Malware Enfeksiyonu: Sitenizi Adım Adım Temizleme Rehberi

Hostmana 13 Temmuz 2026 8 dk okuma

Bir sabah sitenize girdiğinizde tarayıcının kırmızı bir "Aldatıcı site" uyarısı gösterdiğini, Google sonuçlarında "Bu site bilgisayarınıza zarar verebilir" notunu ya da ziyaretçilerin başka sayfalara yönlendirildiğini fark ettiniz. Bu, sitenize malware (kötü amaçlı yazılım) bulaştığının klasik belirtileridir. İyi haber: çoğu enfeksiyon, doğru sırayla ilerlerseniz tamamen temizlenebilir. Bu rehber, site malware temizleme işlemini panik yapmadan, adım adım anlatıyor.

Not: Hacklenme anında ilk 24 saatte yapılması gerekenleri ayrı bir yazıda ele aldık. Burada odağımız, enfeksiyonu fiilen söküp atma ve bir daha geri gelmesini engelleme süreci.

Malware Bulaştığını Nasıl Anlarsınız?

Temizliğe başlamadan önce gerçekten bir enfeksiyon olduğundan emin olun. En sık görülen işaretler:

  • Tarayıcı/arama motoru uyarısı: Google Safe Browsing kırmızı ekranı veya arama sonucunda güvenlik notu.
  • İstenmeyen yönlendirme: Ziyaretçiler bahis, ilaç veya dolandırıcılık sitelerine atılıyor.
  • Spam içerik enjeksiyonu: Sayfa kaynağında olmayan linkler, gizli <div> blokları, Japonca/farmasötik anahtar kelimeler.
  • Bilinmeyen dosyalar: Dizinlerde radio.php, wp-xmlrpc.php benzeri sahte isimli ya da tarih damgası tutarsız dosyalar.
  • E-posta itibar düşüşü: Sunucunuzdan spam gönderildiği için IP'niz RBL kara listesine düşmüş olabilir.
  • Ani kaynak tüketimi: CPU/RAM yükselmesi; arka planda çalışan kötü amaçlı script'ler.

Bu belirtilerden birden fazlası varsa, doğrudan temizliğe geçin.

Adım 1: Siteyi Karantinaya Alın

Temizlik sırasında siteyi açık bırakmak iki risk doğurur: ziyaretçilere zarar verir ve saldırgan, siz temizlerken yeni dosya enjekte edebilir. Bu yüzden önce karantina:

  • Siteyi geçici olarak bakım moduna alın veya .htaccess / sunucu ayarıyla yalnızca kendi IP'nize erişim verin.
  • E-ticaretiniz varsa ödeme akışını durdurun; kart bilgisi sızıntısı riskini sıfırlayın.
  • Mümkünse mevcut bozuk hâlin tam yedeğini ayrı bir yere alın. Bu, "temizken neyi kaybettim" karşılaştırması ve adli inceleme için gerekir; ancak bu yedeği geri yükleme amacıyla kullanmayın (içinde malware var).

Adım 2: Tüm Şifreleri Değiştirin

Saldırgan bir kez içeri girdiyse, muhtemelen birden fazla kapı açtı. Sadece dosyaları temizlemek yetmez; erişim bilgilerini de yenileyin:

  • Kontrol paneli (DirectAdmin veya Plesk) şifresi
  • FTP/SFTP ve SSH hesapları
  • Veritabanı kullanıcı şifresi
  • CMS yönetici (örneğin WordPress wp-admin) parolaları
  • Hosting panel ana hesabı

Yeni şifreleri güçlü ve benzersiz seçin. Yönetici girişine iki faktörlü doğrulama (2FA) eklemek, sonraki enfeksiyonların önüne geçen en etkili adımlardan biridir.

