Everest Forms Pro Eklentisindeki Kritik CVE-2026-3300 Açığının Sömürülmesi ve WordPress Sitelerinin Ele Geçirilmesi

Sorun Tanımı

CVE-2026-3300 kimlik numaralı güvenlik açığı, Everest Forms Pro eklentisinin 1.6.0 sürümünden önceki tüm sürümlerinde bulunmaktadır. Bu açık, saldırganların yetkisiz uzaktan kod yürütme (RCE - Remote Code Execution) gerçekleştirmesine olanak tanır. Temel olarak, saldırganlar WordPress yönetici paneline erişim sağlayarak siteyi tamamen ele geçirebilir, veritabanını değiştirebilir, yeni kullanıcılar ekleyebilir veya kötü amaçlı yazılımlar yükleyebilir.

Açık, form gönderimlerinde kullanılan özel parametrelerin yetersiz doğrulama nedeniyle ortaya çıkmaktadır. Saldırganlar, zincirleme saldırılar (chained exploits) yoluyla bu parametreleri manipüle ederek sistem komutlarını çalıştırabilir hale gelmektedir. Wordfence ve diğer güvenlik firmaları tarafından yapılan araştırmalar, bu açığın aktif olarak saldırganlar tarafından sömürüldüğünü doğrulamıştır.

Önemli Uyarı: Bu açık, WordPress siteleri için yüksek risk taşımaktadır. Saldırganlar tarafından sömürülmesi durumunda veri kaybı, site bütünlüğünün bozulması ve yasal sorumluluklar gibi ciddi sonuçlar doğurabilir. Acil önlem alınması zorunludur.

Etkilenen Sürümler ve Sistem Gereksinimleri

CVE-2026-3300 açığından etkilenen Everest Forms Pro sürümleri şunlardır:

• Everest Forms Pro 1.6.0 ve öncesi
• Everest Forms Lite (ücretsiz versiyon) - doğrudan etkilenmez, ancak pro versiyonuyla birlikte kullanıldığında risk artmaktadır.

Sistem Gereksinimleri:

• WordPress 5.0 veya üzeri
• PHP 7.2 veya üzeri
• Everest Forms Pro eklentisi (tüm lisanslı kullanıcılar)

İpucu: Sitenizin hangi eklenti sürümlerini kullandığını kontrol etmek için wp-admin/plugins.php sayfasını ziyaret edin. Eğer Everest Forms Pro kullanıyorsanız ve sürümünüz 1.6.0'ın altında ise acilen güncelleme yapmalısınız.

Çözüm Adımları

1. Acil Güncelleme İşlemi

1. Yedekleme Alın: Herhangi bir güncelleme işlemine başlamadan önce tüm sitenin yedeğini alın. Bu, olası bir hata durumunda sitenizi kurtarmanıza olanak sağlar.

   # Yedek alma komutu (SSH üzerinden)
   tar -czvf site_yedegi_$(date +%Y%m%d).tar.gz /var/www/html/
   
   # Veritabanı yedeği (MySQL/MariaDB)
   mysqldump -u [kullanici_adi] -p[parola] [veritabani_adi] > db_yedegi_$(date +%Y%m%d).sql
   

2. Eklentiyi Güncelleyin: WordPress yönetici paneline giriş yapın ve Everest Forms Pro eklentisini en son sürüme (1.6.1 veya üzeri) güncelleyin.

   # WordPress yönetici paneli üzerinden:
   1. WordPress admin panelinde "Eklentiler" → "Yüklü Eklentiler" bölümüne gidin.
   2. Everest Forms Pro yanındaki "Güncelle" butonuna tıklayın.
   3. Güncelleme tamamlandığında "Etkinleştir" butonuna basın.
   

   Uyarı: Eğer otomatik güncelleme işlemi başarısız olursa, manüel güncelleme yapmanız gerekebilir. Bu durumda eklentinin resmi WordPress deposundan en son sürümü indirin ve wp-content/plugins/everest-forms-pro/ dizinine yükleyin.

