Web sitelerinizin en büyük problemi virüs içeriklerinin, sistemlerinizden temizlenmesi için aşağıda sizlere sunacağımız çözüm önerilerini uygulamanızı öneririz. Altyapı kaynaklı olmayan bu saldırgan işlemler, genellikle sisteminizde oluşan bir açıktan faydalanılarak gerçekleşir. Bu yazımızda bahsedeceğimiz güvenlik önlemlerini alarak, sisteminizi güvenli hale getirebilirsiniz. Öncelikle hangi virüs çeşidi ile karşı karşıya olduğunuz tespit etmeniz gerekmektedir.

Virüs Çeşitleri

Iframe Virüsleri:

Web sitenizin direkt olarak virüsün yönlendirdiği siteye gitmesini sağlayan virüs türüdür. Genel olarak temanızın veya sitenizin index dosyasına zararlı kodlar eklenerek yapılan bu yönlendirme, hem mobil hem de web trafiğinizi yönlendirebileceği gibi, sadece mobil trafiğinizi de yönlendirebilir. Bazı durumlarda sadece google’dan tıklama ile gelen ziyaret bile yönlendirilebilir. Bu durumların tespitini yapmak tüm yönlendirmeye göre daha güçtür. Sıklıkla mobil ve Google trafiğinizi kontrol etmelisiniz.

Spam / Phising Amaçlı Virüsler:

Genellikle bir bankanın veya ödeme kuruluşunun web sitesi, birebir kopyalanarak kullanıcılara yanıltmaya çalışan web sayfaları oluşturulur. Oluşturulan bu web sayfaları sızılan web sitenin alt dizinlerine aktarılarak, ziyaretçilerin ödeme bilgilerini çalmaya yönelik işlemler yapılır. Bir nevi dolandırıcılık amaçlı kişiler kimliklerini gizlemek için sizin web sitenizi kullanır. Yasal süreçlerde takibi zorlaştırır.

Dosya ve veritabanı sızmaları: 

Backdoor oluşturularak sisteminize sızılır ve kötü amaçlı faaliyetlere davetiye çıkarılır. Kullandığınız warez veya kaynağına güvenmediğiniz tema ve eklentilerden kaynaklı backdoor (açık kapı)’lar oluşturulabilir. Bu MYSQL kullanıcısı olabileceği gibi WordPress kullanıcısı veya direkt olarak dizini listeleyen bir PHP dosyası da olabilir.

Virüs Nasıl Bulaşır?

• Web sitenizde hazır sistemler (WordPress, Joomla vb.) kullanıyorsanız, temalarınızın ve eklentilerinizin crackli/warez olmadıklarından emin olun. Değerli ve talep gören eklenti ve temaları paylaşan kişiler, bu paylaşımlarında dosyaların içerisine ekledikleri iframe ve açık kapılardan yararlanarak içeriğinizi yönlendirebilirler. Phishing / spam içerikli dosyalar ile aynı dizinde veya üst dizinlere çıkış hakları ile sahte (fake) sayfalar oluşturarak ilgili kuruluşun müşteri bilgilerini çalmaya çalışabilirler.
• Dosya ve klasör izinlerinizi hazır sisteminizin size önerdiği şekilde yapılandırmanız tavsiye edilmektedir. İşin kolayına kaçarak tüm dosyalara ve dizinlere tam yetki (777) vermeniz sisteme sızmaya davetiye çıkarmaktadır.
• FTP veya admin panelinize bağlantı kurduğunuz cihazlarda bilgilerinizi çalmaya yönelik bir program bilgilerinizi kaydedebilir. Browser eklentileriniz de yine size fayda sağladığını göstererek arka planda şifrelerinizi kaydedebilir. Eklentiyi yüklerken sizden istediği dizinlerde şifre ve dizinlere erişim isteğine dikkat etmeniz gerekmektedir.

Virüs Nasıl Temizlenir?

• https://tr.wordpress.org/download/ adresinden wordpress’in güncel sürümünü indirin. Wp-content ve wp-config.php dışında ki WordPress ile ilgili tüm dosyaları silebilirsiniz. İndirdiğiniz güncel WordPress sürüm dosyalarını yine wp-content klasörünü hariç tutarak FTP alanınızı yükleyebilirsiniz. Bu işlem adımı ile wp-content içeriği haricindeki dizinlerde zararlı bir dosya var ise; tamamen ortadan kaldırmış olursunuz.

