Sitem Hacklendi mi? Nasıl Kontrol Ederim?

Web siteleri her gün sayısız siber saldırıya maruz kalıyor. Bazı saldırılar hemen fark edilebilirken, bazıları aylarca fark edilmeden sitenizin içinde sessizce dolaşabilir. Web sitenizin saldırıya uğradığından şüpheleniyor ve “sitem hacklendi mi, sitemin hacklendiğini nasıl anlarım” gibi sorulara cevap arıyorsanız, sizin için bu konuda kapsamlı bir rehber hazırladık.

Web Sitesinin Hacklendiğini Gösteren 10 Belirti

Sitenizin güvenliği ihlal edilmiş olabilir ama bunu fark etmek her zaman kolay değildir. Hackerlar genellikle sessizce hareket eder ve izlerini gizlemeye çalışır. İşte sitenizde mutlaka kontrol etmeniz gereken temel uyarı işaretleri:

1. Şüpheli Sayfa İçerikleri– Sitenizde oluşturmadığınız yeni sayfalar, yabancı dilde içerikler, viagra veya kumar reklamları görüyorsanız bu klasik bir hackleme belirtisidir. Özellikle /wp-content/ veya /images/ gibi klasörlerde rastgele isimli PHP dosyaları tehlike işaretidir.
2. Aniden Düşen Trafik– Google Analytics’te normal trafiğinizin %30-50 oranında düşüş gördüyseniz, siteniz spam içerik nedeniyle cezalandırılmış olabilir. Özellikle organik trafikte ani düşüşler alarm verir.
3. Bilinmeyen Yönetici Hesapları– WordPress, Joomla veya diğer CMS panelinizdeki kullanıcılar listesinde tanımadığınız yönetici yetkili hesaplar varsa, birisi sisteminize yetkisiz erişim sağlamış olabilir.
4. Sıra Dışı Sunucu Aktivitesi– Hosting panelinizden CPU ve bant genişliği kullanımınızı kontrol edin. Normal kullanımınızın çok üzerinde aktivite varsa, siteniz botnet saldırısı için kullanılıyor olabilir veya arka planda kötü amaçlı scriptler çalışıyor olabilir.
5. Otomatik Yönlendirmeler– Kullanıcılar sitenize gelirken otomatik olarak başka sitelere, özellikle kumar, yetişkin içerik veya sahte antivirus sitelerine yönlendiriliyorsa, sitenizdeki JavaScript veya .htaccess dosyası manipüle edilmiş olabilir.
6. E-posta Spam Sorunları– Sitenizin e-posta sunucusu spam göndermek için kullanılabilir. Hosting sağlayıcınızdan e-posta hesaplarınızın bloke edildiğine dair bildirim aldıysanız veya müşterileriniz sizden spam e-posta aldığını söylüyorsa, bu ciddi bir işarettir.
7. Dosya Değişiklikleri– FTP üzerinden dosyalarınızı kontrol ettiğinizde, son değiştirme tarihlerinin siz değiştirmediğiniz halde güncel olması, dosya boyutlarının değişmesi veya şifreli/anlaşılmaz kodlarla dolu dosyalar görmek hackleme belirtisidir.
8. Meta açıklamalarda değişiklik– Kötü niyetli rakipleriniz, web sitenizi daha yüksek sıralamalar elde etmek veya satış ortaklığı gibi bağlantılar aracılığıyla satışlarını artırmak için kullanmak isteyebilir. Bunu tespit etmenin en iyi yolu, meta açıklamalarınızın anlamsız değerler veya Japonca karakterlerle değiştirilip değiştirilmediğini kontrol etmektir. Bu kontrolleri düzenli bir alışkanlık haline getirmek, olası saldırıların olumsuz etkilerinden hızlıca kurtulmanıza olanak tanır.
9. Alakasız reklamlar ve pop-up– Web sitenizin ziyaretçileri, bilginiz dışında açılan spam reklamlar veya açılır pencereler görüyorsa, Siteler Arası Komut Dosyası Çalıştırma (XSS) veya kötü amaçlı kod yerleştirme nedeniyle web sitenizin güvenliği ihlal edilmiş olabilir.
10. Tarayıcıda siteniz için uyarılar– Tarama esnasında Googlebot kötü amaçlı bir yazılım tespit ederse, hemen web sitesini işaretler. Algılanan kötü amaçlı yazılımın türüne bağlı olarak, saldırıya uğramış web sitesi için tarayıcıda aşağıdaki gibi uyarılarla karşılaşılabilir:

