Wordpress, sanal dünya da yer alan internet sitelerinde en çok tercih edilen alt yapılardan birisi oluyor. Ücretsiz dağıtılan ve sürekli güncellenen bu sistemde farklı hatalardan kaynaklı olarak shell saldırısından etkilenme durumu oluyor. Yani art niyetli kişiler sitenize kendi kodlarını yerleştirebiliyor. Bazen bu zararlı kodları temizlemek güçleşebiliyor. Bu yazıda Wordpress’in kurulu olduğu sitenizden Shell temizlemenin kısayollarını anlatacağız.
Shell saldırıları ile sitenizin footer kısmına ya da kaynak kod alanına dofollow bağlantılar yerleştirilebiliyor. Bu sayede link sahibi kişi sitenizden backlink kazanmış oluyor. Böylece ücretsiz şekilde sizden link çıkışı yapmış oluyor. Ayrıca sizin de seo puanınıza negatif etkide bulunmuş oluyor.
Site sahipleri Shell kodlarını genellikle göremez. Çünkü kaynak koduna yerleştirilir. Bu yüzden birçok web sitesi sahibi başlarına gelen olaydan habersizdir. Bu yüzden site kaynağını sürekli kontrol etmeyi unutmayın.
Shell nasıl bulaşır?
Shell saldırılarına maruz kalan sitelerde genellikle warez tema ya da eklenti kullanımı etken rol oynayabiliyor.
Sunucu da virüs ya da açık varsa site ya da siteleriniz shell saldırılarına maruz kalabilir.
Ayrıca dosya yazma izinleriniz tamamen açık olduğunda art niyetli kişiler istedikleri kodu sitenize yerleştirebiliyor.
Sitede Shell Temizlemenin Kısayolları
Normalde Shell saldırısına maruz kalmış sitelerde log kayıtlarına bakılır ve dosyaların değiştirilme tarihine bakılarak her bir dosya tek tek incelenir. Fakat siteniz Wordpress ise bu kodları kaldırmak için birkaç kısayol deneyebilirsiniz.
- Tema klasöründeki Foooter, Header, Single dosyalarını kontrol etmek: Sitedeki açık temadan kaynaklı olabilir. Temanız warez olmasa bile Belirtilen php dosyalarını kontrol etmelisiniz. Akabinde tema klasörünün yazma izinlerini gözden geçiriniz.
- Eklenti klasörünün ismini değiştirin: Sorunun eklentilerden kaynaklandığını bulmanın en etkili yoludur. “wp-content” klasörünün içine girin ve oradaki “plugins” klasörünün adını “plugins1” olarak değiştirin. Eğer shell kodu eklentilerin içinde ise isim değiştirdikten sonra kod kaybolacaktır. Tekrardan klasör ismini “plugins” olarak düzeltin ve bu klasörü içindeki eklentilerin klasör isimlerini teker teker değiştirerek hangi eklentiden kaynaklandığını aynı yöntemle bulun. Ardından o eklentisi silin ve yeniden kurun.
- “wp-config.php” dosyasını kontrol edin: Art niyetli kişiler site kurulum dosyasına şifrelenmiş kodu yerleştirmiş olabilir. Genellikle son satırda şifrelenmiş kod bırakırlar ve bu sayede site kaynağında istedikleri backlink yayınlanmış olur. Eğer zararlı kodu burada bulduysanız temizleyip dosyayı yeniden sunucuya gönderin.
- En kısa ve en etkili yöntem Wordpress’i güncellemektir: Artık baş edemiyorsunuz ve shell atılan dosyaya ulaşamıyorsunuz. Çünkü bu kodu tema ya da eklentiye değil “wp-includes” klasörünün içindeki bir yere de atmış olabilirler. Fazla uğraşmadan Admin panelde yer alan “Başlangıç” sekmesinin hemen altında “Güncellemeler” kısmına tıklayın. Açılan sayfada “xxxx tr_TR sürümünü yeniden kurmak isterseniz, buradan kurabilirsiniz:” yazan alanın hemen altında “Şimdi yeniden yükle” butonuna tıklayıp Wordpress’i tamamen güncelleyebilirsiniz. Bu sayede kod temizlenmiş olacaktır. Bu işlemden sonra sitenin bütün şifrelerini değiştirmeyi ve klasör yazma izinlerini kontrol etmeyi asla ihmal etmeyiniz. Sorun devam ederse sunucunuzun bulunduğu firma ile görüşüp sunucuya format atma talebinizi iletmeniz yararınıza olacaktır.