Arama Yap Mesaj Gönder
Biz Sizi Arayalım
+90
X

Lütfen Ülke (Bölge) Seçiniz

Türkiye (Türkçe)Türkiye (Türkçe) Almanya (German)Almanya (German) Worldwide (English)Worldwide (English)
X

Lütfen Para Birimi Seçiniz

Türk Lirası $ US Dollar Euro
X

Lütfen Ülke (Bölge) Seçiniz

Türkiye (Türkçe)Türkiye (Türkçe) Almanya (German)Almanya (German) Worldwide (English)Worldwide (English)
X

Lütfen Para Birimi Seçiniz

Türk Lirası $ US Dollar Euro

Bize Ulaşın

Konum Halkalı merkez mahallesi fatih cd ozgur apt no 46 , Küçükçekmece , İstanbul , 34303 , TR
WordPress Teknik Rehberi

WordPress Zararlı Yazılım, Casino Yönlendirmesi ve Virüs Temizleme

WordPress yalnız Google’dan, mobil cihazdan veya belirli aralıklarla casino/reklam sitesine yönlendiriyorsa zararlı kod koşullu çalışıyor olabilir. Güvenli temizlik; siteyi izole etme, kanıt ve yedek alma, çekirdek checksum, eklenti/tema karşılaştırması, veritabanı, kullanıcı ve cron kalıcılığını birlikte incelemeyi gerektirir.

Malware RedirectCasino SpamWP-CLI ChecksumsCron PersistenceBackdoor
root@sunucu:~SSH
Unexpected redirect to casino domain
wp-content/uploads/2026/07/cache.php
base64_decode(gzinflate(...))
Unknown administrator account
WordPress katmanıÇekirdek, tema ve eklenti davranışı
PHP katmanıSürüm, uzantı, limit ve fatal error
Sunucu katmanıWeb servisi, veritabanı, disk ve loglar
Güvenli yöntemYedekle, logla, izole et ve doğrula
01
Teknik açıklama

WordPress neden başka siteye yönlendirir ve zararlı yazılım nasıl kalıcı olur?

Saldırgan yalnız görünür yönlendirme dosyasını değil, tekrar bulaştıracak backdoor, cron, sahte eklenti, yönetici hesabı veya veritabanı kaydı bırakabilir. Tek bir dosyayı silmek çoğu vakada yeterli değildir.

Koşullu malware Google referer, mobil user-agent, cookie veya IP’ye göre çalışabilir. Yönetici sitede sorun görmezken ziyaretçiler yönlendirilebilir; farklı istemci ve curl user-agent testleri gerekir.

Uploads klasöründe PHP dosyası, bilinmeyen mu-plugin, wp-config/index.php enjeksiyonu ve tema functions.php değişiklikleri sık görülen kalıcılık noktalarıdır. Ancak base64 geçen her dosya zararlı değildir; içerik bağlamı incelenmelidir.

WP-CLI core verify-checksums çekirdek değişikliklerini bulur fakat wp-content içeriğini temizlemez. Eklenti/tema dosyaları güvenilir orijinal paketlerle karşılaştırılmalıdır.

Temizlik sonrası tüm parolalar, WordPress salts, hosting/SSH/FTP/veritabanı kimlikleri yenilenmeli; giriş noktası olan güncel olmayan eklenti veya çalıntı parola düzeltilmelidir.

Canlı kanıt toplamadan tüm dosyaları silmek saldırı kaynağını ve kalıcılığı gizleyebilir. Önce izole edilmiş yedek ve dosya zaman çizelgesi alınmalıdır.

02
Log mesajları ve anlamları

WordPress malware, redirect ve bütünlük belirtileri

E-postada, tarayıcıda veya SSH günlüğünde gördüğünüz ifadeyi aratın. Her kartta anlam, muhtemel neden ve güvenli ilk işlem bulunur.

8 kayıt
01kritik

Başka siteye veya casino alan adına yönlendirme

Anlamı: Ziyaretçi isteği zararlı kural veya kodla yönlendiriliyor.

Muhtemel neden: htaccess, PHP, JS, DB veya CDN enjeksiyonu.

Farklı user-agent/referrer ile yönlendirmeyi yeniden üretin.
02kritik

Yalnız Google’dan gelince redirect

Anlamı: Malware referer koşuluyla çalışıyor.

Muhtemel neden: SEO spam/backdoor koşullu kodu.

Google referer header ile curl testi yapın.
03kritik

Uploads klasöründe PHP dosyası

Anlamı: Medya dizininde çalıştırılabilir backdoor olabilir.

Muhtemel neden: Dosya yükleme açığı veya ele geçirilmiş hesap.

Dosyayı hash/zaman/sahiplikle inceleyip karantinaya alın.
04kritik

Bilinmeyen yönetici hesabı

Anlamı: Saldırgan kalıcı panel erişimi oluşturmuştur.

Muhtemel neden: Zayıf parola veya backdoor.

