Giriş
Avustralya Siber Güvenlik Merkezi (ACSC), yayınladığı uyarıda, dünya genelinde zafiyetli içerik yönetim sistemlerine (CMS) ve eklentilerine yönelik organize bir saldırı kampanyasının başladığını bildirdi. Bu saldırılar, özellikle WordPress, Joomla ve Drupal gibi popüler platformları hedef almakta ve milyonlarca web sitesini riske atmaktadır. ACSC, sistem yöneticilerini ve geliştiricileri, bu tehdide karşı acil önlemler almaya çağırmaktadır.
Saldırı Kampanyasının Detayları
Hedeflenen Sistemler ve Zafiyetler
Saldırı kampanyası, aşağıdaki CMS platformları ve eklentilerindeki bilinen zafiyetlerden yararlanmaktadır:
- WordPress: Eski sürümler (örn. 5.0-5.6),
File Manager,WP Super CacheveContact Form 7gibi popüler eklentilerdeki zafiyetler. - Joomla:
Joomla! 3.xve4.xsürümlerindekicom_fieldsbileşenindeki zafiyetler. - Drupal:
Drupal 7.xve8.xsürümlerindekiDrupalgeddon2veDrupal Corezafiyetleri.
Not: Bu liste tüm hedefleri kapsamamaktadır. Saldırganlar, yeni keşfedilen zafiyetleri de sürekli olarak kullanmaktadır.
Saldırganların Yöntemleri
Saldırganlar, aşağıdaki teknikleri kullanarak sistemlere sızmaktadır:
- Otomatik Tarama: Açık zafiyetleri tespit etmek için otomatik araçlar kullanmaktadır.
- Kötü Amaçlı Kod Enjeksiyonu: Zafiyetli sistemlere
PHP,JavaScriptveyaSQLtabanlı kötü amaçlı kod enjekte etmektedir. - Arka Kapı Kurulumu: Sisteme kalıcı erişim sağlamak için arka kapılar oluşturmaktadır.
- DDoS Botnet'lerine Entegrasyon: Saldırganlar, ele geçirdikleri sistemleri DDoS saldırıları için kullanmaktadır.
Korunma Yöntemleri
1. Sistemlerinizi Güncel Tutun
En önemli koruma yöntemi, CMS platformunuzu ve tüm eklentilerinizi en son sürüme yükseltmektir. Geliştiriciler, yeni güvenlik yamaları yayınladıkça, bunları hemen uygulamalısınız.
- WordPress:
# WordPress çekirdek dosyalarını güncellemek için: wp core update # Tüm eklentileri güncellemek için: wp plugin update --all # Tüm temaları güncellemek için: wp theme update --all - Joomla:
# Joomla çekirdek dosyalarını güncellemek için (Joomla Yönetici Paneli → Sistem → Güncelleme) - Drupal:
# Drupal çekirdek dosyalarını güncellemek için (Drupal Yönetici Paneli → Rapor → Güncellemeler)
2. Güvenlik Eklentilerini Kullanın
CMS platformunuza güvenlik eklentileri ekleyerek ek koruma sağlayabilirsiniz. Önerilen bazı eklentiler:
- WordPress:
Wordfence Security,Sucuri Security,iThemes Security. - Joomla:
Admin Tools,RSFirewall. - Drupal:
Security Kit,Paranoia.
Kurulum Adımları (WordPress için):
- WordPress yönetici panelinden
Eklentiler → Yeni Ekleseçeneğine gidin. Wordfence Securityeklentisini bulun ve yükleyin.- Eklentiyi etkinleştirin ve ayarlarını yapılandırın.
- Taramayı başlatın:
# Wordfence tarama komutu (WP-CLI üzerinden): wp wordfence scan start
3. Güçlü Şifreler ve Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın
Saldırganlar, zayıf şifreleri kolayca kırabilmektedir. Aşağıdaki adımları izleyerek hesaplarınızı koruyun:
- Şifre Politikası:
- En az 12 karakter uzunluğunda olmalıdır.
- Büyük/küçük harf, rakam ve özel karakterler içermelidir.
- Sık kullanılan kelimelerden kaçınılmalıdır.
- Şifre Yöneticisi Kullanın:
# Örnek: Bitwarden kullanarak şifre oluşturma bitwarden generate --length 16 --include-symbols - Çok Faktörlü Kimlik Doğrulama (MFA) Etkinleştirin:
- WordPress:
Google AuthenticatorveyaAuthyeklentileri. - Joomla:
Two Factor Autheklentisi. - Drupal:
Google Authenticatormodülü.
