wordpress funnel builder açığı ile woocommerce'den kart bilgisi çalıyorlar
arkadaşlar, wordpress’te kullanılan funnel builder eklentisinde kritik bir açık var ve aktif olarak sömürülüyor. saldırganlar bu açığı kullanarak woocommerce ödeme sayfalarına zararlı javascript kodu enjekte ediyorlar, yani müşterilerinizin kredi kartı bilgilerini çalıyorlar. sansec bu hafta detayları yayınladı.
ne oluyor yani?
şöyle ki, funnel builder denen wordpress eklentisinde bir zafiyet var. saldırganlar bu açığı kullanarak woocommerce checkout (ödeme) sayfalarına kendi javascript kodlarını sokuyorlar. müşteri kart bilgilerini girdiği anda, hop bilgiler saldırganın eline geçiyor. klasik skimming olayı işte, ama dijital versiyonu.
spoiler: bu açık şu anda aktif olarak kullanılıyor, yani teorik bir risk değil, gerçekten sömürülüyor.
teknik detaylar
zafiyet henüz resmi bir cve numarası almamış ama sansec tarafından dokümante edilmiş durumda. açığın özellikleri:
- zafiyet türü: kod enjeksiyonu (javascript injection)
- etki: ödeme sayfalarına zararlı kod enjeksiyonu
- risk seviyesi: kritik 🔴
- sömürü durumu: aktif saldırılar var
- hedef: woocommerce kullanan wordpress siteleri
saldırganlar bu açığı kullanarak checkout sayfalarına keylogger benzeri javascript kodları yerleştiriyorlar. müşteri kart numarasını, cvv’yi, son kullanma tarihini girdiği anda bu bilgiler üçüncü parti sunuculara gönderiliyor.
etkilenen sistemler
| Sistem | Durum |
|---|---|
| WordPress + Funnel Builder eklentisi | ✅ Etkileniyor |
| WooCommerce kullanan siteler | ✅ Yüksek risk |
| Diğer e-ticaret platformları | ❌ Etkilenmiyor |
hemen yapmanız gerekenler
agalar, e-ticaret siteniz varsa ve funnel builder kullanıyorsanız acil aksiyona geçin:
1. eklenti versiyonunu kontrol edin
# wordpress admin panelinden
# eklentiler > yüklü eklentiler
# funnel builder versiyonuna bakın
2. eklentiyi güncelleyin veya devre dışı bırakın
# eğer güncelleme varsa hemen uygulayın
# yoksa eklentiyi devre dışı bırakın:
# wp-admin > eklentiler > funnel builder > devre dışı bırak
3. checkout sayfalarını kontrol edin
# tarayıcı geliştirici araçlarını açın (F12)
# console sekmesinde hata/uyarı var mı bakın
# network sekmesinde şüpheli istekler var mı kontrol edin
# bilmediğiniz domain'lere istek gidiyorsa alarm zilleri çalsın
4. logları inceleyin
# wordpress debug loglarını açın
# wp-config.php dosyasına ekleyin:
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
# sonra logları kontrol edin:
tail -f /var/www/html/wp-content/debug.log
5. veritabanını temizleyin
# şüpheli javascript kodları için veritabanını tarayın:
mysql -u root -p wordpress_db
# checkout sayfalarında şüpheli içerik var mı bakın:
SELECT * FROM wp_posts WHERE post_content LIKE '%<script%'
AND post_type = 'page';
# wp_options tablosunda da bakın:
SELECT * FROM wp_options WHERE option_value LIKE '%<script%';
geçici çözümler
eğer hemen eklentiyi kaldıramıyorsanız:
- waf kuralları ekleyin: cloudflare, sucuri gibi waf kullanıyorsanız checkout sayfalarına özel kurallar ekleyin
- checkout sayfasını izole edin: mümkünse checkout’u subdomain’e taşıyın
- csp (content security policy) ekleyin:
# .htaccess dosyasına ekleyin:
Header set Content-Security-Policy "script-src 'self' 'unsafe-inline' https://trusted-domain.com;"
- javascript integrity kontrolü: subresource integrity (sri) kullanın
<!-- güvendiğiniz scriptlere integrity ekleyin -->
<script src="checkout.js"
integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/ux..."
crossorigin="anonymous"></script>
müşterilerinizi bilgilendirin
dikkat: eğer siteniz sömürüldüyse müşterilerinizi bilgilendirmeniz gerekiyor. kvkk ve ödeme kartı endüstrisi (pci-dss) standartları bunu gerektiriyor.
örnek e-posta metni:
"Değerli müşterimiz,
Web sitemizde kullandığımız bir eklentide güvenlik açığı tespit edilmiştir.
[tarih] - [tarih] arasında alışveriş yaptıysanız, kart bilgilerinizi
kontrol etmenizi ve bankanızla iletişime geçmenizi öneriyoruz."
uzun vadeli önlemler
- düzenli güvenlik taraması: wordfence, sucuri gibi güvenlik eklentileri kullanın
- eklenti sayısını azaltın: gereksiz eklentileri kaldırın
- güncel kalın: wordpress, tema ve eklentileri düzenli güncelleyin
- yedek alın: günlük otomatik yedek sistemi kurun
- iki faktörlü kimlik doğrulama: wp-admin’e 2fa ekleyin
kaynaklar
- Sansec Blog - Funnel Builder Vulnerability
- The Hacker News - Orijinal Haber
- WordPress Security Best Practices
- WooCommerce Security Guidelines
edit: henüz cve numarası yok ama muhtemelen yakında atanır. o zaman buraya eklerim.
edit 2: e-ticaret siteniz varsa ve bu eklentiyi kullanıyorsanız, lütfen hemen aksiyona geçin. müşteri kart bilgileri çalınırsa hem maddi hem de itibar kaybı yaşarsınız. pci-dss uyumluluğunuz da tehlikeye girer.
edit 3: yedek almadan hiçbir işlem yapmayın. önce tam yedek alın, sonra temizliğe başlayın. yoksa “ben siteyi düzeltmeye çalışırken daha da bozdum” diye ağlarsınız.
son olarak, bu tür açıklar e-ticaret siteleri için çok kritik. müşteri güvenini kaybetmek çok kolay, geri kazanmak çok zor. o yüzden güvenliğe yatırım yapmaktan çekinmeyin.
Bu içerik yapay zeka tarafından oluşturulmuştur.