Hackerlar Eski WordPress Eklentilerini Hedef Alan Toplu Saldırılara Başladı: Siteleriniz Tehlikede mi?

Saldırıların Temel Yapısı ve Hedeflenen Zafiyetler

WordPress, dünya genelinde milyonlarca web sitesinin belkemiği konumunda olsa da, eski eklentilerdeki güvenlik açıkları hackerlar için kolay bir hedef haline geliyor. BleepingComputer’ın haberine göre, son günlerde hackerlar, GutenKit ve Hunk Companion eklentilerindeki kritik zafiyetleri sömürerek kitlesel saldırılar başlattı. Bu zafiyetler, kimlik doğrulaması olmadan uzaktan kod çalıştırma (RCE) imkanı sağlıyor ve sitelerin tam kontrolünü hackerlara bırakıyor.

Hedeflenen zafiyetler şunlar:

• CVE-2024-9234: GutenKit eklentisindeki doğrulanmamış REST uç noktası, yetkisiz eklenti yüklemelerine yol açıyor.
• CVE-2024-9707 ve CVE-2024-11972: Hunk Companion eklentisindeki yetki eksikliği sorunları, themehunk-import REST uç noktasını etkiliyor.

Tüm bu zafiyetler, CVSS skoru 9.8 ile kritik seviyede değerlendiriliyor. GutenKit eklentisi yaklaşık 40.000, Hunk Companion ise 8.000 kurulumla geniş bir kullanıcı kitlesine sahip. Saldırganlar, bu eklentilerin eski sürümlerini (GutenKit 2.1.0 ve öncesi; Hunk Companion 1.8.5 ve öncesi) tarayarak, otomatik olarak kötü amaçlı eklentiler yüklüyor.

Saldırı Yöntemleri ve Teknik Detaylar

Saldırılar, büyük ölçekli tarama (mass scanning) ile başlıyor. Hackerlar, internetteki WordPress sitelerini otomatik araçlarla tarayarak zafiyetli eklentileri tespit ediyor. Keşfedilen sitelerde, şu yöntemler kullanılıyor:

• Kötü Amaçlı Eklenti Yükleme: GitHub üzerinden “up” adlı bir ZIP arşivinde barındırılan obfuscated (karartılmış) script’ler yükleniyor. Bu script’ler, dosya yükleme/indirme/silme, izin değiştirme ve yönetici erişimi sağlıyor. Bir script, All in One SEO eklentisi kılığında gizlenerek parola korumalı admin girişi sağlıyor.
• Kalıcılık Sağlama: Direkt admin erişimi sağlanamazsa, “wp-query-console” gibi zafiyetli bir eklenti yüklenerek RCE elde ediliyor.
• Saldırı Hacmi: Wordfence, 8-9 Ekim 2025’te müşterilerine yönelik 8,7 milyon saldırı girişimini engellediğini raporladı. Bu, “spray and pray” (rastgele püskürtme) tarzı bir kampanya olduğunu gösteriyor; hedef spesifik değil, her potansiyel site denleniyor.

Bu yöntemler, Wired’ın 2020’de benzer bir WordPress zafiyeti için yaptığı uyarıyı hatırlatıyor: Hackerlar, dosya yöneticisi eklentilerindeki açıkları kullanarak webshell’ler yükleyip siteyi tamamen ele geçiriyor. TechCrunch’ın 2025 Ocak raporunda da, benzer şekilde eski eklentileri sömürerek malware dağıtımı yapıldığı belirtiliyor; hackerlar siteleri Windows ve Mac malware’leri için tuzak haline getiriyor.

Etkilenen Siteler ve İstatistikler

Saldırılar, özellikle güncelleme yapmayan küçük ve orta ölçekli WordPress sitelerini vuruyor. GutenKit ve Hunk Companion gibi popüler eklentiler, tema ve blok düzenleme için kullanılıyor; bu da kurumsal olmayan siteleri daha savunmasız kılıyor. Wordfence’in verilerine göre, zafiyetler Ekim ve Aralık 2024’te yamalanmış olsa da, binlerce site hala eski sürümlerde.

