Farkı Bilmek Her Şeyi Değiştirir
Bir sabah uyandığınızda web sitenizin tarayıcıda “Bu site zararlı yazılım içerebilir” uyarısıyla karşılandığını görürsünüz. Ya da Google Search Console’a girdiğinizde “Güvenlik sorunları tespit edildi” bildirimi sizi karşılar. Belki de hosting firmanız sitenizi askıya almıştır. İlk tepki paniktir — ve bu anlaşılır bir tepkidir. Ancak bu noktada yapılacak en büyük hata, durumu doğru teşhis etmeden harekete geçmektir.
Çünkü web sitesi güvenliği söz konusu olduğunda iki tamamen farklı senaryo vardır: Siteniz gerçekten saldırıya uğramış olabilir ya da bir güvenlik sistemi tarafından yanlış pozitif olarak işaretlenmiş olabilir. Bu iki durumun tedavisi birbirinden köklü biçimde farklıdır ve yanlış senaryo üzerinden hareket etmek hem zaman kaybettirir hem de gerçek sorunu çözümsüz bırakır.
Gerçek Bir Hack Nasıl Görünür?
Bir sitenin gerçekten saldırıya uğradığının göstergeleri genellikle birkaç farklı kanaldan gelir. Google Search Console’daki güvenlik uyarıları, hosting panelindeki anormal aktivite logları, ziyaretçilerin yönlendirildiğine dair şikayetler ya da sitenizde hiç yazmadığınız sayfaların arama motorlarında indekslenmiş olduğunu fark etmek — bunların hepsi gerçek bir ihlale işaret edebilir.
Saldırganların sitelere yaptıkları en yaygın müdahaleler şunlardır:
Kötü amaçlı yönlendirmeler (malicious redirects): Kullanıcılar sitenize geldiğinde farkında olmadan farklı bir adrese, genellikle sahte bir alışveriş sitesine ya da kimlik avı (phishing) sayfasına yönlendirilir. Bunu çoğu zaman site sahibi değil, ziyaretçiler fark eder.
Gizli içerik enjeksiyonu (hidden content injection): Saldırganlar, arama motoru botlarına görünür ama insanlara görünmez spam bağlantıları ve içerikler yerleştirir. Sitenizin kaynak kodunda ya da veritabanında hiç yazmadığınız metinler bulunması bu kategoriye girer.
Arka kapı (backdoor) yerleştirme: En tehlikeli saldırı biçimlerinden biridir. Saldırgan sunucuya gizli bir erişim noktası bırakır. Siz sorunu temizledikten sonra bile bu arka kapı üzerinden sisteme tekrar girebilir.
Kripto madencisi yerleştirme (cryptojacking): Ziyaretçilerin tarayıcıları, site arka planında kripto para madenciliği yapmak için kullanılır. Ziyaretçi bunu fark etmez ama bilgisayarının fanının aniden hızlandığını ya da sisteminin yavaşladığını deneyimler.
Veri sızdırma (data exfiltration): E-ticaret siteleri için kritik bir tehdit. Saldırganlar ödeme formlarına kod ekleyerek kart bilgilerini kendi sunucularına iletir. Buna “skimming” ya da “Magecart saldırısı” denir.
Yanlış Pozitif Nedir ve Neden Olur?
Yanlış pozitif (false positive), bir güvenlik sisteminin zararlı olmayan bir siteyi ya da dosyayı tehdit olarak işaretlemesidir. Bu durum çok daha yaygın olduğu düşünülenden çok daha sık yaşanır.
Bir sitenin yanlış pozitif olarak işaretlenmesinin başlıca nedenleri şunlardır:
Paylaşımlı hosting ortamı (shared hosting): Aynı IP adresini binlerce site paylaşır. Bu IP adresinden birinin saldırıya uğraması ya da spam göndermesi durumunda, tüm IP bloklanabilir ve siz hiçbir şey yapmamış olsanız da zarar görürsünüz.
Eski veya kötü bir IP itibarı: Bir IP adresi satın alındığında ya da yeni bir hosting hesabına atandığında, geçmişte farklı bir site tarafından kötüye kullanılmış olabilir. Bu tarihin gölgesi yeni site sahiplerini etkiler.
