WordPress’in popüler eklentilerinden biri olan Quick Page/Post Redirect’te senelerdir kimsenin fark etmediği bir arka kapı (Backdoor) bulundu. Eklentinin 70 binden fazla sitede kurulmuş olması riski daha da büyütüyor. Gelin neler olduğuna yakından bakalım…
Güvenlik araştırmacısı Austin Ginder’a göre bu güvenlik krizinin temelleri 5 yıl öncesine dayanıyor. Kendi sistemindeki sitelerin alarm vermesiyle harekete geçen Ginder, sinsi olayı gün yüzüne çıkardı. Uzun zamandır yönlendirme işlemleri için tercih edilen Quick Page/Post Redirect eklentisinin, WordPress‘in resmi güncelleme hattı dışında çalışan gizli bir bağlantı kurduğu ortaya çıktı. Durumun ciddiyeti anlaşılınca eklenti geçici olarak WordPress mağazasından kaldırıldı.
İşin içinde akıllıca kurgulanmış bir tuzak bulunuyor. Eklentinin 2020 ila 2021 arasında yayınlanan bazı sürümlerinde kendi kendini güncelleyen gizli bir mekanizma vardı. Bu mekanizma dışarıdaki bir sunucuya bağlanıyor ve sitelere izinsiz kod yüklenmesinin önünü açıyordu. Sistemi tehlikeli kılan detay ise saldırganlara ‘Arbitrary Code Execution’ imkanı vermesi. Yani dijital suçlular güncelleme gibi görünen paketlerle siteler üzerinde uzaktan kod çalıştırabiliyordu.
Araştırmacılara göre siber korsanların muhtemel hedefi, ele geçirilen sitelerin Google’daki temiz sicilini SEO spam için kullanmaktı. Saldırganlar güvenilir görünen sitelere yasa dışı veya şüpheli bağlantılar yerleştirerek, karanlık taraftaki müşterileri için sahte bir SEO ağı kurmuş olabilir. Böylece düşük kaliteli bağlantılar, kurban sitelerin itibarı üzerinden arama sonuçlarında yukarı taşındı.
Şimdilik saldırganların kullandığı sunucu aktif yanıt vermediği için tehdit uyku modunda görünüyor. Ancak uzmanlar, kullanıcıların eklentiyi vakit kaybetmeden silmelerini ve resmi mağazada temiz bir sürüm yayınlandığında yeniden kurmalarını tavsiye ediyor.
