Saldırıya Uğramış Bir WordPress Sitesinde Bir Arka Kapı Nasıl Bulunur ve Onarılır

WordPress web siteniz saldırıya uğradı mı?

Bilgisayar korsanları, web sitenizi güvenli hale getirdikten sonra bile içeri girebileceklerinden emin olmak için genellikle bir arka kapı kurar. O arka kapıyı kaldıramazsan, onları durduramazsın.

Bu makalede, saldırıya uğramış bir WordPress sitesinde bir arka kapıyı nasıl bulacağınızı ve düzelteceğinizi göstereceğiz.

Web Sitenizin Saldırıya Uğradığını Nasıl Anlarsınız?

Bir WordPress web sitesi çalıştırıyorsanız, güvenliği ciddiye almanız gerekir. Bunun nedeni, web sitelerinin her gün ortalama 44 kez saldırıya uğramasıdır.

Nihai WordPress güvenlik kılavuzumuzda sitenizi güvende tutmak için en iyi uygulamaları öğrenebilirsiniz.

Peki ya siteniz zaten saldırıya uğradıysa?

WordPress sitenizin saldırıya uğradığına dair bazı işaretler, web sitesi trafiğinde veya performansında bir düşüş, kötü bağlantılar veya bilinmeyen dosyalar eklenmesi, tahrif edilmiş bir ana sayfa, giriş yapamama, şüpheli yeni kullanıcı hesapları ve daha fazlasını içerir.

Saldırıya uğramış bir web sitesini temizlemek inanılmaz derecede acı verici ve zor olabilir. Saldırıya uğramış WordPress sitenizi düzeltmeye yönelik başlangıç ​​kılavuzumuzda size süreci adım adım anlatıyoruz. Ayrıca, bilgisayar korsanlarının bıraktığı herhangi bir kötü amaçlı yazılım için sitenizi taradığınızdan emin olmalısınız.

Ve arka kapıyı kapatmayı unutma.

Akıllı bir bilgisayar korsanı, sonunda web sitenizi temizleyeceğinizi bilir. Yapabilecekleri ilk şey bir arka kapı kurmaktır, böylece ön kapıyı WordPress web sitenizin güvenliğini sağladıktan sonra içeri gizlice girebilirler.

Arka Kapı Nedir?

Arka kapı, bir bilgisayar korsanının algılanmadan ve normal oturum açmayı atlayarak sunucuya erişmesine izin veren bir web sitesine eklenen koddur. Bir bilgisayar korsanının, istismar edilen eklentiyi veya web sitenizdeki güvenlik açığını bulup kaldırdıktan sonra bile yeniden erişim sağlamasına olanak tanır.

Arka kapılar, kullanıcının içeri girmesinden sonraki bir sonraki adımdır. WordPress sitelerinin nasıl saldırıya uğradığını ve nasıl önleneceğini anlatan kılavuzumuzdan bunu nasıl yapmış olabileceklerini öğrenebilirsiniz.

Arka kapılar genellikle WordPress yükseltmelerinden kurtulur. Bu, siz her arka kapıyı bulup düzeltene kadar sitenizin savunmasız kalacağı anlamına gelir.

Arka Kapılar Nasıl Çalışır?

Bazı arka kapılar yalnızca gizli yönetici kullanıcı adlarıdır. Bir kullanıcı adı ve şifre yazarak bilgisayar korsanının normal şekilde oturum açmasına izin verirler. Kullanıcı adı gizli olduğundan, başka birinin web sitenize erişimi olduğunu bile bilmiyorsunuz.

Daha karmaşık arka kapılar, bilgisayar korsanının PHP kodunu yürütmesine izin verebilir. Kodu web tarayıcılarını kullanarak web sitenize manuel olarak gönderirler.

Diğerleri, WordPress barındırma sunucunuz olarak e-posta göndermelerine, SQL veritabanı sorgularını yürütmelerine ve çok daha fazlasına izin veren tam teşekküllü bir kullanıcı arayüzüne sahiptir.

Bazı bilgisayar korsanları birden fazla arka kapı dosyası bırakacaktır. Birini yükledikten sonra, erişimlerini sağlamak için bir tane daha eklerler.

