• 25-03-2022, 13:37:51
    #1
    Öncelikle şunu belirteyim kesinlikle tavsiye ettiğim bir şey değil çünkü sizin üye bilgileriniz bulunursa yukarıda kocaman admin cp yazan butona tıklayıp zaten admine erişebiliyorlar. XenForo gerçekten güvenlik tarafında sağlam bir yazılım admin.php'nin erişilebilir olması herhangi bir problem yaratmaz bilginiz olsun. Ancak yinede değişmek istiyorum derseniz ;

    $c['router.admin.formatter'] = $c->wrap(function($route, $queryString)
    {
       $suffix = $route . (strlen($queryString) ? '&' . $queryString : '');
       return strlen($suffix) ? 'kesinlikleadminpaneldegil.php?' . $suffix : 'kesinlikleadminpaneldegil.php';
    });
    Bu kodu src klasörü içerisinde config.php'nin altına ekleyebilirsiniz. kesinlikleadminpaneldegil yazan yeri istediğiniz gibi değişebilirsiniz.
    Bu işlemden sonra ana dizindeki admin.php dosyasının adını da değişmelisiniz


    Ancak şunu unutmayın kesin bir çözüm değil arada bir eklenti veya tema yüklerken sizi admin.php'li bir linke yönlendirebilir, yönlendirdiği linkteki admin.php'yi yeni ayarladığınız isimle değiştirip urlye giriş yapın işleminiz tamamlanacaktır.
  • 25-03-2022, 13:53:41
    #2
    Platin üye
    Paylaşım için teşekkürler bencede değiştirilmesi çok saçma illa böyle bir takıntısı olan arkadaşlar htpasswd metoduna göz atabilir ama bunuda önermiyorum
  • 25-03-2022, 13:56:22
    #3
    Lim10Ata adlı üyeden alıntı: mesajı görüntüle
    Paylaşım için teşekkürler bencede değiştirilmesi çok saçma illa böyle bir takıntısı olan arkadaşlar htpasswd metoduna göz atabilir ama bunuda önermiyorum
    İnsanlar XenForo'yu vBulletin ile karıştırıyorlar haliyle admin.php değiştirme ekstra korumalar ekleme derdine düşüyorlar ama bilmiyorlar ki xenforonun zaten harika bir yazılım olduğunu Yorum için teşekkürler kral.
  • 25-03-2022, 16:14:38
    #4
    Kardeşim vBulletin'i gömmüşsün ancak vBulletin için de dizin yolu değiştirilmediğinde hacklenecek diye bir kaide yok ki, bu işlemler ekstra güvenlik tedbiri uygulamak için yapılır. Yoksa vBulletin 3.8.6'da örneğin faq.php açığı vardır çok komplike ancak Patch Level 1 ile giderilmiştir. Genelde alışılagelmiş ezbere makalelerde admincp'yi değiştirin diye yazar, ama değiştirilmediği takdirde hacklenecek diye bir şey yok. Bu tarz önlemlerin amacı sunucu rootlanırsa hacker ezbere otomatize araçlarla basmasın diyedir diyebiliriz.

    XenForo'nun güncel bir yazılım olduğu ve hacklenmesinin vBulletin'e görece daha zor olduğu konusunda katılmakla birlikte bu değişikliği önermiyor oluşun konusunda seninle hemfikir değilim. İşi ne kadar zorlaştırırsak o kadar iyidir. Ayrıca dizine parola koymak da paranoya düzeyinde takıntılı insanlar için faydalı olacaktır. Dizindeki parola da ulu orta (mesela yönetim özel forumunda) paylaşılmadığı sürece admin girişi yapılamayacak ve hesap çalınması durumunda da güvenlik hat safhada tutulacaktır. Bu yönden yeniden adlandırmaktan daha faydalı diyebiliriz. XF için bunun da fonksiyonu var sanırım. Neyse çok yazdım yeter bu kadar.
  • 25-03-2022, 16:19:18
    #5
    Platin üye
    Looker adlı üyeden alıntı: mesajı görüntüle
    Kardeşim vBulletin'i gömmüşsün ancak vBulletin için de dizin yolu değiştirilmediğinde hacklenecek diye bir kaide yok ki, bu işlemler ekstra güvenlik tedbiri uygulamak için yapılır. Yoksa vBulletin 3.8.6'da örneğin faq.php açığı vardır çok komplike ancak Patch Level 1 ile giderilmiştir. Genelde alışılagelmiş ezbere makalelerde admincp'yi değiştirin diye yazar, ama değiştirilmediği takdirde hacklenecek diye bir şey yok. Bu tarz önlemlerin amacı sunucu rootlanırsa hacker ezbere otomatize araçlarla basmasın diyedir diyebiliriz.

    XenForo'nun güncel bir yazılım olduğu ve hacklenmesinin vBulletin'e görece daha zor olduğu konusunda katılmakla birlikte bu değişikliği önermiyor oluşun konusunda seninle hemfikir değilim. İşi ne kadar zorlaştırırsak o kadar iyidir. Ayrıca dizine parola koymak da paranoya düzeyinde takıntılı insanlar için faydalı olacaktır. Dizindeki parola da ulu orta (mesela yönetim özel forumunda) paylaşılmadığı sürece admin girişi yapılamayacak ve hesap çalınması durumunda da güvenlik hat safhada tutulacaktır. Bu yönden yeniden adlandırmaktan daha faydalı diyebiliriz. XF için bunun da fonksiyonu var sanırım. Neyse çok yazdım yeter bu kadar.
    Aslında xenforo 2 adımlı doğrulamayı admin paneline erişimi olan kullanıcılara zorunlu kıldığımız an çoğu şeyi çözmüş oluyoruz Admin hesabına erişimi olan birinin "kullanıcıyı düzenleme" işlemiyle admin panelini bulması kadar kolay bir şey yok, zaten o aşamaya gelmiş kişi için admin panelini bulamamak ahmaklık olur bence.

    Aslında asıl güvenlik kullanıcı hesabının korunmasından geçiyor 2 adımlı doğrulamada buna birebir çözüm diye düşünüyorum
  • 25-03-2022, 16:22:34
    #6
    Lim10Ata adlı üyeden alıntı: mesajı görüntüle
    Aslında xenforo 2 adımlı doğrulamayı admin paneline erişimi olan kullanıcılara zorunlu kıldığımız an çoğu şeyi çözmüş oluyoruz Admin hesabına erişimi olan birinin "kullanıcıyı düzenleme" işlemiyle admin panelini bulması kadar kolay bir şey yok, zaten o aşamaya gelmiş kişi için admin panelini bulamamak ahmaklık olur bence.

    Aslında asıl güvenlik kullanıcı hesabının korunmasından geçiyor 2 adımlı doğrulamada buna birebir çözüm diye düşünüyorum
    Çok doğru, benim demek istediğim vBulletin sistemler de eski olmasına rağmen illa her sürümünde açık var da dizini yeniden adlandırırsak korumuş oluruz mantığının yanlış olduğunu anlatmaktı Yoksa Celil kardeşime ve sizin dediğiniz 2FA olayına lafım yok. Yazılım tarafında alınacak güvenlik önlemleri kadar hostingin de sağlam olması önemlidir. Hosting dandik olursa adam bir şekilde sızar, yapacağını yapar. Güvenilir bir sunucuda ise ister XenForo olsun, isterse vBulletin olsun vvarez eklenti ve temalardan oluşabilecek açıklar bulundurulmadığı müddetçe kolay kolay hack olmaz. Tabii admin parolasını Brute-Force ile kırılabilecek düzeyde basit belirlerse, o ayrı