Giriş
WordPress ekosistemi, üçüncü parti eklentiler ve temalar aracılığıyla sürekli genişleyen bir platformdur. Ancak bu esneklik, saldırganlar için hedef haline gelme riskini de beraberinde getirir. ShapedPlugin tarafından geliştirilen çok sayıda WordPress eklentisinin, tedarik zinciri saldırısına uğradığı ve resmi güncelleme sistemi üzerinden bulaşıcı sürümlerin dağıtıldığı tespit edilmiştir. Bu saldırı, WordPress sitelerinin güvenliğini doğrudan tehdit eden ciddi bir olaydır.
Saldırının Arka Planı
Tedarik zinciri saldırıları, güvenilir bir kaynaktan yapılan saldırıları ifade eder. Bu durumda, saldırganlar ShapedPlugin'in resmi güncelleme sistemini ele geçirerek, eklentilerin güncellemelerine kötü amaçlı kod enjekte etmişlerdir. Kurbanlar, eklentilerini resmi kanaldan güncelledikleri için saldırının farkına varmaları gecikmiş ve bulaşma yaygınlaşmıştır.
Etkilenen Eklentiler ve Semptomlar
Saldırıya uğrayan eklentiler arasında ShapedPlugin tarafından geliştirilen aşağıdaki eklentiler bulunmaktadır:
- Quiz and Survey Master
- WP Feedback
- WP Coupon
- WP Custom Tables
- Eklentinin güncellenmesinden sonra site performansında ani düşüş.
- Eklenti klasöründe bilinmeyen dosyaların oluşması.
- Veritabanında şüpheli kayıtların tespit edilmesi.
- Google Search Console veya benzeri araçlarda "Yerleşik Zararlı Yazılım" uyarılarının alınması.
-
WordPress yönetici panelinize giriş yapın ve Eklentiler bölümüne gidin.
Eğer ShapedPlugin tarafından geliştirilen bir eklenti kullanıyorsanız, aşağıdaki adımları takip edin:
# SSH üzerinden eklenti klasörünü kontrol edin cd /var/www/html/wp-content/plugins/ ls -la | grep shapedplugin -
Eklentinin son güncelleme tarihini kontrol edin. Eğer son güncelleme son saldırıdan sonra yapıldıysa, eklenti muhtemelen saldırıya uğramıştır.
-
Eklenti klasöründeki dosyaların bütünlüğünü kontrol edin. Olağandışı dosyalar veya klasörler olup olmadığını inceleyin.
Saldırının belirtileri:
Dikkat: Eğer ShapedPlugin tarafından geliştirilen bir eklenti kullanıyorsanız ve son güncellemeyi yaptıysanız, sitenizin hemen taranması ve gerekli önlemlerin alınması önemlidir. Saldırının tespit edilmesi zor olabilir, bu nedenle otomatik tarama araçlarının kullanılması önerilir.
Sorun Tespiti ve Doğrulama
1. Eklentilerin Kontrolü
2. Zararlı Yazılım Taraması
WordPress sitelerinde zararlı yazılım taraması için aşağıdaki yöntemler kullanılabilir:
a. WordPress Eklentileri ile Tarama
Aşağıdaki güvenilir eklentiler kullanılarak siteniz taranabilir:
Bu eklentiler, otomatik olarak zararlı yazılımları tespit edebilir ve temizleyebilir. Kurulum ve kullanım adımları için ilgili eklentinin dokümantasyonunu takip edin.
b. SSH ve Komut Satırı ile Tarama
Eğer sunucunuza SSH erişiminiz varsa, aşağıdaki komutları kullanarak zararlı dosyaları tespit edebilirsiniz:
# Tüm PHP dosyalarını tarayın
find /var/www/html -name "*.php" -type f -exec grep -l "eval(base64_decode" {} \;
# Olağandışı dosyaları listeleyin
find /var/www/html -name "*.php" -type f -newer /var/www/html/wp-content/plugins/shapedplugin-quiz-and-survey-master/readme.txt
Uyarı:
eval(base64_decodegibi şüpheli kod kalıplarına dikkat edin. Bu kalıplar, genellikle zararlı yazılımlarda kullanılan kodlama yöntemleridir.
3. Veritabanı Kontrolü
Zararlı yazılımlar, genellikle veritabanına da sızabilir. Veritabanınızı kontrol etmek için aşağıdaki adımları takip edin:
-
phpMyAdmin veya benzeri bir araç kullanarak veritabanınıza erişin.