Arka Kapılar Nerede Gizli?

Bulduğumuz her durumda, arka kapı bir WordPress dosyası gibi görünecek şekilde gizlendi. Bir WordPress sitesindeki arka kapı kodu en yaygın olarak aşağıdaki konumlarda depolanır:

1. Bir WordPress teması , ancak muhtemelen şu anda kullanmakta olduğunuz tema değil. WordPress'i güncellediğinizde temadaki kodun üzerine yazılmaz, bu nedenle arka kapı koymak için iyi bir yerdir. Bu nedenle, etkin olmayan tüm temaları silmenizi öneririz.
2. WordPress eklentileri , bir arka kapıyı gizlemek için başka bir iyi yerdir. Temalar gibi, WordPress güncellemelerinin üzerine yazılmaz ve birçok kullanıcı eklentileri yükseltme konusunda isteksizdir.
3. Yüklemeler klasörü yüzlerce veya binlerce medya dosyası içerebilir, bu nedenle bir arka kapıyı gizlemek için başka bir iyi yerdir. Blogcular içeriğini neredeyse hiç kontrol etmezler çünkü sadece bir resim yüklerler ve sonra onu bir gönderide kullanırlar.
4. wp-config.php dosyası, WordPress'i yapılandırmak için kullanılan hassas bilgileri içerir. Bilgisayar korsanları tarafından en çok hedeflenen dosyalardan biridir.
5. wp-includes klasörü, WordPress'in düzgün çalışması için gereken PHP dosyalarını içerir. Arka kapılar bulduğumuz başka bir yer çünkü çoğu web sitesi sahibi, klasörün ne içerdiğini kontrol etmiyor.

Bulduğumuz Arka Kapı Örnekleri

Bilgisayar korsanlarının arka kapıları yüklediği yerlere bazı örnekler. Temizlediğimiz bir sitede arka kapı wp-includes klasöründeydi. Dosyaya wp-user.php adı verildi ve bu yeterince masum görünüyor, ancak bu dosya aslında normal bir WordPress kurulumunda mevcut değil.

Başka bir örnekte, yüklemeler klasöründe hello.php adlı bir PHP dosyası bulduk. Hello Dolly eklentisi olarak gizlenmişti. Garip olan, bilgisayar korsanının eklentiler klasörü yerine yüklemeler klasörüne koyması.

Ayrıca .php dosya uzantısını kullanmayan arka kapılar bulduk. Bir örnek wp-content.old.tmp adlı bir dosyaydı ve ayrıca .zip uzantılı dosyalarda arka kapılar bulduk.

Gördüğünüz gibi, bilgisayar korsanları bir arka kapıyı gizlerken çok yaratıcı yaklaşımlar sergileyebilir.

Çoğu durumda dosyalar, her türlü işlemi gerçekleştirebilen Base64 kodu ile kodlanmıştır. Örneğin, spam bağlantıları ekleyebilir, ek sayfalar ekleyebilir, ana siteyi spam içerikli sayfalara yönlendirebilir ve daha fazlasını yapabilirler.

Bununla birlikte, saldırıya uğramış bir WordPress sitesinde bir arka kapıyı nasıl bulacağınıza ve düzelteceğinize bir göz atalım.

Saldırıya Uğramış Bir WordPress Sitesinde Bir Arka Kapı Nasıl Bulunur ve Onarılır

Artık bir arka kapının ne olduğunu ve nerede saklanabileceğini biliyorsunuz. Zor olan kısım onu ​​bulmak! Bundan sonra, onu temizlemek, dosyayı veya kodu silmek kadar kolaydır.

1. Potansiyel Olarak Kötü Amaçlı Kodu Tara

Web sitenizi arka kapılar ve güvenlik açıkları için taramanın en kolay yolu, bir WordPress kötü amaçlı yazılım tarayıcı eklentisidir. Securi'yi öneriyoruz çünkü 29.690 arka kapıyla ilgili saldırı dahil olmak üzere 3 ayda 450.000 WordPress saldırısını engellememize yardımcı oldu.