Adım 3: Enfeksiyonun Boyutunu Tarayarak Tespit Edin

Körlemesine dosya silmeyin; önce kapsamı çıkarın. Tarama için kullanabileceğiniz yöntemler:

  • Sunucu tarafı tarayıcı: Hosting panelinizdeki (DirectAdmin/Plesk) virüs/malware tarama aracı tüm hesabı tarar.
  • SSH ile değişen dosyaları bulma: Son zamanda değiştirilmiş dosyaları listelemek güçlü bir ipucudur.
# Son 7 günde değişen PHP dosyalarını listele
find . -name "*.php" -mtime -7 -ls

# Şüpheli fonksiyon çağrılarını ara
grep -rEl "eval\(|base64_decode|gzinflate|str_rot13|shell_exec" . --include=*.php

eval(base64_decode(...)) zinciri, gizlenmiş (obfuscated) zararlı kodun en yaygın imzasıdır. Bulduğunuz her eşleşmeyi not edin; çoğu zaman aynı kalıp onlarca dosyaya kopyalanmıştır.

Adım 4: Dosyaları Dezenfekte Edin

Temizlikte en güvenli yol, "tahmin etmek" yerine bilinen temiz kaynakla karşılaştırmaktır.

CMS çekirdeği için: WordPress, Joomla gibi sistemlerin çekirdek dosyalarını resmi sürümden indirip üzerine yazın. Eklenti ve temaları da resmi depodan silip yeniden kurun — kodun içinde gezip enjekte edilmiş satırı tek tek aramaktan çok daha güvenilirdir.

Özel/elle yazılmış kodlar için: Temiz bir yedeğiniz varsa karşılaştırma (diff) yapın; yoksa Adım 3'te bulduğunuz zararlı blokları dikkatle kaldırın.

Aşağıdaki tablo, temizlik sırasında her dosya tipine nasıl yaklaşacağınızı özetliyor:

Dosya tipi Önerilen yöntem Dikkat
CMS çekirdeği Resmi sürümle değiştir Sürüm numarasını eşle
Eklenti/tema Sil + resmi depodan yeniden kur Nulled/korsan temaları tamamen kaldır
wp-config.php / yapılandırma Elle incele Üstüne eklenen include/auto_prepend satırlarını sil
.htaccess İçeriği sıfırla Yönlendirme ve RewriteRule enjeksiyonlarına bak
Yükleme klasörleri PHP çalıştırmayı kapat uploads/ içinde .php olmamalı
Bilinmeyen dosyalar Karşılaştır, gerekirse sil Tarih damgası tutarsızlarına öncelik ver

Yükleme klasörlerinde (örneğin wp-content/uploads) PHP yürütmesini engellemek, kalıcı arka kapıları etkisiz hâle getirir.

Adım 5: Veritabanını Temizleyin

Malware yalnızca dosyalarda olmaz; veritabanına da enjekte edilebilir. Özellikle gönderi içeriklerine, widget'lara ve wp_options benzeri ayar tablolarına gizli script gömülür.

  • Önce veritabanının temiz olduğundan emin olmadığınız bir yedeğini alın.
  • phpMyAdmin üzerinden <script>, iframe, base64_decode, bilinen spam alan adları gibi kalıpları arayın.
  • Yönetici tablosunda (wp_users gibi) sizin oluşturmadığınız hesapları silin; bunlar saldırganın açtığı gizli admin kapılarıdır.
  • wp_options içinde otomatik içerik enjekte eden anormal kayıtları (örneğin bilinmeyen active_plugins girdileri) temizleyin.

Veritabanı düzenlemesi geri dönüşü zor bir iştir; her değişiklik öncesi anlık yedek alın.

Adım 6: Doğrulayın ve Yeniden Tarayın

Temizliğin tam olduğunu varsaymayın, kanıtlayın:

  1. Adım 3'teki grep komutlarını tekrar çalıştırın; sonuç boş dönmeli.
  2. Siteyi farklı tarayıcılarda ve mobilde gizli sekmede açın; yönlendirme olmamalı.
  3. Sayfa kaynağında gizli link/iframe kalmadığını kontrol edin.
  4. Sunucu loglarında olağandışı POST isteklerini takip edin; saldırgan hâlâ deniyorsa görürsünüz.

