OptinMonster WordPress Eklentisi Tedarik Zinciri Saldırısıyla Hacklendi – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

OptinMonster WordPress Eklentisi Hacklendi

Popüler WordPress eklentileri OptinMonster, TrustPulse ve PushEngage, ana şirketleri Awesome Motive'in içerik dağıtım ağına (CDN) yapılan bir tedarik zinciri saldırısı sonucu ele geçirildi. Saldırı, sitelere sızan kötü amaçlı bir JavaScript kodu aracılığıyla yönetici oturumlarını ve form verilerini çalmayı hedefledi.

Kırık bir zincir halkası ve arka planda WordPress logosunu gösteren konsept bir görsel.

Ne Oldu

WordPress ekosistemi, milyonlarca web sitesinin güvendiği popüler eklentileri hedef alan büyük bir siber saldırıyla sarsıldı. 15 Haziran 2026 tarihinde kamuoyuna yansıyan bilgilere göre, Awesome Motive adlı şirkete ait olan OptinMonster, TrustPulse ve PushEngage eklentileri, şirketin içerik dağıtım ağı (CDN) üzerinden gerçekleştirilen sofistike bir tedarik zinciri saldırısının kurbanı oldu. Bu saldırı, eklentileri kullanan web sitelerine, ziyaretçilerin ve site yöneticilerinin verilerini çalmak üzere tasarlanmış kötü amaçlı bir JavaScript kodunun enjekte edilmesine neden oldu.

Olay, siber güvenlik firması Wordfence'teki araştırmacılar tarafından tespit edildi. Araştırmacılar, eklentilerin normalde yüklemesi gereken meşru bir JavaScript dosyasının, saldırganlar tarafından kontrol edilen ve oldukça tehlikeli bir arka kapı (backdoor) içeren bir versiyonuyla değiştirildiğini fark etti. Bu durum, eklentiyi kullanan site sahiplerinin herhangi bir değişiklik yapmasına veya bir hataya düşmesine gerek kalmadan, sitelerinin otomatik olarak enfekte olması anlamına geliyordu. Güvendikleri bir kaynaktan gelen kodun aslında kötü amaçlı olması, tedarik zinciri saldırılarının ne kadar tehlikeli olabileceğini bir kez daha gözler önüne serdi.

Saldırının 12 Haziran 2026 tarihinde başladığı ve Awesome Motive'in güvenlik ekipleri tarafından 14 Haziran 2026'da kontrol altına alındığı belirtiliyor. Bu iki günlük süre zarfında, bu popüler eklentileri çalıştıran çok sayıda WordPress sitesinin saldırganların hedefi haline geldiği düşünülüyor. Şirket, saldırıyı tespit ettikten sonra hızla harekete geçerek etkilenen CDN'i devre dışı bıraktı ve temiz dosyaların tüm kullanıcılara otomatik olarak dağıtılmasını sağladı. Ancak bu kısa süre bile, saldırganların önemli miktarda veri toplaması ve siteler üzerinde kontrol sağlaması için yeterli olmuş olabilir.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Gecirilen Veriler

Saldırının temel amacı, etkilenen web sitelerinden hassas bilgileri sızdırmaktı. Enjekte edilen kötü amaçlı JavaScript kodu, özellikle iki tür veriyi hedef alacak şekilde tasarlanmıştı: form verileri ve yönetici oturum çerezleri (cookies).

İlk olarak, kod sitedeki form gönderimlerini gizlice izliyordu. Bu, bir ziyaretçi site üzerindeki bir iletişim formunu, bülten abonelik kutusunu veya herhangi bir veri giriş alanını doldurduğunda, girilen tüm bilgilerin saldırganların sunucularına gönderilmesi demekti. Ele geçirilen veriler arasında aşağıdakiler gibi kişisel bilgiler bulunabilir:

  • İsimler ve soyisimler
  • E-posta adresleri
  • Telefon numaraları
  • Kullanıcıların formlara girdiği diğer her türlü özel veya hassas bilgi

Bu tür verilerin çalınması, kimlik avı (phishing) saldırıları, kimlik hırsızlığı ve diğer dolandırıcılık faaliyetleri için kullanılabilir. Ziyaretçiler, güvendikleri bir web sitesine bilgi girdiklerini düşünürken, aslında verilerini doğrudan siber suçlulara teslim etmiş oldular.