Adım Adım Hackleme Kontrolü

Sitenizde şüphe uyandıran durumlar varsa, sistematik bir kontrol yapmanız gerekir. Aşağıdaki yöntemleri kullanarak sitenizin güvenlik durumunu profesyonelce değerlendirebilirsiniz:

1. Google Search Console Kontrolü

Web sitenizin saldırıya uğradığını anlamanızın en iyi yolu Search Consol Güvenlik sekmesini sürekli kontrol etmektir. Hacker’lar genellikle kötü amaçlı yazılımları site yöneticilerinden kolaylıkla gizleyebilirler. Ancak zararlı faaliyetleri Google gibi arama motorlarından gizlemeleri çok daha zordur. Google, web sitelerini dizine eklemek için önce derinlemesine tarar. Bu işlemi yaparken de son derece gelişmiş araçlar kullanır. Eğer sitenizde herhangi bir kötü amaçlı yazılım vs. tespit ederse, bu durumu Search Consol Güvenlik ve Manuel İşlemler–Güvenlik Sorunları sekmesinde bir uyarı ile bildirir. Ayrıca, bu konu hakkında Google’dan bir mail de alabilirsiniz.

2. Online Güvenlik Tarayıcıları

Sucuri SiteCheck, VirusTotal, Quttera gibi ücretsiz online araçlar sitenizi otomatik olarak tarar. Bu araçlara sitenizin URL’sini girdiğinizde, bilinen kötü amaçlı kod kalıpları, spam içerik, kara liste durumu ve güvenlik açıkları hakkında rapor alırsınız. Ayrıca, Google’ın Güvenli Tarama aracından da faydalanabilirsiniz. Bu araç ile anında web sitenizin durumunu kontrol edebilirsiniz.

3. Sunucu Log Dosyaları Analizi

cPanel veya hosting panelinizden access_log ve error_log dosyalarını indirin. Bu dosyalarda şüpheli IP adreslerinden gelen istekler, başarısız giriş denemeleri veya bilinen exploit URL’leri (örneğin /wp-admin/admin-ajax.php?action=...) arayın.

4. Veritabanı İncelemesi

phpMyAdmin üzerinden veritabanınıza girin ve kullanıcı tablolarını kontrol edin. WordPress kullanıyorsanız wp_users tablosunda tanımadığınız kullanıcılar var mı bakın. Ayrıca wp_posts tablosunda spam içerik veya gizli bağlantılar olup olmadığını kontrol edin.

5. Dosya Bütünlüğü Kontrolü

FTP veya SSH üzerinden sunucunuza bağlanın ve core dosyalarınızı kontrol edin. WordPress kullanıyorsanız, wp-config.php, index.php, .htaccess dosyalarını mutlaka inceleyin. Bu dosyalarda base64_decode, eval, gzinflate gibi şüpheli PHP fonksiyonları veya garip kodlar varsa siteniz muhtemelen hacklenmiştir. Özellikle tema klasörünüzün (wp-content/themes/) ve plugin klasörünüzün (wp-content/plugins/) içindeki dosyaları kontrol edin. Hackerlar genellikle header.php, footer.php veya functions.php dosyalarına kötü amaçlı kod enjekte ederler.

📌 Wordfence, Sucuri Scanner veya iThemes Security gibi güvenlik pluginleri yüklerseniz, bunlar otomatik olarak dosya değişikliklerini tespit eder ve size bildirim gönderir. Bu araçlar manuel kontrolden çok daha hızlı ve güvenilirdir.

Hacklenme Türleri ve Etkileri

Tüm hack saldırıları aynı değildir. Saldırının türünü anlamak, doğru çözümü uygulamak için kritik önem taşır. İşte en yaygın hackleme türleri ve bunların sitenize etkileri:

• SEO Spam Injection– Bu yöntemde hackerlar, sitenize gizli sayfalar veya linkler ekleyerek Google sıralamalarında yükselmek için kullanır. Viagra, kumar, sahte ürün sayfaları tipik örneklerdir. Kullanıcılar bu içeriği görmez ama Google bot’ları görür ve siteniz cezalandırılır.
• Malware/Backdoor Yerleştirme– Saldırganlar, gelecekte tekrar erişim sağlamak için sunucunuza backdoor yerleştirir. Bu, genellikle wp-content veya uploads klasörüne gizlenmiş PHP shell dosyalarıdır. Temizleme sonrası tekrar hacklenmenin ana nedenidir.
• Phishing Sayfası Oluşturma– Hackerlar sitenizde sahte banka, e-posta veya sosyal medya giriş sayfaları oluşturarak kullanıcılardan kişisel bilgi çalmaya çalışır. Bu durum hem sizin hem de ziyaretçilerinizin güvenliğini tehdit eder.
• Defacement (Görünüm Değiştirme)– En göze çarpan saldırı türüdür. Hackerlar sitenizin ana sayfasını tamamen değiştirir ve genellikle politik mesajlar veya kendi imzalarını bırakır. İtibar kaybına direkt neden olur.

