MyBB Üst Düzey Güvenlik Önerileri

Merhaba arkadaşlar, bazilarınız bilir bazilariniz bilmez berki kendimi tanitayim ben www.turkteam.org adresinin sahibiyim daha önce bircok hacking forumu yönetiminde yer aldim işime yaricak cok önemli bilgiler ögrendim ve ögrendigim herşey bugün'de işime yariyor artik yavaş yavaş sizler'le bu bilgileri sizlerin yararina olucak biçimde anlaticam. Bugünki son konum sitenizin güvenligi hakkkında konuşucagiz tabiiki hacklenilmeyecek sistem yok bugün facebook, google gibi yüzlerce binlerce milyonlarca sitelerin açiklari cikiyor bunlar tabii bir şekilde hallediyorlar ama sizinki cok farkli en ufak bir yardımdan bile cikar sağlamaya çalişiyorlar lafı kısa tutcam hemen başliyalim... + Sunucu güvenligi - Arkadaşlar özene özene yaptigim site natro sunucularindan (hosting) dolayı hacklendi ilk kurdugumda host almiştik bazi arkadaşlar aynı sunucuda barınan bir sitede açik bulup shell basiyorlar ve sunucuya geçip benim sitemi hackliyorlar. Sizlere demek istedigim genel forum v.s olur host anlarim host almak isterseniz natro'dan şasmayın veyahutta bi okadar güvenli firmalar'a danişin güvenlik testi isteyin gerekirse genel forum okadar önemli degil emin olun ama bir hack forumu kurduysaniz işiniz cok zor gerçekten. Heleki hosting ise işiniz %70 zor siteye saldiri yaparlar %75 sunucudan atilirsiniz hacklenme olayiniz %60 bu yüzden imkanınız varsa kendinize ait bir sunucu'ya taşinin. En basitinden şuan kendi forumum kendi serverinde geçen gün tam 120 k saldiri aldim site çöktu tabii cloud uyarisi geldi saldiri kesildigi anda 15 sn sonra site tekrardan açildi eski hizina geldi hemen + Eklenti ( Plugin Güvenligi ) - Arkadaşlar eklentiler büyük sıkıntıdır. Default bir mybb'de birkaç basit ayar çekerek gerçekten cok saglam bir site olur heleki sunucunuz saglam güvenilirse siteniz gerçekten saglam olur ama bunu siz bozarsiniz çünku bazi arkadaşlar var sırf vbulletin'e benzeticem diye eklenti üstüne eklenti koyuyorlar bu yüzden sitenizde açiklar oluşuyor. Benim bir sloganim var küçük parçalar büyük sıkıntı yaratirlar. Mybb'nin son sürümunde 950 aşkın dosya mevcut siz bir plugin kurdunuz diyelim içinde 10 dosya olsun diyelim bir dosyasinda bile ufak bir kod hatası olsa öyle bir kullanilir ki siteniz'e tam ekran index atilir  buyüzden ne oldugu belli olmayan eklentileri kullanmayiniz en azindan netten araştirma yapabilirsiniz. + Özel Korumalar - Arkadaşlar özel koruma derken neler yapabiliriz biraz düşunelim isterseniz. Büyük forumlar nasil oluyorda hacklenilmiyor ? güzel bir soru demi emin olun aşiri birşey yapmiyorlar. Ben size örnek vereyim zaten zamanı geldiginde forumdada paylaşicam merak etmeyin. Xss özel koruma => .htaccess kodlamalari ile sitenizde xss %70 - 75 koruma saglayabilirsiniz xss önemsemeyenler olabilir ama unutmayin dünyada en tehlikeli ilk on sirada yer almakta basit bir sniffer düzeni ile tarayicizin cooikeleri çekerek sitenizi basit bir şekilde hackleyebilirler. Panel Güvenligi ==> Panele ek pinler koymak sizin yarariniza olur niye derseniz kendi şifreniz bulunsa bile 2. ek şifre devreye girebilicek bunu yapabilen kişi cok az emin olun ama genede kırabilen olabiliyordur. Biz bir ekstra daha yapicagiz alttaki kodlari anlattigim gibi uygulayiniz FTP Açınız > Admin panel yolu > İndex.php Dosyasını Açin > <?php etiketinin üstüne bu kodları yazın. PHP Kod: <?# Konfigurasyon$sayfaSifreleme ='1'; # 1 acik , 0 kapali$kullaniciAdi = 'turk';$sifre = 'team'; # yetki kontrol fonksiyonufunction yetkiKontrol($kullaniciAdi,$sifre) { if(empty($_SERVER['PHP_AUTH_USER']) || empty($_SERVER['PHP_AUTH_PW']) || $_SERVER['PHP_AUTH_USER'] != "$kullaniciAdi" || $_SERVER['PHP_AUTH_PW'] != "$sifre") {header('WWW-Authenticate: Basic realm="Şifreyi Giriniz"'); die(header('HTTP/1.0 401 Unauthorized')); } } # Sayfa Sifreleme aciksa if($sayfaSifreleme =='1') { # Veri ve sifre kontrolu yetkiKontrol($kullaniciAdi,$sifre); } ?> Böylece bir güvenlik daha yaptık. Ekstra olarak kullanıcı adı + Şifre kullandik bu sayede panele erişimi %80 zorlaştirdik. Son önerilerim olucak ; * Bazıları configleri şifrelemek hakkında öneride bulunmuşlar şunu söyliyeyim configleri nekadar şifrelerseniz şifreleyin kirilmayacak birşey degil bu olay sadece mysql connect'i engeller ki oda şifreyi kiramazsa kirarsa zaten olayı bitirir. * Config.php yolunu gizlemek adını degiştirmek * Admin panelin yolunu degiştirmek * Özel .htaccess kodlari kullanmak * Sunucuya yüklenmeyerek  Bu tarz uygulamalari yaparsanız en az benim forumum kadar güvenli bir ortam'a sahip olursunuz ayrıca sık sık güncel açik paylaşilan siteleri kontrol etmenizi tavsiye ederim cünku mybb kendini geliştiren bir sistem ve bazi açiklar çikabiliyor siyah şapkalı dostlarimiz bunlari bizim yerimize fixliyor açiklar paylaşildigi an tarafımca bu sitede paylaşicak + sql injection xss bu tarz açiklarda her türlu mybb'nin hashlarini çekerim ama şunu unutmayin hashlariniz çekilse bile kırılması %10 ihtimaldir onuda sadece profesyonel kişiler yapabilir bu konuda rahat olabilirsiniz bir ihtimal