phpBB güvenlik modülü (phpBB Security 1.0.2)
Tarih: 29.10.2005, 12:58Başlıktada belirtildiği gibi phpbb güvenlik modülü phpbb forumunuzu daha güvenli bir hale getirmektedir böylece hacklenme riskinizi minumum a düşürmektedir
Özellikleri
1. Veritabanı yedekleme scripti sayesinde günlük yedekleriniz belirlediğiniz bir klasörde saklanabilir.
2. Forumdan uzaklaştırılan kullanıcıların ip numaralarını kolayca arayabilmek ve daha detaylı bilgilere ulaşabilmek için geliştirilmiş arama arayüzü.
3. 3 Dereceli DDoS saldırı koruması eklenmiştir.
4. allow_url_fopen fonksiyonu kontrolü forumda meydana gelebilecek bir güvenlik açığını kullanarak başka bir sitedeki bir dosyayı include etmelerini engellemektedir.
5. Kullanıcı profillerine gizli soru ve cevabı eklenmiştir böylece yanlış girişlerle hesabı bloke edilen kişi bu soruya cevap vererek hesabı açabilmektedir yada şifresini resetlemek isteyen kişi aynı şekilde bu soruya cevap vermek zorundadır bu sorunun cevabı veritabanında düz metin olarak saklanmaz md5 hash şeklinde saklanmaktadır.
6. Yönetici ve moderatör koruması getirilmiştir örneğin menulerden forumda yönetici sayısını 1 olarak ayarlarsanız hiç bir şekilde bir yönetici yada moderatör daha foruma eklenemiyecektir sql injection saldırılarına karşı bire bir.
7. Belirli tarayıcıları kullanan kişileri forumdan uzaklaştırma yetkisi örnek internet explorer gibi.
8. Belirli bir siteden gelen kullanıcıları forumdan uzaklaştırabilme yeteneği örnel yahoo.com gibi.
9. Cookie kontrol özelliği kullanıcılar tarafından değiştirilen cookieleri belirleyip geçersiz sayabilme yeteneği.
10. Yöneticiye hesabı kilitlenene kişiler hakkında email yada özel meesaj atabilme özelliği
11. fopen(),fwrite(),system() özelliklerini kontrol atında tutma kullanmaya çalışanları forumdan uzaklaştırma.
12. DDoS, Clike, UNION & SQL Injection saldırılarını anlayıp bu saldırı girişiminde bulunanları forumdan uzaklaştırma.
13. phpbb_sessions tablosunu bir limit altında tutarakt ablonun dolup error_creating new sessions hatasını almanızı engellemesi.
14. Admin klasörünü .htaccess ile şifreleyerek yönetici olarak yönetim paneline girmek istiyen birinin ekstra bir kullanıcı adı ve şifresi girmesini sağlaması.
1.0.2 sürümü için indirme adresi: http://phpbb-tweaks.com/down_db.php?page=cat&id=916
Türkçe dil dosyası: dload.php?action=file&file_id=92
Kurulum aşamaları
1. Modun zip dosyasını açtıktan sonra root klasöründeki bütün dosya ve klasörleri forum ana klasörünüze atıyorsunuz forum ana klasörü dediğim yer config.php nin bulunduğu dizin
language klasörü içindeki dil dosyası için biizm dil dosyamızıda kullanabilirsiniz tamamen türkçe olur
2. install klasöründeki içindeki installer.php dosyasını config.php nin bulunduğu yere yani forum ana klasörüne atıyorsunuz forumunuza yönetici olarak giriş yaptıktan sonra www.sitenizinadi.com/forumunuz/installer.php olarak çalıştırıyorsunuz ve karşınıza gelen ekranda şunları yapıyoruz:
Choose an admin config name yazan kısımın altına
admins_allowed yazın
Choose a mod config name yazan kısıma
mods_allowed yazın
Choose a disable config name yazan kısıma
block_unwanted yazın ve alttaki submit tuşuna basın şimdi karşınıza bir menu gelicek, aşağıdaki değişiklikleri yapmazsanız yönetici hesaplarını koruma özelliği çalışmayacaktır
includes klasörü içindeki phpbb_security.php dosyasını açın
Son kısım admin klasörünün .htaccess ile şifrelenmesi
modun içindeki
rename.phpbbsecurity dosyasını notepad ile açın
http://www.perlscriptsjavascripts.com/perl/htreg/ bu adrese giderek admin paneli için koyacağınız şifreyi kutucuğa yazn ve encrypt tuşuna basın o sizin belirlediğiniz şifreyi unix tarzı şifreliyecektir benimkinin çıktısı
bu ew/osnPjNhhvg birde aklımıızdan kullanıcı adını belirledik diyelim dropby23 olsun notepad ile açtığımız rename.phpbbsecurity dosyasının içine şu formatta belirlediğimiz kullanıcı adı ve şifresini yazıyoruz dropby23:ew/osnPjNhhvg kullanıcı adı ve şifresini 2 nokta işareti ayırıyor ve bu dosyanın adını .phpbbsecurity olarak değiştirip 
public_html/ klasörünüzün içine atıyoruz
şimdi rename2.htaccess dosyasını da notepad ile açıyoruz içinde aşağıdaki kod yoksa ekleyin varsa ellemeden çıkın
[syntax="apache"]<Files .phpbbsecurity>
deny from all
</Files>[/syntax]
bu dosyayı da public_html/ klasörüne attıktan sonra adını .htaccess olarak değiştiriyoruz.
