WordPress yalnız Google’dan, mobil cihazdan veya belirli aralıklarla casino/reklam sitesine yönlendiriyorsa zararlı kod koşullu çalışıyor olabilir. Güvenli temizlik; siteyi izole etme, kanıt ve yedek alma, çekirdek checksum, eklenti/tema karşılaştırması, veritabanı, kullanıcı ve cron kalıcılığını birlikte incelemeyi gerektirir.
Unexpected redirect to casino domain
wp-content/uploads/2026/07/cache.php
base64_decode(gzinflate(...))
Unknown administrator account
Saldırgan yalnız görünür yönlendirme dosyasını değil, tekrar bulaştıracak backdoor, cron, sahte eklenti, yönetici hesabı veya veritabanı kaydı bırakabilir. Tek bir dosyayı silmek çoğu vakada yeterli değildir.
Koşullu malware Google referer, mobil user-agent, cookie veya IP’ye göre çalışabilir. Yönetici sitede sorun görmezken ziyaretçiler yönlendirilebilir; farklı istemci ve curl user-agent testleri gerekir.
Uploads klasöründe PHP dosyası, bilinmeyen mu-plugin, wp-config/index.php enjeksiyonu ve tema functions.php değişiklikleri sık görülen kalıcılık noktalarıdır. Ancak base64 geçen her dosya zararlı değildir; içerik bağlamı incelenmelidir.
WP-CLI core verify-checksums çekirdek değişikliklerini bulur fakat wp-content içeriğini temizlemez. Eklenti/tema dosyaları güvenilir orijinal paketlerle karşılaştırılmalıdır.
Temizlik sonrası tüm parolalar, WordPress salts, hosting/SSH/FTP/veritabanı kimlikleri yenilenmeli; giriş noktası olan güncel olmayan eklenti veya çalıntı parola düzeltilmelidir.
Canlı kanıt toplamadan tüm dosyaları silmek saldırı kaynağını ve kalıcılığı gizleyebilir. Önce izole edilmiş yedek ve dosya zaman çizelgesi alınmalıdır.
E-postada, tarayıcıda veya SSH günlüğünde gördüğünüz ifadeyi aratın. Her kartta anlam, muhtemel neden ve güvenli ilk işlem bulunur.
Anlamı: Ziyaretçi isteği zararlı kural veya kodla yönlendiriliyor.
Muhtemel neden: htaccess, PHP, JS, DB veya CDN enjeksiyonu.
Anlamı: Malware referer koşuluyla çalışıyor.
Muhtemel neden: SEO spam/backdoor koşullu kodu.
Anlamı: Medya dizininde çalıştırılabilir backdoor olabilir.
Muhtemel neden: Dosya yükleme açığı veya ele geçirilmiş hesap.
Anlamı: Saldırgan kalıcı panel erişimi oluşturmuştur.
Muhtemel neden: Zayıf parola veya backdoor.
Anlamı: Spam URL’ler indexlenmiş veya cloaking uygulanmıştır.
Muhtemel neden: DB içerik enjeksiyonu veya dinamik spam üretimi.
Anlamı: WordPress core dosyası değişmiş veya eksiktir.
Muhtemel neden: Malware veya yarım güncelleme.
Anlamı: Zararlı kod periyodik olarak yeniden yazılıyor olabilir.
Muhtemel neden: WordPress cron veya sistem cron kalıcılığı.
Anlamı: Kod gizlenmiş olabilir ancak tek başına kesin malware kanıtı değildir.
Muhtemel neden: Obfuscation veya meşru paket.
Bu ifadeyle eşleşen kayıt bulunamadı.
