wmaraci reklam

MyBB Güvenlik Önlemleri

5 Mesajlar 1.047 Okunma
wmaraci reklam

xsafa xsafa Developer Kullanıcı
  • Üyelik 01.08.2016
  • Yaş/Cinsiyet 24 / E
  • Meslek Bilgisayar Müh. Öğr.
  • Konum Erzurum
  • Ad Soyad S** Y**
  • Mesajlar 1534
  • Beğeniler 1234 / 463
  • Ticaret 19, (%100)
-- Aşagıda ki yazdığım adımları uygularsanız kolay kolay sisteminize 3. şahıslar erişemez.


1-) İmkanınız var ise LİNUX VPS satın alın ve bu sunucuda sadece kendi forum sitenizi barındırın. Eğer bütçeniz sunucu almaya yetmiyor ise Linux Hosting alın , fakat hosting alacağınız sitenin referanslarına veya Google aracılığıyla şirkete yapılan yorumları inceleyin kesinlikle yolun başında düzgün bie hosting seçmek çok işinize yarayacaktır.



2-) MyBB scriptimizi orjianl sitesinden indirelim , fakat orjinal sitesindeki script Türkçe olmadığından dolayı MyBB.com.tr den indirmenizi öneririm MyBB.com onaylı bir sitedir. Kesinlikle buradan indirdğiniz dosyaları gönül rahatlığıyla kullanabilirsiniz. ( Buradan xpserkan hocama birkez daha teşekkürlerimi sunuyorum duacısıyız :) )



3-) Hosting ve Dosya işlemlerini tamam bulduk , scripti nasıl kuracağız dediğinizi ufaktanda olsa duyar gibiyim :) Bu Linkten detaylı olarak bilgi sahibi olup kurulumunuzu gerçekleştirebilirsiniz.



4-) Kurulumumuzu yaptık peki bundan sonra başka Güvenlik Önlemi varmı ? Elbette var :)

# Chmod Ayarlarını buraya teker teker yazıp yazıyı uzatmak istemiyorum , Chmod Ayarları İçin Üzerime Tıkla

# Admin Panel Yolunu değiştirme ; yeni panel adını yenipanelyolu yapacağımızı farzediyoruz.

1-) FTP \ FORUMUN KURULU OLDUĞU DİZİN \ İNC \ İNİT.PHP Dosyasını açıyoruz

2-) " $config[’admin_dir’] = "admin"; " bu satırı bulun

3-) " $config[’admin_dir’] = "yenipanelyolu"; " yenipanelyolu yazdığım yeri kendinize göre editleyin kaydedin çıkın.

4-) FTP \ FORUMUN KURULU OLDUĞU DİZİN \ İNC \ CONFİG.PHP Dosyasını açıyoruz

5-) " $config[’admin_dir’] = ’admin’; " bu satırı bulun

6-) " $config[’admin_dir’] = ’yenipanelyolu’; " yenipanelyolu yazan yere init dosyasında olduğu gibi editleyin kaydedin çıkın.

7-) Forumun Kurulu Olduğu Dizinde Admin Dosyasının Adını yenipanelyolu Yapıyoruz yenipanelyolu Adını Kendinize Göre Editleyin.



# Config Yolunu değiştirme , bu maddede inc klasöründeki config.php ismini nasıl değiştiricez onu göstericem ; yeni config dosyasının adını configxx yapacağımızı farzediyoruz

1-) FTP \ FORUMUN KURULU OLDUĞU DİZİN \ İNC \ İNİT.PHP

2-) " if(!file_exists(MYBB_ROOT."inc/config.php")) " Bu satırı bulup

3-) " if(!file_exists(MYBB_ROOT."inc/configxx.php")) " olarak değiştirip kaydediyoruz.

4-) inc klasöründeki config.php i configxx.php olarak yeniden adlandırıp kayediyoruz.



# Admin Panel Girişinde Pin Kullanımı ; MyBB 1.8 Sürümlerinde otomatik olarak kurulumda oluşturduğundan dolayı bu madde ile ilgili detaya inmeyeceğim.



# Eklenti Kullanımı ; MyBB bu konuda tam bir cennettir fakat eklentilerin %95 i gereksizdir , ihtiyacınız olmayan eklentileri direk silin sitenizde barındırmayın.



# MyBB Son Sürüm Kullanın , makaledeki en önemli madde şuan bu olarak görünüyor , güncel MyBB sürümü kullanmak hayat kurtarır :)



# Kimseye Admin Yetkisi Vermeyin , Evet kesinlikle hiç kimseye admin panel vermeyin kendinizde hiç bir sitede yada üyelikte kullanmadığınız güçlü bir şifre seçin.



Yukarıda yazdığım maddeleri harfiyen yerrine getiren birisinin sitesinin hacklenmesi imkansız. Keylogger yemediğiniz sürece :)



Kaynak http://www.ztekno.org/mybb-kurulum-ve-guvenlik-onlemleri/
Maybe

kişi bu mesajı beğendi.

