Merhaba arkadaşlar,
Bugün sizlere MYBB Forum Scriptinde meydana gelen güvenlik açıkları için güvenlik önlemlerini bilgim dahilinde anlatmaya çalışacağım.
Arkadaşlar, öncelikle sistem kurarken sağlam ve güvenilir bir host almamız lazım. Gidip de güvenlik seviyesi en altta olan hostingerden almamalıyız.
Önereceğim hosting firmaları: Natro ve ixirhost
Sıra geldi ayarlarımızı yapılandırmaya..
Admin Klasörüne ait Adların Değiştirilmesi
Sahip olduğunuz bu forum scripti sizlere admin klasörünün ismini değiştirmeye ve sizlere olduğundan biraz daha hacklenmeye yönelik zaman kazandırmaya çalışmaktadır. Ama şunu bilmenizde fayda vardır. Ben bu güvenlik önlemlerini eksiksiz yapacağım ve kimse beni hackleyemeyecek. Bu düşünce yanlıştır. Bu sadece size hacklenmeye yönelik biraz daha zaman kazandırmaya ve sizin farkettiğiniz anda müdahale etmeye olanak sağlamanıza yöneliktir.
( $config['admin_dir'] = 'admin'; )
Yukarıda ki admin klasörüne ./inc/config.php şeklinde yazılan dosyanın içeriğine giriyoruz ve 26. Satırda bulunan bu adı istediğiniz her ismi koyabilir ve değiştirdiğiniz bu adıda FTP üzerinde admin klasörünü değiştirdiğiniz adı yaparsanız sorunsuz bir şekilde admin klasör adını değiştirmiş olursunuz.
Debug Bilgilerini Kapatmak
Hackerların genellikle en çok kullandığı yöntemlerden biridir debug. Şimdi biz de bu sistemi kapatarak hackerların sisteme sızmasını kısmen de olsa engellemeye çalışacağız. Sırasıyla;
Admin Kullanıcı Paneli
Ayarlar
Sunucu ve Optimizasyon Ayarları
Gelişmiş İstatistik
Debug Bilgisi Gösterilsin mi? - Hayır
config.php Dosyasının Adını Değiştirmek
Öncelikle FTP üzerinden FTP/Inc klasörünün alt kategorisi olan config.php adlı dosyanın adını değiştiriyoruz. Ben, tht.php olarak değiştireceğim. Daha sonra ise aşağıda yazacağım init.php dosyayı buluyoruz ve içeriğini gerekli materyaller ile değiştiriyoruz.
FTP/inc/init.php adlı dosyayı bulduk ve içeriğine giriyoruz. Ardından şu kodu buluyoruz;
if(!file_exists(MYBB_ROOT."inc/config.php"))
Bu kodu init.php üzerinde bulduğumuzda ise şu şekilde değişikliğini sağlıyoruz.
if(!file_exists(MYBB_ROOT."inc/tht.php"))
Bu ayarımızı yaptığımız vakit dosyanın içerisinden çıkmadan şu kodu bulup ardından değiştiriyoruz.
require_once MYBB_ROOT."inc/config.php";
Şu şekilde değişikliğimizi sağlıyoruz;
require_once MYBB_ROOT."inc/tht.php";
Bu adımları eğer doğru şekilde yaptıysanız hackerların veritabanına girmesini engellemiş olacak ve bilgilerinizi korumaya alacaksınız.
Admin Paneline Ek Güvenlik Önlemi Alma
Bu maddemizde ise MYBB 1.8 ve üzeri versiyonlarda otomatik olarak kurulduğu için fazla uzatmak istemiyorum.
Eklentiler
MYBB forum scripti, eklenti açısında diğer forum scriptlerine nazaran eklenti mabedi ancak hemen hemen hepsi gereksiz ve açık meydana getirmektedir.
Konumuz buraya kadar arkadaşlar. Umarım yardımcı olmuşumdur.
İyi Forumlar Dilerim.