Neler yeni
20TL'den başlayan fiyatlarla kendi bütçenize göre reklam verin.  DETAYLAR
Webien.Net: Webmaster Forumu

Bilgi paylaşım, Tanıtım ve E-Ticaret İçin şimdi aramıza katılın...

vBulletin Güvenliği - 2019 Güncell

deserto

İlaydam
Genel Mod
Developer
Katılım
23 Eyl 2019
Mesajlar
30
Tepkime puanı
8
Konum
Çorum
Site
www.megaimg.net


Zamaninda vbulletin uzmanı olarak bu yazımı sizlerle paylaşıyorum, bazı yerleri başka diğer forumlarda açtığım için biraz alıntı yapacağım, vbulletin kendi güvenlik önlemlerini alsada ufak uyarlamalarla kendi vbulletin sisteminizi güvenli bir hale getirebilirsiniz

Ilk önce altını çizmek isterim ki yapılacak her işlemden önce mutlaka yedeginizi alın, kalıcı sorunlar oluşabilir.

Öncelikle hosting şirketinizi iyi seçmelisiniz, ve host şirketiniz ile mutlaka seri bir duruş sergilemenizi öneririm, neden derseniz host firmaniz sitenizi dünyaya tanitandir.
Hosting özelliklerini, alan, trafik, node vb gibi detayları mutlaka sorun soruşturun.

Admincp ve Modcp İsimlerini Değiştirin
Kod:
$config['Misc']['admincpdir'] = 'DEĞİŞTİĞİNİZİSİM';   $config['Misc']['modcpdir'] =   'DEĞİŞTİĞİNİZİSİM'
FTP Deki Gerekli Dosyalar Haricinde (Avatar,Eklenti,Resim Vs..) Diğer Dosyalarınızın CHMOD Ayarlarını Asla 777 Yapmayın.


"Config.php" dosyanızın İçeriğini Şifrelemeniz Gerekir. Yani Sistemize Erişim Sağlansa Bile Database Bilgilerinizi Koruyabilirsiniz.

Source Cop İsimli Programı İndirin:
Değerli ziyaretçimiz lütfen, içeriği görüntüleyebilmek için Giriş yap veya Kayıt ol anlayışınız için teşekkürler.

Programı Çalıştırdıktan Sonra "PHP" Seçiin ve Bilgisayarınızda Herhangi Bir Klasor Oluşturup Sitenizde Bulunan config.php yi İçine Atın.
Sonra Programdan "Select Source Folder" Butonuna Basarak Oluşturduğunuz Klasorü Seçip "Encrypt" Butununa Basarak Şifrelemeyi Gerçekleştirin.
Sonra PC'de Oluşan "Scopbin" Dosyası İle Config.php Dosyanızı FTP'ye Geri Atın.
Öncelikle Kendi Admin Hesabınızı Güvenlik Altına Alın. Bunun İçin Config.php Dosyanızı Açın ve Belirrtiğim Yere Kendi Üye İD Numaranızı Yazın.

Kod:
$config['SpecialUsers']['undeletableusers']    = 'BURAYA';

  • vBulletin ilk Kurulumdan Sonra "İnstall" Klasorunun Adını Değiştirmeyin Komple Silin! İllaki FTP De Tutacaksanız Admin ve Mod Paneline Koyduğunuz Gibi Bu Klasorede Şifre Oluşturun.

  • Eklenti Kurmadan Önce Ne Eklentisi Olduğuna, Ne İşe Yaradığına, Kim Tarafından Yazıldığına İyi Bakın!! Eğer Fazla Bir Bilginiz Yoksa Eklenti Hakkındaki Son 5 Yorumu Dikkatlice Okuyun. Sorun Olmadığına Kanaat Getirmeden Asla Kurmayın.

  • Vbulletin.org da Onaylanmamış (yada Hiç Olmayan) ve "Kimliği Belli Olmayan" ve "Güvenmediğiniz Sitelerden" Eklenti İndirip Kurmayın! İçerine Kod Koymuş Olabilirler (Yapanlar ÇOK!!)

