ShapedPlugin Güncellemeleri WordPress Sitelerine Virüs Bulaştırdı – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

ShapedPlugin Güncellemeleri WordPress Sitelerine Virüs Bulaştırdı

Popüler WordPress eklenti geliştiricisi ShapedPlugin, resmi güncelleme sistemi üzerinden müşterilerine farkında olmadan virüslü yazılım dağıttı. Tedarik zinciri saldırısı, binlerce siteyi riske atıyor.

Bir bilgisayar ekranında WordPress logosu ve eklenti güncellemesi uyarısı gösteriliyor, arka planda tehlike simgesi.

Ne Oldu

WordPress ekosistemi, yine güvendiği bir kaynaktan gelen bir saldırıyla sarsıldı. Popüler eklenti geliştiricisi ShapedPlugin, 18 Haziran 2026'da yaptığı açıklamada, birden fazla premium eklentisinin bir tedarik zinciri saldırısına kurban gittiğini duyurdu. Saldırganlar, şirketin resmi güncelleme altyapısını ele geçirerek, ödeme yapan müşterilere virüslü eklenti güncellemeleri dağıttı. Bu durum, eklentilerini güncel tutarak güvende kalmaya çalışan binlerce site sahibini, farkında olmadan kendi sitelerine bir arka kapı (backdoor) kurmaya itti.

Bu tür saldırılara "tedarik zinciri saldırısı" denmesinin bir sebebi var. Tıpkı bir üretim bandındaki bir parçanın bozuk olmasının tüm ürünü etkilemesi gibi, yazılım dünyasında da geliştiricinin altyapısının ele geçirilmesi, o geliştiricinin tüm müşterilerini doğrudan hedef haline getirir. Kullanıcılar, güvendikleri bir kaynaktan, yani eklentinin kendi geliştiricisinden gelen bir güncellemeyi sorgusuzca yüklerler. Saldırganlar da tam olarak bu güven ilişkisini sömürüyor. ShapedPlugin vakasında olan da tam olarak bu. Saldırganlar doğrudan binlerce web sitesini tek tek hacklemek yerine, kaynağı, yani eklenti dağıtım sistemini hedef alarak çok daha geniş bir etki alanına ulaştılar.

Olay, güvenlik firması Patchstack'teki araştırmacılar tarafından ortaya çıkarıldı. Araştırmacılar, ShapedPlugin'e ait bazı popüler eklentilerin güncellemelerinde şüpheli ve gizlenmiş kod parçacıkları fark ettiler. Bu kodun analizi, saldırganların web sitelerinde tam kontrol sahibi olmalarını sağlayacak bir arka kapı içerdiğini gösterdi. Bu arka kapı, saldırganların istedikleri zaman siteye sızarak yeni yönetici hesapları oluşturmasına olanak tanıyordu. Bu, bir sitenin anahtarlarını doğrudan saldırgana teslim etmekle eşdeğer bir durum. Güvenli kalmak için yapılan bir eylem olan "güncelleme", bu saldırıda en büyük zaafiyete dönüştü.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ele Gecirilen Veriler

Kaynak habere göre, saldırının doğrudan bir veri sızıntısına yol açıp açmadığı henüz net değil. Ancak saldırının doğası gereği, ele geçirilen kontrolün potansiyel sonuçları oldukça vahim. Saldırganların yerleştirdiği arka kapı, onlara etkilenen WordPress sitelerinde en yüksek yetki seviyesi olan "yönetici" (administrator) haklarına sahip yeni kullanıcılar oluşturma imkanı veriyor. Bir WordPress sitesinde yönetici yetkisine sahip olmak, o sitenin tüm kontrolünü ele geçirmek demektir.

Bu yetkiyle bir saldırgan neler yapabilir? İşte potansiyel senaryolar:

