Başıma geldiği için Internette biraz araştırdım. PHP 5.2.x kullanan sunucularda PHP açığı ile Wordpress siteleri yönlendiriliyor. Yani sunucunuz PHP 5.3'e geçmedikçe yeni baştan sitenizi kursanız bile aynı açık yüzünden yeniden hack yeme olasılığınız var. Bu aralar oldukça yaygınlaşmış anladığım kadarıyla. PHP 5.2.x kullanan arkadaşlar dikkatli olsun.

Tam olarak ne yapıyor diyorsanız sitenize doğrudan girdiğinizde bir sorun yok. Örneğin www.zargana.org yazdığınızda sitenize girebiliyorsunuz. Ama diyelim ki google'da çıkan bir arama sonucundan ziyaretçi sitenize girmek istiyor. Bağlantıya tıkladığında sizin siteniz yerine yönlendirildiğiniz siteye gidiyor. Aynı şey Facebook paylaşımları için de geçerli. Facebook üzerinden sitenize girmek isteyen kullanıcı kendini yönlendirildiği sitede buluyor. Yönlendirilen siteler gördüğüm kadarı ile hep pl uzantılı oluyor.

Zararlı kodu config.php dosyasında buldum. eval(base64_decode(DQplcnJvcl9yZX...... diye uzayıp gidiyor. PHP'den ya da site yönetiminden anlamadığımdan anlayan arkadaşlar şu kodu izah edebilirler: grep -rl "eval(base64_decode" * Zararlı yazılımı bu kodla bulabilirsiniz diyorlar.

Wordpress kullanan arkadaşlar için tavsiye edilen diğer bir güvenlik önlemi ise Bulletproof adlı güvenlik eklentisini kurmaları. Ben elimden geldiğince anlattım. Dha uzman olan arkadşlar çok daha ayrıntılı bilgi verebilir.