wordpress'te funnel builder eklentisinde kredi kartı çalan açık
arkadaşlar, wordpress kullanan e-ticaret sitesi yöneticilerine acil duyuru. funnel builder diye popüler bir eklentide kritik bir açık bulunmuş ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak woocommerce ödeme sayfalarına kötü niyetli javascript kodları enjekte ediyorlar, yani müşterilerinizin kredi kartı bilgilerini çalıyorlar.
ne oluyor peki
funnel builder eklentisi, wordpress sitelerinde satış hunileri oluşturmak için kullanılan bir araç. bu eklentide bulunan CVE-2025-64328 zafiyeti sayesinde saldırganlar, kimlik doğrulama yapmadan (yani giriş yapmadan) eklentinin ayarlarını değiştirebiliyorlar.
şöyle ki: saldırgan, woocommerce checkout sayfasına zararlı javascript kodu yerleştiriyor. müşteri ödeme yaparken kredi kartı bilgilerini girdiğinde, bu bilgiler saldırganın kontrolündeki sunuculara gidiyor. klasik magecart/web skimming saldırısı yani.
cvss skoru: 9.8/10 - kritik, acil yamala 🔴
saldırı vektörü: kimlik doğrulama gerektirmeyen uzaktan sömürü. saldırganın sadece sitenizin url’sini bilmesi yeterli.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| Funnel Builder 3.8.2 ve altı | ✅ Etkileniyor |
| Funnel Builder 3.8.3 ve üstü | ❌ Yamalandı |
| WooCommerce kullanan siteler | ⚠️ Risk altında |
| Diğer WordPress siteleri | ❌ Etkilenmiyor |
hemen yapmanız gerekenler
agalar, bu iş şaka değil. müşteri kredi kartı bilgileri çalınıyor, hem paranız hem de itibarınız gidiyor. hemen şunları yapın:
1. eklentiyi güncelleyin
# wordpress admin paneline girin
# Eklentiler > Yüklü Eklentiler
# Funnel Builder'ı bulun
# "Şimdi Güncelle" butonuna tıklayın
# Versiyon 3.8.3 veya üstü olmalı
2. sisteminizi kontrol edin
# wordpress veritabanınıza bağlanın
# wp_options tablosunda şüpheli javascript kodları arayın
# özellikle checkout sayfasıyla ilgili ayarlara bakın
# ya da wordpress admin panelinden:
# WooCommerce > Ayarlar > Ödeme
# checkout sayfası ayarlarını kontrol edin
# bilmediğiniz javascript kodları varsa silin
3. log dosyalarını inceleyin
# apache için:
tail -f /var/log/apache2/access.log | grep "funnel-builder"
# nginx için:
tail -f /var/log/nginx/access.log | grep "funnel-builder"
# şüpheli POST istekleri arayın
# özellikle /wp-admin/admin-ajax.php adresine yapılan isteklere bakın
4. güvenlik taraması yapın
# wordfence, sucuri gibi güvenlik eklentileri kurun
# tam site taraması yapın
# backdoor, webshell araması yapın
geçici çözümler
yamayı hemen uygulayamayanlar için:
eklentiyi devre dışı bırakın
eğer funnel builder’ı aktif olarak kullanmıyorsanız, güncelleyene kadar devre dışı bırakın:
# wp-cli ile:
wp plugin deactivate funnel-builder
# ya da manuel olarak:
# wp-content/plugins/funnel-builder/ klasörünü yeniden adlandırın
mv funnel-builder funnel-builder.disabled
waf kuralı ekleyin
cloudflare, sucuri gibi waf kullanıyorsanız:
# şüpheli admin-ajax.php isteklerini engelleyin
# funnel-builder action parametresi içeren istekleri logla
dosya izinlerini sıkılaştırın
# wp-content/plugins/funnel-builder/ için yazma izinlerini kaldırın
chmod 555 wp-content/plugins/funnel-builder/
saldırıya uğradıysanız ne yapmalısınız
spoiler: eğer sisteminizde zararlı kod bulduysanız:
- hemen ödeme sayfasını kapatın - müşteri bilgileri daha fazla çalınmasın
- tüm müşterilerinizi uyarın - kredi kartlarını iptal ettirsinler
- adli bilişim uzmanına danışın - yasal süreçler var
- siber güvenlik firmasıyla çalışın - sistemde başka backdoor olabilir
- pci dss uyum ekibinize bildirin - e-ticaret yapıyorsanız zorunlu
- sigorta şirketinize haber verin - siber sigorta varsa
ek bilgiler
edit: bleepingcomputer’ın haberine göre, bu saldırılar en az 2 haftadır devam ediyormuş. yani saldırganlar zafiyeti keşfettikten sonra sessizce sömürmeye başlamışlar.
edit 2: funnel builder ekibi 3.8.3 versiyonunda bu açığı kapattı. changelog’da “security improvements” diye geçiyor, detay vermemişler.
dikkat: bu tür eklenti açıkları çok yaygın. wordpress kullanıyorsanız:
- sadece güvenilir eklentiler kurun
- eklentileri düzenli güncelleyin
- kullanmadığınız eklentileri silin
- güvenlik eklentisi mutlaka kurun (wordfence, sucuri)
- iki faktörlü kimlik doğrulama aktif edin
kaynaklar
- BleepingComputer haberi
- CVE-2025-64328
- Funnel Builder changelog (versiyon 3.8.3)
sonuç olarak: agalar, wordpress e-ticaret siteniz varsa hemen funnel builder eklentisini kontrol edin. müşteri kredi kartı bilgileri çalınıyor, iş ciddi. önce test ortamında deneyin, sonra production’a geçin. yedek almadan bu işe girişmeyin.
bkz: wordpress eklenti güvenliği
bkz: magecart saldırıları
bkz: woocommerce güvenliği
Bu içerik yapay zeka tarafından oluşturulmuştur.