Mybb Forum Güvenliği

[MiroslavStoch]

[font=Tahoma, Arial, sans-serif]Güçlü Şifreler[/FONT]

[font=Tahoma, Arial, sans-serif]Şifreniz her zaman küçük-büyük harflerden, sembol ve sayılardan oluşmalıdır. Basit şifreler her zaman kolay ele geçirilebilir. Buna örnek olarak; ahmet, mehmet gibi isimler, doğum tarihleri vs. kullanılmamalıdır. Çünkü bunlar her zaman ilk akla gelecek türdendir. Bir başka örnek olarak; p455w0rd123 pek güvenli değildir, oysa G6ga5^&ha@6D3 daha güvenli ve kırılması oldukça zor bir şifredir.[/FONT]​

[font=Tahoma, Arial, sans-serif]CHMOD izinlerinizi kontrol edin[/FONT]​

[font=Tahoma, Arial, sans-serif]Genel bir kural olarak, bütün dosyalarınızın CHMOD ayarları iyi yapılmalıdır. Eğer erişim için dosyalara verilen CHMOD ayarları eski haline getirilmezse sicili bozuk kişiler tarafından kötü amaçlar için kullanılabilir. Aşağıda gerekli dosya ve klasörlerin CHMOD ayarları listelenmiştir. Bu ayarlara göre kendi dosya ve klasör izinlerinizi düzenleyebilirsiniz.[/FONT]​

• Gerekli – ./inc/settings.php – 666
  
  
• Gerekli – ./inc/config.php – 666 (install) 444 (kurulum sonrası)
  
  
• Gerekli – ./cache/ – 777
  
  
• Gerekli – ./cache/themes/ – 777
  
  
• Gerekli – ./uploads/ – 777
  
  
• Gerekli – ./uploads/avatars/ – 777
  
  
• Opsiyonel – ./admin/backups/ – 777
  
  
• Opsiyonel – ./inc/languages/*diliniz*/*tüm dosyalar*/ – 666
  
  
• Opsiyonel – ./inc/languages/*diliniz*/admin/*tüm dosyalar*/ – 666

[font=Tahoma, Arial, sans-serif]config.php dosyanızı koruma altına alın![/FONT]​

[font=Tahoma, Arial, sans-serif]Forumunuzu kurduğunuz zaman config.php dosyasına CHMOD 666 ayarı gerekir ki veritabanı bilgileri bu dosyadan alınabilsin. Buna rağmen forumunuzu kurduktan sonra bu gerekli değildir ve bu dosyanın CHMOD ayarı 666 yapıldığında yine de güvenlik riski oluşturabilir. Forumunuzu kurduktan sonra CHMOD ayarlarını 444 yapabilirsiniz. Ancak bazı durumlarda sistem sizi CHMOD ayarınızı 666 yapma konusunda uyaracaktır. (Örn;

Bağlantıları görmek için lütfen Giriş Yap

 esnasında)[/FONT]​

[font=Tahoma, Arial, sans-serif]Aynı zamanda, dosyaya direk erişimi .htaccess kullanarak engelleyebilirsiniz. Bunu yapmak için .htaccess dosyanıza aşağıdaki kodu ekleyebilirsiniz.[/FONT]

Kod:

Order deny,allow
deny from all

[font=Tahoma, Arial, sans-serif]Artık siteadresiniz.com/inc/config.php olarak erişim yapmak isteyenleri 403 Forbidden hatası ile karşı karşıya bırakabilirsiniz.[/FONT]

[font=Tahoma, Arial, sans-serif]Düzenli yedek alın![/FONT]​

[font=Tahoma, Arial, sans-serif]Veritabanı yedekleri her zaman, acil durumlarda gereklidir. Dosyalar, eklentiler ve temalar silindikleri ya da kayboldukları zaman daha önceden almış olduğunuz yedekler sayesinde geri getirilebilir. Düzenli yedek aldığınızdan emin olun ve bu yedekleri sık sık USB bellekler ya da CD’ler içinde depolayın.[/FONT]​

[font=Tahoma, Arial, sans-serif]Admin hesabınız için başka bir hesap kullanın[/FONT]​

[font=Tahoma, Arial, sans-serif]Eğer birisi sizin forumunuzu hackleme girişiminde bulunursa, direkt olarak sizin yönetici hesabınıza erişmeye ve Admin KP’ye girmeye kalkışacaktır. Bir hacker yönetici hesabının renklendirilmiş ve Forum Ekibi sayfasında gösterilmiş olduğunu daha önceden bilecektir. Ama bunu engellemek kolaydır. İlk olarak, yeni bir kullanıcı hesabı oluşturun. Sonra, yeni bir kullanıcı grubu oluşturup, Admin KP erişim izni verin, kullanıcı adı stili olarak normal kullanıcı ile aynı renklerde olmasına dikkat edin. Ardından yeni hesabınızı bu gruba dahil edin; bu forumu yönetme imkanı verecektir. Şimdi Admin KP erişim iznini, standart Admin grubundan kaldırın. Şimdi normal bir kullanıcı gibi mesaj yazabilecek ancak Admin KP’ye bağlanamayacaksınız. Hesabınızı hacklemek isteyen bir hacker sadece zamanını boşa harcayacaktır.[/FONT]​

[font=Tahoma, Arial, sans-serif]Admin klasörünü değiştirin ve Admin KP bağlantısını gizleyin[/FONT]​

[font=Tahoma, Arial, sans-serif]MyBB, size ‘admin’ klasörünüzün adını değiştirme imkanı sağlar. Buna rağmen bu yine de çok güvenli bir yöntem değildir ve sadece kendinize zaman kazandırırmış olursunuz. Eğer bir hacker sizin Admin klasörünüzü bilemezse, panele erişimi de olamayacaktır. Bunu değiştirmek için ./inc/config.php dosyanızın 26. satırına bakabilirsiniz.[/FONT]
Kod:

$config['admin_dir'] = 'admin';

[font=Tahoma, Arial, sans-serif]Yukarıdaki kodda bulunan admin ismini istediğiniz gibi değiştirdikten sonra FTP’nizden de [/FONT][font=Tahoma, Arial, sans-serif]admin[/FONT][font=Tahoma, Arial, sans-serif]klasörünüzün ismini dosyada değiştirdiğiniz şekilde değiştirmeniz gerekmektedir. Sonuç olarak Admin panelinize erişim artık şu adresten olacaktır.[/FONT]

Kod:

http://www.siteniz.com/yeniadmindizini/index.php

[font=Tahoma, Arial, sans-serif]Bununla beraber MyBB, size hoşgeldiniz panelinden (welcomeblock) Admin KP bağlantısını kaldırabilme imkanı da sunar. Bunu yapabilmek için .inc/config.php dosyanızın 36. satırına göz atınız.

Bu kod bulun;
[/FONT]
Kod:

$config['hide_admin_links'] = 0;

[font=Tahoma, Arial, sans-serif]Sonra, bu şekilde değiştirin:[/FONT]

Kod:

$config['hide_admin_links'] = 1;

[font=Tahoma, Arial, sans-serif]Bunları temel güvenliklerimiz Şimdi mybb exploit açıklarını vs takip edip kapatın bi sorun olacağını düşünmüyorum[/FONT]
hosting sağlamlıgıda çok önemlidir cgi telnet ile sitenize zarar verebilirler.