3. Sürüm Doğrulaması: Güncelleme işleminden sonra eklentinin doğru şekilde güncellendiğinden emin olun.

   # Sürüm kontrolü (SSH üzerinden)
   cd /var/www/html/wp-content/plugins/everest-forms-pro/
   cat everest-forms-pro.php | grep "Version"
   

2. Saldırı Tespiti ve Temizleme

Eğer siteniz zaten saldırıya uğradıysa aşağıdaki adımları izleyin:

2.1. Saldırı Belirtileri

• Bilinmeyen kullanıcıların yönetici paneline erişimi
• Şüpheli form gönderimleri (örneğin, system('id') gibi komutlar içeren veriler)
• Yeni eklentilerin aniden yüklenmesi
• Veritabanında bilinmeyen tabloların oluşması
• Sitenin yavaşlaması veya aniden kapanması

2.2. Temizleme İşlemleri

1. Tüm Kullanıcıları Kontrol Edin: WordPress yönetici panelinde Kullanıcılar bölümüne giderek bilinmeyen veya şüpheli kullanıcıları silin.

   # SSH üzerinden tüm kullanıcıları listeleyin (WordPress veritabanından)
   mysql -u [kullanici_adi] -p[parola] [veritabani_adi] -e "SELECT ID, user_login, user_email FROM wp_users;"
   

2. Veritabanını Temizleyin: Veritabanında şüpheli komutlar veya tablolar varsa bunları manüel olarak temizleyin. Örneğin:

   # Şüpheli komutları içeren form gönderimlerini silin
   DELETE FROM wp_everest_form_entries WHERE form_data LIKE '%system(%';
   
   # Bilinmeyen tabloları silin
   DROP TABLE IF EXISTS wp_suspicious_table;
   

3. Tüm Şifreleri Sıfırlayın: WordPress yönetici paneli, FTP/SFTP ve veritabanı şifrelerini değiştirin. Güçlü ve benzersiz şifreler kullanın.

   # WordPress yönetici şifresini değiştirin (SSH üzerinden)
   wp user update 1 --user_pass='YeniGüçlüŞifre123!'
   

4. Güvenlik Eklentileri Kullanın: Wordfence, Sucuri veya iThemes Security gibi güvenlik eklentilerini yükleyin ve tam tarama yapın.

   # Wordfence ile tarama başlatın (SSH üzerinden)
   wp wordfence scan start
   

3. Önleyici Tedbirler

CVE-2026-3300 açığından korunmak için aşağıdaki adımları uygulayın:

3.1. Düzenli Güncellemeler

• WordPress çekirdeğini, eklentileri ve temaları en kısa sürede güncelleyin.
• Güncellemeleri otomatik olarak yapılandırmak için wp-config.php dosyasına aşağıdaki satırı ekleyin:

  define('WP_AUTO_UPDATE_CORE', true);
  

3.2. Güvenlik Duvarı ve İzleme

• Web Application Firewall (WAF) kullanın. Örneğin, Cloudflare, Sucuri veya Wordfence WAF.
• Günlük kayıtlarını düzenli olarak kontrol edin. Anormal aktiviteleri tespit etmek için wp-content/debug.log dosyasını inceleyin.
• Sunucu güvenliğini sağlayın. php.ini dosyasında disable_functions ayarını yapılandırın:

  disable_functions = exec, system, passthru, shell_exec, proc_open
  

3.3. Yedekleme Stratejisi

• Otomatik yedeklemeler alın. UpdraftPlus veya BlogVault gibi eklentiler kullanın.
• Yedekleri farklı lokasyonlarda (bulut, yerel depolama) saklayın.

İlgili Kaynaklar

• CVE-2026-3300 Resmi Kaydı
• Everest Forms Pro Resmi Sayfası
• WordPress Yedekleme Kılavuzu
• Wordfence Hacked Site Temizleme Kılavuzu