şimdi rename.htaccess dosyasını açın eğer aşağıdaki kod yoksa ekleyin varsa ellemeyin:
[syntax="apache"]require valid-user
AuthType Basic
AuthName "phpBB Security"
AuthUserFile "/home/{USERNAME}/public_html/.phpbbsecurity"[/syntax]
{USERNAME} kısmına kullanıcı adınızı yazıyorsunuz mesela cpanel için girdiğiniz kullanıcı adı neyse oraya onu yazıyorsunuz benimki dropby23 şifremde 123456 diyelim oraya sadece dropby23 yazıyoruz ve görünümü şu şekilde oluyor
[syntax="apache"]AuthUserFile "/home/dropby23/public_html/.phpbbsecurity"[/syntax]
bu kullanıcı adını yukarıda belirlediğimiz kullanıcı adı ve şifresiyle karıştırmayın burdaki kullanıcı adı yönetim panelinizdeki kullanıcı adıdır bu dosyayıda /forum/admin/ klasörüne atıyoruz ve adını .htaccess olarak değiştiriyoruz böylece artık admin klasörüde şifre ile korunmaktadır modun kurulum işlemleri bitmiştir aklınıza takılan her kısmı sorabilirsiniz.
Özellikleri
1. Veritabanı yedekleme scripti sayesinde günlük yedekleriniz belirlediğiniz bir klasörde saklanabilir.
2. Forumdan uzaklaştırılan kullanıcıların ip numaralarını kolayca arayabilmek ve daha detaylı bilgilere ulaşabilmek için geliştirilmiş arama arayüzü.
3. 3 Dereceli DDoS saldırı koruması eklenmiştir.
4. allow_url_fopen fonksiyonu kontrolü forumda meydana gelebilecek bir güvenlik açığını kullanarak başka bir sitedeki bir dosyayı include etmelerini engellemektedir.
5. Kullanıcı profillerine gizli soru ve cevabı eklenmiştir böylece yanlış girişlerle hesabı bloke edilen kişi bu soruya cevap vererek hesabı açabilmektedir yada şifresini resetlemek isteyen kişi aynı şekilde bu soruya cevap vermek zorundadır bu sorunun cevabı veritabanında düz metin olarak saklanmaz md5 hash şeklinde saklanmaktadır.
6. Yönetici ve moderatör koruması getirilmiştir örneğin menulerden forumda yönetici sayısını 1 olarak ayarlarsanız hiç bir şekilde bir yönetici yada moderatör daha foruma eklenemiyecektir sql injection saldırılarına karşı bire bir.
7. Belirli tarayıcıları kullanan kişileri forumdan uzaklaştırma yetkisi örnek internet explorer gibi.
8. Belirli bir siteden gelen kullanıcıları forumdan uzaklaştırabilme yeteneği örnel yahoo.com gibi.
9. Cookie kontrol özelliği kullanıcılar tarafından değiştirilen cookieleri belirleyip geçersiz sayabilme yeteneği.
10. Yöneticiye hesabı kilitlenene kişiler hakkında email yada özel meesaj atabilme özelliği
11. fopen(),fwrite(),system() özelliklerini kontrol atında tutma kullanmaya çalışanları forumdan uzaklaştırma.
12. DDoS, Clike, UNION & SQL Injection saldırılarını anlayıp bu saldırı girişiminde bulunanları forumdan uzaklaştırma.
13. phpbb_sessions tablosunu bir limit altında tutarakt ablonun dolup error_creating new sessions hatasını almanızı engellemesi.
