WordPress ekosisteminde kritik bir tedarik zinciri olayı ortaya çıktı: “Essential Plugin” portföyündeki 30’dan fazla eklenti, şirket el değiştirdikten sonra kaynak koduna eklenen bir arka kapıyla kötüye kullanıldı. Olayı ilk fark eden Anchor Hosting’in kurucusu Austin Ginder, eklentilerin yeni sahibi tarafından 2025’te eklenen kodun Nisan 2026’nın başında tetiklenip binlerce siteye zararlı içerik dağıttığını anlattı. WordPress eklenti dizini, 7 Nisan 2026’da bu portföye ait tüm eklentileri aynı gün içinde kalıcı olarak kapattı. WordPress sayfalarına göre etkilenen eklentilerin toplamda 20 binden fazla etkin kurulumu var; Essential Plugin ise 400 binden fazla kuruluma ulaştığını iddia ediyordu.
Ginder’ın adli analizine göre saldırgan, 8 Ağustos 2025’te yayımlanan bir güncellemede PHP nesne serileştirme (unserialize) zinciri üzerinden uzaktan kod çalıştırmayı mümkün kılan bir arka kapı yerleştirdi. Bu kötü amaçlı modül, Nisan 5–6, 2026’da uzaktaki analytics.essentialplugin.com alanına bağlanarak sitelere yük indirip wp-config.php dosyasına gömülen bir paylaşımla kalıcılık sağladı. Yani kod aylarca görünürde “uykuda” kaldı ve bir anda etkinleştirildi.
WordPress eklenti inceleme ekibi, tehdidi gördükten sonra ilgili eklentileri dizinden kaldırdı ve arka kapının “çağrı” mekanizmasını devre dışı bırakan acil bir güncellemeyi zorunlu dağıttı. Ancak uzmanlar bunun yalnızca semptomu bastırdığını, arka kapı mantığının türevlerinin kod tabanında kalabildiğini hatırlatıyor. Bu nedenle yalnızca “güncellemek” yerine enfeksiyon belirtilerinin izini sürmek gerekiyor.
Hangi Eklentiler ve Nasıl Etkilendi?
Kapatılanlar arasında Accordion and Accordion Slider, Popup Anything on Click, WP Blog and Widgets, SP News and Widget, Timeline and History Slider, WP Team Showcase and Slider gibi popüler çözümler var. Ortak nokta, eklentilere sonradan eklenen “wpos-analytics” modülünün uzaktan aldığı serileştirilmiş veriyi doğrudan çalıştırması ve arka kapının wp-config.php’ye saklanması.
Site Sahipleri Ne Yapmalı?
- Eklenti denetimi: Sitenizde Essential Plugin portföyünden herhangi bir eklenti varsa kaldırın ya da güvenli, arka kapı kodu tamamen temizlenmiş bir sürümle değiştirin.
- wp-config.php kontrolü: Dosya boyutunda beklenmedik artış, özellikle de wp-settings.php satırının sonunda gizlenen kod parçaları, bulaşmaya işaret edebilir.
- Yedekten geri dönme: Mümkünse 5 Nisan 2026’dan önceki temiz bir yedeğe dönüp ardından güncelleme ve temizliği uygulayın.
- Şifre ve anahtarları yenileme: Yönetici parolaları, veri tabanı ve API anahtarlarını değiştirin; oturumları sıfırlayın.
Bu olay, “sahiplik değişimi”nin WordPress eklenti dünyasında zayıf bir denetim noktası olduğunu da ortaya koydu. Eklentiyi devralan yeni sahiplerin ilk kod gönderimi için ek bir inceleme ya da kullanıcılara “sahiplik değişti” uyarısı bulunmuyor. Uzmanlar, eklenti devralmalarında bildirim, geliştirici doğrulaması ve imzalı yayımlama zinciri gibi önlemlerin acilen gündeme alınması gerektiğini söylüyor.
Üstelik bu tekil bir vaka değil. Geçen hafta, Smart Slider 3 Pro’nun güncelleme altyapısı hedef alınıp yüz binlerce siteye arka kapılı sürüm itildi. Ardı ardına gelen bu olaylar, yaygın eklenti ekosistemlerinde kaynak güveni ve tedarik zinciri görünürlüğünün ne kadar kritik olduğunu bir kez daha gösteriyor.
Kaynak: www.techspot.com
