Bir siber güvenlik firması, WordPress sitelerini hedef alan yeni bir kötü amaçlı yazılım kampanyasını ortaya çıkardı; bu kampanya, kendini bir güvenlik aracı olarak gizleyen bir eklenti kullanarak yöneticileri kandırıyor. Wordfence’in araştırmacıları, bu kötü amaçlı yazılımın, WordPress sitelerine kalıcı erişim, uzaktan kod yürütme ve JavaScript enjeksiyonu yetenekleri sağladığını ve eklenti panosunda gizlenerek tespit edilmesini zorlaştırdığını bildirdi.
Kötü Amaçlı Eklentinin İşleyişi
Wordfence, kötü amaçlı yazılımı ilk olarak Ocak 2025’in sonlarında, bir site temizliği sırasında keşfetti. Araştırmacılar, değiştirilmiş bir ‘wp-cron.php’ dosyasının, ‘WP-antymalwary-bot.php’ adlı kötü amaçlı bir eklentiyi otomatik olarak oluşturduğunu ve programlı bir şekilde etkinleştirdiğini tespit etti. Bu eklenti, addons.php, wpconsole.php, wp-performance-booster.php ve scr.php gibi çeşitli dosya adlarıyla görünebiliyor. Eklenti silinse bile, wp-cron.php dosyası bir sonraki site ziyaretinde onu yeniden oluşturup etkinleştiriyor.
Kötü amaçlı yazılım, kimlik doğrulaması gerektirmeyen özel bir REST API rotası kaydederek, tüm aktif tema header.php dosyalarına rastgele PHP kodu eklenmesine, eklenti önbelleklerinin temizlenmesine ve POST parametreleri aracılığıyla işlenen diğer komutlara olanak tanıyor. Ayrıca, kötü amaçlı yazılımın daha yeni bir sürümü, sitenin <head> bölümüne base64 kod çözümlü JavaScript enjekte edebiliyor; bu, muhtemelen ziyaretçilere reklamlar, spam veya güvenli olmayan sitelere yönlendirmeler sunmak için kullanılıyor.
Enfeksiyonun Kaynağı Belirsiz
Wordfence, enfeksiyon zincirini tam olarak belirlemek için sunucu günlüklerine erişim eksikliği nedeniyle kesin bir sonuca varamadı, ancak enfeksiyonun muhtemelen ele geçirilmiş bir barındırma hesabı veya FTP kimlik bilgileri aracılığıyla gerçekleştiğini öne sürüyor. Web sitesi yöneticilerinin, wp-cron.php ve header.php dosyalarını beklenmedik eklemeler veya değişiklikler için incelemeleri ve ‘emergency_login’, ‘check_plugin’, ‘urlchange’ ve ‘key’ gibi terimleri içeren erişim günlüklerini kırmızı bayrak olarak değerlendirmeleri öneriliyor.
Daha Geniş Bağlam
Bu kampanya, WordPress sitelerini hedef alan bir dizi siber saldırı dalgasının parçası. Örneğin, Mart 2025’te c/side araştırmacıları, yaklaşık 1.000 WordPress sitesine dört ayrı arka kapı yerleştiren tek bir JavaScript kodu tespit etti. Bu arka kapılar, sahte bir “Ultra SEO Processor” eklentisi, wp-config.php dosyasına kötü amaçlı JavaScript enjeksiyonu, kalıcı erişim için bir SSH anahtarı ve uzaktan komut yürütme ile ters kabuk açma yetenekleri içeriyordu.
Ocak 2025’te c/side, wp3[.]xyz alan adını kullanan ve 5.000’den fazla WordPress sitesine yönetici hesapları ekleyen, hassas verileri çalan başka bir kampanya bildirdi. Ayrıca, PatchStack, Chaty Pro eklentisindeki (18.000 kurulum) kritik bir kusurun (CVE-2025-26776, 10/10 önem derecesi), kötü amaçlı dosya yüklemelerine olanak tanıdığını ve tam site ele geçirme riski oluşturduğunu keşfetti.
WordPress Siteleri için Savunma Stratejileri
Bu tür tehditlere karşı korunmak için Wordfence ve diğer uzmanlar, WordPress site yöneticilerine şunları öneriyor:
- Dosya İncelemesi: wp-cron.php, header.php ve mu-plugins dizinindeki dosyaları şüpheli değişiklikler için kontrol edin.
- Güncellemeler: WordPress çekirdeğini, temalarını ve eklentilerini en son sürümlere güncelleyin.
- Kimlik Doğrulama: Yönetici şifrelerini değiştirin ve mümkünse iki faktörlü kimlik doğrulama (2FA) uygulayın.
- Güvenlik Eklentileri: Dosya bütünlüğünü izlemek için Wordfence gibi bir güvenlik eklentisi kullanın.
- Erişim Kayıtları: Şüpheli etkinlikleri tespit etmek için sunucu erişim günlüklerini düzenli olarak gözden geçirin.
- Şüpheli Alanları Engelleyin: Örneğin, wp3[.]xyz gibi kötü amaçlı alanları güvenlik duvarlarında veya güvenlik araçlarında engelleyin.
Sonuç
Kendini bir anti-kötü amaçlı yazılım eklentisi olarak gizleyen bu kötü amaçlı yazılım, WordPress ekosisteminin devam eden güvenlik zorluklarını vurguluyor. Popüler bir web sitesi oluşturucu olan WordPress, büyük bir saldırı yüzeyine sahip ve bu da onu siber suçlular için cazip bir hedef haline getiriyor. Site yöneticilerinin, özellikle eklenti güvenilirliğini değerlendirirken ve düzenli güvenlik denetimleri gerçekleştirirken dikkatli olmaları çok önemli. Bu son kampanya, WordPress sitelerini korumak için proaktif güvenlik önlemlerinin gerekliliğini bir kez daha ortaya koyuyor.
Kaynak: TechRadar (2025).
