlendirilir. Çünkü saldırgan ödeme sayfasına skimmer koyduysa, çoğu zaman sadece WordPress admin şifresiyle kalmamıştır; farklı kimlik bilgilerini de ele geçirmiş olabilir.
Virüs Temizleme :Skimmer ve Magecart benzeri vakalarda doğrulama, klasik virüs temizliğinden daha zordur. Çünkü sadece site açılıyor mu diye bakılmaz. Ödeme sayfasının kaynak kodu, script zinciri, ağ istekleri ve gerçek tarayıcı davranışı incelenir. Farklı tarayıcılarda, farklı cihazlarda, farklı trafik senaryolarında test yapılır. Cache katmanı varsa temizlenir ve doğrulanır. CDN kullanılıyorsa, CDN üzerinden servis edilen içerik kontrol edilir. Ayrıca ödeme sağlayıcısının yönlendirmeli modeli kullanılıyorsa, ödeme formunun gerçekten sağlayıcı tarafında mı yoksa sitede mi işlendiği netleştirilir. Bu ayrım önemlidir. Çünkü ödeme formu tamamen sağlayıcı sayfasında ise risk başka türlü değerlendirilir; ama site içinde kart alanı varsa risk doğrudan büyür. DatWeb bu teknik ayrımı netleştirir ve ona göre aksiyon alır.
Bu tür bir olayın işletme tarafında da sonuçları vardır. Müşteri güveni bir kere kırılırsa geri toplamak zordur. Bu nedenle temizliğin yanında süreç yönetimi gerekir. Ödeme sağlayıcısı ile iletişim kurulması, risk departmanının taleplerinin karşılanması, gerekiyorsa kartlı ödeme süreçlerinin geçici güvenli modele alınması, müşterilere doğru bilgilendirme yapılması gibi adımlar önem taşır. Burada tek bir doğru yoktur; sitenin ölçeği, müşteri kitlesi, ödeme altyapısı ve olayın kapsamı belirleyicidir. Ama temel prensip değişmez: gizlemek yerine kontrol altına almak ve güveni yeniden tesis edecek adımları atmak gerekir. DatWeb bu noktada teknik tarafta sorumluluğunu net şekilde alır: siteyi temizler, güvenli hale getirir, tekrar bulaşmayı zorlaştırır.
Şunu da açıkça söylemek gerekir: Lisanssız tema ve eklentiler, skimmer vakalarının en büyük davetiyesidir. Çünkü bu paketler çoğu zaman arka kapılı gelir veya bilinen açıkları barındırır. Ayrıca uzun süre güncellenmeyen eklentiler, özellikle ödeme ve form işleyen eklentiler, ciddi risk taşır. WordPress’te ödeme alanı, saldırgan için en değerli alandır. Bu yüzden ödeme tarafında kullanılan her bileşenin güncel, güvenilir ve mümkün olduğunca sade olması gerekir. DatWeb’in geleneksel yaklaşımı burada devreye girer: az bileşen, temiz kaynak, sıkı yetki, düzenli bakım. Bu dört unsur yoksa, e-ticaret sitesi uzun vadede sorun yaşamaya adaydır.
DatWeb olarak bu hizmeti Birincisi, ödeme sayfasına sızan zararlı scriptin ve bağlı bileşenlerin tamamen kaldırılması. İkincisi, skimmerı tekrar üreten mekanizmanın yok edilmesi; yani backdoor, web shell, cron tetikleyicisi veya zayıf noktaların kapatılması. Üçüncüsü, WordPress çekirdeği, tema ve eklentilerin doğrulanması ve güvenilir sürümlerle devam edilmesi. Dördüncüsü, yönetici hesapları, erişim bilgileri ve sunucu izinleri dahil güvenlik sertleştirmesi. Beşincisi, ödeme akışının tarayıcı ve gerçek kullanıcı senaryolarıyla test edilerek doğrulanması. Böylece site sadece temizlenmiş olmaz; güvenli çalıştığına dair teknik güvence oluşur.
Skimmer ve Magecart benzeri saldırılar, WordPress tarafında en pahalıya patlayan vakalardır. Çünkü zarar sadece teknik değildir, itibardır. Bu yüzden bu tür bir şüphede gecikmek lüks değil, hatadır. Doğru yaklaşım; hızlı izolasyon, delil kaybetmeden teşhis, kökten temizlik, sertleştirme ve doğrulama sürecidir. DatWeb’in çizgisi de budur: işi yumuşatmadan, kalıcı şekilde bitirmek.