Yazılım işleriniz için -> contact@safayasar.com
SMM Panel, Sosyalyuvam, Bayilik Paneli, En Uygun Panel, Takipçi Paneli
reklam

Maybe Maybe Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 23.07.2016
  • Yaş/Cinsiyet 32 / E
  • Meslek Analist
  • Konum İzmir
  • Ad Soyad Ü** A**
  • Mesajlar 117
  • Beğeniler 29 / 42
  • Ticaret 1, (%100)
Hocam hacklenmesi imkansız değildir kendi sistemlerinde hemen hemen ver versionda onlarca güvenlik zafiyeti reportları yapılıyor.En büyük sorun eklentilerden kaynaklanan zafiyetlerden dolayı sistemin hacklenmesi oluyor.Fakat bilgi sahibi kişilerce sistemin kendisinde de zafiyet tesbit etmek zor değil.%2 oranın da güvenlik önlemi almış olursunuz bu şekilde :)
xsafa

kişi bu mesajı beğendi.

xsafa xsafa Developer Kullanıcı
  • Üyelik 01.08.2016
  • Yaş/Cinsiyet 24 / E
  • Meslek Bilgisayar Müh. Öğr.
  • Konum Erzurum
  • Ad Soyad S** Y**
  • Mesajlar 1534
  • Beğeniler 1234 / 463
  • Ticaret 19, (%100)
@Maybe hocam mybb sitelerin %90 su bulundugu hostingin gecilmesi , %5 sm %5 de eklentiler nedeniyle olusan aciklardan dolayi hackleniyor eklentisiz bir forum & paylasimsiz hosting kullanan birisinin hack yemesi cooooook buyuk hack gruplari yapabilir dediginiz gibi bir olay olsa piyasada mybb kalmazdi ,

Eger kendinize cok guveniyor iseniz site atayim test edelim 3 yillik mybb bilgim var.

Ek Olarak:

Maybe adlı üyeden alıntı

Hocam hacklenmesi imkansız değildir kendi sistemlerinde hemen hemen ver versionda onlarca güvenlik zafiyeti reportları yapılıyor.En büyük sorun eklentilerden kaynaklanan zafiyetlerden dolayı sistemin hacklenmesi oluyor.Fakat bilgi sahibi kişilerce sistemin kendisinde de zafiyet tesbit etmek zor değil.%2 oranın da güvenlik önlemi almış olursunuz bu şekilde :)


Ayricz eklemeyide unuttum mybb sifre hash kırmakda okadar kolay bir olay degil.
 

 

Yazılım işleriniz için -> contact@safayasar.com

Maybe Maybe Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 23.07.2016
  • Yaş/Cinsiyet 32 / E
  • Meslek Analist
  • Konum İzmir
  • Ad Soyad Ü** A**
  • Mesajlar 117
  • Beğeniler 29 / 42
  • Ticaret 1, (%100)
Hocam öncelikle bu tür konuşmalardan hiç haz etmiyorum.Oturup mybb bir sisteme giriş yapmam ne bana birşey kazandırır ne size birşey kazandırır ancak kendini kanıtlama çabasına girer.Bunuda ancak bu mesleğe yeni atılan kişilerin ani bir hevesle atılım yapmaya çalışması söz konusudur.Başarılı olunması bile kendini küçük düşürme nedenidir yani.

Size örnek olarak geçmişe dönük bir kaç exp açıklaması yapayım tezinizin ne kadar yanlış olduğunu görmenizi sağlar.

1. SQL Injection

POST 'question_id' - ID'+or+1+group+by+concat_ws(0x3a,database(),floor(rand(0)*2))+having+min(0)+or+1#

2. Cross Site Scripting

localhost/mybb-1.8.1/report.php?type=XSS%22%3E%3Cscript%3Ealert%28666%29%3C%2fscript%3E&pid=1 hemde en basit pocla etkileşime giriyor.Yeni yetmeler dahi bu hatayı yapmaz ama yapılabiliyor sonuç olarak insan yapımı ve "en büyük güvenlik açığı insandır".

Açık nerede kardeşim diyenler için

wmaraci

xsafa xsafa Developer Kullanıcı
  • Üyelik 01.08.2016
  • Yaş/Cinsiyet 24 / E
  • Meslek Bilgisayar Müh. Öğr.
  • Konum Erzurum
  • Ad Soyad S** Y**
  • Mesajlar 1534
  • Beğeniler 1234 / 463
  • Ticaret 19, (%100)
Konu daha fazla uzamasin hack yemeyen sistem yoktur , xxs ile sql yapabilmek her baba yiğidin harcı değil bugun facebook gibi milyar dolarlar harcayan bie sistemde dahi acık cıkabiliyor. Egerki rakibiniz/dusmaniniz asiri ust duzey birileri degilse sorunda cikmayacaktir
 

 

Yazılım işleriniz için -> contact@safayasar.com
wmaraci
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)