MyBBDepo - Türkiyenin MyBB Deposu Forumuna Hoşgeldiniz
Eğer sitemize yaptığınız ilk ziyaretiniz ise, lütfen öncelikle Forum Kurallarını okuyunuz. Forumumuzda bilgi alışverişinde bulunabilmeniz için Kayıt olmalısınız. Üye olmayanlar forumumuzdan yararlanamazlar.
Eğer zaten kayıtlı kullanıcı iseniz, lütfen kullanıcı adınız ve şifreniz ile, Giriş yapınız. (Sitemize üyelik ücretsizdir).
007combatant avatar
Konuyu Oyla:
  • Derecelendirme: 3.4/5 - 5 oy
  • 1
  • 2
  • 3
  • 4
  • 5

Derecelendirme: 3.4/5 - 5 oy

MyBB - Forum güvenlik ve hack durumunda yapılması gerekenler.


Sponsor Reklam
media venus

Çevrimdışı 007combatant
 Tarih: 16-10-2011, Saat:12:00
#1
FORUM GÜVENLİĞİ

MyBB forumunuzun güvenliği hakkında bilmeniz ve uygulamanız gerekenler.

ŞİFRE GÜVENLİĞİ:
1- Forum şifrenizin güvenliği için harfler, simgeler ve rakamlardan oluşan karakterlerden olmasına dikkat edin.

Örnek: p658KM37BH şifresi güvenli olmayabilir.
M6^eK@l2G5Y%8 Şifresi çok daha güvenlidir. 10 karakterli karışık bir şifrenin çözülmesi için Kişinin 580.000.000 yılını alır. Bilgisayarın ise 59 yılını alır.
Bu konuda ayrıntılı bilgi alabilirsiniz.

CH-MOD İzinleri:
Kural olarak Tüm klasörlerin izinleri 755 ve dosyaların 644 olması gerekir.
Dosyalara ekstra izin verilirse güvenlik açığı oluşabilir.

Ancak CH-MOD izinlerine bağlı olarak çalışan dosya ve klasörlerin izinleri şöyle olmalıdır.

Gereken – ./inc/settings.php – 666
Gereken – ./inc/config.php – (Kurulumda) 666 (Kurulumdan Sonra) 444
Gereken – ./cache/ – 777
Gereken – ./cache/themes/ – 777
Gereken – ./uploads/ – 777
Gereken – ./uploads/avatars/ – 777
Özel – ./admin/backups/ – 777
Özel – ./inc/languages/*language/* – 666 (Bütün Dosyalar)
Özel – ./inc/languages/*language*/admin/* – 666 (Bütün Dosyalar)

Config Dosyasının korunması:
Config dosyası yükleme yapıldığında 666 ve kurulumdan sonra bu dosya 444 yapılmalı. Güncelleme işlemi yapılacağı zaman dosyanın çalışması için tekrar 666 yapılması gerekir.
config.php dosyasına doğrudan erişimi engellemek için /inc/ klasörü içinde .htaccess dosyası oluşturulur ve alttaki kodlar yazılıp kaydedilir.
Kod:
<files config.php>
Order deny,allow
deny from all
</files>

Bu işlemden sonra http://www.siteadi.com/inc/config.php linkinde 403 Forbidden (Yasak) iletisi alınır.

AdminKP Güvenliği:
Birisi forumu hacklamak istediğinde direk olarak renkli gördüğü yönetici hesabınızı hedef alacaktır. Onun için Başka bir hesabı yönetici hesabı olarak kullanın.
  • Kendi adınıza yeni bir üyelik hesabı açın.
  • Yeni kullanıcı grubu oluşturun. Bu gruba AdminKP erişim izni verin.
  • Kullanıcı Adı Stili üye grubundaki gibi olsun.
  • Bu yeni üyeliğinizi bu gruba atayın.
  • Admin İzinleri menüsünden tüm yetkileri verin.
  • Bu oluşturduğunuz hesap ile AdminKP'ye giriş denemesi yapın ve yetkilerin tam olduğunu kontrol edin.
Bu hesap, forumu AdminKP'den yöneteceğiniz hesap olacak.
Şimdi, İlk hesabınız olan renkli yöneticiliğinize AdminKp erişimini kapatın.
Bundan sonra AdminKP'ye sonradan oluşturduğunuz hesabınızla gireceksiniz ve hack girişimi hedefinden çıkmış olacaksınız.
Forumda normal bir üye olarak görüneceksiniz, fakat AdminKP erişiminiz olacak.