Veritabanı Enjeksiyonları ve Gizli İçerik
WordPress’e bulaşan zararlıların en sinsi türlerinden biri veritabanı enjeksiyonları ve gizli içerik vakalarıdır. Çünkü burada “virüs dosyası” ararsın, bulamazsın; tema dosyaları tertemiz görünür, eklentiler günceldir, hatta güvenlik taraması “temiz” bile diyebilir. Ama site yine de spam link basar, arama sonuçlarında alakasız sayfalar çıkar, bazı ziyaretçiler yönlendirme görür veya içeriklerin içine görünmez bağlantılar gizlenir. Sebep basittir: saldırgan, WordPress’in beyni olan veritabanına müdahale etmiştir. Bu noktada iş, sadece dosya temizlemek değil, veritabanını cerrah gibi ayıklamaktır. DatWeb olarak bu tür vakalarda yaklaşımımız nettir: veritabanı temizlenmeden WordPress temiz sayılmaz.
Veritabanı enjeksiyonu, saldırganın SQL açıkları veya ele geçirilmiş admin erişimi üzerinden veritabanına zararlı veri yazmasıdır. Bu zararlı veri çoğu zaman script, spam link, gizli iframe, reklam yönlendirme kodu veya “kendi kendini tekrar yazan” bir payload olabilir. En yaygın hedefler wp_posts ve wp_options tablolarıdır. wp_posts içinde yazı ve sayfa içerikleri durur; saldırgan içeriklerin içine görünmez linkler basar, HTML’in içine script enjekte eder veya sayfanın belirli yerlerine spam blokları yerleştirir. wp_options ise WordPress’in ayar deposudur; tema ayarları, widget içerikleri, bazı eklenti konfigürasyonları burada durur. Saldırgan wp_options içine bir script gömerse, bu script her sayfada çalışacak şekilde temaya basılabilir. İşte bu yüzden “dosyalar temiz ama site kirli” senaryosu çok yaşanır.
Virüs Temizleme :Gizli içerik vakalarının klasik şekli görünmez link enjeksiyonudur. İçerik içinde yüzlerce backlink basılır ama kullanıcı bunu görmez. Nasıl gizlenir? display:none, visibility:hidden, font-size:0 gibi CSS numaralarıyla. Bazen linkin rengi arka planla aynı yapılır. Bazen sayfanın en altına 1 piksel alan içine link doldurulur. Ama Google botu HTML’yi okuduğu için bu linkleri görür ve siteni bir spam ağı gibi değerlendirmeye başlayabilir. Bu, SEO açısından tam bir itibar kaybıdır. Üstelik linkler genelde pharma, casino, yetişkin içerik gibi alanlara çıkar. Yani WordPress siten, senin bilgin olmadan başkasının reklam panosuna dönüşür.
Bir başka senaryo, “sahte içerik üretimi”dir. Saldırgan yeni sayfalar oluşturur ama menüde görünmez. Bu sayfalar bazen otomatik üretilmiş spam metinlerdir, bazen de kategori/etiket arşivlerine benzer şekilde hazırlanır. WordPress admin panelinde sayfa listesinde görünse bile, isimleri masum olabilir veya taslak gibi işaretlenmiş olabilir. Bazı saldırganlar bunu daha da ileri götürür ve özel yazı tipleri (custom post type) içine gizler. Site sahibi normalde o post type’ı yönetmediği için fark etmez. Search Console’da ise binlerce URL çıkar. İşte bu, tipik bir veritabanı bazlı gizli içerik vakasıdır.
Veritabanı enjeksiyonlarının tehlikeli tarafı, “kalıcı ve tekrar üretilebilir” olmalarıdır. Saldırgan sadece bir kere link basmaz. Bazı vakalarda bir cron görevi veya tetikleyici mantıkla içeriklere düzenli aralıklarla tekrar tekrar spam basılır. Sen içerikten linki silersin, ertesi gün geri gelir. Çünkü veritabanının başka bir alanında, örneğin wp_options içinde gizli bir kod çalışır ve yeni enjeksiyon yapar. Bu nedenle DatWeb’de veritabanı temizliği sadece “temizle” değildir; “neden geri geliyor” sorusunun cevabını bulmak gerekir. Geri geliyorsa arka kapı vardır, cron vardır, yetki sızıntısı vardır veya açık bıraktığın bir eklenti yeniden yazıyordur.