İkinci ve belki de daha tehlikeli olan hedef ise, WordPress yönetici paneline giriş yapmış olan kullanıcıların oturum çerezleriydi. Saldırganlar, bu çerezleri çalarak site yöneticilerinin oturumlarını ele geçirebiliyorlardı. Bu, yönetici şifresini bilmelerine gerek kalmadan, o an aktif olan oturumu klonlayarak yönetici paneline tam erişim sağlamaları anlamına geliyordu. Yönetici erişimini ele geçiren bir saldırganın bir WordPress sitesi üzerinde yapabileceklerinin sınırı neredeyse yoktur. Örneğin, yeni ve gizli yönetici hesapları oluşturabilir, sitenin içeriğini değiştirebilir, ziyaretçileri kötü amaçlı sitelere yönlendirebilir, siteye daha kalıcı zararlı yazılımlar yükleyebilir veya siteyi bir botnet'in parçası haline getirebilirlerdi. Kısacası, bu yöntemle sitenin tüm kontrolünü ele geçirmiş oluyorlardı.

Saldırı Nasıl Gerçekleşti

Bu olayı özellikle endişe verici kılan şey, saldırının gerçekleşme biçimiydi. Klasik bir web sitesi hacklemesinden farklı olarak bu, bir tedarik zinciri saldırısıydı. Saldırganlar doğrudan binlerce web sitesini tek tek hedef almak yerine, bu sitelerin güvendiği tek bir merkezi noktayı, yani Awesome Motive'in içerik dağıtım ağını (CDN) hedef aldılar.

Bir CDN, bir web sitesinin resim, CSS ve JavaScript gibi statik dosyalarını dünya çapında dağıtılmış sunucularda barındırarak sitenin daha hızlı yüklenmesini sağlayan bir hizmettir. Çoğu site sahibi, bu hizmetlere güvenir ve buradan gelen dosyaların güvenli olduğunu varsayar. Saldırganlar da tam olarak bu güveni istismar etti. Awesome Motive'in CDN'ine bir şekilde sızmayı başardılar ve OptinMonster gibi eklentilerin kullandığı meşru JavaScript dosyalarından birini, kendi kötü amaçlı kodlarını içeren bir dosya ile değiştirdiler.

Kaynak haberde belirtildiğine göre, kötü amaçlı kod //app.feedbackwp.com/beta/sdk.js adresinden yükleniyordu. Bu eklentileri kullanan herhangi bir WordPress sitesi, ziyaretçiye sayfa yüklerken bu sahte dosyayı otomatik olarak çağırdı ve çalıştırdı. Sonuç olarak, site sahibi veya ziyaretçi hiçbir şüpheli işlem yapmasa bile, site arka planda saldırganların kodunu çalıştırır hale geldi. Saldırının teknik ayrıntıları, yani saldırganların CDN'e ilk olarak nasıl sızdığına dair detaylar henüz kamuoyuyla paylaşılmadı. Ancak sonuçları oldukça net: Güvenilir bir kaynaktan gelen bir güncelleme veya dosya, binlerce web sitesini aynı anda enfekte etmek için bir Truva atı görevi gördü.

Etkilenenler Kim

Saldırıdan doğrudan etkilenenler, Awesome Motive tarafından geliştirilen ve oldukça popüler olan üç WordPress eklentisini kullanan web siteleriydi:

  • OptinMonster: Genellikle e-posta listesi oluşturmak, potansiyel müşteriler kazanmak ve dönüşüm oranlarını artırmak için kullanılan bir pazarlama eklentisidir. Milyonlarca web sitesinde aktif olarak kullanıldığı biliniyor.
  • TrustPulse: Ziyaretçilere diğer kullanıcıların satın alma veya kaydolma gibi eylemlerini göstererek sosyal kanıt oluşturan bir pazarlama aracıdır.
  • PushEngage: Web sitelerinin ziyaretçilerine anlık bildirimler (push notifications) göndermesini sağlayan bir hizmettir.

