Eğer MyBB forum kullanıyorsanız mutlaka iyi bir güvenlik sağladığınızdan emin olmak isteyeceksiniz. Türkiye’de MyBB Türkçe Destek Sitesi olarak en kapsamlı güvenlik makalesini hazırlamış bulunmaktayız. Bu yazı tarafımızdan hazırlanmış olup, Matt Rogowski‘nin orjinal makalesinden yararlanılmıştır.
Güçlü Şifreler
Şifreniz her zaman küçük-büyük harflerden, sembol ve sayılardan oluşmalıdır. Basit şifreler her zaman kolay ele geçirilebilir. Buna örnek olarak; ahmet, mehmet gibi isimler, doğum tarihleri vs. kullanılmamalıdır. Çünkü bunlar her zaman ilk akla gelecek türdendir. Bir başka örnek olarak; p455w0rd123 pek güvenli değildir, oysa G6ga5^&[email protected] daha güvenli ve kırılması oldukça zor bir şifredir.
CHMOD izinlerinizi kontrol edin
Genel bir kural olarak, bütün dosyalarınızın CHMOD ayarları iyi yapılmalıdır. Eğer erişim için dosyalara verilen CHMOD ayarları eski haline getirilmezse sicili bozuk kişiler tarafından kötü amaçlar için kullanılabilir. Aşağıda gerekli dosya ve klasörlerin CHMOD ayarları listelenmiştir. Bu ayarlara göre kendi dosya ve klasör izinlerinizi düzenleyebilirsiniz.
- Gerekli – ./inc/settings.php – 666
- Gerekli – ./inc/config.php – 666 (install) 444 (kurulum sonrası)
- Gerekli – ./cache/ – 777
- Gerekli – ./cache/themes/ – 777
- Gerekli – ./uploads/ – 777
- Gerekli – ./uploads/avatars/ – 777
- Opsiyonel – ./admin/backups/ – 777
- Opsiyonel – ./inc/languages/*diliniz*/*tüm dosyalar*/ – 666
- Opsiyonel – ./inc/languages/*diliniz*/admin/*tüm dosyalar*/ – 666
config.php dosyanızı koruma altına alın!
Forumunuzu kurduğunuz zaman config.php dosyasına CHMOD 666 ayarı gerekir ki veritabanı bilgileri bu dosyadan alınabilsin. Buna rağmen forumunuzu kurduktan sonra bu gerekli değildir ve bu dosyanın CHMOD ayarı 666 yapıldığında yine de güvenlik riski oluşturabilir. Forumunuzu kurduktan sonra CHMOD ayarlarını 444 yapabilirsiniz. Ancak bazı durumlarda sistem sizi CHMOD ayarınızı 666 yapma konusunda uyaracaktır. (Örn; güncelleme esnasında)
Aynı zamanda, dosyaya direk erişimi .htaccess kullanarak engelleyebilirsiniz. Bunu yapmak için .htaccess dosyanıza aşağıdaki kodu ekleyebilirsiniz.
Order deny,allow
deny from all
Artık siteadresiniz.com/inc/config.php olarak erişim yapmak isteyenleri 403 Forbidden hatası ile karşı karşıya bırakabilirsiniz.
Düzenli yedek alın!
Veritabanı yedekleri her zaman, acil durumlarda gereklidir. Dosyalar, eklentiler ve temalar silindikleri ya da kayboldukları zaman daha önceden almış olduğunuz yedekler sayesinde geri getirilebilir. Düzenli yedek aldığınızdan emin olun ve bu yedekleri sık sık USB bellekler ya da CD’ler içinde depolayın.
Admin hesabınız için başka bir hesap kullanın
Eğer birisi sizin forumunuzu hackleme girişiminde bulunursa, direkt olarak sizin yönetici hesabınıza erişmeye ve Admin KP’ye girmeye kalkışacaktır. Bir hacker yönetici hesabının renklendirilmiş ve Forum Ekibi sayfasında gösterilmiş olduğunu daha önceden bilecektir. Ama bunu engellemek kolaydır. İlk olarak, yeni bir kullanıcı hesabı oluşturun. Sonra, yeni bir kullanıcı grubu oluşturup, Admin KP erişim izni verin, kullanıcı adı stili olarak normal kullanıcı ile aynı renklerde olmasına dikkat edin. Ardından yeni hesabınızı bu gruba dahil edin; bu forumu yönetme imkanı verecektir. Şimdi Admin KP erişim iznini, standart Admin grubundan kaldırın. Şimdi normal bir kullanıcı gibi mesaj yazabilecek ancak Admin KP’ye bağlanamayacaksınız. Hesabınızı hacklemek isteyen bir hacker sadece zamanını boşa harcayacaktır.
Admin klasörünü değiştirin ve Admin KP bağlantısını gizleyin
MyBB, size ‘admin’ klasörünüzün adını değiştirme imkanı sağlar. Buna rağmen bu yine de çok güvenli bir yöntem değildir ve sadece kendinize zaman kazandırırmış olursunuz. Eğer bir hacker sizin Admin klasörünüzü bilemezse, panele erişimi de olamayacaktır. Bunu değiştirmek için ./inc/config.php dosyanızın 26. satırına bakabilirsiniz.
