Merhaba TürkHackTeam Üyeleri.
Bu Konumda Sizlere vBulletin Sisteminizin Güvenliği İçin Neler Yapmanız Gerektiğinden Bahsedeceğim.
vBulletin Güvenli Bir Sistem İçin Yapmanız Gerekenler
Hosting Ve Domain Firmanızın Güvenilirliği
Web sitenizin güvenliği için hosting ve domain aldığınız firmaların güvenli, piyasada bilinen fimalar olmasına dikkat etmeniz gerek. Zira siz hernekadar sitenizde hiçbir açık bırakmasanız bile sadırgan kişi siteyi barındırdığınız sunucuda bulunan bir açık ile sitenize sızabilir, zarar verebilir. Siteyi barındırdığınız hosting firmasının güvenilir ve kaliteli bir firma olması bu anlamda çok önemli bir yere sahip. Onun dışında size tavsiyem domaininizi hosting aldığınız yerden almayın. Başka yerden alıp nameserver'ları hostinginize yönlendirin. Bu sayede oluşabilecek bir sıkıntıda zararlarınızı azaltabilirsiniz.
Config Dosyasının Güvenliği
En önemli önlemlerden biriside config dosyasını güvende tutmanızdır. Config dosyasının güvenliğine önem vermeniz gerekiyor. Zira config dosyasında sitenin databaseine erişmek için birtakım bilgiler bulunuyor. Config dosyasının içeriğini okuyan birisi rahatlıkla sitenin databaseine sızacaktır. Config dosyasını korumak içn şifrelemeniz gerekir. Şimdi size dosyayı nasıl şifreleyebileceğinizi göstereyim. Bunun birçok yolu bulunmakta lakin ben size htaccess dosyasını düzenleyerek nasıl şifreleyebileceğinizi göstereceğim.
» Öncelikle sitemizin dosya yöneticisine giriyoruz. Veya siteye FTP ile bağlanıp da sitenin dosyalarına erişim sağlayabilirsiniz. Şifrelemek istediğimiz dosyanın bulunduğu dizine giriyoruz. Ve burada .htaccess ve .htpasswd adında iki dosya oluşturuyoruz. Biz config.php dosyasını şifreleyeceğimiz için /core/includes/ yolunda oluşturacağız bu dosyaları.
» Dosyalarımızı oluşturduktan sonra htaccess dosyasını düzenlemek için açıyoruz. ve aşağıdaki kodu kendimize göre editleyerek yazıyoruz.
Kod:
AuthType Basic
AuthName "Dosyaya Erişmek İsteyenlere Verilecek Uyarı"
AuthUserFile "/home/<kullanıcıadı>/public_html/core/includes/.htpasswd"
<Files "config.php">
Require valid-user
</Files>
» Dosyaya bu kodları ekledikten sonra bu siteye giriyoruz. Buradan bir kullancı adı ve şifre belirliyoruz. Ve Encrypt butonuna tıklıyoruz. Böylikle bize bir kullanıcıadı:şifre kombinasyonu veriyor. Bunu kopyalıyoruz.
» Kopyaladığımız bu şifrelenmiş kombinasyonu .htpasswd dosyasını açıp içine yapıştırıyoruz. Ve bu sayede dosyamız şifrelenmiş oluyor. Bu dosyaya erişmek isteyen birisine sizin koyduğunuz kullanıcı adı ve şifre sorulacaktır. Bu kullanıcı adı ve şifreyi bilmediği sürece config dosyamıza erişim sağlayamayacaktır.
Forumda kendi kullanıcımızın güvenliğini sağlamak için config dosyasında ufak bir düzenleme yapacağız. Öncelikle config.php dosyamızı açıyoruz ve aşağıdaki IDNO kısmına kendi üye ID'mizi giriyoruz. Bu sayede şifreniz çalındığında bile hesabınızda düzenlemeler yapamayacaklardır. Buda alınması gereken önemli önlemlerden birisiydi.
