WordPress’te Hacklenmiş Bir Web Sitesini Kurtarma: Adım Adım Rehber

Gelen kutumuza uyarı maili geldiğinde saat 03:32’ydi. Netcraft Takedown Service’ten gelen bu uyarının konusu açık ve netti: “Ağınızda kötü amaçlı web shell tespit edildi.” Hiçbir hosting sağlayıcısı böylesine bir bildirimle karşılaşmak istemez.

Bilmeyenler için Netcraft sıradan bir şirket değildir; siber suçların tespiti, engellenmesi ve kaldırılması konusunda bir dünya lideridir. Microsoft ve Meta gibi dünyanın en büyük markaları tarafından güvenilmektedir.

Raporda, bir müşterimizin web sitesi olan greececruiseexcursions.com’da kötü amaçlı bir web shell bulunduğu belirtiliyordu. Web shell yerleştirildiğinde, saldırganın sunucuya dosya yükleyebileceği, komutlar çalıştırabileceği ve hatta sunucuyu spam göndermek için kullanabileceği açıklanıyordu.

Bu müşterimiz, performans ve daha da önemlisi güvenliği önceleyerek inşa ettiğimiz SpeedFirst WordPress Hosting hizmetimizi kullanmıyordu. WordPress kurulumları doğrudan internete açıktı ve bu da onları otomatik hack girişimlerinin hedefi haline getiriyordu. Hemen harekete geçtik ve müşterimizle iletişime geçtik.

Durum kritik olsa da, iyi haber şu ki hacklenmiş bir WordPress sitesi temizlenip kurtarılabilir. Hacklenmiş bir web sitesini nasıl kurtaracağınızı merak ediyorsanız, okumaya devam edin.

Bir Diğer Yaygın Tehdit: SEO Spam ve Sıralama Kaybı

Web shell, doğrudan sunucu seviyesinde bir tehdit olsa da, bir diğer sinsi hack türü ise markanın itibarını doğrudan Google üzerinde hedefler. Saygın bir hukuk bürosu olan müşterimiz zafermutlu.com.tr‘nin başına gelen de tam olarak buydu. Siteleri, yıkıcı bir SEO spam saldırısının kurbanı oldu.

Bu senaryoda, hackerlar ana sayfanın görünümünü bozmadı. Bunun yerine, çeşitli ürünlerin tanıtımını yapan binlerce gizli spam sayfayı sessizce siteye eklediler. Asıl hasar, Google bu sayfaları keşfedip dizine eklediğinde meydana geldi. Bir anda, hukuk bürosunun resmi arama sonuçları bu spam içerikli ve alakasız sayfalarla doldu. Bu durum, sadece büyük emeklerle elde ettikleri arama motoru sıralamalarını yok etmekle kalmadı, aynı zamanda bir hukuk bürosu için hayati önem taşıyan mesleki güveni de ciddi şekilde zedeledi. Firma, ne olduğunu ancak organik trafikleri aniden düştüğünde ve online itibarları tehlikeye girdiğinde fark etti.

zafermutlu.com.tr'nin Google arama sonuçlarında Google tarafından dizine eklenmiş spam sayfalarını gösteren ekran görüntüsü.
Hack saldırısının ardından hukuk bürosunun spam sayfalarla dolan ve profesyonel imajına ciddi şekilde zarar veren gerçek arama sonuçları.

Siteniz ister ilk örneğimizdeki gibi teknik bir web shell, ister zafermutlu.com.tr’nin karşılaştığı gibi itibar zedeleyici bir SEO spam saldırısından etkilenmiş olsun, kurtarma süreci metodik bir yaklaşım gerektirir. Aşağıdaki adımlar, sitenizi temizleme ve dijital varlığınızı geri kazanma konusunda size yol gösterecektir.

Hacklenmiş Web Siteleri Nasıl Kurtarılır: Adım Adım Kılavuz

Web sitenizin hacklendiğini fark ettiğinizde, kontrolü yeniden ele almak ve sitenizin güvenliğini sağlamak için bu adımları dikkatlice takip edin.

