• Merhaba Ziyaretçi,
    Sitemizden yararlanmak için buradan kayıt olunuz.
  • Değerli üyelerimiz, Bildiğiniz üzere uzunca bir süredir eklenti desteği ile kişisel sebeplerden ötürü ilgilenemiyorum. Üyelerimizi mağdur etmemek açısından burada sergilenen eklentilerimizi Xenforo.gen.tr üzerinde satışa sunma kararı aldık. Mevcut eklentilere ait kritik problem ve geliştirmeler ile ilgili belirli aralıklarla Xenforo.gen.tr üzerinden destek verilecektir.

Nasıl Yapılır? XenForo Forumu Korumanın Yolları

Sancaktar

Kayıtlı Üye
Katılım
31 Ağu 2016
Mesajlar
76
Reaction score
61
Puanları
18
Yaş
42
Web sitesi
www.muhendis.net
PHP Versiyonu
PHP v7.1.x
XenForo Versiyonu
XF 1.5.x
XenForo, forum oluşturma da popüler bir script haline gelmektedir. Bundan dolayı birçok siber korsanın gözünün sistem üzerine çevrilmesi sürpriz değildir. Bugün size gizli tehlikelere karşı forumunuzu korumanın yollarını anlatacağım.

1. Güncelleme geldiğinde sitenizi hemen güncelleyin
E-Mail yada RSS kullanarak XenForo Güvenlik güncellemelerine abone olunuz. Yeni sürüm çıktığı zaman sitenizi güncelleyin. Bu en kısa sürede yapılmalıdır. XenForo yeni sürümleri, kapatılan güvenlik problemlerini açıklayarak duyurulmaktadır; buda siber korsanlara sisteme giriş için yol haritası sunmaktadır. Başka birşey yapmıyorsanız sitenizi en yakın zamanda güncelleyiniz.

2. Admin 'in kullanıcı adını değiştirin
Xenforo 'da varsayılan admin adı genellikle “admin” “administrator” “root” 'tur ve bir siber korsan bunu sitenize saldırmak için kullanabilir. Bunu engellemek için aşağıdaki adımları takip ediniz:
  • Admin Kontrol Panele giriniz.
  • Üyeler > Üst Yönetim yolunu takip ediniz ve Admin 'lerin kullanıcı adınız değiştiriniz.
Not: Değişiklik için mevcut şifre girilmek zorundadır.

3. Güçlü bir şifre kullanınız ve düzenli olarak değiştiriniz
Yönetici şifrelerinin yanı sıra panel ve ftp şifrelerinizi de düzenli olarak değiştiriniz. Başkalarının da erişimi olan bilgisayarları kullanıyorsunuz, bu adım özellikle önem arz etmektedir. Büyük/küçük harfler, sayılar ve sembollerin kombinasyonunda oluşan özgün şifreler oluşturunuz. Bunun yanı sıra, kullanıcı adınızı ve şifrenizi en az 2 ayda bir değiştiriniz.

4. MySQL kullanıcı adınızı, forumda kullanıcı adı olarak kullanmayınız
Yeni site açarken, her zaman yeni bir admin hesabı oluşturmalısınız ve izinleri sadece ilgili veritabanı için ayarlamalısınız. Bu yolla admin sadece belirlenen siteye erişim yetkisi olur. Bunu yapmazsanız, bir site hacklenebilir ve diğer sitelerde korunaksız kalır.

5. admin.php dosyasını .htpasswd yardımıyla koruyunuz
Aşağıda iki popüler Admin Paneli için (Cpanel and Directadmin) .htpasswd oluşturma rehberi bulunmaktadır.

