Giriş
Son zamanlarda, EssentialPlugin paketindeki 30’dan fazla WordPress eklentisinin kötü niyetli bir kod ile kompromize edildiği bildirilmektedir. Bu durum, yüz binlerce aktif kurulum için ciddi bir güvenlik tehdidi oluşturmaktadır.
Saldırı Nasıl Çalışıyor?
Kötü niyetli bir aktör, geçtiğimiz yıl bu eklentilere arka kapı kodu yerleştirmiştir. Ancak, bu kod yalnızca son güncellemelerle beraber aktif hale getirildi ve komut ve kontrol (C2) sunucusundan gelen talimatlar doğrultusunda spam sayfaları oluşturup yönlendirmeler yapmaya başladı. Ginder tarafından yapılan daha fazla araştırma, arka kapının Ağustos 2025‘ten beri tüm EssentialPlugin paketlerinde mevcut olduğunu ortaya koymuştur.
Etkilenen Sistemler
EssentialPlugin adı altında tanınan ve 2015 yılında kurulan bu şirket, sadece eklentiler değil, aynı zamanda kullanıcıların ihtiyaçlarına yönelik çeşitli çözümler sunmaktadır. Eklentiler şunları içerir:
- Slaytlar ve galeriler
- Pazarlama araçları
- WooCommerce uzantıları
- SEO/analitik araçları
- Tema ve şablonlar
Ginder’ın yaptığı açıklamalara göre, arka kapı başlangıçta aktif değildi. Ancak, yakın zamanda dış altyapıyla bağlantı kurarak ‘wp-comments-posts.php’ adında bir dosya indirdi ve bu dosya, wp-config.php dosyasına kötü niyetli yazılım enjekte etti. İndirilen yazılım site sahipleri tarafından görünmez hale geldi ve Ethereum tabanlı C2 adres çözümlemesi kullanarak saklanma yöntemleri geliştirdi.
Çözüm ve Korunma
WordPress.org, bu kötü niyetli faaliyetler hakkında gelen raporlara hızlı bir yanıt vererek etkilenen eklentileri kapattı ve kullanıcıların sitelerine zorunlu bir güncelleme gönderdi. Bu güncelleme, arka kapının iletişimini nötralize etmeyi ve çalıştırma yolunu etkisiz hale getirmeyi amaçlamaktadır. Ancak, geliştiriciler, bu eylemin wp-config core yapılandırma dosyasını temizlemediği konusunda uyardı. Uzmanlar, aşağıdaki noktaları dikkate almanızı öneriyor:
- Güncelleme yapın ve eklentilerinizi kontrol edin.
- wp-comments-posts.php adlı dosyayı inceleyin ve benzer dosyaları araştırın.
- Web sitenizin güvenliğini sağlamak için günlük güvenlik taramaları gerçekleştirin.
Son olarak, WordPress güvenlik platformu PatchStack, arka kapının yalnızca analytics.essentialplugin.com uç noktasından kötü niyetli seri içerik döküldüğünde çalıştığını belirtmektedir.
Aksiyon
Eğer bir EssentialPlugin ürünü kullanıyorsanız, hemen güncellemeleri uygulayın ve portlarınızı kapatın. Ayrıca, sisteminizi tam anlamıyla güvence altına almak için düzenli güvenlik taramaları yaparak potansiyel tehlikeleri bertaraf edin. Bu tür güvenlik ihlalleri, proaktif önlemler almakla önlenebilir.