Düzenli Yedekleme:
Veritabanını yedeklemek çok önemlidir.
Herhangi bir durumda, Dosyalar, eklentiler ve temalarınız kaybolabilir. Fakat elinizde veritabanı olur.
Yedeklemenizi ./admin/backups/ dizinine yapmayın. Ters bir durumda hepsini kaybedersiniz.
Her hafta bir yedek almak en mantıklısı olur. Yedeklerinizi PC'nize yada flash diske kaydedin.

PC'nize server kurun. Önemli bazı değişiklikler veya eklemeler yaparken ilk önce PC'nize kurduğunuz localda test edin.

FTP'de admin dizinini değiştirmek ve gizlemek:
Bu değişiklik zayıf güvenlik biçimi olmasına rağmen en azından bir hacker'i yavaşlatabilir.

Admin dizinini değiştirmek:
Örnek olarak ben md kullanıyorum. Siz başka isim kullanın.

1- FTP'de admin klasörünün adını md olarak değiştirin.
2- ./inc/config.php içindeki $config['admin_dir'] = 'admin'; satırını $config['admin_dir'] = 'md'; şeklinde değiştirin.

Header'de Hoşgeldiniz kısmındaki admin giriş linkini kaldırmak;
./inc/config.php içindeki $config['hide_admin_links'] = 0; satırını $config['hide_admin_links'] = 1; şeklinde değiştirin.
Bu işlemden sonra AdminKP'ye girmek için Hoşgeldiniz kısmında link olmayacağından dolayı sadece tarayıcınızın adres satırından manuel olarak girebileceksiniz.

Mesajlarda HTML'yi kapatmak:
Her forumda ayarlarda HTML izin seçenekleri vardır. Bunu kesinlikle çok gerekmedikçe verilmemesi gerekir.
Kötü niyetli biri mesajlarda HTML kodu gönderebilir. Onun için bu izinleri PhpMyadmin'de veritabanına sorgu göndererek yapabilirsiniz.

Kod:
UPDATE `mybb_forums` SET `allowhtml` = '0';

Bu sorgudan sonra AdminKP > Araçlar & Bakım > Önbellek Yöneticisi => forums > Önbelleği Tekrar Oluştur'u tıklayın.
Şimdi HTML Tüm forumda kapatılmış olacaktır.


Versiyon Numaralarını gizleme:
Forumun alt kısnında footerde bulunan hangi versiyonun kullanıldığına dair bilgi varsa ve bu son sürüm değilse hackerlere davetiye çıkarmak anlamına gelir. Çünkü hackerler eski versiyonda olan açıklardan haberdar olabilir. Onun içindir ki zaman zaman güncelleme ve hata düzeltme dosyaları yayınlanır.
Bu bilgiyi kapatmak için; AdminKP > Yapılandırma > Genel Konfigürasyonu => Versiyon Numaralarını Göster seçeneğini kapatın.

HACK DURUMUNDA YAPILMASI GEREKENLER

Güncellemeleri Zamanında Yapın:
Güncellemeler yayınlandığı tarihten en kısa süre içinde kesinlikle yapılması gerekir. Bunun kontrolunu AdminKP den Sürüm Kontrolü seçeneğinden yapabilirsiniz.
Herhangi bir hack saldırısında son sürüm olması hacklanmanıza kesin çözüm değildir.
Eğer böyle bir durumla karşılaştığınızda veritabanı şifrenizi değiştirin ve değiştirdiğiniz veritabanı şifresini FTP'de bulunan ./inc/config.php içinde $config['database']['password'] = 'şifre'; satırına da yazın.
Böyle bir durumdan sonra yeni üye olmuş kullanıcıları kontrol edin. Bunların ModKP'ye ve AdminKP'ye erişim izni olup olmadığını kontrol edin. Hatta AdminKP'de yeni grup dahi oluşturulmuş olabilir. Böyle bir durumla karşılasırsanız bu kişileri hemen silin.

FTP'deki Tüm dosyaları değiştirin:
MyBB son versiyon dosyalarını ./inc/settings.php dosyası hariç hesini yükleyin. Böylelikle dosyalarınızın içine eklenmiş olabilecek saldırı kod satırlarını da yok etmiş olursunuz. Eğer forumunuz daha eski bir sürüm ise upgrade yapın.

CH-MOD İzinlerini denetleyin:
Dosyalarınızda önceden yazdırma izni verip unuttuğunuz olabilir.Bundan emin olmak için, bütün dosyalarınızın CH-MOD ayarlarını kontrol edin.