  • Kullanıcı Verilerini Çalmak: Sitede kayıtlı tüm kullanıcıların kişisel bilgileri (e-posta adresleri, isimler, belki de adres ve telefon bilgileri) çalınabilir. Eğer site bir e-ticaret sitesiyse, müşteri siparişleri ve hassas bilgiler de risk altındadır.
  • İçerik Manipülasyonu: Siteye sahte içerikler ekleyebilir, mevcut yazıları değiştirebilir veya silebilirler. Bu, sitenin itibarını zedeleyebilir veya SEO (Arama Motoru Optimizasyonu) çalışmalarına kalıcı zararlar verebilir.
  • Zararlı Yazılım Dağıtımı: Siteyi ziyaret eden masum kullanıcılara virüs veya fidye yazılımı bulaştırmak için kullanabilirler. Site, bir anda saldırganların kontrolündeki bir dağıtım merkezine dönüşebilir.
  • Oltalama (Phishing) Kampanyaları: Sitenin güvenilirliğini kullanarak, kullanıcıların giriş bilgileri veya kredi kartı detayları gibi hassas verilerini çalmak için sahte formlar ve sayfalar oluşturabilirler.
  • Spam ve SEO Zehirlenmesi: Siteye alakasız linkler ekleyerek kendi dolandırıcılık sitelerinin reklamını yapabilirler. Bu, sitenizin arama motorları tarafından cezalandırılmasına ve kara listeye alınmasına neden olabilir.

Özetle, doğrudan bir veri sızıntısı rapor edilmemiş olsa da, yönetici hesabının ele geçirilmesi "her şeyin" ele geçirilmesi potansiyelini taşır. Bu nedenle, etkilenen site sahiplerinin sadece arka kapıyı temizlemekle kalmayıp, sitelerinde yetkisiz bir aktivite olup olmadığını da derinlemesine araştırmaları gerekiyor.

Saldırı Nasıl Gerçekleşti

Saldırının teknik detayları, tedarik zinciri saldırılarının ne kadar sinsi olabileceğini gözler önüne seriyor. Saldırganlar, ShapedPlugin'in resmi güncelleme ve dağıtım altyapısına sızmayı başardılar. Bu sızmanın nasıl gerçekleştiği henüz şirket tarafından açıklanmadı, ancak sonuçları oldukça net.

Sisteme eriştikten sonra saldırganlar, hedefledikleri premium eklentilerin kodlarına kendi zararlı yazılımlarını enjekte ettiler. Bu işlemi yaparken oldukça dikkatli davrandılar. Ekledikleri kod, ilk bakışta anlaşılmaması için gizlenmişti (obfuscated). Genellikle `base64_decode` ve `gzuncompress` gibi fonksiyonlar kullanılarak kodun okunması zorlaştırılır. Bu, otomatik güvenlik tarayıcılarından ve yüzeysel kod incelemelerinden kaçınmalarına yardımcı olur.

Kullanıcılar, WordPress panellerinde bir güncelleme bildirimi gördüklerinde, bunun meşru bir geliştirici güncellemesi olduğunu düşünerek işlemi onayladılar. Güncelleme tamamlandığında, zararlı kod da sitenin dosyaları arasına yerleşmiş oldu. Spesifik olarak, saldırganların `w-sam.php` adında bir dosya oluşturduğu tespit edildi. Bu dosya, asıl arka kapıyı içeren koddur.

Bu `w-sam.php` dosyası, dışarıdan belirli bir komut gelene kadar sessizce bekler. Saldırganlar, istedikleri zaman bu dosyayı tetikleyerek sitenizde kendileri için yeni bir yönetici kullanıcısı oluşturabilirler. Bu yöntem, saldırganların hemen fark edilmeden uzun süre sistemde kalmasına olanak tanır. Kullanıcı adı veya şifre denemesi yapmadıkları için kaba kuvvet saldırısı (brute-force) tespit sistemlerini de atlatmış olurlar. Kısacası, içeriye bir casus yerleştirip kapıyı onun içeriden açmasını beklemek gibi bir strateji izlemişlerdir.

Etkilenenler Kim

Bu saldırı, ShapedPlugin'in tüm kullanıcılarını değil, belirli bir kesimini hedef alıyor. Bu ayrımı anlamak, risk altında olup olmadığınızı belirlemek için kritik öneme sahip.

Etkilenenler:

  • ShapedPlugin'den premium (ücretli) eklenti satın almış olan kullanıcılar.
  • Saldırının gerçekleştiği dönemde bu eklentileri güncelleyenler.

Etkilenmeyenler:

  • ShapedPlugin'in resmi WordPress.org eklenti deposunda yer alan ücretsiz sürümlerini kullananlar. Saldırı, WordPress.org'un altyapısını değil, doğrudan ShapedPlugin'in kendi özel güncelleme sistemini hedef aldığı için ücretsiz sürüm kullanıcıları güvendedir.

