Merhaba Arkadaşlar
Hazır sistemlerden biri olan vBulletin için elimde ki tüm güvenlik önlemlerini birleştirerek tek bir makale ortaya çıkardım. Gönül rahatlığı ile kullanabilirsiniz. Tabi bunları yapmadan önce yedek almakta fayda var.
Silinmesi Gereken Dosya ve Klasörler
Yukarıda ki dosyalar, sistem içerisinde gereksiz olmak ile beraber bazı durumlarda güvenlik açığı oluşturan dosyalardır. Silinmesi sizin açısından çok daha iyi sonuçlar doğuracaktır.
Admin CP ve Mod CP İsimlerini Değiştirme
Admin ve Mod panelinin isimlerini değiştirmek her zaman siteniz için iyi olacaktır. İsimlerini tahmin edilemez şekilde koyarsanız daha iyi olacaktır.
Örneğin: #342342#
FTP'ye gidip bu isimleri değiştiriyoruz. Hemen ardından config.php (ayar) dosyasını açıp 87. ve 88. satırları, değiştirdiğimiz isme uygun olarak değiştiriyoruz.
$config['Misc']['admincpdir'] = ‘admincp’;
$config['Misc']['modcpdir'] = ‘modcp’;
admincp ve modcp isimlerini, yaptığınız değişikliğe uygun olarak değiştirdikten sonra kaydediyoruz. Daha sonra yine config.php (ayar) dosyasında 117, 122, 129, 134 ve 139. satırları düzenliyoruz.
Satır 117: $config['SpecialUsers']['canviewadminlog'] = ’1';
Satır 122: $config['SpecialUsers']['canpruneadminlog'] = ’1';
Satır 129: $config['SpecialUsers']['canrunqueries'] = ’1';
Satır 134: $config['SpecialUsers']['undeletableusers'] = ’1';
Satır 139: $config['SpecialUsers']['superadministrators'] = ’1';
Ayar (config.php) Dosyasının İsmini Değiştirme
FTP üzerinde, forumun kurulu olduğu dizinde bir klasör açıyoruz, klasör ismi değişik ve tahmin edilemez bir isim olsun.
Örneğin: 01qazxcv81
Daha sonra includes klasörünün içerisinde ki config.php dosyasını alıp, oluşturduğunuz klasörün içine atınız. includes içerisinde config (ayar) dosyası kalmasın.
Daha sonra includes klasörünün içerisinde ki class_core.php dosyasını düzenliyoruz ve içerisinde ki includes/config.php yazan yeri bulup includes yerine config.php (ayar) dosyasını attığımız klasörün ismini yazıyoruz.
Kaydettikten sonra işlemimiz tamamlanıyor.
Config Şifreleme
İoncube, ZenGuard tarzı şifreleme algoritmaları ile config.php dosyasını ve class_core.php dosyalarında ki önemli yerleri şifreliyoruz (config dosyası ismi, süper admin id gibi).
vBSeo Açıkları
vBSeo kurulumu tamamlandıktan sonra vbseo_config.php dosyasının izinlerini 664 yapıyoruz. Ayrıca vbsepcp.php panelinin ismini değiştiriniz.
Örneğin: sqzxc.php
Bunun yanında vbsepcp.php dosyasının 2. satırını yukarıda verdiğim şifreleme tekniklerinden biri ile şifreleyiniz.
CPanel Üzerinden ACP ve MCP Şifreleme
CPanel üzerinden yönetim paneli vb. yerleri şifreleyiniz. Böylece şifresini kaptırsanız bile girişte ayrı bir şifre soracaktır.
Admin Paneline 2. Şifre
FTP üzerinde admincp içerisinde ki index.php dosyasını açın. <?php yazan yerin hemen altına şu kodları yerleştirin;
$kul[0]['username']="KULLANICI";
$kul[0]['password']="ŞİFRE";
function authenticate()
{
header( 'WWW-Authenticate: Basic realm="Bu alani sadece üst yönetimi kullanabilir !"' );
header( 'HTTP/1.0 401 Unauthorized' );
echo 'Lamer yetkili değilisin !';
exit;
}
if (!isset($_SERVER['PHP_AUTH_USER']) || !isset($_SERVER['PHP_AUTH_PW'])) { authenticate(); } else
{
for($i=0;$i<count($kul);$i++) { if($_SERVER['PHP_AUTH_USER']==$kul[$i]['username'] && $_SERVER['PHP_AUTH_PW']==$kul[$i]['password']){$auth=TRUE;}}
if($auth !=TRUE) {authenticate();}
}
Ufak Çaplı Önlemler
- Forumda ki eklentileri kendiniz Türkçe yapın. Tema ve eklentileri vBulletin.Org dışından indirip kullanmayın.
- Sunucuda c99, r57, CGI Telnet tarzı shelleri engelleyin, güncel bir antivirüs ile tarayınız.
- Kategori oluştururken HTML kodlarını kapatın. Her hangi bir şifre çalma durumunda meta kodları işe yaramayacaktır.
- Meta kelimesini sansüre tabi tutun. Site yönlendirme yese bile geçersiz sayılacaktır.
- Kesinlikle null kullanmayın.
- site.com/includes/class_dm_announcement.php?p=1 | Siteniz üzerinde deneyin, kutu, kare vs çıkarsa shell vardır, silin.
- &# | Bu kodu sansüre tabi tuttuğunuzda kimse admin adı ile üyelik alıp admin gibi davranamayacaktır.
- "site.com/usernew.php” yada “site.com/includes/login.php” varsa, siteyi hemen silin.
Bu saydıklarım sitenizi bir kale gibi koruyacaktır. Ancak yinede dikkat etmeniz gereken bir diğer kısım ise, sunucu güvenliğidir. Bu makale sizden kaynaklanan açıkları ortadan kaldırmıştır.
Kolay Gelsin Arkadaşlar
Yorum Gönder