...
Kategori:Hack

“Sorry” Uzantılı Ransomware Saldırısından WordPress E-Ticaret Sitesini Kurtarma Rehberi

2 Mayıs 2026
Bu Yazıyı Sizin için Okuyalım mı ?  Tıklayın Google sizin için okusun.

Oynatma Hızı:

İçindekiler

Bir e-ticaret sitesi sahibinin yaşayabileceği en büyük kâbus: bir sabah uyandığınızda tüm sunucu dosyalarınızın .sorry uzantısına dönüştüğünü görmek. Bu makalede, bir müşterimizin başına gelen gerçek bir vakayı, restore sürecini ve bir daha bulaşmaması için uyguladığımız çok katmanlı güvenlik stratejisini paylaşıyoruz.

“Sorry” Uzantılı Ransomware Nedir?

“Sorry” ransomware, sunucu seviyesinde çalışan ve tüm dosyaları AES şifreleme ile kilitleyerek .sorry uzantısına dönüştüren bir fidye yazılımıdır. Klasik WordPress eklenti açıklarından farkı, doğrudan sunucu kök dizinine (root) erişip her şeyi şifrelemesidir — yani sadece WordPress değil, sistem dosyaları, yedekler ve veritabanı dahil tüm dizinler etkilenir.

Bizim vakamızda saldırganın giriş yolu CVE-2026-41940 (cPanel kimlik doğrulama bypass açığı) idi. Bu açık 28 Nisan 2026’da yamalandı, ancak yamadan önce dünya çapında binlerce sunucu hedef aldı. Müşteri/yönetici hatası değildi — küresel bir cPanel yazılım açığıydı.

Saldırının Tespit Edilmesi: İlk Belirtiler

E-ticaret sitenizde aşağıdaki belirtilerden herhangi biri varsa hemen harekete geçin:

En iyi Wordpress Sınırsız Hosting
  • Tüm dosya isimlerinin .sorry uzantısı kazanması
  • WHM/cPanel paneline giriş yapamamak (saldırgan şifreyi değiştirmiş olabilir)
  • /backup dizini dahil tüm yerel yedeklerin de şifrelenmiş olması
  • Sunucuda README veya OKUNUZ adlı bir metin dosyasında fidye notu görmesi
  • WordPress yönetim panelinin tamamen çalışmaz hale gelmesi

Müşterimizin sitesinde 100 GB veri, 5000+ ürün ve 50.000 görsel etkilenmişti. İlk 30 dakika içinde saldırının kapsamını netleştirdik ve restore planı devreye girdi.

Tor Üzerinden İletişim Kurmayın: Saldırganla Asla Pazarlık Etmeyin

“Sorry” Uzantılı Ransomware Saldırısından WordPress E-Ticaret Sitesini Kurtarma Rehberi WordPress Yardım ve Destek

Ransomware notları genellikle Tor tarayıcı üzerinden bir iletişim ID’si veya kripto cüzdanı talep eder. Bu adımı kesinlikle atlayın. Sebepleri:

  1. Ödeme garanti getirmez — vakaların %40’ında ödeme sonrası dosya geri verilmez
  2. Yeni saldırılara davetiye — ödeme yapan hedefler tekrar saldırıya uğrar
  3. Yasal sorumluluk — bazı ülkelerde fidye ödemek suç sayılır (terör finansmanı kapsamında)
  4. Backdoor riski — saldırgan ödeme alsa bile sunucuda gizli erişim bırakır

OKUNUZ.mdRECOVERY.txt veya benzeri fidye notlarına dokunmayın, açmayın, içindeki bağlantılara tıklamayın. Doğrudan temiz bir yedekten geri yükleme stratejisine geçin.

Restore Süreci: Adım Adım Sıfırdan Kurulum

Müşterimizin Google Drive’da otomatik olarak alınmış 4 günlük yedeği vardı. Bu, hayat kurtaran bir karardı. Restore süreci:

  1. Hosting firmasına yeniden kurulum talebi — sunucu sıfırdan AlmaLinux 8 + cPanel + LiteSpeed olarak kuruldu
  2. Disk yapısı düzeltildi — cPanel’in resmi tavsiyesine uygun tek partition (470 GB)
  3. rclone ile yedek transferi — Google Drive’dan sunucuya direkt çekme (SFTP’den 10 kat hızlı)
  4. WHM Restore Manager ile cPanel hesabı yeniden oluşturuldu
  5. DNS zone otomatik geldi — vanity nameserver yapısı sayesinde IP değişikliği gerekmedi
  6. AutoSSL aktivasyonu — Let’s Encrypt sertifikası anında devreye girdi
  7. Imunify360 derin tarama — restore sonrası ilk iş olarak malware kontrolü (TEMİZ ✅)

Toplam süre: ~6 saat. Hızlı kurtarma, iki katmanlı yedek stratejisi sayesinde mümkün oldu (yerel + cloud).

