Malware temizliği sonrası aynı zararlının geri gelmesini önlemek için parola, eklenti, dosya izni, log ve sunucu kontrollerini nasıl yapmanız gerektiğini öğrenin.
Malware temizliği yapıldıktan sonra sitenin yeniden enfekte olması, çoğu zaman ilk temizlikte yalnızca görünen dosyaların silinmesinden kaynaklanır. Aynı zararlı tekrar geliyorsa sorun genellikle tek bir dosyada değil; zayıf parola, güncel olmayan eklenti, hatalı dosya izni, açık bırakılmış yönetici hesabı veya sunucu tarafında kapanmamış bir güvenlik açığındadır. Bu nedenle temizliği bir işlem olarak değil, doğrulama ve sertleştirme süreci olarak ele almak gerekir.
Zararlı yazılımlar genellikle sisteme bir giriş noktası üzerinden yerleşir ve kalıcılık sağlamak için farklı alanlara yedek parçalar bırakır. Temizlik sırasında yalnızca index dosyası, tema dosyası veya şüpheli görünen birkaç PHP dosyası kaldırılırsa arka kapı aktif kalabilir.
İlk adım, zararlı dosyanın nasıl yüklendiğini anlamaktır. Erişim logları, dosya değişiklik tarihleri ve yönetici oturum kayıtları bu noktada kritik ipuçları verir. Sadece dosyayı silmek yerine, dosyanın hangi kullanıcı, hangi IP veya hangi istek üzerinden oluştuğu incelenmelidir.
WordPress yönetici parolaları, FTP/SFTP bilgileri, veritabanı kullanıcı şifresi, kontrol paneli hesabı ve varsa SSH anahtarları değiştirilmelidir. Aynı parola farklı servislerde kullanılıyorsa temizliğin ardından yeniden bulaşma ihtimali yükselir. Parola değiştirirken kısa ve karmaşık görünen ama sözlük tabanlı kelimelerden oluşan kombinasyonlardan kaçının.
Güncelleme yapılmadan alınan temiz yedek, kısa süre içinde yeniden riskli hale gelir. Kullanılmayan eklentiler devre dışı bırakılmakla kalmamalı, tamamen silinmelidir. Lisansı belirsiz, kaynağı doğrulanamayan veya nulled olarak bilinen tema ve eklentiler kurumsal sitelerde ciddi güvenlik açığı oluşturur.
Malware geri dönüşünü önlemek için uygulama katmanı kadar hosting ortamı da değerlendirilmelidir. Paylaşımlı yapılarda hesap izolasyonu, güncel PHP sürümü, web application firewall desteği ve düzenli tarama özellikleri önemli fark yaratır. Eski PHP sürümleri hem performans hem güvenlik açısından risk üretir.
Genel yaklaşım olarak klasörlerde 755, dosyalarda 644 izinleri tercih edilir. Yapılandırma dosyaları daha kısıtlı tutulmalıdır. Tüm siteye 777 izni vermek geçici bir çözüm gibi görünse de zararlının yazma alanını genişletir. Yükleme dizinlerinde PHP çalıştırmayı engellemek, özellikle medya klasörüne gizlenen arka kapılara karşı etkilidir.
Temizlikten önceki yedekler kontrol edilmeden geri yüklenmemelidir. En sık yapılan hata, enfekte olmuş bir yedeği temiz site üzerine tekrar kurmaktır. Yedekleri tarih, dosya bütünlüğü ve tarama sonucuna göre sınıflandırmak gerekir. Ayrıca yedeklerin site dizini dışında saklanması, saldırganın yedek dosyaları indirerek veritabanı bilgilerine ulaşmasını önler.
Aynı zararlının geri gelip gelmediğini anlamanın en güvenilir yolu düzenli izleme yapmaktır. Dosya değişiklik bildirimleri, başarısız giriş denemeleri, beklenmeyen yönetici hesabı oluşumları ve olağan dışı CPU kullanımı erken uyarı sağlar. Eğer belirli saatlerde aynı dosyalar yeniden oluşuyorsa cron görevleri veya zamanlanmış komutlar incelenmelidir.
Web sunucusu loglarında wp-login.php, xmlrpc.php, admin-ajax.php ve bilinmeyen PHP dosyalarına yoğun istekler görülüyorsa saldırı devam ediyor olabilir. Bu durumda yalnızca WordPress panelinden işlem yapmak yeterli değildir; sunucu tarafı kurallar, erişim kısıtları ve güvenlik duvarı ayarları birlikte ele alınmalıdır.
Kurumsal sitelerde güvenlik yalnızca eklenti kurarak tamamlanmış sayılmamalıdır. Doğru yapılandırılmış bir hosting altyapısı, güncel yazılım bileşenleri, düzenli log incelemesi ve kontrollü yedekleme politikası birlikte çalıştığında zararlının geri dönme ihtimali ciddi şekilde azalır. Temizlik sonrası birkaç gün boyunca dosya değişiklikleri, kaynak tüketimi ve yönetici aktiviteleri yakından takip edilmelidir; bu takip, kalıcı güvenlik açığının gerçekten kapatılıp kapatılmadığını görmenin en pratik yoludur.