rivyera.com.tr alan adında yaşanan yetkisiz erişim olayının sonrasında yürütülen güvenli altyapıya geçiş, temizlik ve sürekli izleme çalışmalarının özeti.
18 Mayıs 2026'da rivyera.com.tr'nin eski WordPress altyapısı üçüncü taraf bir saldırgan tarafından ele geçirildi; siteye zararlı kod enjekte edilerek ziyaretçiler yasa dışı bahis sitelerine yönlendirildi. Olay 23 Mayıs 2026'da Google Search Console verilerindeki anomaliyle tespit edildi ve aynı gün hukuk müşavirine resmi tutanakla bildirildi.
Tehdit kontrol altına alındıktan sonra site, bu sınıf bir saldırının teknik olarak mümkün olmadığı, sıfırdan yeni ve güvenli bir mimaride yeniden kuruldu. Saldırganın kullandığı katmanlar (WordPress, sunucu tarafı kod, veritabanı, yönetim paneli, FTP) yeni yapıda tamamen ortadan kaldırıldı. Tüm dijital ölçüm altyapısı yeniden bağlandı ve sürekli izleme devreye alınıyor.
| Olay türü | Yetkisiz erişim → zararlı kod enjeksiyonu → SEO spam / cloaking → bahis sitesine yönlendirme |
| Saldırı tarihi (bağımsız doğrulandı) | 18 Mayıs 2026 |
| Fark edilme tarihi | 23 Mayıs 2026 |
| Tespit kaynağı | Google Search Console — performans/analiz raporları |
| Etkilenen altyapı | Eski WordPress sitesi (sunucu tarafı) |
| Hukuki bildirim | Hukuk müşavirine resmi tutanakla raporlandı — RVY-2026-05-23/001 |
Saldırgan, eski WordPress altyapısına yetkisiz erişim sağlayarak zararlı kod yerleştirdi. Bu kod, sitenin AMP (hızlı mobil) sayfaları üzerinden ziyaretçileri yasa dışı bahis ("Sahabet" benzeri) sitelerine yönlendirdi ve arama motorlarına farklı içerik göstererek (cloaking) site, marka faaliyetiyle hiçbir ilgisi olmayan bahis sorgularında dizine eklendi.
Olay, Search Console'da bahis anahtar kelimelerinde oluşan anormal görünürlükle fark edildi. Bağımsız teknik doğrulamalar olayı destekledi: mobil ziyarette sayfanın işlenmemiş WordPress PHP kaynak kodu görünür hale gelmişti (sunucu yapılandırmasının zarar gördüğünün işareti) ve hosting sağlayıcısı, güvenlik aracının zararlı içeriği tespit ettiğini, hesapta marka tarafından oluşturulmamış rastgele bir FTP hesabı bulunduğunu ve 15 Mayıs tarihli temiz yedeğin mevcut, 18 Mayıs'ta bulaşmanın gerçekleştiğini yazılı olarak bildirdi.
Eski siteyi "temizleyip" devam etmek yerine, site sıfırdan, statik bir mimaride yeniden inşa edildi. Saldırının istismar ettiği katmanların hiçbiri yeni yapıda bulunmuyor.
18 Mayıs'taki saldırı bir WordPress/sunucu ele geçirme saldırısıydı. Yeni mimaride ele geçirilebilecek bir sunucu, yönetim paneli ya da veritabanı bulunmuyor — dolayısıyla bu sınıf bir saldırı teknik olarak tekrarlanamaz.
Taşıma sırasında kopan tüm Google entegrasyonları yeni siteye yeniden bağlandı:
Yeni siteye bağlandı, veri akıyor.
AktifDoğrulanmış; arama performansı izleniyor.
AktifAnalytics'e bağlı; raporlama hazır.
BağlıWhatsApp, telefon ve iletişim formu etkileşimleri ölçülüyor.
AktifOlayın bu kez ne kadar hızlı (Search Console üzerinden) fark edildiği göz önüne alınarak, aynı erken-uyarı yeteneği otomatik ve sürekli hale getiriliyor.