MyBB, kutudan çıktığı haliyle en yaygın web saldırılarına karşı temel koruma kalkanlarına sahiptir:

SQL Enjeksiyonu (SQLi) Koruması: Veritabanı sorguları, zararlı kod sızmalarını engellemek için özel filtreleme ve kaçış (escape) fonksiyonlarıyla işlenir.

XSS (Cross-Site Scripting) ve CSRF Koruması: Form gönderimlerinde yetkisiz işlemleri engellemek için oturuma özel güvenlik anahtarları (authorization codes / CSRF tokens) kullanılır. Kullanıcı girdileri ekrana yansıtılmadan önce filtrelenir.

Şifreleme: Kullanıcı parolaları düz metin olarak saklanmaz; karmaşık tuzlama (salting) ve modern hash algoritmaları ile şifrelenerek veritabanında tutulur.

Aktif Güvenlik Yamaları: MyBB geliştirici ekibi, tespit edilen zafiyetleri (vulnerabilities) hızla kapatarak güvenlik odaklı minor güncellemeler yayınlar.

Güvenlik Önlemlerini Artırmak İçin En İyi Uygulamalar (Best Practices)

Çekirdek sistem güvenli olsa da, insan faktörü ve üçüncü taraf eklentiler her zaman risk oluşturur. Forumunuzu tam anlamıyla koruma altına almak için aşağıdaki adımları uygulamalısınız:

1. Yönetici (Admin) Dizinini Maskeleme

Saldırganların ilk hedefi genellikle forumun yönetim panelidir ([siteniz.com/admin](https://siteniz.com/admin)). MyBB, bu dizinin adını değiştirmenize olanak tanır.

Sunucunuzdaki admin klasörünün adını rastgele ve tahmin edilemez bir isimle (örneğin: gizli_panel_789) değiştirin.

Ardından inc/config.php dosyasını açarak $config['admin_dir'] = 'admin'; satırını yeni klasör adınızla güncelleyin. Bu basit işlem, otomatik "Brute Force" (Kaba Kuvvet) botlarının yönetim panelinize ulaşmasını engeller.

2. Kritik Dosyaların İzinlerini (CHMOD) Sınırlandırma

Veritabanı bilgilerinizi içeren ayar dosyasının yetkilerini kısıtlamak hayati önem taşır. Kurulum bittikten hemen sonra sunucunuz üzerinden inc/config.php dosyasının CHMOD izinlerini 644 veya daha katı bir güvenlik için 444 (sadece okunabilir) olarak ayarlayın.

3. İki Aşamalı Doğrulama (2FA) Entegrasyonu

Yönetici ve moderatör hesaplarının ele geçirilmesi, tüm sitenin kaybedilmesi anlamına gelir. Admin panelinize ve yetkili kullanıcı hesaplarına Google Authenticator veya benzeri uygulamalar üzerinden çalışan 2FA (İki Faktörlü Kimlik Doğrulaması) eklentileri kurarak hesap güvenliğini donanımsal bir onaya bağlayın.

4. Bot ve Spam Kayıtları Engelleme

Forumlar, spam içerik üreten botların birincil hedeflerindendir. Spam, sadece SEO performansınızı düşürmekle kalmaz, aynı zamanda zararlı linkler barındırabilir.

MyBB'nin varsayılan güvenlik soruları yerine, doğrudan Google reCAPTCHA v3 veya hCaptcha entegrasyonu kullanın.

Admin panelinden StopForumSpam API'sini aktif hale getirin. Bu sayede, daha önce başka forumlarda spam yaptığı bilinen IP adresleri ve e-postalar sitenize kayıt olamaz.

5. Eklenti ve Tema Hijyeni

MyBB forumlarının hacklenmesinin bir numaralı nedeni, güvenlik açığı barındıran veya güncel olmayan eklentilerdir.

-Sadece resmi ve güvenilir kaynaklardan eklenti kurun.
-Kullanmadığınız eklentileri sadece "pasif" konuma almayın, sunucudan tamamen silin.
-Korsan (nulled) temalardan kesinlikle uzak durun.

6. Sunucu ve WAF (Web Application Firewall) Düzeyinde Koruma

Uygulama katmanındaki güvenliği sunucu katmanıyla destekleyin.

Sitenizi Cloudflare gibi bir proxy servisi arkasına alarak DDoS saldırılarını sönümleyin ve WAF kuralları ile şüpheli trafikleri henüz sunucunuza ulaşmadan engelleyin.

Tüm veri akışını şifrelemek için güçlü bir SSL/TLS sertifikası (HTTPS) kullanmaya özen gösterin.