Küresel bağlamda, WordPress’in %43 pazar payı (W3Techs verilerine göre) nedeniyle bu tür saldırılar milyonlarca siteyi riske atıyor. BBC’nin 2017 raporunda, benzer bir zafiyetin 800.000’den fazla saldırıya yol açtığı belirtilmişti; güncel kampanya da bu ölçeğe yaklaşıyor. TechCrunch’ın 2025 haberinde, binlerce sitenin ele geçirilerek malware dağıtım ağına dönüştürüldüğü vurgulanıyor.

Riskler ve Sonuçlar

Bu saldırılar, sitelerin ötesinde kullanıcı verilerini de tehdit ediyor. Potansiyel sonuçlar:

• Veri Hırsızlığı: Kişisel bilgiler, finansal veriler veya içerik çalınabiliyor.
• Site Manipülasyonu: Hackerlar, siteleri phishing veya malware dağıtımı için kullanabiliyor.
• Kalıcı Erişim: Kötü amaçlı script’ler, hackerlara uzun vadeli erişim sağlıyor; bu da tekrarlanan saldırıları tetikliyor.
• İş ve İtibar Kaybı: E-ticaret siteleri için satış durması, bloglar için güven kaybı anlamına geliyor.

Uzmanlar, bu tür zafiyetlerin modern web’in en büyük sorunlarından biri olduğunu belirtiyor. Wordfence araştırmacısı Chloe Chamberland, benzer bir olayda “Bu tür bir eklenti, saldırganın siteyi tamamen manipüle etmesine izin verir ve ayrıcalıkları yükseltir” demişti (Wired, 2020).

Göstergeler ve Tehdit Aktörleri

Saldırganlar, belirli bir grup altında organize görünmüyor; ancak GitHub’ı kötü amaçlı yüklemeler için kullanıyorlar. Göstergeler (IOC’ler):

• Şüpheli istekler: /wp-json/gutenkit/v1/install-active-plugin ve /wp-json/hc/v1/themehunk-import.
• Rogue dizinler: /up, /background-image-cropper, /ultra-seo-processor-wp, /oke, /wp-query-console.
• IP adresleri: Wordfence’in paylaştığı listede yüksek hacimli saldırgan IP’ler mevcut (detaylar için Wordfence raporuna bakın).

Korunma ve Çözüm Önerileri

Hemen harekete geçmek kritik. Adımlar:

1. Güncelleme Yapın: GutenKit’i 2.1.1’e, Hunk Companion’ı 1.9.0’a yükseltin. WordPress dashboard’undan otomatik güncellemeleri etkinleştirin.
2. Logları İzleyin: Erişim loglarında şüpheli istekleri arayın ve rogue dizinleri silin.
3. Güvenlik Araçları Kullanın: Wordfence veya Sucuri gibi eklentilerle firewall kurun; IP engelleme listelerini güncelleyin.
4. Genel En İyi Uygulamalar: Tüm eklentileri düzenli güncelleyin, yedekleme alın ve gereksiz eklentileri kaldırın. KVKK uyumlu veri koruma için HTTPS ve 2FA kullanın.

TechCrunch’ın 2025 raporunda vurgulandığı gibi, geliştiricilerin sorumluluğu büyük; ancak kullanıcılar da proaktif olmalı. WordPress kurucusu Matt Mullenweg, benzer durumlarda “Güncellemeler, açık kaynak ekosisteminin temel taşı” diye uyarmıştı.

Türkiye’de WordPress Güvenliği ve Gelecek Perspektifi

Türkiye’de WordPress, e-ticaret ve blog sitelerinin %50’sinden fazlasını oluşturuyor (Statista, 2025). Bu saldırılar, yerel işletmeleri doğrudan etkiliyor; özellikle KOBİ’ler güncelleme gecikmelerinden muzdarip. BTK ve KVKK, web güvenliğini teşvik eden kampanyalar düzenlese de, farkındalık artmalı.

Gelecekte, AI tabanlı tarama araçları saldırıları hızlandırabilir; ancak topluluk odaklı yamalar (WordPress’in Five for the Future projesi gibi) umut verici. The Verge’ün 2024 analizinde, açık kaynak çatışmalarının güncellemeleri geciktirebileceği uyarısı yapılıyor; bu, kullanıcıları daha dikkatli olmaya itiyor.

Bu olay, web güvenliğinin ne kadar kırılgan olduğunu gösteriyor. Sitelerinizi hemen kontrol edin ve güncelleyin.