Merhaba arkadaşlar, arkadaşlarımında sorduğu sorunun çözümünü anlatacağım. Normalde bunu yakın çevreme defalarca anlatmışımdır ama öğrenmek yerine o anlık işi çözdüklerinden dolayı tekrar tekrar soruyorlar.
Bu virüs ne yapar?
Bu virüs sizin admin hesabınızı kullanmakla kalmaz ekstra bir hesap daha açar sizin adınıza yazı ekler, sayfa ekler, menünüze müdahale eder, temanıza müdahale eder vs. Özetle sitenize tecavüz eder. Bunları yapıp işini bitirdiğinde ise tüm hesapların editör ve eklenti yetkisini kaldırır arkasına bakmadan çekip gider cami avlusuna bırakılmış gibi hissedersiniz.
Peki bu virüs nasıl aktif oluyor ve nasıl temizlenir?
Herhangi bir nulled tema kurduğunuz zaman bu temayı Görünüm kısmından aktif ettiğiniz de sitenizin cenaze namazını kıldırıyorsunuz farkına varmıyorsunuz tabi. Aktif edilen tema dosyalarında eğer class-theme-modules.php varsa bilin ki o tema virüslü. Nerden mi biliyorum? Çünkü yabancı kaynaklardan 10–15 tane tema indirip içerisini inceledim. Bu temaların hepsinde olmasa da yarısında bu dosya var. Bu dosyayı gördüğünüz gibi silmeyin içerisinde eğer lisans anahtarı kodları görürseniz silin sonrasında functions.php içerisinde en üst kısımda
şeklinde bir kod görürsünüz o dosyayı dışarıdan functions dosyanıza dahil ediyor. Bu kodu buradan silerseniz virüs kodlarını temadan kaldırmış olursunuz ama işimiz bitmedi tabi.
Bazı temalarda class-theme-modules.php olmasa da functions.php içerisinde
Bu tip kodlar görürsünüz. <?php dan itibaren ?> gördüğünüz kısma kadar silin ve kaydedin.
Temanızın temizliğinden sonra resimdeki wp-vcd.php dosyasını bulup WordPress’inizi kurtarmanız gerekiyor. Bu dosya da wp-includes klasörünün içerisinde en altta yer alıyor. Bu dosyayı gördüğünü gibi silin düşünmeyin bile. Sonrasında her ihtimale karşı wordpress şifrenizi güncelleyin.
Notlar
1- Bazı virüsler themes klasöründeki diğer functions.php dosyalarına da entegre oluyor bu yüzden birden fazla temanız var ise onları da kontrol edip var ise temizlemenizi öneriyorum.
2- Nulled tema kurmadan önce yedek almanızı mutlaka öneriyorum.
3- Nulled tema $60 lık bol demolu bir tema ise birden fazla virüs içerebilir dosyaları detaylı incelemeniz gerekir.
4- Virüsü temizlemenize rağmen site üzerinde editör işlemleri ve eklenti sayfası açılmıyor ise wp-config.php dosyanızın en altında
ve altında buna benzer bir kod daha varsa kaldırın.
5- Virüsü tespit etmek için Eklentiler kurmanızı önermiyorum. Sunucu taraflı bir tarama yapabilirsiniz tabi ama WordPress üzerinde eklentiler ile vaktinizi boşa harcamayın. Tema virüslerinin en popüleri budur.