Bu tür bulaşmaların belirtileri genelde SEO ve içerik tarafında ortaya çıkar. Google’da “site:alanadiniz.com” aramasında alakasız başlıklar görürsün. Search Console performans raporunda hiç hedeflemediğin sorgular çıkar. Kapsam raporunda binlerce yeni URL görürsün. Bazı sayfalarda açıklanamayan meta açıklamalar, anlamsız başlıklar veya snippet’te spam kelimeler belirir. Kullanıcıya görünmez ama botlara görünür içerikler varsa, bu cloaking benzeri bir davranışa bile yaklaşabilir. DatWeb burada sadece WordPress paneline bakmaz; arama motoru tarafındaki sinyalleri de dikkate alır. Çünkü saldırganın amacı zaten arama motorunu manipüle etmektir.
DatWeb yaklaşımında veritabanı enjeksiyon temizliği kontrollü ilerler. Önce veritabanı yedeği alınır ve mevcut durum korunur. Sonra hedef tablolar belirlenir. Genellikle wp_posts, wp_postmeta, wp_options, wp_terms, wp_term_taxonomy, wp_term_relationships gibi alanlar incelenir. Çünkü saldırgan bazen kategorilerin açıklamasına bile spam basar. Widget içerikleri wp_options içinde durduğu için orası mutlaka kontrol edilir. Ayrıca sayfa builder kullanan sitelerde (Elementor vb.) içerik sadece “post_content” değil, meta tablolarında JSON olarak da durabilir. Bu yüzden sadece yazı içeriğine bakmak yetmez; builder verisi içinde de script aranır. Temizlik, siteye göre şekillenir.
Gizli içerik temizliğinde iki kritik hata vardır. Birincisi, “toplu bul-değiştir” ile körlemesine temizlemeye çalışmak. Yanlış bir SQL güncellemesi, içerikleri bozabilir, builder verisini kırabilir ve siteyi çökertebilir. İkincisi, sadece görünen linkleri temizlemek. Görünmeyen linkler ve tetik mekanizması duruyorsa sorun geri gelir. DatWeb bu yüzden önce enjeksiyon pattern’lerini tespit eder: hangi domainlere link basılmış, hangi HTML blokları kullanılmış, hangi CSS hileleriyle gizlenmiş. Sonra bu pattern’e göre kontrollü temizlik yapılır. Gerektiğinde içerikler tek tek doğrulanır ve kritik sayfalarda manuel kontrol uygulanır. Bu işte acele eden, ya içerikleri bozar ya da virüsü kaçırır.
Temizlik sonrası sertleştirme şarttır. Çünkü veritabanına enjeksiyon ya bir admin hesabının ele geçirilmesiyle olur ya da bir eklenti/tema açığıyla. Bu yüzden admin kullanıcıları kontrol edilir, şüpheli hesaplar kapatılır, parolalar sıfırlanır. WordPress çekirdeği, tema ve eklentiler güncellenir; kullanılmayan eklentiler kaldırılır. Dosya izinleri ve giriş koruması düzenlenir. Özellikle veritabanı erişim bilgileri (wp-config) ve hosting şifreleri de değerlendirilir; çünkü saldırgan bazen panel erişimini de ele geçirir. Ayrıca düzenli yedekleme olmadan veritabanı vakaları risklidir; çünkü içerik kaybı yaşanırsa geri dönüş zorlaşır.
Veritabanı enjeksiyonları temizlendikten sonra SEO tarafında da toparlama gerekir. Spam URL’ler Google’da indexlenmiş olabilir. Bunların 404/410 durumu, sitemap’in temizliği, canonical düzeni, Search Console kapsam raporları takip edilir. Burada amaç, arama motoruna “site temizlendi ve artık bu sayfalar yok” mesajını doğru şekilde vermektir. Yanlış yönlendirmeler (örneğin spam URL’leri ana sayfaya 301 yapmak) bazen daha büyük zarar verir; çünkü spam sinyali site geneline yayılabilir. DatWeb bu yüzden bu adımları kontrollü ve siteye özel planlar.
