WordPress altyapılı yüzlerce website, “directorist” isimli eklenti yüzünden sahte bir şekilde hacklendi. Ancak güvenlik firması Sucuri’nin yaptığı araştırmada, çözümün çok kolay olduğu ortaya çıktı.
İlgili eklentiyi kuran websitelerde aşağıdaki görseldeki gibi bir sayfa çıkıyor.
Görsel, Sucuri Blog’dan alındı.
Sucuri’nin haberine göre, bu şekilde hacklenen websitelerin girişinde “eski haline kavuşmak için 0.1 bitcoin gönderin” yazan bir mesaj çıkıyor. Bitcoin fiyatı sürekli değişse de, bu haberin yazıldığı anlarda yaklaşık 6.000 Amerikan Doları gibi bir miktara denk geliyor.
Çözümü ise oldukça kolay
Her ne kadar korkunç bir durum da olsa, yapılan araştırmada çözümün oldukça basit olduğu ortaya çıktı.
wp-content/plugins klasöründe bulunan directorist klasörünün ve içindekilerin silinmesi, websitenin kurtulması için yeterli oluyor.
Bunu yaptıktan sonra websiteye girdiğinizde tüm içeriklerin silindiğini göreceksiniz ancak bu doğru değil. Zararlı yazılım, tüm gönderilerin saklandığı veritabanında, gönderilerin durumunu belirten post_status sütununun değerlerini null olarak değiştirmiş. Basit bir SQL sorgusu ile null değerini publish olarak değiştirmek yeterli olacaktır.
UPDATE `wp_posts` SET `post_status` = 'publish' WHERE `post_status` = 'null';
Yapılan araştırmada, saldırganların muhtemelen websitenin parolasını bir şekilde bulduğu tahmin ediliyor.
Websitenizi nasıl korursunuz?
- Websitenizdeki kullanıcıların parolasını değiştirin.
- wp-admin sayfanızı koruma altına alın
- Veritabanı, FTP ve cPanel parolalarınızı değiştirin
- Sitenizi bir firewall ile koruma altına alın
- ve tabi ki sitenizi düzenli olarak yedekleyin. Böylece siteniz gerçekten yok edilse bile yedekten geri dönebilirsiniz.