14. Admin klasörünü .htaccess ile şifreleyerek yönetici olarak yönetim paneline girmek istiyen birinin ekstra bir kullanıcı adı ve şifresi girmesini sağlaması.
1.0.2 sürümü için indirme adresi: http://phpbb-tweaks.com/down_db.php?page=cat&id=916
Türkçe dil dosyası: dload.php?action=file&file_id=92
Kurulum aşamaları
1. Modun zip dosyasını açtıktan sonra root klasöründeki bütün dosya ve klasörleri forum ana klasörünüze atıyorsunuz forum ana klasörü dediğim yer config.php nin bulunduğu dizin
language klasörü içindeki dil dosyası için biizm dil dosyamızıda kullanabilirsiniz tamamen türkçe olur
2. install klasöründeki içindeki installer.php dosyasını config.php nin bulunduğu yere yani forum ana klasörüne atıyorsunuz forumunuza yönetici olarak giriş yaptıktan sonra www.sitenizinadi.com/forumunuz/installer.php olarak çalıştırıyorsunuz ve karşınıza gelen ekranda şunları yapıyoruz:
Choose an admin config name yazan kısımın altına
admins_allowed yazın
Choose a mod config name yazan kısıma
mods_allowed yazın
Choose a disable config name yazan kısıma
block_unwanted yazın ve alttaki submit tuşuna basın şimdi karşınıza bir menu gelicek, aşağıdaki değişiklikleri yapmazsanız yönetici hesaplarını koruma özelliği çalışmayacaktır
includes klasörü içindeki phpbb_security.php dosyasını açın
- Kod: Tümünü seç
return 'phpBBSecurity_max_admins';
- Kod: Tümünü seç
return 'admins_allowed';
- Kod: Tümünü seç
return 'phpBBSecurity_max_mods';
- Kod: Tümünü seç
return 'mods_allowed';
- Kod: Tümünü seç
return 'phpBBSecurity_use_max';
- Kod: Tümünü seç
return 'block_unwanted';
Son kısım admin klasörünün .htaccess ile şifrelenmesi
modun içindeki
rename.phpbbsecurity dosyasını notepad ile açın http://www.perlscriptsjavascripts.com/perl/htreg/ bu adrese giderek admin paneli için koyacağınız şifreyi kutucuğa yazn ve encrypt tuşuna basın o sizin belirlediğiniz şifreyi unix tarzı şifreliyecektir benimkinin çıktısı
bu ew/osnPjNhhvg birde aklımıızdan kullanıcı adını belirledik diyelim dropby23 olsun notepad ile açtığımız rename.phpbbsecurity dosyasının içine şu formatta belirlediğimiz kullanıcı adı ve şifresini yazıyoruz dropby23:ew/osnPjNhhvg kullanıcı adı ve şifresini 2 nokta işareti ayırıyor ve bu dosyanın adını
.phpbbsecurity olarak değiştirip public_html/ klasörünüzün içine atıyoruzşimdi
rename2.htaccess dosyasını da notepad ile açıyoruz içinde aşağıdaki kod yoksa ekleyin varsa ellemeden çıkın[syntax="apache"]<Files .phpbbsecurity>
deny from all
</Files>[/syntax]
bu dosyayı da
public_html/ klasörüne attıktan sonra adını .htaccess olarak değiştiriyoruz.şimdi
rename.htaccess dosyasını açın eğer aşağıdaki kod yoksa ekleyin varsa ellemeyin:[syntax="apache"]require valid-user
AuthType Basic
AuthName "phpBB Security"
AuthUserFile "/home/{USERNAME}/public_html/.phpbbsecurity"[/syntax]
{USERNAME} kısmına kullanıcı adınızı yazıyorsunuz mesela cpanel için girdiğiniz kullanıcı adı neyse oraya onu yazıyorsunuz benimki dropby23 şifremde 123456 diyelim oraya sadece dropby23 yazıyoruz ve görünümü şu şekilde oluyor
[syntax="apache"]AuthUserFile "/home/dropby23/public_html/.phpbbsecurity"[/syntax]
bu kullanıcı adını yukarıda belirlediğimiz kullanıcı adı ve şifresiyle karıştırmayın burdaki kullanıcı adı yönetim panelinizdeki kullanıcı adıdır bu dosyayıda
/forum/admin/ klasörüne atıyoruz ve adını .htaccess olarak değiştiriyoruz böylece artık admin klasörüde şifre ile korunmaktadır modun kurulum işlemleri bitmiştir aklınıza takılan her kısmı sorabilirsiniz.
Alexis'in PM kutusu doluyo 