A. cPanel için:
  • cPanel 'e giriş yapınız
  • "Password Protect Directories" seçiniz >> "Web Root" >> Sitenin ana dizinini seçiniz.
  • "Password protect this directory" seçeneğini seçiniz.
  • Bu bölüm içinde "Name the protected directory" kısmını bul ve "Admin Control Panel Protected" seçeneğini işaretle:
  • Kaydet.
  • Bu bölümde "Create User" 'a tıkla ve Kullanıcı adı-Şifre kısımlarını doldur.
  • "Add/modify authorised user" 'ye tıkla
  • Şimdi sizin /.htpasswds/public_html/name_folder_forum yolunda şifreyle korunmuş bir dosyanız var.
B. Directadmin için:
  • Directadmin 'e giriş yapınız
  • "Password Protected Directories" seçiniz >> "Find a Directory to Password Protect" >>tıklayarak, sitenin ana dizinini seçiniz.
  • "Protection Enabled" seçeneğini işaretleyiniz.
  • "Protected Directory Prompt" - "Set/Update User" - "Password" - "Re-Enter Password" parametrelerini doldurunuz.
  • Kaydet.
  • Şimdi sizin .htpasswd/public_html/name_folder_forum yolunda şifreyle korunmuş bir dosyanız var.
Yukarıdaki gibi htpasswd dosyası oluşturduktan .htaccess dosyasını açınız (orjinal forum klasöründeki) ve aşağıdaki kodu bulunuz:

Kod:
AuthGroupFile /dev/null
AuthType Basic
AuthUserFile path/to/passwd/file
AuthName "ACP Protected"
Require valid-user
ve altta yer alan kod ile değiştiriniz.

Kod:
<Files admin.php>
AuthType Basic
AuthName "ACP Protected"
AuthUserFile "path/to/passwd/file"
Require valid-user
</Files>
Not: path/to/passwd/file oluşturulacaktır
- /home/demosite.org/domains/demosite.org/.htpasswd/public_html/.htpasswd (Directadmin ile)
- /home/demosite.org/.htpasswds/public_html/passwd (cPanel ile)

6. /install klasörünü .htpasswd ile koruyunuz
/install klasörü içerisinde aşağıdaki kod ile .htaccess dosyası oluşturunuz:

Kod:
AuthType Basic
AuthName "Install Protected"
AuthUserFile "path/to/passwd/file"
Require valid-user
htpasswd ile admin.php dosyasını korumak için path/to/passwd/file yolunu kullanmalısınız yada yeni hesap oluşturmalısınız.

7. admin.php dosyası ve /install klasörüne erişim için IP adresi kullanınız
admin.php dosyası ve /install klasörüne erişim için IP adresi kullanabilirsiniz. Bu durumda, admin.php dosyası ve /install klasörünü korumak için .htaccess dosyasını (sitenin orjinal dosyasında ki) aşağıdaki gibi düzenlemeniz gerekir. :

admin.php korumak için aşağıdaki kodları .htaccess 'e ekle

Kod:
<Files admin.php>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Files>
/install klasörünü korumak için klasör içinde için .htaccess dosyası oluştur ve aşağıdaki kodları .htaccess 'e ekle

Kod:
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
127.0.0.1 'i mevcut IP adresiniz ile değiştiriniz. IP Adresim Nedir? IP Adresi Araçları ve Dahası adresinden IP adresinizi öğrenebilirsiniz.

Aşağıdaki satırı ekleyerek daha fazla IP 'ye izin verebilirsiniz.

Kod:
Allow from 127.0.0.1
Yukarıda ki yöntem IP 'niz statik is kullanılabilir. Eğer dinamik IP adresi kullanıyorsanız her seferinde .htaccess dosyasını güncellemek yerine aşağıda ki kodu dosyanıza ekleyebilirsiniz.

Kod:
Allow from 127.0
IP adresinizin ilk 2 katmanı 127.0 ise giriş yapmaya devam edebilirsiniz tabi bu statik ip 'ye göre aldığınız riski de arttıracaktır.

8. Xenforo için güvenlik eklentileri kullanabilirsiniz
Account Security Essential
[DBTech] DragonByte Security

9. Admin panele erişim için iki adımlı doğrulama sistemini aktif edebilirsiniz
İki adımlı doğrulama hesap güvenliği için iyi bir araçtır. Admin panelde Seçenekler -> Admin Kontrol Panel yolunu izleyip aşağıdaki seçeneği aktif ederek admin panele girişlerde yöneticilerin iki adımlı doğrulama kullanmasını zorunlu hale getirebilirsiniz.

Require two-step verification to access the admin control panel
Admin paneline girişlerde iki adımlı doğrulama gereklidir

Hesabınıza girişlerde kullanıcı şifrenize ilave olarak aşağıda ki yöntemlerle aldığınız kodu da girmeniz gereklidir. Koda sahip değilseniz girişiniz yarıda kesilir.

