Siber suçlular, yetkisiz üçüncü taraf senaryolarına hizmet etmek için tema dosyalarını gizlice değiştirerek WordPress web sitelerine saldırıları artırdılar.
Bu kampanya, aktif temadaki ince PHP enjeksiyonlarından yararlanıyor functions.php
Harici kodu almak için, tehlikeye atılan siteleri etkili bir şekilde kötü amaçlı reklamların ve kötü amaçlı yazılımların sessiz distribütörlerine dönüştürür.
Site sahibi, bilmeyen JavaScript’in sayfalarında yürütüldüğünü fark ettiğinde ihlal ortaya çıktı.
Son zamanlarda, önde gelen bir müşteri, sitelerine yapılan her ziyaretçinin, saldırgan kontrollü alanlardan kötü niyetli JavaScript’i bilmeden yüklediğini-kullanıcı güvenini birleştirme, hassas veriler açığa çıkarma ve site bütünlüğünü riske attığını keşfetti.
Sayfa kaynağının hızlı bir şekilde incelenmesi, bir yalnız komut dosyası etiketi gösterdi porsasystem.com
. Bu tek kod satırı, tüm saldırıyı çözmenin anahtarıydı. Publicwww üzerindeki sonraki aramalar, aynı komut dosyasının en az 17 farklı WordPress sitesinde bulunduğunu gösterdi ve bu da savunmasız kurulumları hedefleyen yaygın bir işlem olduğunu gösterdi.
Kötü amaçlı URL’nin virustotal analizi en kötüsünü doğruladı: 17 güvenlik satıcısı, zararlı içerik dağıtmak için etki alanını zaten bloke etmişti.
JavaScript yüküne daha fazla araştırma, yüklü reklamlar ve gizleme teknikleri aracılığıyla trafiği yeniden yönlendirdi, bu da kaldırmayı daha zor hale getirdi.

Karşılıklı sayfalar veya giriş arızaları gibi görünür semptomların olmaması, saldırganların uzun süre tespit edilmemesine izin verdi.
Kötü niyetli PHP enjeksiyonunun anatomisi
Tam bir dosya sistemi denetimi, uzlaşmanın gerçek kaynağını ortaya çıkardı: temanın altına eklenen aldatıcı bir snippet functions.php
dosya.
Yüzeyde, enjekte edilen kod zararsız görünüyordu – wp_enqueue_script
.
Bununla birlikte, daha yakından inceleme, bir uzak URL’yi dinamik olarak oluşturduğunu ve JavaScript’i kullanarak gösterdiğini gösterdi. wp_remote_get
sonra sayfa altbilgisine yineledi. Enfeksiyon zinciri aşağıdaki gibi çalışır:
- Kötü niyetli işlev, saldırı yükünü sitenin ön ucuna yerleştirerek bir komut dosyası tutamağını kaydeder ve sergiler.
- Her sayfa yükü, saldırganın sunucusuna sunucu tarafı bir HTTP isteğini tetikler ve yeni reklam kampanyaları veya kötü amaçlı yönlendirmeler içerebilen güncellenmiş JavaScript’i alır.
- İşlev, zararsız adlandırma kuralları ve yorum eksikliği yoluyla varlığını gizler ve meşru tema koduyla sorunsuz bir şekilde karışmasını sağlar.
Birçok site yöneticisi tema dosyalarını düzenli olarak denetlemediğinden, özellikle güncellemelerden veya eklenti değişikliklerinden sonra, bu yaklaşım saldırganlara alarmları tetiklemeden istenmeyen içeriği enjekte etmek için devam eden erişim sağlar.
Hafifletme
Bu büyüyen tehdide karşı savunmak için, WordPress site sahipleri aşağıdaki uygulamaları benimsemelidir:
Normal dosya bütünlüğü kontrolleri
Yetkisiz değişiklikleri algılamak için çekirdek ve tema dosyalarının otomatik olarak taranmasını uygulayın. WordFence veya Sucuri gibi çözümler, dosya karmalarını bilinen iyi sürümlerle ve uyarı yöneticilerini herhangi bir değişiklikle karşılaştırabilir.
En az ayrıcalık prensibi
Yalnızca güvenilir kullanıcıların tema dizinlerine yazma erişimi olduğundan emin olun. İzinleri kısıtlamak functions.php
Yetkisiz düzenlemeleri önlemek ve aşırı izin veren FTP veya SSH kimlik bilgileri ile çalışmaktan kaçının.
Güvenli Güncelleme İş Akışı
Bilinen güvenlik açıklarına maruz kalmayı en aza indirgemek için WordPress Core, temaları ve eklentileri güncel tutun saldırganların ilk erişimi elde etmek için kullanın. Güncellemeler uygulamadan önce, sorunlar ortaya çıkarsa hızlı geri dönüşleri etkinleştirmek için dosyaları ve veritabanlarını yedekleyin.
Manuel Kod İncelemeleri
Dış varlıkları içeren veya içeren işlevlere odaklanan özel tema ve eklenti kodunu periyodik olarak gözden geçirin. Uzak alan adlarına başvuran tanıdık olmayan işlev adlarını veya kod bloklarını izleyin.
Web sitesi güvenlik duvarı ve izleme
Kötü niyetli HTTP isteklerini engellemek ve sitenizi bilinen saldırı modellerinden korumak için bir Web Uygulaması Güvenlik Duvarı (WAF) dağıtın. Gerçek zamanlı izleme ile birleştiğinde, bir WAF şüpheli trafiği savunmasız komut dosyalarına ulaşmadan kesebilir.
Kötü amaçlı PHP kodunun WordPress tema dosyalarına sessiz enjeksiyonu, rutin web sitesi bakım boşluklarını avlayan gelişen bir tehdit vektörünü temsil eder.
Gizli işlevleri yerleştirerek functions.php
saldırganlar ziyaretçi oturumlarını ele geçirebilir, istenmeyen reklamları dağıtabilir ve potansiyel olarak daha zararlı yükler sunabilir – hepsi bariz izler bırakmadan.
Dosya bütünlüğü izleme, katı izin kontrolleri, gayretli güncelleme uygulamaları ve kod denetimleri yoluyla uyanıklık, WordPress sitelerini bu gizli uzlaşmaya karşı korumak için kritik öneme sahiptir. Uyanık güvenlik hijyeni, WordPress kurulumlarını yumuşak hedeflerden gizli saldırılara karşı esnek burçlara dönüştürür.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.