WordPress Teması Motors’taki Kritik Açık
WordPress, dünya genelinde en yaygın kullanılan içerik yönetim sistemlerinden biridir. Ancak, bazı temalarda bulunan açıklar, kullanıcıların sitelerini tehlikeye atmaktadır. Bu bağlamda, Motors adlı WordPress temasında keşfedilen CVE-2025-4322 kodlu bir privilege escalation açığı, kötü niyetli hackerlar tarafından kullanılmakta ve yönetici hesaplarının ele geçirilmesine yol açmaktadır. Bu durum, site sahipleri için ciddi bir tehdit oluşturmaktadır.
Açığın Keşfi ve Ciddiyeti
Wordfence, bu açığı ilk kez Mayıs 2, 2025 tarihinde keşfetti ve Mayıs 19, 2025 tarihinde kullanıcıları bu konuda uyardı. Açığın, Motors temasının tüm sürümlerini etkilediği ve en son sürümünün 5.6.67 olduğu belirtildi. O tarihten önceki tüm sürümlerde, yetkisiz kullanıcıların yönetici şifresini değiştirebilecekleri bir güvenlik açığı var.
Motors Temasının Popülerliği
Motors, StylemixThemes tarafından geliştirilen bir WordPress temasıdır. Otomotiv sektörüne yönelik siteler için oldukça popülerdir ve EnvatoMarket üzerinden 22,460 satış yapmıştır. Bu temanın arkasında aktif bir kullanıcı topluluğu bulunmaktadır. Ancak, bu popülaritenin yanı sıra, güvenlik zaafları nedeniyle kullanıcılar dikkatli olmalıdır.
Hackerların Saldırı Yöntemleri
Kötü niyetli kullanıcılar, açığı kullanarak yönetici hesaplarına ulaşmak amacıyla Login Register widget’ını hedef alıyorlar. Öncelikle, bu widget’ın bulunduğu URL’yi bulmak için /login-register, /account, /reset-password, gibi adreslere özel HTTP POST istekleri gönderiyorlar. Bu isteklerde, şifre sıfırlama mantığını yanlış yola sokan geçersiz UTF-8 karakterleri içeren ‘hash_check’ değeri kullanılıyor.
Saldırgan, gönderilen POST isteğinin gövdesinde ‘stm_new_password’ değerini kullanarak kullanıcı şifresini sıfırlıyor ve genellikle yönetici kullanıcı ID’lerini hedef alıyor.
Saldırı Belirtileri
Bu süreç başladığında, birçok site sahibi kötü niyetli saldırılardan habersiz kalmaktadır. Saldırganlar, yöneticinin erişimini kaybetmesine ve aynı zamanda yeni yöneticiler oluşturmalarına neden olabiliyor. Bu durum, yeni yönetici hesaplarının aniden görünmesi veya mevcut yöneticilerin hesabına erişimlerinin kaybolması gibi belirtilerle kendini gösteriyor.
Uygulanan Önlemler ve Yanlışlıklar
StylemixThemes, açığı kapatmak için 5.6.68 sürümünü Mayıs 14, 2025‘te yayımladı. Ancak, birçok kullanıcı bu güncellemeyi yapmadığı için Wordfence‘in açıklama yaptığı tarihten sonra saldırılar meydana gelmeye başladı. Hackerların saldırıları, güncellenmeyen temalarda yaygın hale geldi ve bu konuda ciddi bir risk oluşturdu.
Saldırıların Arka Planı
Wordfence tarafından yapılan açıklamalara göre, saldırılara yönelik blitz saldırılarına başlanması Mayıs 20, 2025 tarihinde gerçekleşti ve bu tarih, açığın kamuya duyurulmasından sadece bir gün sonraydı. Haziran 7, 2025 itibarıyla bu tür saldırılarda büyük bir artış gözlemlendi. Wordfence, müşterilerine karşı engellenen toplam 23,100 saldırı girişimini raporladı.
Hedeflenen Parola Değerleri
Saldırganlar, ele geçirdikleri hesaplarda kullanılan bazı parola değerlerini belirlediler ve tespit edilen şifreler arasında Testtest123!@#, rzkkd$SP3znjrn, ve Kurd@Kurd12123 gibi örnekler bulunmaktadır. Bu gibi standart dışı parolalarla hesapların ele geçirilmesi daha da kolay hale gelmiştir.
Güvenlik Önlemleri
Site sahiplerinin, özellikle Motors temasını kullananların, bu açığı kapatmak için derhal güncellemeleri yapmaları önerilmektedir. Wordfence, aynı zamanda saldırıları gerçekleştiren bazı IP adreslerini rapor etti ve bu adreslerin sitelerde yasaklanmasını tavsiye etti.
Sonuç: Güvenlik İhlallerini Önleme Stratejileri
Web sitesi sahiplerinin, temalarını ve eklentilerini düzenli olarak güncellemeleri, bu tür güvenlik açıklarının istismar edilmesini önlemek adına kritik bir önem taşımaktadır. Ayrıca, yönetici hesaplarının güvenliğini artırmak için güçlü parolalar kullanılması ve iki aşamalı kimlik doğrulama yöntemlerinin uygulanması önerilmektedir. Bu sayede, hackerların saldırılarına karşı daha dirençli bir yapı oluşturulabilir.
