WordPress sitenizin saldırıya uğraması, her web sitesi sahibi için endişe verici bir durumdur. Sitenizin yavaşlaması, beklenmedik içeriklerin ortaya çıkması veya arama motorları tarafından “zararlı” olarak işaretlenmesi gibi sorunlar, hem itibarınıza hem de işinize ciddi zararlar verebilir. Ancak panik yapmanıza gerek yok. Bu kılavuz, WordPress sitenize bulaşan kötü amaçlı yazılımları (malware) adım adım nasıl temizleyeceğinizi ve gelecekteki saldırılara karşı sitenizi nasıl daha güvenli hale getireceğinizi detaylı bir şekilde anlatmak için hazırlandı. Doğru adımları izleyerek sitenizin kontrolünü yeniden ele alabilir ve güvenliğini sağlayabilirsiniz.
İçerik Tablosu
Kötü Amaçlı Yazılımın Tespiti ve İlk Adımlar
Temizleme sürecine başlamadan önce durumu doğru analiz etmek ve hazırlıklı olmak, sürecin başarısı için kritik öneme sahiptir. Bu ilk aşama, sorunun kaynağını anlamayı, olası veri kayıplarını önlemek için önlem almayı ve temizlik operasyonu için gerekli araçları hazırlamayı kapsar. Soğukkanlı bir şekilde atılacak bu adımlar, kaosun ortasında düzeni sağlayarak size yol gösterecektir.
WordPress Sitenizin Hacklendiğini Gösteren Belirtiler
Web sitenizin ele geçirildiğini gösteren bazı belirgin işaretler vardır. Bu belirtileri erken fark etmek, hasarı en aza indirmek için hayati önem taşır. İşte dikkat etmeniz gereken yaygın sinyaller:
- Sitenizin Yavaşlaması veya Erişilemez Olması: Sunucu kaynaklarınızı tüketen zararlı kodlar, sitenizin performansını ciddi şekilde düşürebilir.
- Arama Motoru Uyarıları: Google gibi arama motorları, sitenizi ziyaret eden kullanıcılara “Bu site bilgisayarınıza zarar verebilir” gibi uyarılar gösterebilir.
- Beklenmedik İçerik veya Reklamlar: Sitenizin herhangi bir yerinde sizin eklemediğiniz reklamlar, pop-up’lar veya yabancı dilde içerikler görmek en net belirtidir.
- Yönlendirme Sorunları: Sitenize girmeye çalışan kullanıcıların alakasız veya zararlı web sitelerine yönlendirilmesi sık karşılaşılan bir durumdur.
- Bilinmeyen Yönetici Kullanıcılar: WordPress yönetici panelinizde tanımadığınız yeni kullanıcı hesaplarının oluşması, sitenizin kontrolünün başkalarının eline geçtiğini gösterir.
- Şüpheli Dosya ve Klasörler: Hosting hesabınızda, özellikle `wp-content/uploads` gibi dizinlerde, tuhaf isimli ve şüpheli görünen dosyalar (genellikle PHP uzantılı) bulabilirsiniz.
- Hosting Sağlayıcınızdan Gelen Uyarılar: Hosting firmanız, hesabınızdan anormal aktiviteler (örneğin, spam e-posta gönderimi) tespit ettiğinde sizi uyarabilir.
Kötü Amaçlı Yazılım (Malware) Nedir? WordPress’teki Yaygın Türleri
Kötü amaçlı yazılım (malware), bir sisteme zarar vermek, veri çalmak veya sistem kaynaklarını izinsiz kullanmak amacıyla tasarlanmış her türlü yazılımın genel adıdır. WordPress sitelerinde sıkça karşılaşılan bazı malware türleri şunlardır:
- Backdoors (Arka Kapılar): Saldırganların sitenize standart giriş yöntemlerini atlayarak tekrar tekrar erişmesine olanak tanıyan gizli giriş noktalarıdır. Genellikle tema veya eklenti dosyalarının içine gizlenirler.
- Zararlı Yönlendirmeler (Malicious Redirects): Ziyaretçileri, genellikle kimlik avı (phishing) veya reklam siteleri gibi tehlikeli web sitelerine gizlice yönlendiren kodlardır. Bu kodlar genellikle `.htaccess` veya JavaScript dosyalarına enjekte edilir.
- Pharma Hacks: Sitenizin başlık ve meta açıklamalarına yasa dışı ilaç reklamları ekleyerek arama motoru sonuçlarınızı manipüle eden bir SEO spam türüdür.
- Dosya Enjeksiyonları (File Injections): Mevcut PHP dosyalarınıza (örn: `wp-config.php`, `wp-load.php`) zararlı kod parçacıkları eklenmesidir.