-
Aşağıdaki SQL sorgusunu çalıştırarak şüpheli kayıtları arayın:
SELECT * FROM wp_options WHERE option_name LIKE '%base64%' OR option_value LIKE '%eval%' OR option_value LIKE '% -
Eğer şüpheli kayıtlar bulursanız, bunları hemen temizleyin ve ilgili eklentiyi devre dışı bırakın.
Çözüm Adımları
1. Eklentinin Kaldırılması ve Yeniden Yüklenmesi
Eğer saldırıya uğrayan eklenti tespit edildiyseniz, aşağıdaki adımları takip ederek eklentiyi temizleyin:
-
WordPress yönetici panelinden eklentiyi devre dışı bırakın.
-
Eklentiyi tamamen kaldırın:
# SSH üzerinden eklentiyi kaldırın
rm -rf /var/www/html/wp-content/plugins/shapedplugin-quiz-and-survey-master
-
Eklentinin resmi olmayan ve güvenilir bir kaynaktan indirilmiş temiz bir sürümünü yükleyin.
# Eklentiyi indirin ve yükleyin
wget https://downloads.wordpress.org/plugin/shapedplugin-quiz-and-survey-master.latest-stable.zip
unzip shapedplugin-quiz-and-survey-master.latest-stable.zip -d /var/www/html/wp-content/plugins/
-
Eklentiyi WordPress yönetici panelinden yeniden etkinleştirin.
2. Sunucu ve Veritabanı Temizliği
Eklentiyi temizledikten sonra, sunucu ve veritabanında kalan zararlı unsurları temizlemek önemlidir.
a. Sunucu Temizliği
# Tüm önbellek dosyalarını temizleyin
rm -rf /var/www/html/wp-content/cache/*
# Eski log dosyalarını silin
rm -rf /var/log/apache2/*.log
rm -rf /var/log/nginx/*.log
# Tüm geçici dosyaları silin
find /var/www/html -type f -name "*.tmp" -delete
find /var/www/html -type f -name "*.log" -delete
b. Veritabanı Temizliği
Veritabanında şüpheli kayıtlar varsa, aşağıdaki adımları takip edin:
-
phpMyAdmin kullanarak veritabanınıza erişin.
-
Aşağıdaki tablolarda şüpheli kayıtları arayın ve silin:
DELETE FROM wp_options WHERE option_name LIKE '%base64%'
OR option_value LIKE '%eval%'
OR option_value LIKE '%
3. Güvenlik Önlemlerinin Alınması
Saldırıdan sonra, gelecekte benzer saldırılara karşı korunmak için aşağıdaki güvenlik önlemlerini alın:
a. Güncellemelerin Düzenli Olarak Yapılması
- WordPress çekirdeği, eklentiler ve temaların düzenli olarak güncellenmesi önemlidir.
- Güncellemeleri otomatik olarak yapmak için
wp-config.php dosyasına aşağıdaki satırı ekleyin:
define('WP_AUTO_UPDATE_CORE', true);
b. Güvenilir Kaynaklardan Eklenti ve Tema Yüklenmesi
- Sadece WordPress resmi deposundan veya güvenilir üçüncü parti kaynaklardan eklenti ve tema indirin.
- Eklenti ve temaların imzalarını kontrol edin.
c. Güvenlik Duvarı ve İzleme Sistemlerinin Kurulması
- Sunucunuza bir güvenlik duvarı (örneğin, Fail2Ban) kurun.
- Saldırı girişimlerini izlemek için bir izleme sistemi (örneğin, Snort) kullanın.
d. Yedekleme Stratejisinin Oluşturulması
- Düzenli yedekler alın ve bunları güvenli bir yerde saklayın.
- Yedekleri otomatik olarak oluşturmak için UpdraftPlus gibi bir eklenti kullanın.
Sonuç
ShapedPlugin güncelleme akışı saldırısı, WordPress sitelerinin güvenliğini ciddi şekilde tehdit eden bir olaydır. Bu saldırıdan etkilenmemek için, eklentilerinizi düzenli olarak güncelleyin, güvenilir kaynaklardan indirin ve güvenlik önlemlerini alın. Eğer saldırıya uğradıysanız, yukarıdaki adımları takip ederek sitenizi temizleyin ve gelecekteki saldırılara karşı koruyun.
Unutmayın: Güvenlik, sürekli bir süreçtir. Saldırılardan korunmak için düzenli kontroller ve güncellemeler şarttır.
