YÖNETİM PANELİNİ + SİTEYİ korumaya yönelik tüm yöntemler!

Hayırlı sabahlar,

Hepimiz için önemli olduğunu düşündüğüm bu konudaki görüşlerinizi öğrenmek isterim...



YÖNETİM PANELİ GÜVENLİĞİ:

1) Site yöneticilerine ve site üyelerine özel olan yönetim panellerini korumak için genel anlamda neler yapmalıyız?


2) Panel linkini gizlemek ve sadece üyelerin bilmesi hatta üyelerin bile bilmemesi,anlayamaması için neler yapabiliriz?
(Arama motorlarında indexlenmemesini sağlamak şart elbette.)

Diyelim ki gerçek panel adresimiz ve dosyaların bulunduğu klasör şu;
[COLOR="Sienna"]panel.siteismi.com/gercek_klasor/

Biz bunu htaccess ile istediğimiz zaman (sık sık) çeşitli sahte adlar vererek kamufle edebilir miyiz?
(Tabiki işleyişi bozmadan...)

Panel adresini/klasörünü ayda bir şu isimlere dönüştürüp login olanların kendilerini olmayan bir klasörde zannetmelerini sağlayabilir miyiz?
Örneğin;

panel.siteismi.com/qwer12345u/
panel.siteismi.com/panelll_1/
panel.siteismi.com/islemlerrr/
panel.siteismi.com/yetkili_alani_2022/
...


3) Panelin root sayfasına htaceess ile şifre koyup (üyelere bunu iletmek kaydı ile) iki aşamalı giriş sistemi konusunda ne düşünüyorsunuz?

(Önce htaccess şifresi + sonra da standart giriş prosesi...)
[/COLOR]




SİTE GÜVENLİĞİ;

* Sizce SSL kullanmak tek başına yeterli olur mu yoksa cloudflare ve benzerlerini de ilaveten kurmalı mıyız?

* PDO kullanıyorsak injection riski sıfır mıdır, yoksa bunun için ek önlem almak ve kod & fonksiyon yazmak gerekli midir?

* ...



+ Siteye yapılabilecek çeşitli saldırılara karşı koruma yapacak PHP KODLARINI TEK SAYFADA toplayıp paylaşacak bir üstad var mıdır aramızda?



Liste çok uzatılabilir, sizlere de pay bırakmak istedim...

Sizler de kendi sorularınızı ve varsa bildiğiniz cevapları eklerseniz sevinirim...

Zaman içerisinde bu ilk mesajı (özellikle de sizlerden gelenler doğrultusunda) güncelleyebilirim...


Teşekkürler...


* Site yöneticilerine ve site üyelerine ozel olan yönetim panellerini korumak için neler yapmalıyız?



Site yöneticileri ile üye giriş alanlarını birbirinden ayırmak daha mantıklı olur, üye giriş panelini gizlemek saçma olacağından sadece yönetim paneli giriş alanını gizlersin. Ancak giriş formunda tüm güvenlik önlemlerini aldıysan, buna gerek yok hatta yönetim paneline giriş linkini bilselerde sorun teşkil etmez.


* Panel linkini gizlemek ve sadece üyelerin bilmesi için neler yapabiliriz?


Yönetim panelini üye panelinden ayırmakta karar kıldıysan ve yinede gizlemek istiyorsan, htaccess parola korumalı yapabilirsin. Bana bu biraz paronoyakça geliyor onu da belirteyim. Yönetim paneli linkini en azından(yonetim,admin,panel,administrator) gibi isimler vermekten kaçınmalısın. Ekstra olarak sadece yönetici için çift parola önlemi koyabilirsin. Burada önemli olan harf,rakam,karakter içeren parolalar kullanmaya özen göstermek. Eğer bu formda da yazılım tarafında gerekli güvenlik önlemlerini almadıysan saydıklarımı yapmanın pek bir anlamı yok.


* Panelin root sayfasına htaceess ile şifre koyup (üyelere bunu iletmek kaydı ile) iki aşamalı giriş sistemi konusunda ne düşünüyorsunuz?


Bunun çok amatörce bir işlem olacağını düşünüyorum :)


Site güvenliği konusu yazmakla bitmez, hack işlemi sadece yazılım kaynaklı olmuyor. Sizin ile aynı sunucuda barınan bir başka sitenin güvenlik zaafiyeti de sizin hacklenmenize neden olabiliyor. Çok kapsamlı bir sorun.

Yazılım tarafında neler yapılabilir veya bizler neler yapıyoruz. PDO tek başına injection riskini sıfıra indirger mi? PDO'da prepare kullanıldığında modifiye edilmiş amacı değiştirilmiş karakterlerin filtrelendiği söyleniyor. Bu doğru ama, PDO yu prepare kullanmadan da kullananlar var. Bunu bir tarafa bırakalım prepare kullandığınızda da sql injection yeme ihtimalin var. Bununla ilgili geniş kapsamlı bir makale okumuştum linkini bulamadım. Orada anlatılan, kullanılan dünya dillerinden birinde ki karakterler modifiye edilerek girildiğinde başarılı sonuç veren hack senaryosu anlatılıyordu.