WordPress için web sitenizi yaygın tehditlere karşı taramanıza ve WordPress güvenliğinizi güçlendirmenize olanak tanıyan ücretsiz bir Sucuri Security eklentisi sunarlar. Ücretli sürüm, her gün bir kez çalışan ve arka kapıları ve diğer güvenlik sorunlarını arayan bir sunucu tarafı tarayıcı içerir.

WordPress sitenizi potansiyel olarak kötü amaçlı kod için nasıl tarayacağınızla ilgili kılavuzumuzda daha fazla bilgi edinin.

2. Eklentiler Klasörünüzü Silin

Şüpheli dosya ve kod aramak için eklenti klasörlerinizi aramak zaman alıcıdır. Ve bilgisayar korsanları çok sinsi olduğu için bir arka kapı bulacağınızın garantisi yok.

Yapabileceğiniz en iyi şey, eklentiler dizininizi silmek ve ardından eklentilerinizi sıfırdan yeniden yüklemektir. Eklentilerinizde arka kapı olmadığından emin olmanın tek yolu budur.

Eklenti dizininize bir FTP istemcisi veya WordPress sunucunuzun dosya yöneticisini kullanarak erişebilirsiniz. Daha önce FTP kullanmadıysanız, WordPress'e dosya yüklemek için FTP'nin nasıl kullanılacağına ilişkin kılavuzumuzu görmek isteyebilirsiniz.

Web sitenizin wp-content klasörüne gitmek için yazılımı kullanmanız gerekecek. Bir kez orada, plugins klasörüne sağ tıklayıp 'Sil' seçeneğini seçmelisiniz.

3. Temalar Klasörünüzü Silin

Aynı şekilde, tema dosyalarınız arasında bir arka kapı aramak için zaman harcamak yerine, onları silmek daha iyidir.

plugin klasörünüzü sildikten sonra, themes klasörünü vurgulayın ve aynı şekilde silin.

O klasörde bir arka kapı olup olmadığını bilmiyorsunuz ama eğer varsa, o artık yok. Sadece zamandan tasarruf ettin ve fazladan bir saldırı noktasını ortadan kaldırdın.

Artık ihtiyacınız olan temaları yeniden yükleyebilirsiniz.

4. PHP Dosyaları için Yüklemeler Klasörünü Arayın

Ardından, uploads klasörüne bir göz atmalı ve içinde PHP dosyası olmadığından emin olmalısınız.

Bir PHP dosyasının bu klasörde olması için iyi bir neden yoktur çünkü resimler gibi medya dosyalarını depolamak için tasarlanmıştır. Orada bir PHP dosyası bulursanız, silinmelidir.

plugins ve themes klasörleri gibi, uploads klasörünü wp-content klasöründe bulacaksınız. Klasörün içinde, dosya yüklediğiniz her yıl ve ay için birden fazla klasör bulacaksınız. PHP dosyaları için her klasörü kontrol etmeniz gerekecektir.

Bazı FTP istemcileri, klasörü yinelemeli olarak arayacak araçlar sunar. Örneğin, FileZilla kullanıyorsanız, klasöre sağ tıklayıp 'Dosyaları sıraya ekle'yi seçebilirsiniz. Klasörün herhangi bir alt dizininde bulunan tüm dosyalar, alt bölmedeki kuyruğa eklenecektir.

Artık .php uzantılı dosyaları aramak için listede gezinebilirsiniz.

Alternatif olarak, SSH'ye aşina olan ileri düzey kullanıcılar aşağıdaki komutu yazabilir:

find uploads -name "*.php" -print

5. .htaccess Dosyasını Silin

Bazı bilgisayar korsanları, .htaccess dosyanıza, ziyaretçilerinizi farklı bir web sitesine gönderecek yönlendirme kodları ekleyebilir.

Bir FTP istemcisi veya dosya yöneticisi kullanarak, dosyayı web sitenizin kök dizininden silmeniz yeterlidir; dosya otomatik olarak yeniden oluşturulacaktır.

Herhangi bir nedenle yeniden oluşturulmazsa, WordPress yönetici panelinizde Ayarlar » Kalıcı Bağlantılar'a gitmelisiniz. 'Değişiklikleri Kaydet' düğmesine tıklamak yeni bir .htaccess dosyası kaydedecektir.