  • Her Önünüze Gelene Admin ve FTP Bilgilerinizi Verip "Bana Yardım ET" Demeyin. Kendilerine Gizli Admin Oluştururlar Sitenize binbir Tane Reklam Atarlar. Ruhunuz Duymaz. Siteniz Belirli Bir Düzeye Ulaştığında Databasenizi Çeker Başkasına Satarlar. Siteniz Büyük Zarar Görür. emekleriniz boşa Gider.Gülüp Geçmeyin. Muhtemel Olaylardır.

  • FTP ve Admin Şifreleriniz Kesinlikle Basit Şifrelerden İbaret Olmasın.
  • Yani Sadece Rakam Ya da Sadece Harflerden Oluşmasın. Özellikle FTP Şifreniz Büyük Harf, Küçük Harf,Rakam ve Sembol'lerden Oluşsun..

  • vBulletin Sahipleri Genelde "Modifikasyon" Sevdiklerinden Bir Çok Eklenti Kurarlar. Ama Hiçbir Zaman Kurdukları Eklentilerin Bir Listesini Tutmaz ya da Onları Yeni Çıkan sürümleri ile Upgrade Etmezler. Upgrade Demek Yanlızca vBulletin Sürümlerini Güncellemek Demek Değildir. Kurduğunuz Eklentilerin'de Yapımcısı Tarafından Güncellenerek Açıklarının Kapatıldığını Unutmayın..

  • Forumunuzda Veri Kaybını Önlemek İçin Mümkün Olduğu Kadar sık Database Yedeği Alın. Database Yedeklerinizi vBulletindeki Admin Panelden Değil!! PhpMyAdminden Almaya Özen Gösterin. Ayda 1 ya da 2 Kere Kesinlikle FTP'nizdeki Klasorleri Full Olarak PC'nize İndirin. Rarlayın Kaldırın Bi Köşeye Dursun. Ne Zaman Çökeceğiniz Belli Olmaz! Hosting Kapanır Bişey Olur Elinizde Sitenizin Full Yedeğini Mutlaka Bulundurun.

  • Forumlarınızda Üyelerin HTML Kullanmalarına Kesinlikle izin Vermeyin Gereken Yerden bu Özelliği Deaktif Edin.

  • Forumunuza Chat Paneli Kurmayın. Kursanız Bile Açığı Olup Olmadığına Dikkat Edin..

  • Üye Kayıt Panelinde Güvenlik Önlemlerini Kesinlikle Kullanın. Şu Sıralar Reklam Botları Hayli Fazlalaştı.

  • FTP yada Admin Şifrelerinizi KEsinlikle 3. Şahıslarla Paylaşmayın. Size Yardım Etmesi İçin Paylaşmak Zorunda Kalsanız Bile 3. Şahısın Sistemden Çıkışının Ardından;

  • Admincp'den Log Kayıtlarına Bakın. Ne Değiştirmiş Hangi Bölümlere Girmiş İnceleyin.
  • Administrator Grubunda Tanımadığınız Bir nick Olup Olmadığını Kontrol Edin.
  • Sisteminize Herhangi bir Reklam Kodu Konulp Konulmadığını Kontrol Edin.
  • Üyelerinizin Sitenize Girerken Herhangi bir Siteye Ping Göndermediğinden Emin Olun.
  • Eğer FTP Şifrenizi Verdiyseniz config.php'ye Süper Admin eklenmediğinden Emin Olun.Zaten FTP Şifrenizide Kimseye Vermeyin Gereken Dosyayı Siz Upload Edin.

  • Şahsi Bilgisayarınız Haricinde Başka PC'lerden FTP ya da Admin Kullanıcı Hesabınızı Açmayınız. Genellikle Cafe'lerde Keylogger Kurulma İhtimali Yüksek Olduğundan Siz Evinize Gidene Kadar Siteniz Çoktan Hacklenmiş Olabilir. Ayrıca Kişisel Pc'nize Kesinlikle Antivirüs/Firewall Programları Kurulu ve Güncel Olsun.