Burada php ye iş düşüyor. İd get yada post ediyorsanız int mi diye kontrol etmek gerek misal, bu da hacklenmenize neden olabiliyor. prepare daha güvenli kılmak adına var olsa da tek başına yeterli değil.

post edilen tek tırnakları ben hala filtreliyorum. Post işlemlerin de almış olduğum diğer önlemleri kod üzerinde görmek istersen;

function filterUrl($str){

$str = trim($str);
$str = strip_tags($str,"&");
$str = str_replace("'", "", $str);

return $str;
}

function get($name){
if(isset($_GET[$name])){

if (is_array($_GET[$name])){
return array_map(function($item){
return filterUrl($item);
}, $_GET[$name]);
}

return filterUrl($_GET[$name]);

}
return false;
}

function post($name){
if(isset($_POST[$name])){

if (is_array($_POST[$name])){
return array_map(function($item){
return filterUrl($item);
}, $_POST[$name]);
}

return filterUrl($_POST[$name]);

}
return false;
}


Bu şekilde artık $_POST['deger'] olan bir veriyi post('deger') olarak filtrelenmiş şekilde alabilirsin. Aynı şekilde $_GET['deger'] olan bir veriyi get('deger') şeklinde.

Daha önceki sorularında da yazmıştım. reCaptcha v3 çıktı mutlaka kullanmalısın tüm formlarında.

Mail veya sms ile 2FA doğrulamalı giriş yaptırma yöntemini kullanıyorum ekstradan. Üyelerime de kullandırtıyorum.

Form post edildikten sonra eğer ki bu form bir giriş alanıysa bildiğin üzere, bilgiler doğruysa görmesini istediği sayfaya yönlendiririz. Değilse bir şey yapmayız. Bu da yapılan en büyük yanlışlardan noredirect açığı oluşturur. exit() ile sonlandırmalısınız değilse kısmında. noredirect açığı çok tehlikeli panelinize şifresiz dahi girebilirim her işlemi yapabilirim.

Kullanıcı etkileşimi olan her yerde loglama yapmalısın, yarın bir gün birşeyler ters giderse loglara yoğunlaşarak anlayabilirsin. Bu işlemler hangi ip ile yapılmış vs. Sitemden örnek log sayfası. son satır şüpheli bir işlem.

Aklıma gelenler bunlar şimdilik, olursa yazarım.

Oldukça kapsamlı bir cevap vermişsiniz üstad, çok teşekkürler...


Haklısınız, işin en başında öyle yapmıştım.


Hemfikiriz.



REEL YADA UNREEL HAYATTA "GÜVENLİK" CİDDİYE ALDIĞIM BİR KONUDUR...
Bana hiç paranoyakça gelmiyor önlem almak, SAHİP OLDUKLARIMIZA MUKAYYET OLMANIN BİR GEREĞİ...

Dünya denen kirli mekanda bu kadar çok karaktersiz - ş.siz varken YAPMAM/IZ GEREKEN DE BUDUR...
Fazlası olsun, noksanı olmasın...


Aradığım cevap bu!


Bunu paranoyakça bulmadığımı belirteyim...


Şart!


Değerli bilgiler paylaştınız... ALLAH razı olsun...

Merhaba,
Bu konuda master yapan ve tez döneminde olan biri olarak buraya bir çok şey yazabilirim. Ancak bunu yapmak yerine, çok önemsediğinizi söylediğiniz için bu konuda O'REILLY tarafından yayınlanmış ve NGINX tarafından ücretsiz olarak PDF hali paylaşılan Web Application Security kitabını buraya bırakıyorum. Not: Kitap İngilizce'dir.

Sağlıcakla.

Kitabın indirme linki; https://www.nginx.com/resources/library/web-application-security/

everyCode Teşekkürler, sağlıcakla.

kullanıcı giriş yaptıktan sonra ona yönetim paneli linkini görünür hale getirebilirsin bu linkide kişiye göre oluşturulan bir link olabilir örnek vermek gerekirse yapıkredi bankasının giriş paneline tıkladığınızda farklı bir dosya adı veriyor kullanabilirsiniz... buna bir algoritma oluşturup ona göre çözümleyebilirsiniz... mantık tamamen size kalmış

asimavi Cevabınız için teşekkür ediyorum öncelikle...
Kullanıcın giriş yapması için önce yönetim paneline gitmesi gerekiyor...
Sizin kasdettiğinizi tam anlayamış olabilirim !?
Önerinizin arkasında iseniz biraz daha somutlaştırabilir misiniz mümkünse...

"Kişiye göre oluşturulan bir link olabilir..."
İŞTE BU ÇOK GÜZEL BİR ÖNERİ, KESİNLİKLE PEŞİNE DÜŞECEĞİM...

Aklınızda bir algoritma canlandıysa öğrenmek isterim üstad...

Tekrar teşekkürler...

kullanıcıların giriş yaptığı sayfa örneğin login.php sayfanız olur buraya giriş yapıldığında ana sayfada kullanıcı bilgisi altında yönetim paneli linki eklersiniz admin_benzersiz key gibi bir link eklersiniz burdan yönetim paneline gider kullanıcı olmayan bu sayfayı göremez...

Üstadım şimdi anladım ne demek istediğinizi...

TEK KELİMEYLE MÜKEMMEL PLAN...

Çok teşekkür ediyorum...