Hesabı, oluşturulma zamanını ve oturumları inceleyin.
05uyarı

Google sonuçlarında Japonca/casino sayfaları

Anlamı: Spam URL’ler indexlenmiş veya cloaking uygulanmıştır.

Muhtemel neden: DB içerik enjeksiyonu veya dinamik spam üretimi.

Search Console ve sitemap/URL listesini karşılaştırın.
06kritik

Çekirdek checksum uyuşmuyor

Anlamı: WordPress core dosyası değişmiş veya eksiktir.

Muhtemel neden: Malware veya yarım güncelleme.

Değişen dosyayı temiz sürümle karşılaştırın.
07kritik

Bilinmeyen cron görevi

Anlamı: Zararlı kod periyodik olarak yeniden yazılıyor olabilir.

Muhtemel neden: WordPress cron veya sistem cron kalıcılığı.

Hook ve komutu kaydedip kaynağını bulun.
08uyarı

base64_decode / gzinflate / eval

Anlamı: Kod gizlenmiş olabilir ancak tek başına kesin malware kanıtı değildir.

Muhtemel neden: Obfuscation veya meşru paket.

Dosya kaynağı, hash ve davranışını doğrulayın.

Bu ifadeyle eşleşen kayıt bulunamadı.

03
Güvenli ilk inceleme

SSH teşhis komutları ve hangi çıktıya bakılmalı?

Komutlar root erişimi içindir. Önce yalnızca durum ve log toplayın; nedeni görmeden kalıcı ayar değiştirmeyin.

Çekirdek checksum
wp core verify-checksums --include-root

WordPress çekirdek ve kök dosyalardaki beklenmeyen değişiklikleri gösterir.

Kullanıcı listesi
wp user list --fields=ID,user_login,user_email,roles,user_registered

Bilinmeyen yönetici hesaplarını tespit eder.

WordPress cron
wp cron event list --fields=hook,next_run_gmt,recurrence

Şüpheli veya bilinmeyen zamanlanmış görevleri listeler.

Uploads PHP taraması
find wp-content/uploads -type f -iname '*.php' -o -iname '*.phtml'

Medya dizinindeki çalıştırılabilir dosyaları bulur.

Şüpheli kod araması
grep -RInE 'base64_decode|gzinflate|eval\(|shell_exec|passthru|assert\(' wp-content --include='*.php' | head -n 100

İnceleme adayı kodları listeler; otomatik silme için kullanılmaz.

Dosya zaman çizelgesi
find . -type f -mtime -7 -printf '%TY-%Tm-%Td %TH:%TM %u:%g %p\n' | sort

Son yedi günde değişen dosyaları kronolojik gösterir.

Eklenti bütünlüğü
wp plugin verify-checksums --all

WordPress.org kaynaklı eklentilerin checksum durumunu kontrol eder.

04
Barındırma ortamına göre

cPanel, Plesk ve panelsiz sunucuda uygulanacak kontroller

WordPress hatasının temel nedeni aynıdır ancak log yolları, PHP ayar ekranları ve servis yönetimi kullanılan barındırma altyapısına göre değişir.

cPanel / WHM

cPanel’de File Manager, Imunify/virüs taraması, Cron Jobs ve Raw Access birlikte kullanılır.

  • Hesabı geçici izole edin ve tam yedek alın.
  • File Manager ile uploads içindeki PHP ve son değişen dosyaları inceleyin.
  • Cron Jobs, FTP hesapları ve bilinmeyen adminleri kontrol edin.
cd /home/KULLANICI/public_html && wp core verify-checksums --include-root

Plesk Obsidian

Plesk’te WP Toolkit Security, ImunifyAV ve Scheduled Tasks temizlik sürecini destekler.

  • WP Toolkit checksum ve security scan sonuçlarını kaydedin.
  • Scheduled Tasks ile şüpheli sistem görevlerini kontrol edin.
  • Domain loglarında ilk exploit isteğini araştırın.
cd /var/www/vhosts/ALANADI/httpdocs && wp core verify-checksums --include-root

Panelsiz Linux Sunucu

Panelsiz sunucuda vhost izolasyonu, dosya zaman çizelgesi ve servis logları doğrudan incelenir.

  • Siteyi dışa kapatıp adli kopya alın.
  • Web kullanıcısı tarafından son değişen dosyaları listeleyin.
  • Sistem cron, SSH keys ve web server access loglarını kontrol edin.
find /var/www/html -type f -mtime -7 -ls | head -n 100
05
Güvenli çözüm sırası

WordPress zararlı yazılım ve yönlendirme sorununu güvenli temizleme adımları

Siteyi izole edin, kanıt/yedek alın, bulaşma kapsamını belirleyin, temiz kaynaklarla dosyaları karşılaştırın ve tüm kalıcılık noktalarını kapatın.

1

Siteyi kontrollü izole edin

Ziyaretçilere malware yayılmasını durdurun; log ve dosyaları yok etmeyin.