- Veritabanı Enjeksiyonları (Database Injections): WordPress veritabanınızdaki yazılara, sayfalara veya seçenekler tablosuna spam linkler veya zararlı script’ler eklenmesidir.
Temizleme İşlemine Başlamadan Önce Yapılması Gerekenler
Manuel temizlik sürecine dalmadan önce atmanız gereken hazırlık adımları, hem veri güvenliğinizi sağlar hem de işlemi kolaylaştırır. Aceleci davranmak daha büyük sorunlara yol açabilir.
Sakin Kalmak ve Panik Yapmamak
Sitenizin hacklendiğini öğrenmek stresli olabilir, ancak panikle hareket etmek hatalara neden olur. Durumu metodik bir şekilde ele almak en doğru yaklaşımdır. Unutmayın, bu çözülebilecek bir sorundur ve doğru adımlarla siteniz eski haline dönecektir.
Sitenin Tam Yedeğini Almak (Dosyalar ve Veritabanı)
Bu adım kulağa mantıksız gelebilir, ancak hayati öneme sahiptir. Temizleme sırasında yanlış bir dosya silerseniz veya bir hata yaparsanız, geri dönebileceğiniz bir noktanız olması gerekir. Mevcut (zararlı yazılım içeren) sitenizin hem dosyalarının (FTP üzerinden) hem de veritabanının (phpMyAdmin veya hosting paneliniz üzerinden) tam bir yedeğini alın. Bu yedeği “enfekte_yedek” gibi bir isimle bilgisayarınızda güvenli bir yerde saklayın.
Erişim Bilgilerini Toplamak (FTP/SFTP, cPanel, WP-Admin)
Temizlik işlemi sırasında ihtiyaç duyacağınız tüm erişim bilgilerini bir araya getirin. Bunlar genellikle şunlardır:
- Hosting Kontrol Paneli (cPanel, Plesk vb.) giriş bilgileri: Dosya yöneticisi, veritabanı yönetimi ve şifre değişiklikleri için gereklidir.
- FTP/SFTP bilgileri: Dosyaları sunucudan indirmek ve sunucuya yüklemek için bir FTP programı ile kullanacağınız bilgilerdir.
- WordPress Yönetici (wp-admin) Paneli bilgileri: Temizlik sonrası kontroller ve eklenti yönetimi için gereklidir.
Web Sitenizi Ziyaretçilere Kapatmak: Bakım Moduna Alma
Temizleme işlemi sırasında ziyaretçilerinizin zararlı içerikle karşılaşmasını veya arama motorlarının sitenizi taramaya devam etmesini engellemek için sitenizi geçici olarak bakım moduna almalısınız. Bunu, bir bakım modu eklentisi (örneğin, WP Maintenance Mode & Coming Soon) kullanarak veya sunucunuzun kök dizinine özel bir `.maintenance` dosyası ekleyerek yapabilirsiniz. Bu, hem ziyaretçilerinizi korur hem de sizin rahatça çalışmanızı sağlar.
Manuel Temizleme Süreci: Adım Adım Uygulama
Hazırlık aşamasını tamamladıktan sonra, sitenizi kötü amaçlı yazılımlardan arındırmak için derinlemesine bir temizlik sürecine başlayabilirsiniz. Bu bölüm, saldırganların erişimini kesmekten, zararlı dosyaları tespit edip ortadan kaldırmaya ve sitenizin yapılandırmasını güvenli hale getirmeye kadar tüm kritik adımları detaylı bir şekilde ele almaktadır. Her adımı dikkatle ve sırasıyla uygulamak, başarılı bir temizlik için anahtardır.
Sunucu ve Yönetici Parolalarını Değiştirme
Temizliğe başlamadan önceki ilk ve en önemli adım, saldırganların sitenize olan tüm erişim noktalarını kesmektir. Bu, mevcut şifrelerinizin ele geçirilmiş olma ihtimaline karşı birincil önlemdir. Tüm kritik parolaları güçlü, benzersiz ve tahmin edilmesi zor kombinasyonlarla değiştirmelisiniz.
Hosting Paneli (cPanel, Plesk vb.) Parolasını Değiştirme
Hosting kontrol paneliniz, sunucunuzdaki tüm dosya ve veritabanlarına tam erişim sağlar. Bu nedenle, ilk olarak cPanel veya kullandığınız diğer panelin şifresini değiştirin. Güçlü bir şifre oluşturucu kullanarak karmaşık bir parola belirleyin.
FTP/SFTP Hesap Parolalarını Değiştirme
Hosting paneliniz üzerinden tüm FTP/SFTP kullanıcı hesaplarının şifrelerini sıfırlayın. Eğer kullanmadığınız veya tanımadığınız FTP hesapları varsa, bunları derhal silin.