Kod:
$config['SpecialUsers']['undeletableusers'] = 'IDNO';
Admin Ve Moderatör Panelinin Güvenliği
Admin ve moderatör paneli oldukça önemlidir. Genelde saldırganların ilk hedefi buralardır. Zira admin veya moderatör paneline giriş yapan birisi forumda yetkileri çerçevesinde istediği düzenlemeyi yapabilir. Bunun içinde bu dosyaların yolunu değiştirmemiz saldırganın bu panellere erişiminde ona engel olmamızı sağlar. Daha öncesinde değişiklik yapmadıysanız admin paneli /core/admincp dizininde, moderatör paneli ise /core/modcp dizininde yer alır. Bu klasörleri istediğiniz herhangibir dizine taşıyınız. Tabi taşıdıktan sonra artık panellere taşıdığımız dizinden girebileceğiz. Sadece klasörleri taşımak yeterli değil. Config dosyasında bu panellerin yollarını değiştirmemiz gerekiyor. Config dosyasınıda düzenledikten sonra panellerin yer değiştirilme işlemi tamamlanmış olacaktır. Lakin hayla güvende değil. Güvenliği için bu klasörleri şifrelememiz lazım. Admin ve moderatör panellerini şifrelediğinizde artık panellere erişmek isteyen birisinden extra olarak kullanıcı adı ve şifre istenecektir. Şimdi bu işlemlerin yapılışını göstereyim..
» Öncelikle olarak admincp ve modcp klasörlerini istediğimiz bir dizine taşıyoruz. Ve size tavsiyem klasörlerin isimlerinide değiştirin. Akabinde config.php dosyamızı açıp aşağıdaki yerlere panellerin yeni dizinlerini ve isimlerini girmemiz gerekiyor.
Kod:
$config['Misc']['admincpdir'] = '<yenidizin>/<yeniisim>';
$config['Misc']['modcpdir'] = '<yenidizin>/<yeniisim>';
» Şimdi sırada bu panelleri şifrelemekte. Şifrelemek için önceki maddede anlattığım şekilde htaccess dosyası ile şifreleyebiliriz. Lakin ben farklılık olması için cPanel üzerinden şifrelemeyi yapacağım. Öncelikle cPanel'e giriyoruz. Ve buradan Dizin Gizliliği yazan yere tıklıyoruz.
» Sonrasında karşımıza sitemizin klasörleri geliyor. Buradan admin ve moderatör panellerini yeni taşıdığımız yere giriyoruz. Ve ikisininde yanında bulunan Düzenle butonuna tıklıyoruz.
» Buradan Bu Dizine Şifre Koruması Koyun seçeneğini seçip Kaydet butonuna tıklıyoruz.
» Sonrasında sayfayı aşağıya kaydırıyoruz ve bize kullanıcı adı ve şifre bilgilerini soruyor. Buraya koymak istediğimiz kullanıcı adı ve şifre bilgilerini giriyoruz ve Kaydet butonuna tıklıyoruz. Ve böylelikle belirlediğimiz kullanıcı adı ve şifre o dizine erişmek isteyenlere soruluyor. Kullanıcı adını ve şifreyi bilmeyen birisi o dizine erişemiyor.
Install Klasörünün Güvenliği
Forumumuzun kurulumu bittikten sonra install klasörünün bir yedeğini bilgisayarınıza alın. Akabinde install klasörünü silin. İlla install klasörünün sunucunuzda bulunmasını istiyorsanız install klasörünün mutlaka yerini değiştirin ve klasöre şifre koyun. Bu işlemleri yukarıda anlattığım gibi yapabilirsiniz.
Eklentilerin Güvenilirliği
Forumunuza bilinmeyen, güvenilir olmayan, vbulletinin kendi sayfasında onaylanmamış eklentileri kurmayın. Kurduğunuz eklentilerin mutlaka nerelere erişebildiğini, nerelerde ne yapabildiklerini kontrol edin. Çok gerekmedikçede eklenti kullanmanızı tavsiye etmem. Zira kötü niyetle yapılmış eklentiler sitenize ciddi zararlar verebilir.
Kullanıcıların HTML Eklemesine İzin Vermeyin
Kullanıcıların kesinlikle HTML kodları eklemesine izin vermeyin. Siteye HTML kodu ekleyebilen birisi kolayca sitenin düzenini bozup sitenize zarar verebilir. Bunun için kullanıcıların HTML ekleme iznini deaktif edin.