6. wp-config.php Dosyasını kontrol edin

wp-config.php dosyası, WordPress'in veritabanıyla iletişim kurmasını sağlayan bilgileri, WordPress kurulumunuz için güvenlik anahtarlarını ve geliştirici seçeneklerini içeren bir çekirdek WordPress dosyasıdır.

Dosya, web sitenizin kök klasöründe bulunur. FTP istemcinizde Aç veya Düzenle seçeneklerini seçerek dosyanın içeriğini görüntüleyebilirsiniz.

Şimdi, yerinde olmayan bir şey olup olmadığını görmek için dosyanın içeriğine dikkatlice bakmalısınız. Dosyayı aynı klasörde bulunan varsayılan wp-config-sample.php dosyasıyla karşılaştırmak faydalı olabilir.

Ait olmadığından emin olduğunuz tüm kodları silmelisiniz.

7. Bir Web Sitesi Yedeğinin Geri Yüklenmesi

Web sitenizin düzenli olarak yedeğini alıyorsanız ve hala web sitenizin tamamen temiz olmadığından endişeleniyorsanız, bir yedeği geri yüklemek iyi bir çözümdür.

Web sitenizi tamamen silmeniz ve ardından web siteniz saldırıya uğramadan önce alınan bir yedeği geri yüklemeniz gerekecek. Bu herkes için bir seçenek değildir, ancak sitenizin güvenli olduğundan %100 emin olmanızı sağlar.

Daha fazla bilgi için, WordPress'i yedekten nasıl geri yükleyeceğiniz konusunda başlangıç ​​kılavuzumuza bakın.

Gelecekte Hack'leri Nasıl Önlersiniz?

Web sitenizi temizlediğinize göre, gelecekte bilgisayar korsanlarını önlemek için sitenizin güvenliğini artırmanın zamanı geldi. Web sitesi güvenliği söz konusu olduğunda, ucuz veya kayıtsız olmanın bir faydası yoktur.

1. Web Sitenizi Düzenli Olarak Yedekleyin

Halihazırda web sitenizin düzenli yedeklerini almıyorsanız, başlamanın tam zamanı bugün.

WordPress yerleşik bir yedekleme çözümü ile birlikte gelmez. Ancak, WordPress web sitenizi otomatik olarak yedeklemenize ve geri yüklemenize izin veren birkaç harika WordPress yedekleme eklentisi vardır.

UpdraftPlus, en iyi WordPress yedekleme eklentilerinden biridir. Otomatik yedekleme programları oluşturmanıza olanak tanır ve kötü bir şey olursa WordPress sitenizi geri yüklemenize yardımcı olur.

UpdraftPlus ile WordPress sitenizi nasıl yedekleyeceğiniz ve geri yükleyeceğiniz konusunda kılavuzumuzda daha fazla bilgi edinin.

2. Bir Güvenlik Eklentisi Kurun

İşiniz üzerinde çalışmakla meşgulken web sitenizde olan her şeyi izleyemezsiniz. Bu yüzden Sucuri gibi bir güvenlik eklentisi kullanmanızı öneririz.

Sucuri'yi tavsiye ediyoruz çünkü yaptıkları işte iyiler. CNN, USA Today, PC World, TechCrunch, The Next Web ve diğerleri gibi büyük yayınlar aynı fikirde. Ayrıca, WPBeginner'ı güvende tutmak için kendimize güveniyoruz.

3. WordPress Girişini Daha Güvenli Hale Getirin

WordPress girişinizi daha güvenli hale getirmeniz de önemlidir. Başlamanın en iyi yolu, kullanıcılar web sitenizde bir hesap oluşturduğunda güçlü parolaların kullanılmasını zorunlu kılmaktır. Ayrıca 1Password gibi bir parola yöneticisi yardımcı programını kullanmaya başlamanızı öneririz.

Yapmanız gereken bir sonraki şey, iki faktörlü kimlik doğrulama eklemektir. Bu, web sitenizi çalınan parolalara ve kaba kuvvet saldırılarına karşı koruyacaktır. Bu, bir bilgisayar korsanı kullanıcı adınızı ve şifrenizi bilse bile web sitenize giriş yapamayacakları anlamına gelir.