Güvenlik yazılımlarının agresif sezgisel analizi: Bazı antivirüs programları ve tarayıcı güvenlik sistemleri, henüz tam olarak analiz etmediği siteleri “ihtiyatla” tehlikeli olarak işaretleyebilir. Yeni açılmış bir alan adı, nadir kullanılan TLD uzantısı ya da belirli kod kalıpları bu tür hatalara yol açabilir.
Üçüncü taraf betikler: Sitenize dahil ettiğiniz harici bir analiz aracı, reklam kütüphanesi ya da widget’ın sunucusu güvenlik ihlali geçirdiyse, güvenlik sistemleri sizin sitenizi de tehlikeli olarak değerlendirebilir.
Blacklist veritabanı hataları: SURBL, Spamhaus, Google Safe Browsing gibi kara liste servisleri, zaman zaman hatalı kayıtlar içerebilir. Bu kayıtlara dayanan sistemler de hatalı uyarılar üretir.
Teşhis: Hangi Senaryodasınız?
İki senaryo arasındaki farkı anlamak için sistematik bir kontrol listesi uygulamak gerekir.
İlk adım: Kendi gözünüzle bakın. Sitenizi farklı bir cihazdan, tarayıcıdan ve ağdan (özellikle mobil veri bağlantısından) ziyaret edin. Zararlı yönlendirmeler çoğu zaman yalnızca belirli koşullarda tetiklenir; site sahibinin IP’sinden ya da oturum açmış bir kullanıcı hesabından görünmeyebilir. Gizli sekme (incognito) kullanmak kritik önem taşır.
İkinci adım: Harici tarama araçları kullanın. Google’ın Şeffaflık Raporu (transparencyreport.google.com/safe-browsing/search), Sucuri SiteCheck ve VirusTotal gibi platformlar, sitenizi bağımsız olarak tarar ve zararlı içerik tespiti yapar. Bu araçların sonuçları birbirleriyle çelişiyorsa yanlış pozitif ihtimali güçlenir.
Üçüncü adım: Dosya sistemi ve veritabanını inceleyin. Hosting paneliniz üzerinden son değiştirilen dosyaların listesine bakın. Özellikle core sistem dosyalarında (WordPress için wp-config.php, .htaccess gibi) beklenmedik değişiklikler gerçek bir ihlale işaret eder. Veritabanında tanımadığınız admin kullanıcıları ya da yabancı URL’ler içeren kayıtlar da alarm işaretidir.
Dördüncü adım: Sunucu loglarını okuyun. Access logları ve error logları, olağandışı istekleri, brute force girişimlerini ya da bilmediğiniz dosyalara yapılan çağrıları ortaya çıkarabilir. Bu loglar teknik bilgi gerektirse de bir güvenlik uzmanına gösterildiğinde son derece değerli verilerdir.
Beşinci adım: E-posta itibarını kontrol edin. Saldırganlar çoğu zaman sunucu üzerinden spam e-posta göndermek için siteleri kullanır. MXToolbox gibi araçlarla alan adınızın e-posta kara listelerinde olup olmadığını kontrol edin.
Gerçek Hack Durumunda Ne Yapmalısınız?
Tehdidin gerçek olduğu doğrulandıysa hızlı ve methodical davranmak şarttır.
Sitenizi geçici olarak çevrimdışı alın. Ziyaretçilerin zararlı içerikle karşılaşmasını engellemek, itibar hasarını sınırlar. Maintenance modu yeterlidir; tamamen silmeye gerek yoktur.
Tüm şifreleri değiştirin. Hosting paneli, FTP/SFTP, veritabanı, CMS yönetici paneli ve ilişkili e-posta hesapları dahil tüm erişim noktaları için benzersiz ve güçlü şifreler belirleyin.
Temiz bir yedekten geri yükleyin. Eğer güvenilir ve doğrulanmış bir yedeğiniz varsa, bu en hızlı çözüm yoludur. Ancak yedeğin de enfekte olmadığından emin olmak için ihlalden önceki tarihe ait bir yedek seçin.
Profesyonel temizlik hizmeti alın. Sucuri, Wordfence (WordPress için) ya da bağımsız bir güvenlik uzmanı, dosya sistemi ve veritabanını manuel olarak tarayarak tüm zararlı kodları tespit edip temizleyebilir. Arka kapıları kendi başınıza bulup temizlemek son derece güçtür.