📌 Birçok durumda, birden fazla hackleme türü aynı anda gerçekleşir. Örneğin, saldırgan hem SEO spam enjekte edebilir hem de backdoor yerleştirebilir. Bu yüzden temizleme işlemi kapsamlı ve dikkatli olmalıdır.

Hackleme sonuçları sadece teknik sorunlarla sınırlı kalmaz. Google’ın sitenizi kara listeye alması, müşteri güveninin sarsılması, gelir kaybı, marka itibarının zarar görmesi ve yasal sorumluluklar (özellikle kullanıcı verilerinin çalınması durumunda KVKK/GDPR) gibi ciddi sonuçlar doğurabilir. İstatistiklere göre, hacklenme sonrası müşteri güvenini yeniden kazanmak ortalama 6-12 ay sürmektedir.

Acil Durum: İlk Yapmanız Gerekenler

Sitenizin hacklendiğini kesin olarak tespit ettiyseniz, hemen harekete geçmeniz gerekir. Panik yapmayın, ancak hızlı ve stratejik adımlar atın. İşte acil durum eylem planınız:

1. Siteyi Hemen Bakım Moduna Alın– Daha fazla ziyaretçinin kötü amaçlı içeriğe maruz kalmaması için siteyi geçici olarak kapatın veya bakım moduna alın. WordPress için “Coming Soon” veya “Maintenance Mode” pluginleri kullanabilirsiniz. Bu aşama hem ziyaretçilerinizi korur hem de Google’ın daha fazla zararlı içerik indekslemesini engeller.
2. Tüm Şifreleri Değiştirin– Hosting paneli, FTP, veritabanı, CMS admin paneli ve e-posta hesaplarınızın tüm şifrelerini güçlü ve benzersiz şifrelerle değiştirin. Şifre yöneticisi kullanarak en az 16 karakterli, büyük-küçük harf, rakam ve özel karakter içeren şifreler oluşturun.
3. Yerel Bilgisayarınızı Tarayın– Hacklemenin kaynağı yerel bilgisayarınızda bir virüs olabilir. FTP şifrelerinizi çalan keylogger veya trojan’lar sık karşılaşılan durumlardır. Güncel bir antivirüs programıyla tam sistem taraması yapın ve temiz bir bilgisayardan şifre değişikliklerini gerçekleştirin.
4. Hosting Sağlayıcısını Bilgilendirin– Hosting firmanızın destek ekibiyle iletişime geçin. Profesyonel hostingler genellikle güvenlik ekipleri tarafından yardım sağlar, sunucu tarafı logları paylaşır ve gerekirse hesabınızı izole ederek diğer müşterileri korur.
5. Temiz Yedek Yükleyin- Hacklemeden önce alınmış temiz bir yedeğiniz varsa, bu süreç çok daha kolay olacaktır. Hosting panelinizdeki otomatik yedeklemeleri kontrol edin veya kendi yedekleme sisteminizdeki en son temiz versiyonu bulun. Yedekleme dosyasını indirmeden önce tarihini mutlaka doğrulayın.
6. İletişim Stratejisi– Eğer e-ticaret siteniz veya müşteri verilerini toplayan bir platformunuz varsa, durumu şeffaf şekilde kullanıcılarınıza bildirmek önemlidir. Veri ihlali durumunda yasal yükümlülükleriniz de olabilir.

• Web site güvenlik önlemleri ile sitenizi saldırılara karşı korumanız mümkün. Ancak, %100 güvenlik diye bir durum ne yazık ki söz konusu değil. Önemli olan saldırıları mümkün olduğunca erken fark edip hızlıca önlem almak. Yukarıdaki belirtileri göz ardı etmeyin; çünkü ne kadar erken müdahale ederseniz, hem veri kaybını hem de itibar kaybını o kadar azaltırsınız.