Woocommerce Hızlı Hosting

Sunucu Sertleştirme: Tekrar Bulaşmaması İçin Çok Katmanlı Güvenlik

Restore yeterli değildir — saldırgan aynı yolla tekrar gelmesin diye defense in depth uyguladık:

Sunucu seviyesinde:

  • SSH portu varsayılan 22’den 49xxx’e değiştirildi
  • SSH key tabanlı kimlik doğrulama (şifre girişi tamamen kapatıldı)
  • WHM 2FA + cPanel 2FA (Google Authenticator)
  • firewalld aktif: 3306 (MySQL), 21 (FTP), 111 (rpcbind) dış kapalı
  • FTP servisi tamamen devre dışı (sadece SFTP)
  • MariaDB bind 127.0.0.1 (dış erişim yok)
  • cPHulk + Shell Fork Bomb Protection

Uygulama seviyesinde:

  • Imunify360 PRO (WAF + Virtual Patching + Proactive Defense + AI-Bolit malware tarayıcı + KernelCare)
  • xmlrpc.php tamamen kapatıldı (.htaccess deny)
  • wp-content/uploads klasöründe PHP execute engellendi
  • Wordfence FREE (login security)
  • WordPress salts shuffle + wp-config.php izin 600

İzleme & Yedek:

  • WHM Google Drive backup (Daily, retention 2)
  • UpdraftPlus WP-level rollback
  • UptimeRobot 5 dakika interval site izleme
  • Netdata real-time sunucu performans izleme
  • Imunify360 daily 03:00 malware scan + email bildirim

WordPress + WooCommerce Özel Koruma Stratejisi

Eski sürümde kalan ama özel kod yazılmış sitelerde dikkat edilmesi gereken nokta: major eklenti güncellemeleri custom kodu kırabilir. Müşterimizin temasında 50+ özel fonksiyon WooCommerce 9.x ve Elementor 3.x’e bağlıydı.

Bu durumda strateji:

  • Major upgrade’leri geliştirici ile staging ortamında test ederek yapın
  • Bu süreç tamamlanana kadar virtual patching (Imunify360 PRO ile) güncellik açıklarını sunucu seviyesinde bloklar
  • Sadece patch içi güncellemeler (örn. 9.8.5 → 9.8.6) yapın — minor güvenlik patch’leri kırılma riski düşük
  • Kullanılmayan eklentileri silin (saldırı yüzeyi azalır)

Sıkça Sorulan Sorular (SSS)

S: Saldırıdan sonra fidye ödesem dosyalarımı geri alır mıyım?
C: Vakaların %40’ında ödeme sonrası dosya geri verilmez. Ödeme yapsanız bile sunucuda backdoor kalır, tekrar saldırıya açıksınız. Asla ödemeyin.

S: Yedekten geri yükledim, güvende miyim?
C: Restore yeterli değildir. Saldırının geliş yolu (yamasız yazılım, zayıf şifre, açık port) düzeltilmediyse aynı saldırı tekrar gelir. Mutlaka sunucu sertleştirme yapın.

S: Hosting firmam yedek tutuyor diyor, yeterli mi?
C: Hayır. Saldırgan genellikle yerel yedekleri de şifreler. Mutlaka offsite (Google Drive, S3, Dropbox) yedek alın. İki farklı lokasyon şart.

S: Imunify360 PRO ve Wordfence Premium birlikte gerekli mi?
C: Hayır. İki WAF üst üste çalışırsa CPU israfı olur ve false positive sayısı ikiye katlanır. Imunify360 PRO sunucu seviyesinde tüm güvenliği sağlar; Wordfence FREE sadece WP login security için yeterlidir.

S: Sorry ransomware’in .md dosyaları açılır mı?
C: Hayır, kesinlikle açmayın. Bu dosyalarda Tor adresleri, kripto cüzdanları ve takip için piksel/işaret olabilir. Saldırgana sunucu hâlâ aktif olduğunu göstermiş olursunuz.

S: Sunucumun saldırıya uğradığını nasıl önceden anlarım?
C: Imunify360 daily scan + email, UptimeRobot down bildirimi, Netdata anormal CPU/disk uyarıları erken tespit sağlar. Bu üçü olmadan saldırıdan saatler sonra haberiniz olur.

Sonuç: Ransomware saldırıları felaket gibi görünür ama doğru yedek + hızlı restore + çok katmanlı güvenlik ile 6 saatte kurtarılabilir. Önemli olan saldırgana ödeme yapmak değil, sistemi sertleştirip bir daha aynı yolla bulaşmasını imkansız hale getirmektir.

Sitenizin güvenlik denetimi veya ransomware sonrası kurtarma için bymeoman.com üzerinden bizimle iletişime geçebilirsiniz.

WordPress Güvenlik Denetimi ve Ransomware Kurtarma Hizmeti

Sitenizi Ransomware Saldırılarına Karşı Koruyun

WordPress ve WooCommerce siteniz için profesyonel güvenlik denetimi, çok katmanlı sertleştirme ve ransomware sonrası kurtarma hizmeti. Imunify360 PRO + WAF + offsite yedekleme ile saldırı riskini %90’a kadar düşürüyor, bir saldırı durumunda 6 saatte sitenizi ayağa kaldırıyoruz.

Güvenlik Denetimi Talep Et