Sık Sık Yedek Alın
Sitenizin sık sık yedeğini alın. Ve bu yedekleri mümkün mertebe iyi koruyun. Olası bir sıkıntıda yedeğe geri dönebilirsiniz. Arada veri kayıpları olmaması içinde sık sık yedek almanız gerekiyor. Alacağınız yedekler database'in ve sitenin full yedekleridir. Database'in yedeğini alırken phpMyAdmin üzerinden database'i komple yedekleyin. Belirli aralıklarla da sitenin bütün dosyalarını komple yedek alın. Bu yedek alma işi oldukça önemlidir.
Asla Kolay Şifre Koymayın
Sitede bulunan hiçbir şifreyi basit koymayın. Çok umursamadığınız bir oturum bilgisi ile bile sitenize zarar verilebilir. Bu durumdan kaçınmak için şifrenizi olukça güçlü tutmaya çalışın. Ve belirli sıklıklarla şifrenizi yenileyin. Bu sayede erişim için oturum bilgisi isteyen yerlerin güvenliğini arttırmış olacaksınız.
Üye Kayıtlarında Captcha Kullanın
Üyelerin sitenize bot kullanıcılar ekleyerek reklam gibi şeylerde kullanmaması için site üye kayıtlarında mutlaka captcha doğrulaması kullanın. Bu sayede sitenize bot kullanıcılar üye olamayacaktır.
Dos/Ddos dan Korunun
Sitenize fazla veri göndererek sunucunuzu yormaya, sitenizi erişime kapatmaya çalışan kişilere önlem olarak sitenize Cloudflare kurun. Cloudflare sayesinde siteniz ddos gibi etmenlerden zarar görmeyecektir. Sitenizin güvenliği artmış olacaktır.
İstemediğiniz Kelimeleri Yasaklayın
Forumunuzda gerek XSS gibi açıklardan dolayı gerekde uygunsuz kelimelerden dolayı bazı kelimeleri üyelerin yazmasına izin vermek istemeyebilirsiniz. Bu durumda sansürleme yapabilirsiniz. Bu sayede istemediğiniz kelimeler yazıldığında sansürlenmiş bir şekilde gözükecektir. Bu sansürleme işlemini nasıl yapabileceğinize geçelim..
» Öncelikle sitenin admin paneline giriyoruz. Buradan Settings -> Options kısmına giriyoruz. Ve sağ taraftan Censorship Options seçeneğine tıklayıp Edit Settings butonuna tıklıyoruz.
» Buradan Censorship Enabled yazan yerde Yes seçeneğini işaretliyoruz. Ve aşağıdaki yere sansürlenecek kelimeleri giriyoruz. Sonrasında sayfayı aşağıya kaydırıp Save butonuna tıklıyoruz. Böylelikle istemediğimiz kelimeleri üyelerin yazmasını engellemiş oluyoruz.
Nulled/Crack Sürümleri Kullanmayın
vBulletin forum kurarken vbulletinin kendi sitesinden lisanslı bir şekilde vbulletini satın alıp öyle kurulumun yapın. Zira nulled sürümlerinde pekçok zaafiyet bulunabiliyor. Ve bu nulled sürümleri yapan kişiler kodların arasına shell koyabiliyor. Bu durumdada sitenize kolayca sızabiliyor ve tüm emekleriniz boşa gidiyor. Bundan dolayı nulled/crack vbulletin kullanmayın. Orijinal, lisanslı vbulletin kullanın.
Sitedeki Dosyaların Güvenliği
Sitenizdeki dosyaların izinlerini mutlaka kontrol edin. Gerekli olmadıkça önemli dosyalarınıza 777 yani tam izin vermeyin. Aşağıdaki klasörler hariç diğer klasörlerin yazma izinlerini devredışı bırakın. Aşağıdaki ve bunun gibi klasörlere izinlerini 544 olarak ayarlayabilirsiniz.