  • Hostunuzla İletişimde Kullandığınız Mail Ayrı, Admin Nickinizde Kullandığınız Mail Ayrı Olsun!! Ve Bu Mailleri Kimseye Bildirmeyin. Profil Ayarlarınızdan Mail Adresinizi Gizli Olarak Ayarlayın. Mailinizi "admin@siteadı" Şeklinde Kullanmamaya Özen Gösterin. "Destek@" ya da "iletişim@" gibi Mailleriniz de Kesinlikle Kota Limiti Koyun. Boşu Boşuna BW Harcamamış Olursunuz.

  • Domain bilgileriniz gizli Olsun "Whois" Çekildiğinde Kullandığınız mail Adresi ve İletişim Bilgileriniz Görülmesin..

  • FTP Programında Seçici Olun. Crack'lı Programları Kullanmayın. İçlerine Kod Konmuş Olma İhtimali Hayli Yüksek. Ya Programı Gerçek Yapımcısından Satın Atın Yada FileZilla gibi Ücretsiz Programlar Kullanın.


  • Bir Çok Sitede Güvenlik için includes/classcore.php yolunu Değiştirin Yazar. Yötem Doğrudur Fakat vBulletin Kaynak kodlarıyla Oynadığınızdan Lisansınız İptal Edilebilir. bu İşlemi Uygulamamanızı Tavsiye Ediyorum. Hem Zaten Yukarıdaki İşlemlerimizde config.php Dosyasının İçeriğini Şifrelediğimizden Ayrıyeten Dosya Yolunu Değiştirip Risk Almak Gereksiz Olur.

  • Botların Gelmemesi ve Forumunuzda Reklam Yapamaması İçin Üye Kayıtlarında CAPTCHA ya da reCAPTCHA ve Extradan Soru / Cevap Şeklinde Engeller Koyun. Bunu Önemseseniz İyi Olur, Genelde Gece Gelirler Sabah Kötü Sürprizlerle Karşılaşabilirsiniz.
Yönledirme acığı için

1 >Admin Paneline gidin

2 > vBulletin Optionlarini Secin

3 > Kelime Yasaklamaya gidin

4 > &# Bunlari Yasaklayin

5 > Kayit edin

DDos koruması için host şirketizden endişeliyseniz, CloudFare kullanabilirsiniz.

Register Globals açığı

bunun kapalı olduğundan emin olun phpinfo bilgisine bakarak bunu öğrenebilirsiniz


admincp/bakım->Phpinfo bilgilerini göster

(register_globals On ) yazıyorsa kapatmak için


etc/php.ini dosyasından register_globals = 0 satırını değiştirmelisiniz (bu işlemlerden sonra sunucuya restart atmanız gerekli) tabi sunucu size ait ise..
bunu kapatmanın bir diğer yoluda .htaccess dosyasıdır

.htaccess dosyasına şu kodu
Kod:
php_value register_globals off
kayıt edin.

Footerden admin ve mod liklerinizi kaldırın

Kod:
<vb:if condition="$show['admincplink']"><li><a href="{vb:raw admincpdir}/index.php{vb:raw session.sessionurl_q}">{vb:rawphrase admin}</a></li></vb:if>
Silmeniz yeterli olacaktır.

Klasor guvenligi:

Tüm klasör izinleri doğru olup olmadığını kontrol edin!
Sadece yazma izinleri aşağıdaki klasörleri için etkin olmalıdır;


attachments/
customavatars/
customgroupicons/
customprofilepics/
signaturepics/

bunların dışındaki klasörlerin chmodunu 544 yapın

Sunucu Ayarları
vbulletin admincp, seçenekleri -> Sunucu Ayarları ve Optimizasyon gidin
Use Remote YUI bulun
Google olarak ayarlayın. Yahoo veya herhangi birini kullanmayın.


Bir .htaccess dosyası oluştur. İçine ise alttaki kodları ekle
<Files ~ “\.(php\d*|cgi|pl|phtml)$”>
order allow,deny
deny from all
</Files>
Sonra bu .htaccess dosyasını ftp ana dizinde bulunan alttaki klasörlerin içine at
customavatars
signaturepics
customprofilepics
attachments


Mümkün oldukca herzaman Lisanslı sürümler kullanın ve herzaman güncelleme yapın.

Bu konu aralıkla güncellenektir.
selametle.
 
Üst