Image by Souvik Banerjee, from Unsplash
Hackerlar, Tam Site Kontrolünü Sürdürmek için Sahte WordPress Eklentisi Kullanıyor
Okuma süresi: 2 dk.
Son Güncellenen Sep 30, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Araştırmacılar, hackerların gizli arka kapılar aracılığıyla WordPress sitelerini istismar ettiğini ve site sahipleri onları kaldırmaya çalışsa bile tam kontrol sağladığını buldu.
Acelesi olanlar için hızlı bilgiler:
- DebugMaster Pro adlı sahte bir eklenti gizlice yönetici hesapları oluşturdu.
- Malware, çalınan giriş detaylarını bir hacker kontrolündeki sunucuya gönderdi.
- Kötü niyetli scriptler siteye enjekte edildi, ayrıca yönetici IP adreslerini de kaydetti.
Sucuri tarafından yapılan son bir araştırma, kötü amaçlı içeriklere sahip iki dosyanın normal WordPress sistem bileşenleri gibi gizlendiğini ortaya çıkardı. Bunlardan biri “DebugMaster Pro” adında sahte bir eklentiydi (./wp-content/plugins/DebugMaster/DebugMaster.php). Diğeri ise bir çekirdek dosyasıymış gibi görünüyordu (./wp-user.php).
Her ikisi de saldırganların site üzerinde her zaman bir yönetici hesabına sahip olmasını sağlamak için tasarlandı. DebugMaster dosyası, gizli bir yönetici kullanıcı hesabı oluştururken ileri düzey bir kod içeriyordu. DebugMaster ayrıca çalınan giriş bilgilerini uzaktaki bir sunucuya gönderirken eklenti listelerine görünmez kaldı.
Raporun açıkladığı gibi: “Bu kod parçacığı, WordPress’e help adında yeni bir kullanıcı oluşturmasını ve bu kullanıcının yönetici rolünü üstlenmesini sağlar. Eğer kullanıcı zaten varsa, scriptin yönetici ayrıcalıklarını geri getirdiğinden emin olur.”
Çalınan detaylar, kullanıcı adı ve şifre dahil, kodlanmış ve bir hacker kontrolündeki web sitesine gönderilmiştir. Yazılım, web sitesi yöneticilerinin IP adreslerini bulmak için operasyonu sırasında web sitesinde zararlı scriptler gerçekleştirdi.
Wp-user.php dosyası, basit ama endişe verici bir durumu ortaya koydu. Sistem, sabit bir şifre kullanan “help” adında bir yönetici hesabını korudu. Bir site sahibi bu hesabı sildiği takdirde, dosya hemen yeniden oluşturulurdu.
Araştırmacılar, bu enfeksiyonun uyarı işaretlerinin ‘DebugMaster.php’ veya ‘wp-user.php’ gibi garip dosyaları, yeni veya gizli yönetici hesapları ve silinen hesapların geri gelmesini içerdiğini açıkladılar.
Bu sorunun çözümü, zararlı dosyaları ve şüpheli hesapları kaldırmayı içerir. Kullanıcılara ayrıca tüm şifreleri sıfırlamaları ve WordPress’i, eklentileri güncellemeleri ve sunucu kayıtlarını olağandışı bağlantılar için kontrol etmeleri önerilir.
Araştırmacılar, iki dosyanın “web sitesinde dirençli bir dayanak oluşturduğunu” belirtti, yani saldırganlar site tamamen temizlenip güvence altına alınmadıkça kolayca geri dönebilirler.
Önceki Hikâye
Son makaleler 