1. Adım: Web Sitenizi İzole Edin

Hemen sitenizi çevrimdışı hale getirin. Bu, saldırganların daha fazla zarar vermesini önleyecek, kötü amaçlı yazılımın ziyaretçilerinize yayılmasını engelleyecek ve markanızın itibarının zedelenmesinin önüne geçecektir. Bunu bir bakım modu eklentisi kullanarak veya index.php dosyanızı geçici, statik bir index.html sayfasıyla değiştirerek yapabilirsiniz.

2. Adım: Hacklenmiş Sitenizi Yedekleyin

Mantığa aykırıymış gibi gelse de web sitenizin mevcut halinin tam bir yedeğini (hem dosyalar hem de veritabanı) oluşturmalısınız. Bu sayede saldırıyı analiz etme imkanınız olacaktır. Aynı zamanda, temizlik sürecinde önemli verilerinizi kaybetmenizin de önüne geçecektir.

3. Adım: WordPress’i Güvenlik Açıkları İçin Taramak

Site çevrimdışıyken kapsamlı bir tarama yapın. Etkilenmiş dosyaları ve verileri tespit etmek için WordPress’i güvenlik açıkları için iyice taramanız gerekir. Bunu birden fazla araç kullanarak yapmalısınız:

  • Sunucu Tarayıcıları: Hosting sağlayıcınıza ClamAV gibi araçları olup olmadığını sorun.
  • Harici Tarayıcılar: Sitenizi dışarıdan taramak için Sucuri SiteCheck veya Wordfence gibi hizmetleri kullanın.
  • Eklentiler: Yedek kopyanıza bir güvenlik eklentisi yükleyerek dosyaları ve veritabanını derinlemesine tarayın.

Bu taramalar, şüpheli dosyaların, kötü amaçlı kod enjeksiyonlarının ve bilinen güvenlik açıklarının bir listesini oluşturacaktır.

4. Adım: WordPress’ten Kötü Amaçlı Yazılımı Kaldırın ve Dosyalarınızı Temizleyin

Bu süreçte en çok müdahale gerektiren bölümdür.

Ana Dosyaları Değiştirin: WordPress.org’dan WordPress’in temiz bir kopyasını indirin.

  • Öncelikle, sitenizin eski wp-admin ve wp-includes dizinlerini silin. Ana dizindeki diğer çekirdek WordPress dosyalarını da silin (wp-login.php, wp-mail.php gibi). wp-content klasörünüzü ve wp-config.php dosyanızı silmeyin.
  • Ardından, indirdiğiniz yeni WordPress dosyalarını sitenizin ana dizinine yükleyin.
  • wp-config.php dosyasına dikkat edin: Bu dosya veritabanı bilgilerinizi içerir ancak saldırıdan etkilenmiş olabilir. Eski dosyanızı doğrudan kullanmak yerine, yeni WordPress dosyalarından wp-config-sample.php dosyasını bulun. Eski dosyanızdan veritabanı bilgilerini (DB_NAME, DB_USER, DB_PASSWORD, DB_HOST ve table_prefix) dikkatlice kopyalayın. Bu yeni dosyayı wp-config.php olarak kaydedin.

wp-content’i inceleyin: wp-content klasörünüzdeki tüm dosyaları tek tek gözden geçirin. Çoğu saldırı burada gizlenir. Şüpheli görünen eklenti veya temaları silin.

Eklentileri ve Temaları Yeniden Yükleyin: Tüm eklentileri ve temaları silin. Resmi kaynaklardan yeniden yükleyin (WordPress dizini veya geliştiricinin resmi sitesi). Bilinmeyen kaynaklardan indirmeyin.

.htaccess Dosyasını Kontrol Edin: Temiz bir wp-config.php oluşturduktan sonra, .htaccess dosyasını gözden geçirin. Kötü amaçlı kod veya garip yönlendirme kuralları olup olmadığını dikkatle inceleyin. Referans olarak varsayılan bir WordPress .htaccess dosyasıyla karşılaştırın.

5. Adım: Veritabanınızı Temizleyin

Saldırganlar veritabanınıza kötü amaçlı içerikler ve spam bağlantılar da ekleyebilir. Search-Replace-DB gibi bir araç veya bir güvenlik eklentisinin veritabanı tarayıcısını kullanarak gönderileriniz, sayfalarınız ve yorumlarınız içinde script etiketleri veya spam anahtar kelimeler gibi şüpheli içerikleri arayın. Bulduğunuz kötü içerikleri silin.