Bu eklentilerin ortak noktası, geniş bir kullanıcı kitlesine sahip olmaları ve genellikle pazarlama odaklı siteler tarafından tercih edilmeleridir. Bu da demek oluyor ki, saldırıdan etkilenen siteler arasında e-ticaret siteleri, bloglar, haber portalları ve kurumsal web siteleri gibi çok çeşitli platformlar bulunuyor. Etkilenen toplam site sayısı veya kullanıcı sayısı hakkında henüz resmi bir rakam açıklanmadı, ancak bu eklentilerin popülaritesi göz önüne alındığında, potansiyel olarak yüz binlerce hatta milyonlarca web sitesinin risk altında olduğu tahmin edilebilir.

Ne Yapabilirsin

Eğer web sitenizde OptinMonster, TrustPulse veya PushEngage eklentilerinden birini kullanıyorsanız, atmanız gereken bazı adımlar var. Awesome Motive, sorunu çözmek için otomatik olarak temiz dosyaları dağıttığını belirtse de, tedbiri elden bırakmamak önemlidir.

  1. Sitenizin Kaynak Kodunu Kontrol Edin: Tarayıcınızda sitenizi açın, sağ tıklayıp "Sayfa Kaynağını Görüntüle" seçeneğini seçin. Açılan kod içinde app.feedbackwp.com/beta/sdk.js ifadesini aratın. Eğer bu satırı bulursanız, siteniz hala kötü amaçlı kodu yüklüyor olabilir. Bu durumda tarayıcı ve site önbelleğini temizlemek ilk adım olmalıdır.
  2. WordPress Yönetici Kullanıcılarını Gözden Geçirin: WordPress yönetici panelinizdeki "Kullanıcılar" bölümüne gidin. Tanımadığınız veya şüpheli görünen herhangi bir yönetici hesabı olup olmadığını kontrol edin. Saldırganlar, oturumunuzu ele geçirdikten sonra kendileri için gizli bir yönetici hesabı oluşturmuş olabilirler. Şüpheli bir hesap bulursanız derhal silin.
  3. Şifrelerinizi Değiştirin: Tüm yönetici ve editör hesaplarının şifrelerini değiştirmek iyi bir fikirdir. Oturum çalınması doğrudan şifre sızıntısı anlamına gelmese de, bu bir önlem olarak yapılmalıdır.
  4. Sitenizi Bir Güvenlik Taramasından Geçirin: Wordfence, Sucuri veya MalCare gibi bir WordPress güvenlik eklentisi kullanarak sitenizde tam bir tarama yapın. Bu araçlar, saldırganların bırakmış olabileceği diğer arka kapıları veya zararlı dosyaları tespit etmenize yardımcı olabilir.

Şirket Ne Diyor

Olayın ardından Awesome Motive, kullanıcılara ve kamuoyuna yönelik bir açıklama yaptı. Şirket, güvenlik ekiplerinin 14 Haziran 2026'da CDN'lerindeki yetkisiz erişimi tespit edip engellediğini doğruladı. Açıklamalarında, saldırganların sunucularından birine sızarak bazı JavaScript dosyalarını değiştirdiğini belirttiler. Sorunun kaynağı olan CDN sunucusunun derhal çevrimdışı alındığını ve tüm müşterilere temiz dosyaların otomatik olarak sunulduğunu vurguladılar.

Şirkete göre, sorun tamamen çözülmüştür ve müşteri siteleri artık doğru ve güvenli dosyaları sunmaktadır. Awesome Motive, olayın etkilerini azaltmak için hızla harekete geçtiklerini ve gelecekte benzer olayların yaşanmasını önlemek için güvenlik önlemlerini artırdıklarını ifade etti. Ancak, saldırının kök nedenine veya saldırganların CDN'e nasıl erişim sağladığına dair daha fazla teknik detay paylaşmadılar.

Kaynak

https://www.bleepingcomputer.com/news/security/optinmonster-wordpress-plugin-hacked-in-cdn-supply-chain-attack/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Infinite Campus Sızıntısı 137 Bin Okul Çalışanını Vurdu

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.