1- E-posta kod doğrulamalı yöntem
2- Cep telefonu QR kodu uygulaması yöntem

E-posta doğrulamasında, sistem size e-posta olarak bir kod numara gönderir. O numarayı siteye giriş yaparken kullanırsınız ve her seferinde talep edebilirsiniz. Ayrıca sistem, size özel kayıtlı kod haneleri verir. O hanelerin hepsini kullanabilir, saklayabilir ve silip yeniden oluşturabilirsiniz.

Cep telefonu QR kodu uygulaması ise, telefonunuzdaki uygulamayı kullanarak doğrulama kodu oluşturmanızı ve siteye onunla güvenli şekilde giriş yapmanızı sağlar. İlgili kısımda açıklama da yazmaktadır.

10. Siteniz için yedekleme planı oluşturunuz
Bu çok kritiktir. Asla hackleneceğinizi düşünmezsiniz fakat olma ihtimaline karşılık güncel yedek bulundurmanızda fayda vardır. Yedek olması durumunda herhangi bir aksilikte sitenizi birkaç saat içerisinde tekrar eski haline getirebilirsiniz. Hosting firmanız ile günlük yada haftalık yedek alıp almadıklarını görüşünüz. Hosting firması yedek alsa bile kendi yedeklerinizi (DB+FTP) almayı ihmal etmeyin. Bunu el ile yapabileceğiniz gibi CodeGuard gibi uygulamalar ile de yapabilirsiniz.

Bu ipuçları sitenizi korumak için yardımcı olacaktır. Sizinde koruma yöntemleriniz var ise lütfen bizimle paylaşınız.

Çeviri tarafımca yapılmıştır. Sitemiz aktif linki kullanılarak alıntı yapılabilir.
 

OsmanT

Kayıtlı Üye
Katılım
29 Eyl 2016
Mesajlar
399
Reaction score
192
Puanları
43
Yaş
36
Konum
Konya
Web sitesi
www.islambeka.com
PHP Versiyonu
PHP v7.1.x
XenForo Versiyonu
XF 1.5.x

Kasper

Kayıtlı Üye
Katılım
5 Ağu 2016
Mesajlar
188
Reaction score
87
Puanları
43
Yaş
42
Web sitesi
cyber-warriors.net
PHP Versiyonu
PHP v7.1.x
XenForo Versiyonu
XF 1.5.x
Kod:
<Files admin.php>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Files>
bu ftp bağlan htaccess'e ekle sabit iP kullanmıyorsan sağlıklı olmaz
kolay kolay kimse sabit ip kullanmaz kardeşim
 

premiumturkey

Kayıtlı Üye
Katılım
18 Ağu 2016
Mesajlar
141
Reaction score
56
Puanları
28
Yaş
34
Konum
New York
Web sitesi
cracking.ml
PHP Versiyonu
PHP v7.1.x
XenForo Versiyonu
XF 1.5.x
Kod:
<Files admin.php>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Files>
bu ftp bağlan htaccess'e ekle sabit iP kullanmıyorsan sağlıklı olmaz
Sabit ip ile hiç alakası yok herkes vds kullanacak diye bir şart da yok adam shared hosting kullanıyordur.
 

OsmanT

Kayıtlı Üye
Katılım
29 Eyl 2016
Mesajlar
399
Reaction score
192
Puanları
43
Yaş
36
Konum
Konya
Web sitesi
www.islambeka.com
PHP Versiyonu
PHP v7.1.x
XenForo Versiyonu
XF 1.5.x
Sabit ip ile hiç alakası yok herkes vds kullanacak diye bir şart da yok adam shared hosting kullanıyordur.
Bilgisayardan admin'e bağlanırken kullanılan ipten söz ediyorum yani xxxx iP le admin'e kısıtlama koysan internet gidince iP değişir ve bağlanamazsın dediğim şey bu
 

Kasper

Kayıtlı Üye
Katılım
5 Ağu 2016
Mesajlar
188
Reaction score
87
Puanları
43
Yaş
42
Web sitesi
cyber-warriors.net
PHP Versiyonu
PHP v7.1.x
XenForo Versiyonu
XF 1.5.x
Bilgisayardan admin'e bağlanırken kullanılan ipten söz ediyorum yani xxxx iP le admin'e kısıtlama koysan internet gidince iP değişir ve bağlanamazsın dediğim şey bu
ağzına sağlık güzel anlatım benimde anlatmak istediğim bu herkes sabiit ip kullanmaz.
 
Üst