6. Adım: Tüm Parolalarınızı Değiştirin

Saldırganın tüm parolaları çaldığını varsayın. Her şeyi değiştirmeniz gerekir:

  • Tüm WordPress kullanıcı parolaları (özellikle yönetici hesapları).
  • Veritabanı parolası.
  • Hosting kontrol paneli (cPanel/Plesk) parolası.
  • FTP/SFTP parolaları.
  • Resmi WordPress salt oluşturucusuna gidin ve wp-config.php dosyanızdaki eski anahtarları yenileriyle değiştirin. Bu, tüm kullanıcıların oturumunu sonlandırır ve mevcut çerezleri geçersiz kılar.

7. Adım: Sitenizi Tekrar Çevrimiçi Hale Getirin

Temiz dosyaları ve güvenli veritabanını yükledikten sonra, bakım sayfasını kaldırarak sitenizi tekrar çevrimiçi duruma getirin. Tüm sunucu tarafı ve tarayıcı önbelleklerini temizleyin. Web sitesi güvenlik kontrolünüzün başarılı olduğundan emin olun. Artık hacklenmiş bir web sitesinin nasıl kurtarılacağı sürecinin sonuna yaklaştınız.

8. Adım: Yakından İzleyin

Sitenizi birkaç gün boyunca dikkatle gözlemleyin. Günlük kayıtlarını kontrol edin ve bir dosya bütünlük izleyici kullanarak saldırganın kaçırmış olabileceğiniz bir arka kapıyı kullanarak geri dönmesini önleyin.

Temizlik Sonrası: Spam Sayfaları Google’dan Kaldırma

1-8 arası adımları takip edip web sitenizi temizlediniz fakat hala takip etmeniz gereken birkaç adım var; özellikle de zafermutlu.com.tr gibi bir SEO spam saldırısının kurbanı olduysanız. Şimdi, Google’a bu kötü amaçlı sayfaları arama sonuçlarından kaldırması gerektiğini bildirmeniz gerekiyor.

Adım 1: Spam Sayfaların Kaldırıldığını Teyit Edin

Google’dan herhangi bir işlem talep etmeden önce, spam URL’lerin sunucunuzdan gerçekten kaldırıldığından emin olun. Bu zararlı URL’lerden birini ziyaret ettiğinizde, mutlaka “404 Not Found” (Bulunamadı) veya “410 Gone” (Kalıcı Olarak Kaldırıldı) hatası vermelidir. Bu adım kritik öneme sahiptir. Eğer sayfalar hala mevcutsa, Google onları kaldırmayacaktır.

Adım 2: Dizine Eklenmiş Tüm Spam URL’leri Bulun

Google’a gidin ve alan adınız için dizine eklediği tüm sayfaları bulmak amacıyla site: arama operatörünü kullanın. Sitenize ait olmayan her şeyi arayın.

  • Aramanızı bu şekilde yapabilirsiniz: site:alanadiniz.com

Bulduğunuz tüm spam URL’lerin bir listesini oluşturun.

Adım 3: Google Search Console’da Kaldırma Talebinde Bulunun

Google Search Console'daki Kaldırma Aracı ile spam URL'lerin kaldırılması.

Oluşturduğunuz listeyi kullanarak Google’dan geçici bir kaldırma talebinde bulunun. Bu, Google’ın sitenizi doğal olarak yeniden taramasını beklerken spam içerikleri arama sonuçlarından çıkarmanın en hızlı yoludur.

  • Google Search Console‘a giriş yapın.
  • Sol menüdeki “Kaldırma işlemleri” aracına gidin.
  • “Yeni Talep”e tıklayın ve her bir spam URL’yi tek tek girin. “Yalnızca bu URL’yi kaldır” seçeneğini seçin.

Bu işlem, URL’leri yaklaşık altı ay boyunca arama sonuçlarından gizleyecektir. Bu süre, Google’ın sayfaların kalıcı olarak kaldırıldığını (404 hatası döndürdükleri için) görmesi ve onları dizinden tamamen silmesi için fazlasıyla yeterlidir.