DatWeb veritabanı enjeksiyonları ve gizli içerik temizliğini wp_posts ve wp_options başta olmak üzere etkilenen tabloların zararlı payload’lardan arındırılması, spam link ve gizli içeriklerin kaldırılması, tekrar yazan tetik mekanizmasının yok edilmesi ve WordPress güvenlik sertleştirmesiyle tekrar bulaşma riskinin azaltılması. Kısacası site sadece “görüntüde” değil, çekirdeğinde temizlenir. Çünkü WordPress’te veritabanı kirliyse, sitenin tamamı kirli sayılır.
Veritabanı enjeksiyonları, WordPress dünyasında en çok kaçırılan ama en çok zarar veren vakalardır. Dosya taraması “temiz” çıkar diye rahatlamayacaksın. SEO’da gariplik, içerikte anlamsız link, Search Console’da tuhaf URL artışı görüyorsan, veritabanını ciddiye alacaksın. DatWeb’in yaklaşımı budur: sorunu yüzeyden değil, kökten çözeriz.
Defacement (Site Yüzü Değiştirme)
Defacement, en basit tanımıyla saldırganın sitenin görünen yüzünü değiştirmesidir. Ana sayfaya bir mesaj basar, görselleri değiştirir, “hacked by…” gibi bir imza bırakır ya da tüm siteyi tek sayfalık bir ekranla kaplar. Bu tür saldırılar dışarıdan “en çok görünen” vakalar olduğu için genelde panik yaratır. Ancak DatWeb olarak şunu açık söyleyelim: Defacement çoğu zaman asıl problemin kendisi değil, daha büyük bir yetki ihlalinin göstergesidir. Yani saldırgan sitene girmiştir ve çoğu zaman sadece vitrine yazı yazıp çıkmamıştır. Arkada kapı bırakmış olabilir, veritabanına dokunmuş olabilir, başka dosyaları da değiştirmiş olabilir. Bu yüzden defacement’i “sayfayı düzeltip bitti” diye ele almak, yangını kapının önünde söndürüp evin arkasının yanmasına izin vermektir.
Defacement vakaları genellikle iki şekilde görülür. Birincisi, ana sayfa veya belirli sayfaların içeriği değiştirilir. Örneğin index.php veya theme template dosyaları manipüle edilir ve ziyaretçi tamamen farklı bir içerikle karşılaşır. İkincisi, saldırgan sunucu seviyesinde bir yönlendirme veya öncelik sırası değişikliği yapar; yani siten normal dosyalarıyla durur ama ziyaretçiye saldırganın hazırladığı bir sayfa servis edilir. Bazı durumlarda sadece mobilde görünür, bazen sadece belirli ülkelere gösterilir. Bu yüzden defacement her zaman “bariz” olmayabilir. Yine de çoğu defacement, klasik “imza” bırakma şeklinde ve oldukça görünür biçimde yapılır.
Virüs Temizleme :Defacement’in arkasındaki motivasyon farklı olabilir. Bazısı “gösteri” amaçlıdır; saldırgan sadece ismini duyurmak ister. Bazısı politik mesaj verir. Bazısı da dikkati dağıtmak için defacement yapar, asıl amaç ise arkada veri çalmak veya kalıcı erişim bırakmaktır. Bu ayrım önemlidir çünkü yaklaşımı etkiler. Sadece yüzü düzeltmek, saldırganın asıl bıraktığı arka kapıyı görmezden gelmek olabilir. DatWeb bu yüzden defacement’te önce “nasıl girildi?” sorusuna cevap arar. Çünkü giriş yolu kapanmadıkça aynı saldırı tekrar eder.
WordPress’te defacement’in en yaygın giriş noktaları eskidir ve değişmez: güncel olmayan eklentiler/temalar, zayıf admin parolaları, lisanssız (nulled) paketler, yanlış dosya izinleri, ele geçirilmiş hosting paneli veya FTP hesabı. Saldırgan içeri girmek için bir açık bulduğunda, çoğu zaman ilk yaptığı şey dosya yazmaktır. Tema dosyalarına müdahale eder, ana dizine sahte index dosyaları bırakır, .htaccess ile yönlendirme kuralları yazar veya wp-config gibi kritik dosyaları manipüle eder. Daha sonra da “görünür” kısmı değiştirir. Burada kritik nokta şudur: Defacement görünen yüzdür; görünmeyen tarafta genellikle daha fazla değişiklik vardır.