Adım Adım Site Temizleme Süreci

Acil önlemleri aldıktan sonra, şimdi detaylı temizleme işlemine başlama zamanı. Bu süreç teknik bilgi gerektirir ancak adım adım ilerlerseniz başarılı olursunuz:

1. Tam Yedekleme Alın– Temizliğe başlamadan önce mevcut durumun tam yedeğini alın (hem dosyalar hem veritabanı). Temizleme sırasında bir şeyler ters giderse geri dönüş yapabilmek için bu kritiktir.
2. Kötü Amaçlı Dosyaları Tespit Edin– Wordfence veya Sucuri gibi güvenlik tarayıcıları kullanarak tüm dosyaları tarayın. Manuel kontrol için FTP’den sunucuya bağlanın ve son 30 gün içinde değiştirilmiş dosyaları listeleyin.
3. Core Dosyaları Yeniden Yükleyin– WordPress kullanıyorsanız, temiz bir WordPress kurulumunu indirin ve wp-includes ve wp-admin klasörlerini tamamen silin, yerine yenilerini yükleyin. wp-content klasörüne dokunmayın.
4. Tema ve Pluginleri Güncelleyin– Tüm temaları ve pluginleri en son versiyonlarına güncelleyin. Şüpheli veya kullanmadığınız pluginleri tamamen silin. Nulled (korsan) tema veya plugin kullanıyorsanız mutlaka kaldırın – bunlar çoğu zaman backdoor içerir.
5. Veritabanını Temizleyin– phpMyAdmin’den veritabanına girin. wp_users tablosunda yetkisiz kullanıcıları silin. wp_options tablosunda “siteurl” ve “home” değerlerinin doğruluğunu kontrol edin. wp_posts tablosunda spam içerik arayın.
6. .htaccess ve wp-config.php Kontrol– Bu dosyaları açın ve içlerinde anlamadığınız kodlar var mı bakın. Temiz versiyonlarla karşılaştırın. Şüpheli yönlendirmeler veya izin tanımlamaları varsa silin.
7. SSH erişimi ile dosya tarama: Sunucuya SSH ile bağlanıp grep -r "base64_decode" . veya grep -r "eval" . komutlarıyla şüpheli kod kalıplarını arayabilirsiniz.
8. Dosya izinlerini düzeltme: Klasörler için 755, dosyalar için 644 izinleri standart ve güvenlidir. 777 izinli dosya varsa mutlaka düzeltin.
9. Cron job kontrolü: cPanel’deki Cron Jobs bölümünden zamanlanmış görevleri kontrol edin, tanımadıklarınızı silin.
10. Uploads klasörü taraması: wp-content/uploads klasöründe .php, .js veya yürütülebilir dosya olmamalı – varsa silin.

Google Kara Liste Kaldırma İşlemi

Sitenizi temizledikten sonra Google’ın kara listesinden çıkarılmanız gerekir. Bu süreç biraz zaman alabilir ancak doğru adımları izlerseniz başarılı olursunuz:

1. Temizliği Doğrulayın– Önce sitenizin gerçekten tamamen temiz olduğundan emin olun. Sucuri SiteCheck veya VirusTotal ile son bir kontrol yapın. Tüm zararlı içeriğin kaldırıldığını doğrulayın.
2. Google Search Console’a Giriş Yapın– Search Console’da Güvenlik ve Manuel İşlemler > Güvenlik Sorunları bölümüne gidin. Burada Google’ın tespit ettiği sorunların detaylı listesini göreceksiniz.
3. İnceleme Talebi Gönderin– Her sorun için “İnceleme Talep Et” butonuna tıklayın. Açılan formda ne yaptığınızı detaylı açıklayın: hangi dosyaları temizlediğiniz, hangi güvenlik önlemlerini aldığınız, sorunun nasıl oluştuğunu düşündüğünüz.
   • İnceleme talebinizde dürüst ve detaylı olun.
   • Aldığınız önlemleri maddeler halinde yazın.
   • Sorunun kaynağını açıklayın (eski plugin, zayıf şifre vb.)
4. Google’ın Yanıtını Bekleyin– Google genellikle 3-5 iş günü içinde inceleme yapar. Onay gelirse siteniz kara listeden çıkar. Red gelirse, eksik kalan noktaları düzeltin ve tekrar başvurun.

📌 Kara listeden çıktıktan sonra bile, Google’ın sitenizi tekrar indekslemesi ve sıralamalarda eski yerinize dönmeniz birkaç hafta sürebilir. Bu süreçte kaliteli içerik üretmeye devam edin ve kullanıcı deneyimini ön planda tutun.

