mod_security çözüm olmuyor malesef, bypass etmek çok kolay. 2 way authentication zaten tek kullanımlık şifre girişi sağlamakta, en güvenli şifre girişidir.

Biz whmcs kullandığımız sistemde ftp-cpanel vb.. dahil bütün girişleri tamamen kapattık, root şifresi bile öğrenseler bir bağlantı kuramazlar sunucuya. Bütün IP erişimlerini sadece kullandığımız vpn ile sınırladık. Yani guzel.net.tr sunucusunun root şifresini buraya yazsam şuan kimse bağlantı yapıp zarar veremez(tabi test etmeye niyetim yok).

Yazılım tarafında ise, bizlik çok birşey yok malesef. Yani whmcs kullanıyorsak kodlar da şifreli olduğundan testler yapıp açık bulsak bile bildirip güncelleme beklemekten başka çare yok. Bu yüzden malesef mahkumuz whmcs ekibinin güncelleme yapmasını beklemeye. @Elazığlı168 'in de dediği gibi whmcs de bu konuda malesef gereken özeni göstermiyor. Yani bugün ben şirket içi kullanım için kodlayıp halka açık ortamda kullanılmayacak, sadece çalışanlarımız tarafından kullanılacak bir yazılım bile kodladığımda sql injection olayını tamamen ortadan kaldırmış oluyorsam, whmcs gibi bir yazılımın sql injection olayı ilk kodlandığında hallolmuş olmalıydı. Yani üye bilgileri girişi yaparken sql kod çalıştırılıyor, bundan öte acemilik yok bir yazılımcı için. ticketlarda yazılan php kodlar çalışıyordu bir ara, az whmcs bu yolla hacklenmedi. WHMCS'nin yazılımcılarının işvereni ben olsam çoktan bütün ekibi dağıtmıştım. WHMCS'nin bu saçma sapan güvenlik açıkları yüzünden bir gün çöp olacağını ve nasıl whmcs awbs'yi öldürdüyse, adam gibi güvenlik ve whmcs'den verileri import edebilen bir yazılım yapıp whmcs'nin fonksiyonlarını sunan bir yazılım çıktığı anda whmcs'yi öldürür kısa vadede.