Son olarak, WordPress'te oturum açma girişimlerini sınırlandırmalısınız. WordPress, kullanıcıların şifreleri istedikleri kadar girmesine izin verir. Beş başarısız oturum açma girişiminden sonra bir kullanıcıyı kilitlemek, bir bilgisayar korsanının oturum açma ayrıntılarınızı bulma şansını önemli ölçüde azaltacaktır.

4. WordPress Yönetici Alanınızı Koruyun

Yönetici alanını yetkisiz erişimden korumak, birçok yaygın güvenlik tehdidini engellemenize olanak tanır. WordPress yöneticisini nasıl güvende tutabileceğinize dair uzun bir ipucu listemiz var.

Örneğin, wp-admin dizinini parola ile koruyabilirsiniz. Bu, web sitenizin en önemli giriş noktasına başka bir koruma katmanı ekler.

Ayrıca yönetici alanına erişimi, ekibiniz tarafından kullanılan IP adresleriyle sınırlayabilirsiniz. Bu, kullanıcı adınızı ve şifrenizi keşfeden bilgisayar korsanlarını kilitlemenin başka bir yoludur.

5. Tema ve Eklenti Düzenleyicilerini Devre Dışı Bırakın

WordPress'in yerleşik bir tema ve eklenti düzenleyiciyle geldiğini biliyor muydunuz? Bu düz metin düzenleyici, temanızı ve eklenti dosyalarınızı doğrudan WordPress panosundan düzenlemenize olanak tanır.

Bu yararlı olsa da, potansiyel güvenlik sorunlarına yol açabilir. Örneğin, bir bilgisayar korsanı WordPress yönetici alanınıza girerse, tüm WordPress verilerinize erişmek için yerleşik düzenleyiciyi kullanabilir.

Bundan sonra, WordPress web sitenizden kötü amaçlı yazılım dağıtabilecek veya DDoS saldırıları başlatabilecekler.

WordPress güvenliğini artırmak için yerleşik dosya düzenleyicilerini tamamen kaldırmanızı öneririz.

6. Belirli WordPress Klasörlerinde PHP Yürütmesini Devre Dışı Bırakın

Varsayılan olarak, PHP betikleri web sitenizdeki herhangi bir klasörde çalıştırılabilir. PHP'nin gerekmeyen klasörlerde yürütülmesini devre dışı bırakarak web sitenizi daha güvenli hale getirebilirsiniz.

Örneğin, WordPress'in uploads klasörünüzde depolanan kodu çalıştırması gerekmez. Bu klasör için PHP yürütmesini devre dışı bırakırsanız, bir bilgisayar korsanı arka kapıyı başarıyla yüklemiş olsalar bile arka kapıyı çalıştıramaz.

7. Web Sitenizi Güncel Tutun

WordPress'in her yeni sürümü bir öncekinden daha güvenlidir. Bir güvenlik açığı bildirildiğinde, çekirdek WordPress ekibi sorunu gideren bir güncelleme yayınlamak için özenle çalışır.

Bu, WordPress'i güncel tutmuyorsanız, bilinen güvenlik açıklarına sahip bir yazılım kullanıyorsunuz demektir. Bilgisayar korsanları, eski sürümü çalıştıran web sitelerini arayabilir ve erişim elde etmek için güvenlik açığını kullanabilir.

Bu yüzden her zaman WordPress'in en son sürümünü kullanmalısınız.

Sadece WordPress'i güncel tutmayın. WordPress eklentilerinizi ve temalarınızı da güncel tuttuğunuzdan emin olmanız gerekir.

Bu öğreticinin, saldırıya uğramış bir WordPress web sitesinde bir arka kapıyı nasıl bulacağınızı ve düzelteceğinizi öğrenmenize yardımcı olacağını umuyoruz. Ayrıca WordPress'i HTTP'den HTTPS'ye nasıl taşıyacağınızı öğrenmek veya WordPress hataları listemize ve bunların nasıl düzeltileceğine göz atmak isteyebilirsiniz.

Bu makaleyi beğendiyseniz, lütfen WordPress video eğitimleri için YouTube Kanalımıza abone olun. Bizi Twitter ve Facebook'ta da bulabilirsiniz.