Güvenlik Önlemleri

Sitenizi temizledikten sonra en önemli adım bir daha aynı durumla karşılaşmamak için önlem almaktır. İşte web sitenizi daha güvenli hale getirecek kapsamlı önlemler:

1. Güçlü Şifre Politikası– Tüm hesaplarınız için minimum 16 karakter, büyük-küçük harf, rakam ve özel karakter içeren benzersiz şifreler kullanın. LastPass, 1Password gibi şifre yöneticileri kullanarak her hesap için farklı şifre oluşturun. 3-6 ayda bir şifreleri değiştirin.
2. İki Faktörlü Kimlik Doğrulama (2FA)– WordPress admin paneli, hosting paneli, FTP ve veritabanı erişimi için mutlaka 2FA aktif edin. Google Authenticator veya Authy gibi uygulamalarla giriş güvenliğinizi katbekat artırın.
3. Düzenli Güncellemeler– WordPress core, temalar ve pluginleri haftada en az bir kez kontrol edin. Güncelleme bildirimleri geldiğinde hemen uygulayın. Otomatik güncelleme özelliğini küçük güncellemeler için aktif edebilirsiniz.
4. Web Application Firewall (WAF)– Cloudflare, Sucuri veya Wordfence gibi WAF hizmetleri, kötü amaçlı trafiği sitenize ulaşmadan engeller. SQL injection, XSS gibi yaygın saldırılara karşı otomatik koruma sağlar.
5. Ayrıca şu kılavuzumuza mutlaka göz atın: WordPress Güvenlik Önlemleri: Web Site Güvenliği Nasıl Sağlanır?

Yukarıdaki temel önlemlere ek olarak, aşağıdaki teknik ayarlamaları da mutlaka yapmalısınız:

Güvenlik Önlemi	Uygulama Yöntemi
wp-admin Erişim Kısıtlama	.htaccess ile belirli IP adreslerine erişim izni verin veya URL’yi değiştirin
Dosya Düzenleme Kapatma	wp-config.php’ye define('DISALLOW_FILE_EDIT', true); ekleyin
XML-RPC Devre Dışı Bırakma	Brute force saldırılarını önlemek için .htaccess ile xmlrpc.php’yi engelleyin
SSL Sertifikası	Let’s Encrypt ile ücretsiz SSL kurarak HTTPS kullanın – Google da bunu ister
Giriş Denemesi Sınırlama	Login LockDown gibi pluginlerle başarısız giriş denemelerini sınırlayın
Veritabanı Prefix Değiştirme	Varsayılan wp_ yerine benzersiz bir prefix kullanın (örn: xy7z_)

⚠️ Güvenlik önlemleri %100 koruma sağlamaz. Bu yüzden düzenli yedekleme hayati önem taşır. UpdraftPlus, BackWPup veya VaultPress gibi pluginlerle günlük otomatik yedekleme ayarlayın. Yedekleri hem sunucuda hem de harici depolama (Google Drive, Dropbox) üzerinde saklayın. En az 30 günlük yedekleme geçmişi tutun.

Bazı durumlarda, kendi başınıza temizleme yapmak riskli veya yetersiz olabilir. İşte profesyonel güvenlik uzmanına ihtiyaç duyabileceğiniz durumlar ve nasıl doğru yardım bulacağınız:

• Karmaşık Backdoor Enfeksiyonu– Siteyi birkaç kez temizlediğiniz halde sürekli yeniden hackleniyorsa, muhtemelen iyi gizlenmiş bir backdoor vardır. Profesyoneller, manuel taramalarla ve gelişmiş araçlarla bu gizli dosyaları bulabilir.
• Sunucu Seviyesi Enfeksiyon– Sadece siteniz değil, tüm sunucu veya aynı hesaptaki diğer siteler de etkilenmişse, bu sunucu seviyesinde bir sorun demektir. Bu durumda hosting sağlayıcısının veya sistem yöneticisinin müdahalesi şarttır.
• Ödeme Bilgisi Hırsızlığı– E-ticaret siteniz varsa ve kredi kartı bilgileri çalınma şüphesi varsa, PCI-DSS uyumluluğu ve yasal sorumluluklar nedeniyle mutlaka sertifikalı güvenlik firmasıyla çalışmalısınız.
• Acil Durum ve Zaman Baskısı– İşletmeniz kritik gelir kaybı yaşıyorsa, müşteri verileriniz risk altındaysa veya yasal yükümlülükleriniz varsa, profesyonel ekipler 24-48 saat içinde acil müdahale sağlar.

Güvenlik, bir kerelik iş değil sürekli bir süreçtir. Ayda bir güvenlik denetimi yapın, logları kontrol edin ve yeni tehditleri takip edin. Siber güvenlik dünyası sürekli değişir, siz de değişime ayak uydurmalısınız.