Kod:
attachments/
customavatars/
customgroupicons/
customprofilepics/
signaturepics/
vBulletin Sürümünü Güncel Tutun
vBulletin gibi hazır içerik yönetim sistemlerinde çeşitli açıklar, zaafiyetler çıkabiliyor. Bu gibi durumlarda yetkililer açığı kapatıp yeni sürümünü yayınlıyor. Bundan dolayı hem sitenizin daha dinamik ve güncel olması için hemde eski sürümlerde bulunan zaafiyetlerden kaçınmak için vBulletin sürümünüzü sürekli güncel tutmanız gerekiyor.
Okuduğunuz İçin Teşekkür Ederim.
Esenlikle Kalın..
Üyelerin sitenize bot kullanıcılar ekleyerek reklam gibi şeylerde kullanmaması için site üye kayıtlarında mutlaka captcha doğrulaması kullanın. Bu sayede sitenize bot kullanıcılar üye olamayacaktır.
Dos/Ddos dan Korunun
Sitenize fazla veri göndererek sunucunuzu yormaya, sitenizi erişime kapatmaya çalışan kişilere önlem olarak sitenize Cloudflare kurun. Cloudflare sayesinde siteniz ddos gibi etmenlerden zarar görmeyecektir. Sitenizin güvenliği artmış olacaktır.
İstemediğiniz Kelimeleri Yasaklayın
Forumunuzda gerek XSS gibi açıklardan dolayı gerekde uygunsuz kelimelerden dolayı bazı kelimeleri üyelerin yazmasına izin vermek istemeyebilirsiniz. Bu durumda sansürleme yapabilirsiniz. Bu sayede istemediğiniz kelimeler yazıldığında sansürlenmiş bir şekilde gözükecektir. Bu sansürleme işlemini nasıl yapabileceğinize geçelim..
» Öncelikle sitenin admin paneline giriyoruz. Buradan Settings -> Options kısmına giriyoruz. Ve sağ taraftan Censorship Options seçeneğine tıklayıp Edit Settings butonuna tıklıyoruz.
» Buradan Censorship Enabled yazan yerde Yes seçeneğini işaretliyoruz. Ve aşağıdaki yere sansürlenecek kelimeleri giriyoruz. Sonrasında sayfayı aşağıya kaydırıp Save butonuna tıklıyoruz. Böylelikle istemediğimiz kelimeleri üyelerin yazmasını engellemiş oluyoruz.
Nulled/Crack Sürümleri Kullanmayın
vBulletin forum kurarken vbulletinin kendi sitesinden lisanslı bir şekilde vbulletini satın alıp öyle kurulumun yapın. Zira nulled sürümlerinde pekçok zaafiyet bulunabiliyor. Ve bu nulled sürümleri yapan kişiler kodların arasına shell koyabiliyor. Bu durumdada sitenize kolayca sızabiliyor ve tüm emekleriniz boşa gidiyor. Bundan dolayı nulled/crack vbulletin kullanmayın. Orijinal, lisanslı vbulletin kullanın.
Sitedeki Dosyaların Güvenliği
Sitenizdeki dosyaların izinlerini mutlaka kontrol edin. Gerekli olmadıkça önemli dosyalarınıza 777 yani tam izin vermeyin. Aşağıdaki klasörler hariç diğer klasörlerin yazma izinlerini devredışı bırakın. Aşağıdaki ve bunun gibi klasörlere izinlerini 544 olarak ayarlayabilirsiniz.
Kod:
attachments/
customavatars/
customgroupicons/
customprofilepics/
signaturepics/
vBulletin Sürümünü Güncel Tutun
vBulletin gibi hazır içerik yönetim sistemlerinde çeşitli açıklar, zaafiyetler çıkabiliyor. Bu gibi durumlarda yetkililer açığı kapatıp yeni sürümünü yayınlıyor. Bundan dolayı hem sitenizin daha dinamik ve güncel olması için hemde eski sürümlerde bulunan zaafiyetlerden kaçınmak için vBulletin sürümünüzü sürekli güncel tutmanız gerekiyor.
Okuduğunuz İçin Teşekkür Ederim.
Esenlikle Kalın..
Moderatör tarafında düzenlendi: