WordPress Sitelerinde Keşfedilen Yeni Tehdit: Mu-Plugins İle Gizli Arka Kapı
Web güvenliği alanında ilerlemeler kaydedilmesine rağmen, WordPress sitelerine yönelik tehditler de artmış durumda. Son dönemde yapılan bir araştırma, “mu-plugins” dizininde gizlenmiş yeni bir arka kapının keşfedildiğini ortaya koydu. Bu arka kapı, kötü niyetli kişilerin sürekli olarak sisteme erişim sağlamasına ve çeşitli eylemler gerçekleştirmesine olanak tanıyor.
Mu-Plugins Nedir ve Neden Bu Kadar Tehlikeli?
Must-use eklentiler, tüm WordPress kurulumlarında otomatik olarak etkinleşen özel eklentilerdir. Genellikle, bu eklentiler “wp-content/mu-plugins” dizininde bulunur ve admin panelinin eklentiler sayfasında görünmezler. Bu durum, kötü niyetli yazılımların gizli kalmasını ve çok daha az dikkat çekmesini sağlar.
Bu tür eklentilerin çekiciliği, normal eklentilerden farklı olarak, devre dışı bırakılamamalarıdır. Yani, sadece mu-plugins dizininden dosya kaldırılarak etkisiz hale getirilebilir. Bu nedenle eğer bir kötü amaçlı yazılım bu tekniği kullanırsa, fark edilmeden çalışmaya devam edebilir.
İnşaat Sürecindeki Tehditler
Web güvenliği firması Sucuri, bu gizli arka kapıyı tespit etti. Mu-plugins dizinindeki PHP scripti olan “wp-index.php”, ikinci aşama bir yüklemenin yapılmasını sağlıyor. Bu yükleme, WordPress veritabanının wp_options tablosuna kaydediliyor. Kötü amaçlı yazılım, dışarıdan alacağı yükleme URL’sini de ROT13 şifreleme tekniği ile karmaşıklaştırıyor.
Güvenlik araştırmacısı Puja Srivastava, “Alınan içerik daha sonra geçici olarak diske yazılır ve çalıştırılır” diyor. Bu arka kapı ile saldırgan, siteye sürekli erişim elde eder ve uzaktan her türlü PHP kodunu çalıştırabilir.
Yapılan Eylemler ve Saldırganın Kontrolü
Söz konusu kötü niyetli yazılım, tema dizinine gizli bir dosya yöneticisi olarak “pricing-table-3.php” adlı dosyayı ekliyor. Bu sayede saldırganlar, site dosyalarını gözlemleyebilir, yükleyebilir veya silebilir. Bunun yanında, “officialwp” adında yeni bir yönetici kullanıcısı oluşturuyor ve zararlı bir eklenti olan “wp-bot-protect.php”‘yi indirip etkinleştiriyor.
Malware’in önemli bir özelliği, silinme durumunda bile enfeksiyonu yeniden başlatabilmesi. Ayrıca, bu yazılım, daha yaygın yönetici kullanıcı adlarının şifrelerini, saldırganın belirlediği varsayılan bir şifre ile değiştirme yeteneğine sahip. Bu durum, diğer yöneticilerin siteye erişimini kısıtlıyor ve veri hırsızlığı gibi çeşitli kötü niyetli eylemler için fırsatlar sunuyor.
Yönetici Erişimi ve Kötü Amaçlı Eylemler
Söz konusu arka kapı, saldırganlara tam yönetici erişimi sağlıyor ve sürekli bir arka kapı oluşturuyor. Böylelikle, saldırganlar istedikleri şekilde sitenin içeriğini değiştirebilir, daha fazla zararlı yazılım yükleyebilir veya siteyi bozabilir. Uzak komut çalıştırma ve içerik ekleme özellikleri de, malware’nin davranışını değiştirme olanağı sunuyor. Srivastava’nın belirttiği gibi, “Saldırganlar, sitenin üzerinde her türlü işlemi gerçekleştirebiliyorlar.”
Güvenlik Önlemleri ve Tedbirler
WordPress kullanıcılarının, bu tür tehditlerle karşılaşmaması için alması gereken bazı önemli önlemler bulunmaktadır. Öncelikle, WordPress‘in ve tüm temaların, eklentilerin düzenli olarak güncellenmesi büyük bir önem taşımaktadır. Ayrıca, kullanıcı hesaplarının iki faktörlü doğrulama ile korunması, güvenlik açısından faydalı olacaktır.
Son olarak, sitenin her bölümü, özellikle tema ve eklenti dosyaları, düzenli olarak denetlenmelidir. Bu tür saldırıların önlenmesi, upload edilen dosyaların ve kullanılan eklentilerin dikkatlice izlenmesi ile mümkün olabilir.
WordPress kullanıcıları, bu tür arka kapılara karşı daha dikkatli olmalı ve gerekli güvenlik tedbirlerini almadan sistemlerini kullanılmamalıdır. Unutulmamalıdır ki, siber tehditler sürekli olarak gelişiyor ve bu nedenle güvenlik önlemleri de güncellenmelidir.
