Vbulletin, popüler ve ücretli(lisans gerektiren), php tabanlı bir forum yazılımıdır. Günümüzdepekçok forum sitesi, esnek ve değiştirilebilir yapısı, şifrelenmemişkodları, eklenti desteği nedeniyle Vbulletin'i tercih etmektedir.Böylesine tercih edilen ve kodları şifresiz olan yazılım için hergünyeni exploitler çıkmakta, yeni açıklar keşfedilmektedir. Eğer siz debir Vbulletin kullanıcısıysanız aşağıdaki tedbirlerle kendinizi geleceksaldırılara karşı büyük oranda koruyabilirsiniz. Maddeler halindevereceğimiz bu güvenlik ipuçlarının bir kısmı genel site güvenliğiyleve linux sunucularla da ilgilidir.

Vbulletin güvenliğine giden yollar şöyledir:

1. Seçeceğiniz hosting firmasının en azından yazılımsal açıdan güvenilir olmasına dikkat ediniz. Bu bağlamda;

a) Forumunuzun yayınında temel olan sunucu yazılımları güncelmi? Örneğin Apache, PHP ve Mysql'un son ve stabil sürümleri mikullanılıyor?

b) Sunucuda en azından yazılımsal bir firewall olmalıdır.Günümüzün popüler yazılımsal firewalleri arasında CSF ve APFgösterilebilir.

c) Sunucuda url, referer vb. tabanlı açıkların büyük bölümünüengelleyebilen mod_security eklentisi Apache'de bulunuyor mu? Ancak bueklentinin tek başına bulunması yeterli değildir. Mod_security'e uygunkuralların (rules) tanımlanmış olması gerekir. Bu rulelerin güncelbiçimlerine [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] veya [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] adreslerinden ulaşılabilir.

d) Barınacağınız sunucu donanımsal açıdan yeterli mi?

2. Vbulletin superuser (erişim sınırlamasız kurucuadmini) şifresini olabildiğince zor seçin. Örneğin 1234567 gibi birşifre kesinlikle güvenli olmayacaktır. Bunun yerine 389_saxne23-a0biçiminde 6 karakterden uzun sayı, harf karışımı şifreler daha güvenliolacaktır. Şifrelerinizi belli sürelerde yenileyin.

3. Superuser yetkisi vereceğiniz kişileri sınırlı tutun. Eğergerek yoksa config.php dosyanızdan sadece kendinize bu yetkiyi tanıyın.

4. admincp ve modcp panellerinizin bulunduğu klasörleri ayrı ayrı şifreleyin. Cpanel'de bunu Şifre Korumalı Dizinler bölümünde yapabilirsiniz.

5. Dosyalarınızı sunucuya gönderirken, FTP yaparken mutlakagüvenli bir FTP istemcisi kullanın. Örneğin CuteFTP'nin yasadışıdağıtımları sitelerinize zararlı kodlar bırakabiliyor veyaşifrelerinizi saldırganlara yollayabiliyor. Eğer ücretsiz, trial haricibir FTP programı arıyorsanız [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] adresinden FileZilla'nın ücretsiz sürümünü indirip kullanabilirsiniz.

6. Vbulletin yönetici panelinden, Vbulletin seçeneklere gelin.Burada sansürlenen/yasaklı sözcükler bölümüne "<scrip redire ******** ** "" <***** <?p locatio <html </html <pre do=document." baştaki ve sondaki tırnaklar hariç olarak girin.

7. Hiçbir dosyanızın veya klasörününüzün iznini (chmodunu) 777 veya 666 yapmayın.

8. Lisanslı ve son sürüm Vbulletin kullanın. Güncellemeleri [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] resmi sitesinden sık sık takip edin.

9. Forumunuzda veya kullanıcı gruplarınızda HTML kullanım iznini açmayın.

10. Gereksiz yetki vermekten kaçının.

11. Gereksiz, güvenmediğiniz eklenti (plugin veya ürün) kurmayın. Eklentilerde bulunan açıklar da en az Vbulletin'de bulunan açıklar kadar saldırıya uğrayabiliyor.