Ücretsiz çevrimiçi araçlarla site sağlığını ve güvenlik başlıklarını dışarıdan da tarayabilirsiniz.

Adım 7: Kara Listeden Çıkın ve İtibarı Onarın

Site temizlendiğinde uyarılar otomatik kalkmaz; ilgili sağlayıcılara yeniden inceleme talebi göndermeniz gerekir:

  • Google Search Console üzerinden "Güvenlik Sorunları" bölümünden inceleme isteyin.
  • Sunucu IP'niz RBL kara listesine düştüyse, ilgili listenin delisting (kaldırma) formunu doldurun.
  • E-posta gönderiminiz etkilendiyse SPF, DKIM ve DMARC kayıtlarınızın doğru olduğundan emin olun.

İnceleme onaylanana kadar trafiğinizde ve teslim edilebilirlikte düşüş normaldir.

Adım 8: Yeniden Enfeksiyonu Önleyin

Temizlik tek başına yeterli değil; aynı açık açık kalırsa enfeksiyon günler içinde geri gelir. Kapatmanız gereken temel açıklar:

  • Güncellemeler: CMS, eklenti, tema ve PHP sürümünüzü güncel tutun. Eski PHP sürümleri en sık girilen kapılardandır.
  • Gereksiz eklentileri kaldırın: Kullanmadığınız her eklenti potansiyel bir saldırı yüzeyidir. Korsan/"nulled" temaları asla kullanmayın.
  • Dosya izinleri: Klasörler genelde 755, dosyalar 644; yazılabilir bırakılmış dizinleri sınırlayın.
  • Düzenli yedek: 3-2-1 yedekleme kuralıyla, enfeksiyon öncesi temiz bir geri dönüş noktanız her zaman olsun.
  • 2FA ve güçlü parola politikası: Özellikle yönetici girişlerinde brute-force saldırılarını bloklar.
  • İzleme: Dosya değişikliklerini ve uptime'ı düzenli takip edin; erken fark etmek hasarı azaltır.

Ne Zaman Profesyonel Destek Almalısınız?

Şu durumlarda kendi başınıza uğraşmak yerine destek almak daha güvenlidir: enfeksiyon her temizlikten sonra geri geliyorsa, sunucu tabanlı (rootkit benzeri) bir bulaş şüpheniz varsa, müşteri verisi sızıntısı söz konusuysa (bu durumda KVKK kapsamında ihlal bildirimi yükümlülüğünüz olabilir) ya da temizlik sırasında siteyi tamamen bozmaktan endişe ediyorsanız.


Sitenizi temizlerken yalnız değilsiniz. Hostmana'da, hosting hesaplarında sunucu tabanlı malware taraması, güncel PHP sürümleri ve düzenli yedekleme altyapısı standart olarak sunulur; SSL durumundan güvenlik başlıklarına kadar dış kontrolleri ücretsiz web araçlarımızla hızlıca yapabilirsiniz. Adım adım ilerlerken takıldığınız bir nokta olursa bilgi bankamızdaki güvenlik makalelerine göz atabilir, acil durumlarda uzaktan canlı destek hizmetimizle ekran paylaşarak yardım alabilir veya doğrudan bizimle iletişime geçebilirsiniz. Daha güvenli, güncel bir altyapıya geçmeyi düşünüyorsanız güvenli hosting paketlerimizi inceleyebilirsiniz.

<!--silo-start-->

📚 İlgili Rehberler

Ana rehber: Web Sitenizi Hacklenmekten Korumanın 10 Yolu

İlgili yazılar:

<!--silo-end-->
Manabot çevrimiçi
Merhaba! Size en uygun hosting/sunucu paketini bulmanızda yardımcı olabilir miyim?
Manabot
Yapay zekâ asistanı · Çevrimiçi
🎁 Sana özel %20 indirim — e-postanı bırak, kodu hemen gönderelim.
👋 Temsilciye bağlanmadan önce kısa bilgi:
📨 Size dönebilmemiz için e-postanızı bırakın.