DatWeb defacement temizliğini üç parçaya böler. Birinci parça, siteyi hızlı şekilde güvenli duruma almak ve yayılımı durdurmaktır. Gerekli durumlarda bakım modu uygulanır, admin erişimleri kontrol altına alınır, şüpheli kullanıcılar devre dışı bırakılır ve mevcut durum yedeklenir. Yedek burada önemlidir; çünkü hem delil hem geri dönüş için gerekir. İkinci parça, defacement’in etkilediği dosyaları ve içerikleri temizlemektir. Tema dosyaları, ana dizin dosyaları ve .htaccess gibi kritik alanlar doğrulanır. WordPress çekirdeği, güvenilir kaynakla karşılaştırılır ve bozulmuş dosyalar temiz sürümleriyle değiştirilir. Eğer defacement veritabanı tarafında ise (örneğin sayfa içeriği değiştirilmişse), ilgili içerikler geri alınır ve zararlı kodlar temizlenir.
Üçüncü ve en önemli parça, arka kapı ve tekrar bulaşma riskini yok etmektir. Çünkü defacement yapan saldırgan, çoğu zaman kendine bir backdoor bırakır. Uploads içine shell atmış olabilir, bir eklenti klasörüne gizli dosya koymuş olabilir, wp_options içine tetik kodu basmış olabilir veya wp-cron ile kendini tekrar üretecek bir mekanizma kurmuş olabilir. DatWeb bu nedenle defacement vakalarında backdoor/web shell izlerini özellikle arar. Bulunmadan iş bitmez. Ayrıca admin kullanıcıları ve roller kontrol edilir; şüpheli adminler kapatılır, tüm parolalar sıfırlanır. Giriş koruması sıkılaştırılır ve dosya izinleri düzenlenir. Gerekirse hosting panel şifreleri ve veritabanı şifreleri de değiştirilir. Çünkü saldırgan sadece WordPress adminine değil, panel erişimine de ulaşmış olabilir.
Defacement sonrası doğrulama da önemlidir. Sitenin ön yüzü düzelmiş görünse bile, farklı cihaz ve tarayıcılarla test yapılır. Çünkü bazı defacement vakaları cache/CDN üzerinden yanlış sayfa servis edebilir. Ayrıca .htaccess kaynaklı yönlendirmeler bazı kullanıcı gruplarında farklı çalışabilir. DatWeb burada “tek bilgisayarda açtım, düzeldi” yaklaşımını kabul etmez. Çoklu test, log kontrolü ve şüpheli isteklerin kesildiğini doğrulama yapılır. Çünkü defacement’in geri dönmesi genelde “bir şey kaldı” anlamına gelir.
Virüs Temizleme :Defacement yaşandıysa sitenin güvenlik disiplininde eksik vardır. Bu nedenle sertleştirme olmadan teslim etmek doğru değildir. WordPress çekirdeği ve eklentiler güncel hale getirilir, gereksiz eklentiler kaldırılır, lisanssız bileşenler temizlenir, brute force koruması uygulanır, mümkünse iki aşamalı doğrulama devreye alınır. Düzenli yedekleme ve temel izleme (log takibi) de önerilir. Çünkü WordPress güvenliği, geçmişten beri aynı kuralla yürür: güncel yazılım + temiz kaynak + doğru yetki. Bu üçlü yoksa defacement tekrar eder.
DatWeb defacement temizleme hizmetini Sitenin görünen yüzünün güvenli şekilde geri alınması, değiştirilen dosya ve içeriklerin temizlenmesi, giriş noktalarının kapatılması, arka kapıların (backdoor/web shell) kaldırılması ve tekrar bulaşma riskini azaltan güvenlik sertleştirmesi. Böylece işletme sadece “utanç verici ekranı” kaldırmış olmaz; gerçekten güvenli bir sisteme dönmüş olur. Defacement’i ciddiye almak şarttır. Biz de işi ciddiye alır, kökten çözeriz.