• Wp-config.php dosyanızın içerisinde orijinal içerikte bulunan fonksiyonlar haricinde fonksiyonlar tespit ederseniz uygulayabileceğiniz 2 seçenek mevcut. Birincisi aşağıdaki resimde gördüğünüz şekilde cryptolanmış (hash’lenmiş) kodlar mevcut ise; bu kodları kaldırabilirsiniz. İkinci seçenek ise; bir önceki adımda indirdiğiniz wp-config-sample.php  dosyasının içeriğini güncel veritabanı bilgileriniz ile güncelleyerek FTP dizininize wp-config.php olarak yükleyebilirsiniz. Bu adım ile, zararlı içerik tespit ettiğiniz wp-config.php dosyanızı temiz versiyonu ile güncellemiş olacaksınız.

• Wp-content içeriğini temizlemek için yine 2 seçenek mevcut. İlki manuel olarak kullandığınız tema ve eklenti dosya içeriklerinizi kontrol ederek açığı oluşturan dosya veya dosyaları tespit etmek olacaktır. Bu oldukça zor ve teknik bilgi gerektiren bir işlemdir. İkinci seçenek ise Anti-Malware Security and Brute-Force Firewall (https://tr.wordpress.org/plugins/gotmls/) isimli eklentiyi wordpress sistemimiz içerisine kurabiliriz. Bu eklenti ile wp-content içeriğini tarattığımızda bize tespit edilen backdoor, phishing, iframe ve potansiyel tehditleri gösterecektir. Bu öneriler üzerine ilgili dosyaları sistemimizden kaldırabiliriz.

• Şifreleriniz ele geçirilmiş olması ihtimaline karşı öncelikli olarak FTP şifrenizi değiştirin. FTP şifre değişikliğinin hemen ardından MySQL veritabanınızın şifresini değiştirmeniz gerekmektedir. (cPanel > Veritabanları sekmesinden kolayca değiştirebilirsiniz.) Veritabanı şifrenizi değiştirdikten sonra wp-config.php dosyanızı güncellemeyi unutmayın. Son olarak wordpress admin panelinizden yeni bir kullanıcı açıldı ise silebilir, mevcut kullanıcılarınızın şifresini güncelleyebilirsiniz.

Güvenlik Önlemleri

• Dosya ve klasör izinlerinizi WordPress’in önerdiği şekilde yapılandırmanız tavsiye edilmektedir. Örneğin; sistem dosyalarına 777 izni vermeniz ayarlarınızı değiştirilmesine sebep olarak web sitenizi ulaşılamaz duruma getirebilir.
• iThemes Security (Better WP Security) eklentisini kurarak WordPress siteminizi güvenli hale getirebilirsiniz. Size önerilen güvenlik ayarlarını uyguladığınız takdirde bilinen saldırılardan en az zararla çıkmayı başarabilirsiniz.
• Sisteminize güvenmediğiniz kaynaklardan edindiğiniz ve warez/crackli tema ve eklentileri kesinlikle eklememeniz tavsiye edilmektedir. Bu paylaşımların içerisine eklenen açık kapılar (backdoor) ile sisteminize kolayca sızılabilir.
• Belirli aralıklar ile web sitenizin yedeğini alın. Bizim için son derece önemli olan web sitelerinizin, belirlediğiniz periyodlarda yedeklerini bilgisayarınıza indirin. Herhangi bir olumsuzluk ile karşılaştığınızda, uğrayacağınız zararı en aza indirmek aylık olarak yalnızca birkaç saatinizi alacaktır.

Tavsiye ettiğimiz çözüm önerilerini uyguladıktan sonra, web siteniz eğer Google veya benzeri servislerde saldırgan olarak işaretlendi ise; Google webmaster tools üzerinden yeniden değerlendirme isteği göndererek, sitenizin Google üzerinden güvenli olarak bağlantı yapmasını sağlayabilirsiniz. Webmaster tools üzerinde bulunan güvenlik tarayıcısından gelen uyarıları dikkate alarak her zaman sitenizin güvenli olarak işaretlenmesini sağlayabilirsiniz.

Bol hitli ve sağlıklı web sitesi yayınları yapmanızı dileriz.