Temizliğin ardından Google Search Console üzerinden “İnceleme İste” (Request Review) başvurusu yaparak Google’ın sitenizi yeniden değerlendirmesini talep edin.
Yanlış Pozitif Durumunda Ne Yapmalısınız?
Sitenizde gerçek bir sorun olmadığı ama yine de uyarılarla karşılaştığınız durumlarda izlenecek yol farklıdır.
Hangi kara listeye girdiğinizi tespit edin. Sucuri Blacklist Checker, MXToolbox ve Google Şeffaflık Raporu, hangi veri tabanının sizi işaretlediğini gösterir.
İtiraz başvurusu yapın. Google Safe Browsing, Spamhaus, SURBL ve diğer büyük kara liste servisleri, hatalı kayıtlar için başvuru formları sunar. Bu formlar aracılığıyla yapılan başvurular genellikle birkaç gün ile birkaç hafta arasında sonuçlanır.
Hosting firmanızla iletişime geçin. IP itibarından kaynaklanan sorunlarda, hosting sağlayıcınız size farklı bir IP adresi atayabilir ya da sorunu kendi kanallarından çözebilir.
Belgeleme yapın. İtiraz başvurularında sitenizin temiz olduğunu kanıtlayan tarama sonuçları, ekran görüntüleri ve açıklamalar süreci hızlandırır.
Önlem Her Zaman Tedaviden Ucuzdur
Her iki senaryo da ciddi zaman ve itibar kaybına yol açar. Bu nedenle proaktif güvenlik önlemleri almak, reaktif kriz yönetiminden her zaman daha akıllıca bir yaklaşımdır.
Düzenli yedekleme, güçlü kimlik doğrulama (iki faktörlü doğrulama dahil), güncel yazılım kullanımı, web uygulama güvenlik duvarı (WAF) ve düzenli güvenlik taramaları — bunların tümü bir sitenin temel hijyen pratiklerini oluşturur. Güvenlik bir proje değil, sürekli bir süreçtir.
Sık Sorulan Sorular
Google “Bu site zararlı” uyarısı veriyorsa siteniz kesinlikle hacklenmiş midir?
Hayır, kesinlikle değil. Google Safe Browsing, paylaşımlı hosting ortamındaki IP itibarı sorunları, üçüncü taraf bir betiğin güvenlik ihlali ya da veritabanı hataları nedeniyle yanlış pozitif uyarı üretebilir. Uyarıyı görür görmez Sucuri SiteCheck ve VirusTotal gibi bağımsız araçlarla sitenizi tarayın ve gerçek bir tehdit olup olmadığını doğrulayın.
Siteyi temizledikten sonra Google uyarıyı otomatik olarak kaldırır mı?
Hayır, kaldırmaz. Temizliğin ardından Google Search Console’a girerek “Güvenlik Sorunları” sekmesinden “İnceleme İste” başvurusu yapmanız gerekir. Google’ın inceleme süreci genellikle birkaç günden birkaç haftaya kadar sürebilir. Bu başvuruyu yapmadan uyarı kendi kendine kalkmaz.
Saldırı olmasa bile sitemizi koruyan önlemler almak ne kadar önemlidir?
Son derece önemlidir. Veri ihlali yaşayan sitelerin büyük çoğunluğu, temel güvenlik önlemlerini almamış ya da yazılımlarını güncellememiş sitelerdir. Güncel olmayan bir eklenti ya da iki faktörlü doğrulamanın eksikliği, saldırganlar için açık bir kapı anlamına gelir. Proaktif güvenlik önlemleri, hem gerçek saldırıları hem de yanlış pozitif itibar sorunlarını minimize eder.
İleri Okuma ve Kaynaklar
- Google Search Central — “Hacked Sites” Kılavuzu (developers.google.com/search/docs/monitor-debug/security/hacked) — Google’ın hacklenmiş siteler için sunduğu resmi ve kapsamlı rehber.
- Sucuri Blog — “Website Malware Removal Guide” (2024) — Zararlı yazılım temizleme sürecini adım adım anlatan sektörün en çok başvurulan kaynakları arasındadır.
- OWASP Foundation — “Top 10 Web Application Security Risks” (owasp.org) — Web güvenliğinin temel tehditlerini anlatan ve her site sahibinin okuması gereken referans belge.
