Zararlı dosya bulaşan hosting hesabını temizlemek için yedek alma, dosya analizi, veritabanı kontrolü, şifre yenileme ve güvenlik önlemlerini adım adım öğrenin.
Bir web sitesinde beklenmeyen yönlendirmeler, antivirüs uyarıları, yönetim paneline erişim sorunları veya arama sonuçlarında güvenlik bildirimi görülüyorsa sorun çoğu zaman zararlı dosya bulaşmasından kaynaklanır. Bu durumda amaç yalnızca şüpheli dosyayı silmek değil, bulaşmanın kaynağını kapatmak, temizliği doğrulamak ve sitenin tekrar ele geçirilmesini önlemektir. Hosting hesabı üzerinde yapılacak işlemler dikkatli planlanmazsa veri kaybı, eksik temizlik veya sitenin yeniden enfekte olması gibi sorunlar yaşanabilir.
Temizliğe başlamadan önce ziyaretçilerin ve diğer dosyaların etkilenmesini azaltmak gerekir. Site aktif olarak zararlı kod çalıştırıyorsa bakım moduna almak, şüpheli yönlendirmeleri durdurmak ve gerekirse ilgili alan adını geçici olarak pasifleştirmek doğru bir başlangıçtır. E-posta hesapları da kontrol edilmelidir; çünkü bazı bulaşmalar spam gönderimiyle birlikte ilerler.
Bu aşamada tüm dosyaları aceleyle silmek doğru değildir. Önce mevcut durumun bir kopyası alınmalıdır. Bu kopya yayına geri yüklemek için değil, inceleme sırasında hangi dosyaların değiştiğini anlamak için kullanılır. Temiz olduğu kesin olmayan bir yedeği doğrudan geri yüklemek, problemi sadece eski tarihe taşır.
Dosya sistemi ve veritabanı ayrı ayrı yedeklenmelidir. WordPress kullanılıyorsa wp-content klasörü, tema ve eklenti dosyaları, yüklenen medya içerikleri ve veritabanı mutlaka dahil edilmelidir. Yedek alındıktan sonra bilgisayara indirilip güvenli bir ortamda saklanmalı, mümkünse sıkıştırılmış dosya üzerinde antivirüs taraması yapılmalıdır.
Yedekleme sırasında aynı hesapta birden fazla site varsa her site ayrı değerlendirilmelidir. Aynı hosting hesabında bulunan eski, kullanılmayan veya güncellenmeyen bir site diğer projeleri de etkileyebilir. Temizlik yalnızca ana alan adıyla sınırlı bırakılırsa bulaşma kısa sürede tekrarlayabilir.
Son değiştirilme tarihi yakın olan, rastgele harflerden oluşan veya çekirdek sistem klasörlerinde bulunmaması gereken PHP dosyaları özellikle kontrol edilmelidir. WordPress için wp-admin ve wp-includes klasörlerinde sonradan eklenmiş dosyalar şüpheli kabul edilir. uploads klasörü içinde çalıştırılabilir PHP dosyaları bulunması da yaygın bir saldırı belirtisidir.
base64_decode, eval, gzinflate, shell_exec, passthru gibi ifadeler tek başına her zaman zararlı anlamına gelmez; ancak tema, eklenti veya yükleme klasörlerinde beklenmeyen şekilde kullanılıyorsa dikkatle incelenmelidir. Arama yaparken dosya içeriğini bilmeden toplu silme yapmayın. Bazı güvenlik eklentileri veya lisans sistemleri benzer fonksiyonlar kullanabilir.
Zararlı kod yalnızca dosyalarda bulunmaz. WordPress veritabanında wp_options, wp_posts ve wp_users tablolarında şüpheli script kodları, bilinmeyen yönetici kullanıcıları veya anormal site URL değerleri görülebilir. Yönetici hesabı eklendiyse silinmeli, kalan kullanıcıların yetkileri yeniden kontrol edilmelidir.
En güvenli yöntem, çekirdek dosyaları resmi ve temiz kaynaklardan yeniden yüklemektir. WordPress çekirdeği, temalar ve eklentiler güncel sürümleriyle değiştirilmelidir. Değişiklik yapılmış tema dosyaları varsa önce temiz kaynakla karşılaştırılmalı, yalnızca gerçekten gerekli özelleştirmeler geri eklenmelidir.
Zararlı olduğu kesinleşen dosyalar silinmeli; şüpheli fakat emin olunamayan dosyalar karantinaya alınmalıdır. Karantina, dosyanın çalışmasını engelleyecek şekilde farklı bir klasöre taşınması ve uzantısının değiştirilmesi anlamına gelir. Böylece yanlışlıkla önemli bir dosya silinirse geri dönüş imkanı korunur.
Dosyalar temizlense bile saldırganın erişim bilgileri elinde olabilir. Bu nedenle kontrol paneli, FTP/SFTP, veritabanı, WordPress yönetici hesapları ve e-posta parolaları değiştirilmelidir. Parolalar benzersiz ve güçlü olmalı, mümkünse iki aşamalı doğrulama kullanılmalıdır.
Eski FTP kullanıcıları, kullanılmayan veritabanları ve gereksiz yönetici hesapları kaldırılmalıdır. Dosya izinleri de gözden geçirilmelidir. Genel olarak klasörler için 755, dosyalar için 644 izinleri tercih edilir; 777 gibi geniş izinler yalnızca geçici ve kontrollü durumlarda kullanılmalıdır.
Log kayıtları özellikle saldırının hangi dosya üzerinden başladığını anlamak için değerlidir. Örneğin eski bir eklentinin upload açığı kullanıldıysa yalnızca zararlı dosyayı silmek yeterli olmaz; ilgili eklenti kaldırılmalı veya güvenli sürüme yükseltilmelidir.
Site sürekli yeniden enfekte oluyorsa, Google güvenlik uyarısı devam ediyorsa, veritabanında karmaşık zararlı kodlar varsa veya aynı hesapta çok sayıda proje bulunuyorsa profesyonel destek almak daha güvenlidir. Kurumsal sitelerde temizlik sürecinin kayıt altına alınması, hangi dosyaların değiştiğinin belgelenmesi ve yayına dönüş öncesi test yapılması önemlidir.
Temizlik tamamlandıktan sonra site farklı tarayıcı ve cihazlarda test edilmeli, formlar, ödeme adımları, yönetim paneli ve e-posta gönderimleri kontrol edilmelidir. Güvenlik taraması temiz görünse bile birkaç gün boyunca erişim kayıtlarını izlemek, tekrarlayan denemeleri erken fark etmeyi sağlar.