Patchstack tarafından yapılan açıklamaya göre, virüslü güncellemelerin dağıtıldığı tespit edilen eklentiler şunlardır:

  • Real-time Recent Post Slider
  • WP Team
  • WP Team Pro
  • Logo Carousel Pro
  • Easy Testimonial Pro
  • WP Carousel Pro
  • Smart Post Show Pro

Eğer bu eklentilerden herhangi birinin Pro (premium) sürümünü kullanıyorsanız ve yakın zamanda bir güncelleme yaptıysanız, sitenizin risk altında olma ihtimali yüksektir. Derhal harekete geçmeniz gerekiyor.

Ne Yapabilirsin

Eğer sitenizde yukarıda listelenen premium eklentilerden birini kullanıyorsanız, panik yapmadan ama hızla aşağıdaki adımları uygulamanız gerekiyor:

  1. Hemen Güncelleyin: ShapedPlugin, saldırıyı öğrendikten sonra hızla temizlenmiş sürümleri yayınladı. Yapmanız gereken ilk şey, WordPress yönetici panelinize gidip bu eklentilerin en son, güvenli sürümlerine güncellemektir. Bu, zararlı kodu sitenizden kaldıracaktır.
  2. Manuel Dosya Kontrolü Yapın: Güncelleme yapsanız bile, saldırganların geride başka bir iz bırakmadığından emin olmak için sitenizin dosya sistemini kontrol edin. Hosting panelinizdeki (cPanel, Plesk vb.) Dosya Yöneticisi'ni veya bir FTP istemcisini kullanarak sitenizin kök dizinine ve eklenti klasörlerine bakın. Özellikle `w-sam.php` adında bir dosya arayın. Eğer bu dosyayı bulursanız, derhal silin.
  3. Kullanıcı Hesaplarını Denetleyin: WordPress yönetici panelinizde "Kullanıcılar" bölümüne gidin. Tüm kullanıcıları, özellikle de "Yönetici" rolüne sahip olanları dikkatlice inceleyin. Tanımadığınız, şüpheli görünen (örneğin, garip e-posta adreslerine sahip) herhangi bir yönetici hesabı varsa, derhal silin.
  4. Tüm Şifreleri Değiştirin: Önlem olarak, sitenizdeki tüm yönetici ve editör hesaplarının şifrelerini değiştirin. Sadece WordPress şifrelerini değil, aynı zamanda hosting paneli, FTP ve veritabanı şifrelerinizi de değiştirmeniz şiddetle tavsiye edilir.
  5. Güvenlik Taraması Yapın: Sitenize Wordfence, Sucuri Security gibi saygın bir güvenlik eklentisi kurarak tam bir tarama yapın. Bu araçlar, `w-sam.php` dışında gözden kaçmış olabilecek diğer zararlı dosyaları veya kod değişikliklerini tespit etmenize yardımcı olabilir.

Sirket Ne Diyor

Olayın duyulmasının ardından ShapedPlugin, müşterilerine yönelik bir açıklama yayınladı. Şirket, saldırıyı doğruladı ve etkilenen eklentiler için acil olarak temiz güncellemeler yayınladıklarını belirtti. Müşterilerine, eklentilerini en son sürüme güncellemeleri yönünde güçlü bir çağrıda bulundular.

Şirket ayrıca, bu güvenlik ihlalinin temel nedenini araştırmak için bir soruşturma başlattıklarını ve gelecekte benzer olayların yaşanmasını önlemek amacıyla altyapı güvenliklerini güçlendirmek için adımlar attıklarını ifade etti. Bu tür olaylar, yazılım geliştiricileri için hem teknik hem de itibar açısından büyük bir sınavdır. Şirketin hızlı bir şekilde temiz güncellemeler yayınlaması olumlu bir adım olsa da, kullanıcıların güvenini yeniden kazanmak zaman alacaktır. Bu olay, dijital dünyada %100 güvenliğin olmadığını ve en güvenilir kaynakların bile bir gün hedef olabileceğini bir kez daha hatırlatıyor. Gelişmeleri ve yeni Veri Sizintisi Haberleri'ni takip etmek, bu tür risklere karşı hazırlıklı olmanın en iyi yoludur.

Kaynak

https://www.bleepingcomputer.com/news/security/shapedplugin-update-flow-hacked-to-infect-wordpress-sites/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Veri Sızıntısı Yok Dediler İnternet İnanmadı Sonraki Yazı → HCRG Fidye Saldırısını Bir Yıl Sonra Duyurdu

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.