$config['admin_dir'] = 'admin';
Yukarıdaki kodda bulunan admin ismini istediğiniz gibi değiştirdikten sonra FTP’nizden de admin klasörünüzün ismini dosyada değiştirdiğiniz şekilde değiştirmeniz gerekmektedir. Sonuç olarak Admin panelinize erişim artık şu adresten olacaktır.
http://www.siteniz.com/yeni-admin-dizini/index.php
Bununla beraber MyBB, size hoşgeldiniz panelinden (welcomeblock) Admin KP bağlantısını kaldırabilme imkanı da sunar. Bunu yapabilmek için .inc/config.php dosyanızın 36. satırına göz atınız.
Bu kod bulun;
$config['hide_admin_links'] = 0;
Sonra, bu şekilde değiştirin:
$config['hide_admin_links'] = 1;
Admin KP bağlantınız, hoşgeldiniz panelinden başarılı bir şekilde kaldırılmıştır. Şimdi Admin Panelinize manuel bir şekilde bağlanabilirsiniz, böylece bir hacker sizin Admin Panelinizin nerede olduğunu asla bulamayacaktır.
Mesajlarda HTML izni vermeyin
Her forum için ayarlarda, “Mesajlarda HTML kullanma izni” seçeneği bulunur. Bunu hiç bir zaman için kullanmamanız önerilir. Çünkü bu işlem, forumunuzu riskli bir hale getirmenize neden olacaktır. Eğer HTML izinlerini tüm forum genelinde iptal etmek isterseniz, phpMyAdmin’den şu sorguyu çalıştırabilirsiniz:
UPDATE `mybb_forums` SET `allowhtml` = '0';
Sonra, Admin KP’ye giderek > Araçlar & Bakım > Önbellek Yöneticisi > Forumlar > Önbelleği Yeniden Yapılandır’a tıklayın. Şimdi HTML izni, tüm forum genelinde iptal edilmiş olacaktır.
Sürüm numaranızı gizleyin
Eğer sürüm numaranızı alt kısımda gösterirseniz, hackerlara davetiye çıkartırsınız, ve eğer MyBB sürümünüz güncel değilse, hacklerlar için tam bir şölen olur. Sürüm numaranızı gizlemek için, Admin KP > Yapılandırma > Genel Ayarlar > Sürüm Numarasını Göster > Kapalı olarak işaretleyin. Artık sürüm numaranız alt kısımda gösterilmeyecektir.
Güncellemeleri takip edin
Yeni bir MyBB güncellemesi çıktığı zaman en kısa zamanda güncelleme işlemini yapmanız tavsiye edilir. Güncellemekler ağırlıklı olarak hataların giderilmesi, güvenlik önlemleri, ya da yeni özelliklerden oluşur. Eğer bir güvenlik güncellemesi yayınlanmışsa, en acil tarafından güncellemenizi yapın. Güncellemelerden haberdar olmak için Admin KP’den Sürüm Kontrolü seçeneğini periyodik olarak yaparak ya da MyBB E-Posta Listesi‘ne abone olarak güncellemelerden haberdar olabilirsiniz.
Bunları yaptıktan sonra, forumunuz mümkün olanın en güvenlisi olacaktır. Buna rağmen, hacker bir yöntemini bulup forumunuzu hacklerse, aşağıdaki adımları takip ediniz.
Parolaları Sıfırlayın
Mümkün olduğu kadar hızlı bir şekilde, veritabanınızdan parolalarınızı sıfırlayın. Bu bir hackerın hiç bir yere bağlanamamasını sağlayacaktır ve yeni şifreler kaldığınız yerden devam etmeniz anlamına gelecektir.
Yeni kullanıcılarınızı kontrol edin
Hacker forumunuza erişimi sağladıktan sonra aynı anda kayıt olan tüm kullanıcıları kontrol edin. Çünkü kişi kendini farklı isimlerde yetkili yapabilir, ya da yeni bir kullanıcı grubu açarak kendine ek yönetici hesabı oluşturabilir. Eğer buna benzer bir şeye rastlarsanız, hızlı bir şekilde silin.
Tüm dosyaları yeniden yükleyin
En güncel MyBB paketini indirerek tüm dosyalarınızı yeniden yapılandırın (./inc/settings.php hariç). Bu tüm dosyalarınızın temiz olduğu anlamına gelecektir, ve hiçbir zararlı kod olmayacaktır. Bu işlemi yapmadan önce eski dosyalarınızın yedeklerini alabilirsiniz.
CHMOD izinlerini kontrol edin
Yeni dosyaları attıktan sonra yine CHMOD izinlerini kontrol edin. Yeni dosyalarda gerekli olmayan CHMOD ayarlarını, gerekli izinlerde değiştirin.
Şablonlarınızı zararlı kodlardan arındırın
Tüm şablonlarınızı teker teker kontrol edin. Tüm zararlı iframe kodlarından arının. Ya da şablonlarınızı orjinale çevirerek güncel kalmasını sağlayın. Fazla iframe ve javascript tarzı öğeler içeren şablonlar sitenizin geç açılmasını sağlayabilir.
Çok güzel bir paylaşım olmuş.
Bilgilendirme için çok teşekküür ederim.. Faydalandım.