12. Eğer PHP bilginiz varsa ve yukarıda sıralanandan daha çok güvenliğe gereksiniminiz bulunuyorsa şunları yapın;

PHP ile URL kontrolü freni: Özgün bir düşünce

Vbulletin'in header.php dosyasına Stiller-Temalar > Temaları Düzenle> header bölümünden ulaşın. Dosyanın üst kısmında url kontrolüyapabileceğiniz ve kendinize göre geliştirebileceğiniz aşağıdaki fikrikullanabilirsiniz. Bu kodu eğer SEF, url rewrite kullanıyorsanız kullanmayın veya kendinize göre değiştirin.

<?php
$frenle=$_SERVER['REQUEST_URI'];

//Aşağıdaki if deyimiyle eğer url satırı 55 karakterden uzunsa -Urltabanlı exploitlerin bir çoğu bu değerden uzundur.- diğer satırlarageçmeyi durduruyor. Eğer SEF, url rewrite yapmıyorsanız bu kod ile çoğuURL tabanlı saldırının önüne geçebilirsiniz.

if (strlen($frenle)>=65) {
exit;
}

// Aşağıdaki kod ise eğer url bölümünüzde istenmeyen bir karakter,bölüm varsa çalışmayı durdurmaktadır. Bu da henüz çıkmamış, duyrulmamışurl tabanlı açıkların bile önüne geçmenizi sağlayabilir. $bnd1,2,3,4...alanlarını çoğaltarak kendinize göre zenginleştirebilirsiniz. Anlaşılırolması açısından değerler tek tek yazılmış ve döngüye sokulmuştur.

$frenle=strtolower($frenle);
$bnd1=strpos($frenle, "tool");
$bnd2=strpos($frenle, "******");
$bnd3=strpos($frenle, "redire");
$bnd4=strpos($frenle, "location");
$bnd5=strpos($frenle, "script");
$bnd6=strpos($frenle, "html");
$bnd7=strpos($frenle, "include");
$bnd8=strpos($frenle, "insert");
$bnd9=strpos($frenle, "delet*e");
$bnd10=strpos($frenle, "exit");
$bnd11=strpos($frenle, '//');
$bnd12=strpos($frenle, 'where');
$bnd13=strpos($frenle, 'vb_login');
$bnd14=strpos($frenle, 'xss');
$bnd15=strpos($frenle, 'echo');
$bnd16=strpos($frenle, 'die');
$bnd17=strpos($frenle, 'command');
$bnd18=strpos($frenle, 'cookie');
$bnd19=strpos($frenle, 'cmd');
$bnd20=strpos($frenle, '_md5');
//yukarıda tanımladığımız 11 kural için bir ihlal yakalanmışsaihlali yapan kişi karşısında echo ile belirtilmiş iletiyi görecek veorada kalacaktır.
if (($bnd1== true) or ($bnd2== true) or ($bnd3== true) or ($bnd4==true) or ($bnd5== true) or ($bnd6== true) or ($bnd7== true) or ($bnd8==true) or ($bnd9== true) or ($bnd10== true)or ($bnd11== true)or($bnd12== true)or ($bnd13== true)or ($bnd14== true)or ($bnd15== true)or($bnd16== true)or ($bnd17== true)or ($bnd18== true) or ($bnd19== true)or ($bnd20== true)) {
echo 'Zararlı olabilecek Url durduruldu! Lütfen kullandığınız Urlye dikkat ediniz.';
exit; }

?>

Vbulletin forumunuz için alabileceğiniz güvenlik önlemleri bu 12maddeyle sınırlı değildir. Ancak bu 12 maddenin gereklerini yerinegetiren bir forumun hackleme saldırıları karşısında ayakta durabilmeolasılığı oldukça yükselir. Unutmayınız ki öncelikle güvenli birhosting edinmelisiniz. Güvenli Vbulletin hosting için lütfen [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] paketlerimizi inceleyiniz.

 

Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


İlginç bir başlık. Fakat vBulletin zaten bu maddelerin hiç birinden etkilenmiyor. Bilinçsiz kullanıcıların yüklediği temalar ve kaynağı belirsiz plug-in 'ler sayesinde bir çok forum hack problemi ile karşılaşmakta.

Yani dolayısıyla; başlığın da sonunda sözü geçen Hosting Firmasının popüler bir forum adından ve güvenliğinden bahsederek müşteri çekme çabası gibi geldi.