Dobrodošli na Ćaskanja

08.07.2009 10:38

Kako održavati MyBB forum bezbednim od hakerisanja?

Naravno da niko ne može garantovati potpunu bezbednost vašeg foruma, ali ima stvari koje možete sami uraditi kako bi vaš forum bio što bezbedniji. Evo nekih stvarčica koje možete sami da uradite:

Držite skriven podatak o verzji foruma

Idite u AdminCP -> Configuration -> General Configuration -> Show Version Numbers i postavite na NO, i verzija foruma se neće prikazivati u footeru stranica. Ovo se posebno preporučuje ako forum nije update-ovan sa najnovijom verzijom MyBB-a.

Preimenujte [b]./admin/ folder[/b]

Svako ko poznaje strukturu MyBB foruma zna da se po default-u u AdminCP loguje na admin folder (na primer http://www.mojforum.net/admin). Da bi ste sprečili potencijalno napadača da otvori adminCP, otvorite fajl ./inc/config.php, i pronađite sledeći kod:

PHP Kod:

$config['admin_dir'] = 'admin'; 

Promenite tekst admin u bilo koji koji želite i sačuvajte izmene. Ukoliko admin preimenujete u na primer kontrola onda će adresa admin panela biti http://www.mojforum.net/kontrola. Kada sačuvate izmene proverite da li novi link radi. Ovim se otežava napadaču pristup AdminCP.

Sakrivanje linka ka Admin panelu

Skrivanjem linka otežavate napadaču ulaz u admin panel. Ovim se ne briše url ka admin panelu, već se samo skriva iz headera stranice. Da bi ste uradili ovo otvorite ./inc/config.php i pronađite sledeći kod:

PHP Kod:

$config['hide_admin_links'] = 0; 

Promenite 0 u 1 i sačuvajte izmene, i sada će sakriti link ka admin panelu. Imajte na umu da ćete sada morati ručno u browseru da kucate adresu AdminCP, pošto neće biti vidljiva u headeru.

Svoj admin folder mozete zastiti i uz pomoc .htaccess fajla. Kod provera IP adresu sa koje se pristupa admin direktorijumu i ako je adresa pogresna, sledi redirekcija na indeksnu stranu foruma:

Kod:

RewriteEngine On

RewriteBase /

RewriteCond %{REMOTE_HOST} !^69\.192\.185\.4

RewriteRule .* http://www.caskanja.com [R=301,L]

Ne zaboravite da napisete svoju IP adresu i adresu foruma.
Ukoliko se logujete sa vise IP adresa ili imate vise administratora, koristite ovaj kod:

Kod:

ErrorDocument 403 http://www.caskanja.com

Order deny,allow

Deny from all

Allow from 69.192.185.4

Allow from 217.75.32.1

Radite redovan backup baze

Preporučujem da najmanje jednom nedeljno radite backup baze. Nemojte je raditi iz Admin panela, već iz phpMyAdmin ili CPanela. Takođe, uradite i backup svih fajlova foruma svaki put kada vršite određene izmene, upgrade ili sl.

Koristite kvalitetne passworde

Imajte na umu da dobar password se teže provaljuje. Password dragan123 nije teško provaliti, dok password $g6[&D#gaT7 mnogo teže. U samom passwordu koristite velika i mala slova, brojeve, i simbole. Takođe, obratite pažnju na to da password sa većom dužinom daleko sigurniji. O tome da svoj password ne treba davati nikome neću ni spominjati. Sve navedeno odnosi se i na ime baze, korisničko ime korisnika baze i administratorski password.

Isključite HTML

Preporučuje se onemogućavanje HTML-a na forumu pošto se mogu štetne skripte tako ubaciti, odnosno postovati. Na 2 mesta treba da izmenite HTML podešavanja:

ACP -> Configuration -> User Registration and Profile Options -> Allow HTML in Signatures -> postavite NO.

ACP -> Forums & Posts -> Ime foruma (ovo važi za sve forume) -> Options -> Edit Forum -> Miscellaneous Options -> Yes, allow HTML in posts -> ovu opciju nemojte štiklirati.

Vodite računa da forum bude updateovan

Strogo se preporučuje da forum uvek bude updateovan sa poslednjom objavljenom verzijom. O tome kako se vrši update, imate uputstvo na zvaničnom sajtu MyBB-a. Ponekad se samo vrši postavljanje novih izmenjenih fajlova, a nekad je potrebno uraditi upgrade.

CHMOD podešavanje za ./inc/config.php

Prilikom instalacije foruma CHMOD za ./inc/config.php postavite na 666, a nakod završene istalacije postavite na 444. Ovim onemogućavate bilo kakvo pisanje u ovom važnom fajlu.

Koristite ove preporuke i ovim ćete učinite sve što je potrebno da vam forum bude bezbedan. Povremeno proveravajte koje fajlove imate na serveru, pogotovo u folderu cache i cache/themes. na ovim folderima CHMOD mora biti na 777, tako da su pogodni za hakovanje. Ukoliko primetite da se u ovim folderima nalaze čudni fajlovi, obavezno ih obrišite.

29.03.2010 20:32

Imam nekoliko pitanja za ovu zastitu sa podesavanjem IP adrese za pristup Admin panelu.
Ja koristim kablovski internet sa dinamickom IP adresom i pored toga koristim i wireless ruter.
E sad kako da znam koja mi je IP adresa posto se ona vremenom menja?

30.03.2010 07:16

Posto imas dinamicku IP na tu zastitu zaboravi.

09.04.2010 17:51

Jedno pitanje u vezi zastite ali vezano za ProPortal 1.1
Da li je potrebno da se nakon instaliracije ProPortala obrise install folder koji se nalazi u portal folderu ?

09.04.2010 17:54

Obrisi ga.

Verovatno povezane teme...
Tema:		Autor	Odgovora:	Pregleda:	zadnja poruka
	SEO na MyBB	baky95	28	1.118	19.08.2010 21:33 zadnja poruka: Banop
	MyBB Error (40) pomoc	Banop	1	84	24.04.2010 07:17 zadnja poruka: Banop
	vB header na mybb forum	Banop	8	206	23.04.2010 20:26 zadnja poruka: Banop
	MyBB je open source	Stemis	1	121	01.04.2010 10:39 zadnja poruka: Omniscient
	Pokazite svoj MyBB forum	Stemis	2	286	31.03.2010 19:17 zadnja poruka: KidZero

Vaš status i dozvole
Vi ne možete pokretati nove teme. Vi ne možete pisati odgovore. Vi ne možete dodavati priloge. Pročitajte: Pravila ponašanja	HTML kod je isključen. BB kod je uključen. Smajliji su uključeni. [IMG] kod je uključen.