2

Tam dosya, veritabanı ve log kopyası alın

Temizlik öncesi geri dönüş ve inceleme için ayrı güvenli alanda saklayın.

wp db export olay-oncesi.sql
3

Çekirdek, eklenti ve tema bütünlüğünü doğrulayın

Checksum ve temiz paket karşılaştırmasıyla değişen dosyaları sınıflandırın.

wp core verify-checksums --include-root
4

Kalıcılık noktalarını inceleyin

Uploads PHP, mu-plugins, cron, admin kullanıcıları, wp-config ve veritabanı seçeneklerini kontrol edin.

wp cron event list
5

Temiz dosyaları güvenilir kaynaktan yeniden kurun

Şüpheli bileşeni yalnız temiz resmî paketle değiştirin; nulled tema/eklenti kullanmayın.

6

Tüm kimlikleri yenileyip giriş açığını kapatın

WordPress, hosting, FTP, SSH, DB, SMTP parolaları ve salts yenilenmelidir.

wp config shuffle-salts
06
Belirtiye göre ayrım

Özel senaryolar ve karar ağacı

Yalnız mobil ziyaretçi yönleniyor

Mobil user-agent koşullu malware veya reklam scripti incelenir.

curl -A 'Mozilla/5.0 (Linux; Android 13)' -sSIL https://example.com/
Yalnız Google’dan gelen ziyaretçi

Referer tabanlı cloaking testi yapılır.

curl -e 'https://www.google.com/' -sSIL https://example.com/
Temizledikten sonra tekrar bulaşıyor

Backdoor, cron, sahte admin ve ele geçirilmiş FTP/SSH hesabı kalmıştır.

wp cron event list
Google’da spam sayfalar görünüyor

Indexlenmiş URL’ler, sitemap, DB ve Search Console güvenlik raporu incelenir.

Sadece bazı PHP dosyaları değişiyor

Web kullanıcısı, cron ve exploit endpoint erişim logları araştırılır.

find . -type f -mmin -60 -ls

Kesinlikle yapmayın

  • Şüpheli dosyaları incelemeden topluca silmeyin.
  • Yalnız antivirüs ‘clean’ sonucuyla siteyi güvenli saymayın.
  • Nulled tema veya eklentiyi yeniden kurmayın.
  • Tüm parolaları aynı eski parola varyasyonuyla değiştirmeyin.
  • Malware bulunan yedeği doğrulamadan geri yüklemeyin.
  • Search Console kaldırma aracını kök neden çözümü sanmayın.

Çözüm sonrası doğrulama

  • Farklı user-agent ve referer testlerinde yönlendirme yok.
  • Core ve güvenilir eklenti checksumları temiz.
  • Uploads içinde beklenmeyen PHP dosyası yok.
  • Bilinmeyen admin, cron ve SSH erişimi yok.
  • Tüm kimlik bilgileri ve salts yenilendi.
  • Search Console güvenlik ve index raporları izleniyor.
07
Resmî teknik kaynaklar

WordPress ve WP-CLI resmî dokümantasyonu

08
İç SEO içerik kümesi

İlgili WordPress hata çözümleri

09
Sık sorulan sorular

WordPress Hack ve Yönlendirme hakkında merak edilenler

WordPress neden başka siteye yönlendirir?

Zararlı .htaccess, PHP/JS kodu, veritabanı enjeksiyonu, eklenti veya CDN kuralı yönlendirme oluşturabilir.

Yalnız mobilde yönlendirme mümkün mü?

Evet; malware user-agent kontrolüyle yalnız mobil ziyaretçide çalışabilir.

Checksum temizse site güvenli mi?

Hayır. Checksum çekirdeği doğrular; wp-content, veritabanı, kullanıcı ve cron ayrıca incelenmelidir.

Uploads içinde PHP normal mi?

Genellikle medya dizininde PHP beklenmez; bulunan dosya dikkatle incelenmelidir.

base64_decode geçen her dosya zararlı mı?

Hayır. Tek başına kesin kanıt değildir; dosyanın kaynağı ve davranışı doğrulanmalıdır.

Temizlik sonrası hangi parolalar değişmeli?

WordPress kullanıcıları, hosting paneli, FTP/SFTP, SSH, veritabanı, SMTP ve API anahtarları.

Google spam sonuçları ne zaman temizlenir?

Kök neden giderilip URL’ler doğru 404/410 veya temiz içerik döndürdükten sonra Google yeniden taradıkça düzelir.

EKA YAZILIM VE BİLİŞİM SİSTEMLERİ

Sunucunuzdaki hatayı kalıcı olarak çözelim

cPanel, WHM, CloudLinux, LiteSpeed, MariaDB, Exim ve güvenlik katmanlarını birlikte analiz ederek yalnızca servisi kaldırmak yerine arızanın temel nedenini gideriyoruz.

Sunucu Desteği Al WhatsApp
Top