Veritabanı Kullanıcı Parolasını Değiştirme
WordPress sitenizin veritabanına bağlanmak için kullandığı kullanıcının şifresini de değiştirmeniz gerekir. Bu işlemi hosting panelinizdeki “MySQL Veritabanları” bölümünden yapabilirsiniz. Parolayı değiştirdikten sonra, `wp-config.php` dosyanızdaki `DB_PASSWORD` satırını yeni parola ile güncellemeyi unutmayın, aksi takdirde siteniz “Veritabanı Bağlantı Hatası” verir.
Tüm WordPress Yönetici Parolalarını Sıfırlama
Saldırganların gizli yönetici hesapları oluşturmuş olabileceği ihtimaline karşı, tüm yönetici (administrator) yetkisine sahip kullanıcıların şifrelerini sıfırlayın. WordPress şifremi unuttum özelliğini kullanabilir veya phpMyAdmin üzerinden doğrudan veritabanındaki `wp_users` tablosundan şifreleri (MD5 formatında) güncelleyebilirsiniz. Şüpheli bulduğunuz yönetici hesaplarını ise tamamen silin.
Kötü Amaçlı Yazılım Tarama Araçlarını Kullanma
Parolaları güvence altına aldıktan sonra, zararlı dosyaların yerini tespit etmek için tarama araçlarından faydalanmak işinizi kolaylaştıracaktır. Bu araçlar, bilinen malware imzalarını arayarak şüpheli dosyaları listeler.
| Yöntem | Avantajları | Dezavantajları |
|---|---|---|
| Sunucu Tabanlı Tarayıcılar | Tüm dosyaları sunucu seviyesinde tarar, daha derindir. Genellikle hosting sağlayıcıları tarafından sunulur. | Kullanımı teknik bilgi gerektirebilir. Her hosting paketinde bulunmayabilir. |
| Çevrimiçi Tarama Servisleri | Hızlı ve kolaydır, sitenizin dışarıdan nasıl göründüğünü analiz eder. Zararlı yönlendirmeleri ve kara liste durumunu tespit edebilir. | Sadece herkese açık dosyaları tarayabilir, sunucunun içindeki arka kapıları (backdoors) bulamaz. Yüzeysel bir taramadır. |
Sunucu Tabanlı Tarayıcılar (Örn: Maldet, ClamAV)
Eğer sunucu yönetimine erişiminiz varsa (örneğin bir VDS veya kiralık sunucu kullanıyorsanız), Maldet (Linux Malware Detect) veya ClamAV gibi araçları kurarak sunucudaki tüm dosyaları tarayabilirsiniz. Bazı paylaşımlı hosting sağlayıcıları da bu tarayıcıları kontrol panelleri üzerinden sunmaktadır.
Çevrimiçi Tarama Servisleri (Örn: Sucuri SiteCheck)
Sucuri SiteCheck gibi ücretsiz çevrimiçi araçlar, sitenizin URL’sini girerek hızlı bir tarama yapmanızı sağlar. Bu tarayıcılar genellikle sitenizdeki yüzeysel zararlı kodları, yönlendirmeleri ve sitenizin bilinen kara listelerde olup olmadığını kontrol eder. Temizliğe başlamadan önce mevcut durumu görmek için iyi bir başlangıç noktasıdır.
WordPress Çekirdek Dosyalarını Temizleme
WordPress’in temelini oluşturan çekirdek dosyalar, saldırganların en çok hedef aldığı yerlerden biridir. Bu dosyaların değiştirilmediğinden ve temiz olduğundan emin olmanın en garantili yolu, onları orijinal sürümleriyle değiştirmektir.
Güvenilir Kaynaktan WordPress’in Son Sürümünü İndirme
Her zaman WordPress’in resmi web sitesi olan WordPress.org adresinden en güncel sürümün ZIP dosyasını indirin. Asla güvenilir olmayan kaynaklardan indirme yapmayın.
Sunucudaki `wp-admin` ve `wp-includes` Klasörlerini Silme
FTP veya hosting panelinizin dosya yöneticisini kullanarak sunucunuzdaki `wp-admin` ve `wp-includes` klasörlerini tamamen silin. Bu klasörler sitenize özel veri içermez ve güvenle silinebilirler.
Yeni ve Temiz `wp-admin` ve `wp-includes` Klasörlerini Yükleme
WordPress.org’dan indirdiğiniz ZIP dosyasını açın ve içindeki yeni, temiz `wp-admin` ve `wp-includes` klasörlerini sunucunuza yükleyin. Bu işlem, bu klasörler içindeki tüm enfekte olmuş dosyaların temizlenmesini garanti eder.