Step 4: Google’ın Silinmiş Sayfalara Erişimini Engelleyin

Spam sayfaların silindiğinden emin olduktan sonra sitenizin robots.txt dosyasına bu sayfalar için Disallow kuralları ekleyin. Böylece Google silinmiş sayfalara tekrar erişmeye çalışmayacaktır.

Proaktif Çözüm: Tedavi Yerine Önlem

Hacklenmiş bir siteyi temizlemek tepki odaklı, zaman alan ve stresli bir süreçtir. Hikayemizdeki müşterimiz sitesini kurtarılabildi, ancak kesinti yaşadı ve büyük bir güvenlik şoku geçirdi. Ya bu durum en başından engellenebilseydi?

İşte tam da burada hosting felsefemiz devreye giriyor. Speedfirst WordPress Hosting sadece hız için değil, aynı zamanda güvenlik için de inşa edilmiştir. Güvenlik sadece bir eklenti değil, en önemli önceliktir; altyapımız maksimum güvenlik gözetilerek inşa edilmiştir. Bu nedenle, saldırı riski büyük ölçüde azalır ve sürekli olarak WordPress’i güvenlik açıkları için taramanıza, acil web sitesi güvenlik kontrolleri yapmanıza, hacklenmiş web sitesi içeriğini panik içinde nasıl kurtaracağınızı düşünmenize gerek kalmaz.

SpeedFirst, sitenizin internete olan maruziyetini temelden değiştirir, saldırı yüzeylerini azaltır ve yetkisiz erişimi engeller. Kötü amaçlı yazılımlardan etkilendikten sonra tepki vermek yerine, bu tehditleri tamamen engellersiniz.

WordPress sitenizi statik benzeri bir yapıya dönüştürüyoruz. Ziyaretçileriniz sitenizin son derece hızlı ve salt okunur bir sürümüyle etkileşime girer; bu da saldırganların yaygın WordPress açıklarını kullanmalarını imkansız hale getirir. Gerçek WordPress çekirdeği, yönetici paneli ve veritabanı tamamen kilitlidir ve yalnızca sizin erişiminize açıktır.

Faydalar:

  • Hack Girişimlerine Karşı Tam Koruma: Başta bahsedilen web shell vakası gibi girişimleri tamamen engellemek için tasarlanmıştır. WordPress çekirdeğinize siz istemedikçe kimse erişemez; böylece WordPress’i sürekli olarak güvenlik açıkları için taramanıza veya hacklenmiş içerikleri kurtarmaya çalışmanıza gerek kalmaz.
  • Güncelleme Kaygısına Son: WordPress güncellemeleriyle sitenizin bozulacağından endişe etmeyin. Ziyaretçilere açık site ayrı olduğu için güncellemeler güvenli bir ortamda test edilebilir.
  • Riskli Güvenlik Eklentilerine Elveda: Güvenlik eklentileri karmaşık olabilir ve ironik olarak bazen güvenlik açıkları yaratabilir. Bizim hizmetimiz bu bağımlılığı tamamen ortadan kaldırır. Yamalarla sitenizi bir arada tutmaya çalışmaz, tasarımı gereği güvenli çalışan bir WordPress deneyimi sunar.
  • Otomatik Savunma: Sistemimiz, hack girişimlerini ve kötü niyetli botları WordPress kurulumunuza ulaşmadan engeller. Sürekli izleme ve yerleşik koruma ile WordPress dosyalarından kötü amaçlı yazılımları kaldırma veya hacklenmiş site verilerini kurtarma gerekliliğini büyük ölçüde azaltırsınız.

Hacklenmiş web sitesi nasıl kurtarılır öğrenmek önemlidir, ancak bu sorunu önlemek çok daha faydalıdır. Zaten bir güvenlik ihlaliyle karşı karşıyaysanız, yukarıdaki rehberi takip ederek WordPress sitenizden kötü amaçlı yazılımları kaldırın, tam bir web sitesi güvenlik kontrolü gerçekleştirin ve WordPress’i çeşitli yöntemlerle güvenlik açıkları için tarayın.

Bir dahaki sefere, felaketin yaşanmasını beklemeyin. Gerçekten güvenli bir WordPress barındırma hizmeti sunan bir platforma geçin. SpeedFirst WordPress Hosting ile sitenizi temelden koruyun ve bir daha hacklenmiş web siteleri nasıl kurtarılır diye endişelenmeyin.