Komutlar root erişimi içindir. Önce yalnızca durum ve log toplayın; nedeni görmeden kalıcı ayar değiştirmeyin.
wp core verify-checksums --include-root
WordPress çekirdek ve kök dosyalardaki beklenmeyen değişiklikleri gösterir.
wp user list --fields=ID,user_login,user_email,roles,user_registered
Bilinmeyen yönetici hesaplarını tespit eder.
wp cron event list --fields=hook,next_run_gmt,recurrence
Şüpheli veya bilinmeyen zamanlanmış görevleri listeler.
find wp-content/uploads -type f -iname '*.php' -o -iname '*.phtml'
Medya dizinindeki çalıştırılabilir dosyaları bulur.
grep -RInE 'base64_decode|gzinflate|eval\(|shell_exec|passthru|assert\(' wp-content --include='*.php' | head -n 100
İnceleme adayı kodları listeler; otomatik silme için kullanılmaz.
find . -type f -mtime -7 -printf '%TY-%Tm-%Td %TH:%TM %u:%g %p\n' | sort
Son yedi günde değişen dosyaları kronolojik gösterir.
wp plugin verify-checksums --all
WordPress.org kaynaklı eklentilerin checksum durumunu kontrol eder.
WordPress hatasının temel nedeni aynıdır ancak log yolları, PHP ayar ekranları ve servis yönetimi kullanılan barındırma altyapısına göre değişir.
cPanel’de File Manager, Imunify/virüs taraması, Cron Jobs ve Raw Access birlikte kullanılır.
cd /home/KULLANICI/public_html && wp core verify-checksums --include-rootPlesk’te WP Toolkit Security, ImunifyAV ve Scheduled Tasks temizlik sürecini destekler.
cd /var/www/vhosts/ALANADI/httpdocs && wp core verify-checksums --include-rootPanelsiz sunucuda vhost izolasyonu, dosya zaman çizelgesi ve servis logları doğrudan incelenir.
find /var/www/html -type f -mtime -7 -ls | head -n 100Siteyi izole edin, kanıt/yedek alın, bulaşma kapsamını belirleyin, temiz kaynaklarla dosyaları karşılaştırın ve tüm kalıcılık noktalarını kapatın.
Ziyaretçilere malware yayılmasını durdurun; log ve dosyaları yok etmeyin.
Temizlik öncesi geri dönüş ve inceleme için ayrı güvenli alanda saklayın.
wp db export olay-oncesi.sqlChecksum ve temiz paket karşılaştırmasıyla değişen dosyaları sınıflandırın.
wp core verify-checksums --include-rootUploads PHP, mu-plugins, cron, admin kullanıcıları, wp-config ve veritabanı seçeneklerini kontrol edin.
wp cron event listŞüpheli bileşeni yalnız temiz resmî paketle değiştirin; nulled tema/eklenti kullanmayın.
WordPress, hosting, FTP, SSH, DB, SMTP parolaları ve salts yenilenmelidir.
wp config shuffle-saltsMobil user-agent koşullu malware veya reklam scripti incelenir.
curl -A 'Mozilla/5.0 (Linux; Android 13)' -sSIL https://example.com/Referer tabanlı cloaking testi yapılır.
curl -e 'https://www.google.com/' -sSIL https://example.com/Backdoor, cron, sahte admin ve ele geçirilmiş FTP/SSH hesabı kalmıştır.
wp cron event listIndexlenmiş URL’ler, sitemap, DB ve Search Console güvenlik raporu incelenir.
Web kullanıcısı, cron ve exploit endpoint erişim logları araştırılır.
find . -type f -mmin -60 -lsZararlı .htaccess, PHP/JS kodu, veritabanı enjeksiyonu, eklenti veya CDN kuralı yönlendirme oluşturabilir.
Evet; malware user-agent kontrolüyle yalnız mobil ziyaretçide çalışabilir.
Hayır. Checksum çekirdeği doğrular; wp-content, veritabanı, kullanıcı ve cron ayrıca incelenmelidir.
Genellikle medya dizininde PHP beklenmez; bulunan dosya dikkatle incelenmelidir.
Hayır. Tek başına kesin kanıt değildir; dosyanın kaynağı ve davranışı doğrulanmalıdır.
WordPress kullanıcıları, hosting paneli, FTP/SFTP, SSH, veritabanı, SMTP ve API anahtarları.
Kök neden giderilip URL’ler doğru 404/410 veya temiz içerik döndürdükten sonra Google yeniden taradıkça düzelir.
cPanel, WHM, CloudLinux, LiteSpeed, MariaDB, Exim ve güvenlik katmanlarını birlikte analiz ederek yalnızca servisi kaldırmak yerine arızanın temel nedenini gideriyoruz.