- WordPress:
4. Dosya ve Dizin İzinlerini Sınırlandırın
Dosya ve dizin izinleri, saldırganların sisteminize erişimini zorlaştırır. Aşağıdaki izinleri uygulayın:
# Örnek: WordPress dosya izinleri
chmod -R 755 /var/www/html/wp-content
chmod 644 /var/www/html/wp-config.php
# Örnek: Joomla dosya izinleri
chmod -R 755 /var/www/html/administrator
chmod 644 /var/www/html/configuration.php
# Örnek: Drupal dosya izinleri
chmod -R 755 /var/www/html/sites/default/files
chmod 644 /var/www/html/sites/default/settings.php
Uyarı: 777 gibi izinler, sisteminizi ciddi risklere maruz bırakır. Asla kullanmayın!
5. Yedekleme ve İzleme Sistemleri Kurun
Saldırı durumunda hızlıca kurtarma yapabilmek için düzenli yedeklemeler alın ve izleme sistemleri kurun.
- Otomatik Yedekleme:
# WordPress için yedekleme (UpdraftPlus eklentisi kullanarak) # Joomla için yedekleme (Akeeba Backup kullanarak) # Drupal için yedekleme (Backup and Migrate modülü kullanarak) - Sistem İzleme:
- Fail2Ban: Brute-force saldırılarını engellemek için.
# Fail2Ban kurulumu ve yapılandırılması sudo apt install fail2ban sudo systemctl enable fail2ban sudo systemctl start fail2ban - Logwatch: Sistem loglarını analiz etmek için.
# Logwatch kurulumu sudo apt install logwatch sudo logwatch --output mail --mailto admin@example.com --detail high
- Fail2Ban: Brute-force saldırılarını engellemek için.
Saldırı Tespit Edildiğinde Yapılması Gerekenler
1. Sistemden İzole Edin
Saldırı tespit edildiğinde, sistemi hemen ağdan izole edin ve diğer sistemlere yayılmasını önleyin.
# Örnek: Linux sisteminde ağdan izole etmek
sudo ifconfig eth0 down
2. Zararlı Kodları Temizleyin
Saldırganlar tarafından enjekte edilen kötü amaçlı kodları tespit edin ve temizleyin.
- Tüm Dosyaları Tarayın:
# ClamAV kullanarak tarama sudo apt install clamav sudo freshclam sudo clamscan -r --bell -i /var/www/html - Kötü Amaçlı Kodları Manuel Olarak Kontrol Edin:
eval(base64_decode(...))gibi şüpheli ifadeleri arayın.base64_decodefonksiyonlarını inceleyin.
3. Yedekten Kurtarma
Sisteminizi en son güvenilir yedeğinden kurtarın. Yedek almadıysanız, aşağıdaki adımları izleyin:
- Tüm verileri yedekleyin.
- CMS platformunu ve eklentilerini en son sürüme yükseltin.
- Sisteminizi temiz bir şekilde yeniden kurun.
Ek Önlemler ve İpuçları
İpucu 1: CMS platformunuzun ve eklentilerinizin lisanslarını düzenli olarak kontrol edin. Eski veya desteklenmeyen yazılımlar, saldırılara karşı daha savunmasızdır.
İpucu 2: Güvenlik duvarı (firewall) kullanarak, sadece gerekli portları açık bırakın. Örneğin, WordPress için sadece80 (HTTP)ve443 (HTTPS)portlarını açın.
İpucu 3: CMS yönetici paneline erişimi sınırlandırın. Sadece belirli IP adreslerinden erişime izin verin.
Sonuç
Avustralya Siber Güvenlik Merkezi'nin (ACSC) uyarısı, küresel çapta zafiyetli CMS platformlarına yönelik saldırıların arttığını göstermektedir. Sistem yöneticileri ve geliştiriciler, yukarıda belirtilen adımları izleyerek sistemlerini korumalı ve saldırılara karşı hazırlıklı olmalıdır. Düzenli güncellemeler, güçlü şifreler, güvenlik eklentileri ve yedeklemeler, bu tehditlere karşı en etkili koruma yöntemleridir.
Unutmayın: Önleme, tespitten daha önemlidir! Sistemlerinizi sürekli olarak izleyin, güncellemeleri takip edin ve güvenlik en iyi uygulamalarını uygulayın.