Settings dosyasını yenileyin:
./inc/settings.php dosyasını silin ve AdminKP > Yapılandırma > Herhangi bir ayara girin ve değişiklik yapmadan kaydedin. Bu işlem olması gereken ayarları veritabanından settings.php içine tekrar yükler.
İçinde farklı bir kod satırı olma ihtimaline karşı, ./inc/config.php dosyasını gerekirse manuel olarak tekrar düzenleyin.
AdminKP'ye giriş izinlerini ve gizlenmiş süper adminleri kontrol edin, FTP'deki admin dizinini de kontrol etmenizde fayda var.

Şablonları kontrol edin:
Kötü niyetli kodlar saldırı için şablonlarınıza eklenmiş olabilir.
Bu kod satırları genellikle headerinclude, index, ve footer şablonlarına eklenir. Bu şablonlarda yeşil renkli olanların içeriğinde <script> şeklinde başlayan kod satırlarını kontrol edin. Bu satırlar genellikle rastgele sayılardan, küçük ve büyük harflerden oluşan kod satırlarıdır.
Şablon içeriğinde Bu kod satırlarından varsa en kısa sürede silin..

Herkese hack'sız forumlar dilerim.


Alıntı Kaynak : mybbdestek.com
Cevapla
Sponsor Reklam
sponsor reklam sponsor reklam

Çevrimdışı MAHMUT_NADİM
 Tarih: 17-02-2012, Saat:22:11
#2
ellerine sağlık kardeşim bizleri bilgilendirdigin için teşekkür ederiz Süper
Cevapla
Bunu Beğenenler:

Çevrimdışı cemaziyelahir
 Tarih: 29-07-2012, Saat:18:53
#3
çok teşekkürler yararlı bilgiler içinSüper
Cevapla
Bunu Beğenenler:

Çevrimdışı star
 Tarih: 08-08-2012, Saat:16:44
#4
teşekkür ederim emeğinize sağlık
Cevapla
Bunu Beğenenler:

Çevrimdışı tangoo2455
 Tarih: 10-04-2013, Saat:22:10
#5
Config Dosyasının korunması: ile ilgili yapılması nereye atılması hakkında caps yokmu
Cevapla
Bunu Beğenenler:

Çevrimdışı Smyrna35
 Tarih: 10-04-2013, Saat:22:16
#6
Config.php ve admin klasör güvenlik önlemi için konuya bakabilirsiniz.
Kod:
http://mybbdepo.com/admin-klasoru-ve-config-php-nin-adinin-degistirilmesi-konusu.html
Cevapla
Bunu Beğenenler:

Çevrimdışı MelihAtasever
 Tarih: 21-05-2014, Saat:13:30
#7
Kod:
<files config.php>
Order deny,allow
deny from all
</files>

işe yaramıyor.
Cevapla
Bunu Beğenenler:

Çevrimdışı erinkral
 Tarih: 21-07-2014, Saat:01:48
(Son Düzenleme: 21-07-2014, Saat:01:48, Düzenleyen: erinkral.)
#8
(21-05-2014, Saat:13:30)KaptaN_38 Adlı Kullanıcıdan Alıntı:
Kod:
<files config.php>
Order deny,allow
deny from all
</files>

işe yaramıyor.

yarıyor usta Gülümseme

Teşekkürler Gülümseme
Cevapla
Bunu Beğenenler:

 


Konu ile Alakalı Benzer Konular
Konular Yazar Yorumlar Okunma Son Yorum
  [1.8] MyBB 1.8 Forum Görüntülemede Admin Paneli Kısayolunu Gizlemek (Ders) Machine 8 7,666 05-10-2016, Saat:23:16
Son Yorum: bymax9
Dikkat MyBB Debug Bilgilerini Kapatmak Capos81 0 206 22-08-2016, Saat:08:30
Son Yorum: Capos81
  MyBB Güvenlikte Atlanılan Hususlar ve Bilinçsiz Yapılan Davranışlar MeleDiYe 6 615 06-08-2016, Saat:20:54
Son Yorum: RedLine
  Mybb Yönetici Paneli Pin Nasıl Eklenir? KAYHAN 2 519 14-03-2016, Saat:18:16
Son Yorum: KAYHAN
  MyBB Admin Paneli IP Adresi Güvenliği / Yüksek Derecede Güvenlik Önlemi TheExpert 5 2,255 21-02-2016, Saat:15:10
Son Yorum: Pheky



Konuyu Okuyanlar: 1 Ziyaretçi