`wp-content` Klasörü Hariç Diğer Çekirdek Dosyaları Değiştirme
WordPress kök dizininde bulunan diğer tüm çekirdek dosyaları (örneğin, `index.php`, `wp-login.php`, `wp-load.php` vb.) indirdiğiniz temiz sürümdeki dosyalarla değiştirin. Bu işlem sırasında kesinlikle `wp-config.php` dosyasını ve `wp-content` klasörünü silmemeye veya üzerine yazmamaya dikkat edin. Bu dosyalar sitenize özel yapılandırma ve içerikleri barındırır.
`wp-content` Klasörünü İnceleme ve Temizleme
Sitenizin temalarını, eklentilerini ve yüklediğiniz medyaları barındıran `wp-content` klasörü, zararlı yazılımların saklanması için en yaygın yerdir. Bu klasörün temizliği özel dikkat gerektirir.
Eklenti (Plugins) Klasörünü Kontrol Etme ve Temizleme
En güvenli yöntem, `wp-content/plugins` klasöründeki tüm eklentileri silip, ihtiyaç duyduklarınızı WordPress eklenti deposundan yeniden, temiz bir şekilde kurmaktır. Eğer bu mümkün değilse, her bir eklenti klasörünü şüpheli dosyalara karşı (genellikle `index.php`, `admin.php` gibi tuhaf isimli dosyalar) dikkatlice inceleyin. Dosya tarihlerini kontrol ederek yakın zamanda değiştirilmiş dosyaları tespit edebilirsiniz.
Tema (Themes) Klasörünü Kontrol Etme ve Temizleme
Kullandığınız tema dışındaki tüm temaları silin. Aktif temanızın dosyalarını, özellikle `functions.php`, `header.php` ve `footer.php` dosyalarını, şüpheli kodlara (genellikle `base64_decode`, `eval`, `preg_replace` gibi fonksiyonlar içeren uzun ve anlamsız kod blokları) karşı dikkatlice inceleyin. Şüpheleniyorsanız, temanın orijinal ve temiz sürümünü üreticisinin web sitesinden indirip dosyaları karşılaştırın veya üzerine yazın.
Yüklemeler (Uploads) Klasöründeki Şüpheli Dosyaları Ayıklama
Saldırganlar genellikle `wp-content/uploads` klasörüne PHP dosyaları veya zararlı script’ler yükleyerek arka kapılar (backdoors) oluşturur. Bu klasör normalde sadece resim, video ve doküman gibi medya dosyalarını içermelidir. `uploads` klasörü içinde `.php`, `.js` veya `.exe` uzantılı dosyalar görürseniz, bunları derhal silin.
Kritik Yapılandırma Dosyalarını Kontrol Etme
WordPress sitenizin çalışması için temel olan `wp-config.php` ve `.htaccess` dosyaları, saldırganlar tarafından manipüle edilmeye çok müsaittir.
`wp-config.php` Dosyasını Şüpheli Kodlara Karşı İnceleme
Bu dosya, veritabanı bağlantı bilgilerinizi içerir ve sitenizin kalbidir. Dosyanın en başını ve en sonunu dikkatlice kontrol edin. Normal WordPress kod bloğunun dışında kalan, karmaşık ve anlamsız görünen kodlar genellikle zararlıdır. Bu dosyayı, indirdiğiniz temiz WordPress sürümündeki `wp-config-sample.php` dosyasıyla karşılaştırarak anormal kodları tespit edebilirsiniz.
`.htaccess` Dosyasını Zararlı Yönlendirmelere Karşı İnceleme
`.htaccess` dosyası, sunucu kurallarını ve yönlendirmeleri yönetir. Saldırganlar bu dosyaya, sitenizi spam veya zararlı sitelere yönlendiren kurallar ekleyebilir. Dosyayı açın ve içeriğini kontrol edin. Standart WordPress `.htaccess` kurallarının dışında şüpheli yönlendirme (RewriteRule) komutları görürseniz, bunları silin. Emin değilseniz, dosyanın içeriğini tamamen silip WordPress’in standart kodlarını (Ayarlar > Kalıcı Bağlantılar sayfasını ziyaret ederek otomatik oluşturulur) kullanabilirsiniz.
Veritabanı Temizliği
Dosyaları temizledikten sonra sıra, zararlı içeriklerin veya kullanıcıların eklenmiş olabileceği veritabanını kontrol etmeye gelir. Bu işlem için genellikle phpMyAdmin kullanılır.
Veritabanında Şüpheli Bağlantı (Link) ve İçerik Arama
Saldırganlar, sitenizin yazılarına veya sayfalarına kendi spam linklerini eklemiş olabilir. phpMyAdmin’de `wp_posts` tablosunu seçin ve “Ara” sekmesini kullanarak “viagra”, “cialis” gibi yaygın spam anahtar kelimeleri veya şüpheli `