Podstawowe zabezpieczenie forum

[Max]

vBulletin jest skryptem bezpiecznym, lecz warto się upewnić, że jego konfiguracja nie powoduje luk, przez które potencjalny włamywacz mógłby dobrać się do naszego forum.
Poniżej zamieszczam kilka podstawowych zasad bezpieczeństwa vBulletin.

1. Zawsze aktualizuj forum do najnowszej dostępnej, stabilnej wersji.

2. Nie instaluj nieoficjalnych modyfikacji, od nieznanych dystrybutorów. Mogą one zawierać różnego rodzaju "dodatkowe" kody.

3. Jeśli Twój serwer obsługuje .htaccess zabezpiecz dodatkowymi hasłami Panel Administratora oraz Panel Moderatora. Więcej w TYM temacie.

4. Używaj różnych haseł dla konta administratora na forum oraz do logowania .htaccess .

5. Jeśli przeprowadzałeś konwersję z innego skryptu nie zapomnij o usunięciu plików ImpEx'u z FTP.

6. Używaj skomplikowanego hasła dla swojego konta i zmieniaj je możliwie często. Upewnij się również, że hasła innych Administratorów oraz Moderatorów na forum są w miarę długie i skomplikowane.

7. NIGDZIE nie zezwalaj na używanie HTML (ani w postach, ani w sygnaturkach, ani w PW).

8. Upewnij się, że nie zamieściłeś na serwerze plików z katalogu do_not_upload, w tym np. tools.php.

9. Jeśli używasz phpMyAdmin upewnij się, że hasło do zalogowania się jest bezpieczne.

10. Jeśli ktoś zna Twój 'Customer Number' powinieneś ustawić CHMOD '0' na folder install.

11. Upewnij się, że phpinfo() nie jest publicznie widoczne. W tym celu przejdź:
ACP -> vBulletin Options -> Server Settings and Optimization Options
Opcja "Public phpinfo() Display Enabled" powinna być ustawiona na Nie / No.

12. Pamiętaj, że wszystkie pliki .php na serwerze muszą mieć CHMOD 644, natomiast katalogi (foldery) 755.

13. W config.php dodaj swoje konto jako 'undeletable user'. Dzięki temu nikt z poziomu AdminCP nie będzie mógł Cię zbanować, usunąć, odebrać uprawnień etc.

14. Ustaw prefixy dla tabel w bazie.

15. Zmień ścieżki do Panelu Administratora oraz Panelu Moderatora. Robisz to poprzez edycję nazwy katalogów na FTP. Usuń te informacje również ze stopki poprzez edycję szablonu 'footer' w skinie.


Póki co tyle. Jeśli przyjdzie mi na myśl więcej pomysłów dopiszę

Pozdr.
MK

[Ctrl]

Świetny poradnik

[Ctrl]

Niestety nie moge juz edytować posta wyżej:

13. W config.php dodaj swoje konto jako 'undeletable user'. Dzięki temu nikt z poziomu AdminCP nie będzie mógł Cię zbanować, usunąć, odebrać uprawnień etc.


Gdzie konkretnie to dodać?

[Max]

135 linijka, czyli:

$config['SpecialUsers']['undeletableusers'] = '';

Swoje ID wpisujesz pomiędzy ''.

pozdr.

[falon]

15. Zmień ścieżki do Panelu Administratora oraz Panelu Moderatora. Robisz to poprzez edycję nazwy katalogów na FTP. Usuń te informacje również ze stopki poprzez edycję szablonu 'footer' w skinie.

Ale jak zrobiłem tak to panel moderacji chodzi nie poprawnie.
W menu moderacja nie chodzą żadne z opcji "Tematy do Sprawdzenia" itd. Kiedy klika się na te opcje to w prawym panelu wskakuje strona forum. Skrypt nadal chce przekierować do ścieżki z "modcp" w nazwie.
Co można z tym zrobić?

[Grzegorz]

Zmieniłeś ścieżkę w configu?

[falon]

Zmieniłeś ścieżkę w configu?

Nie nie zmieniłem wtedy, bom nie wiedział. Już wszystko ok. Wielkie dzięki.

[header]

Aby ograniczyć dostęp do katalogu/strony tylko osobom znającym hasło, należy w zabezpieczanym katalogu umieścić plik .htaccess zwierający:

Kod:

AuthName "Podaj haslo"
AuthType Basic
AuthUserFile /sciezka_do_katalogu/.htpasswd
Require valid-user

Gdzie AuthName może być dowolnym tekstem. W linijce /sciezka_do_katalogu/.htpasswd należy podać pełną ścieżkę do pliku .htpasswd o którym będzie za chwilkę.

Następną czynnością jest utworzenie pliku .htpasswd, zawierającego nazwy użytkowników i ich hasła. Plik ten tworzy się w postaci:

username: password

gdzie password jest odpowiednio zakodowane. Przykładowo dla użytkownika pawel i hasla mojehaslo, plik .htpasswd przyjmie postać:

header:vBhelp.pl

Plik .htpasswd powinien być trzymany poza katalogiem web root, czyli tam gdzie zwykły użytkownik nie ma dostępu.

Od teraz każda próba wejścia do zabezpieczonego katalogu wywoła monit o hasło:

[pitu]

Aby ograniczyć dostęp do katalogu/strony tylko osobom znającym hasło, należy w zabezpieczanym katalogu umieścić plik .htaccess zwierający:.....

Spójrz na pkt.3

[header]

Coś ten link nie działa