Google+

Thread Rating:
  • 0 Vote(s) - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Tutorial Cum să ne securizăm propriul forum MyBB?!
#1
Mai jos veţi găsi tutorialul cu care doresc să particip la concursul cu numărul 1 organizat de MyBBromânia.net, tutorial care are după cum se poate vedea un titlu foarte sugestiv.
În momentul în care forumul nostru începe să crească, tot mai mulţi utilizatori i-au cu asalt sait-ul, cantitatea de informaţie de pe forum creşte exponenţial, i-a proporţii, chit că vrem, chit că nu vrem trebuie să ne gândim şi la securitatea acestuia.
Odată cu trecerea timpului apar în calea fiecăruia dintre noi, webmasterii, fel de fel de obstacole, persoane care ne doresc răul, care apelează la fel de fel de vulnerabilităţi ale platformei noastre pentru a ne provoca pagube.
În acest fel m-am gândit că ar fi foarte util să fac un tutorial care să aibă rolul de a creşte gradul de securitate al sait-ului dumneavoastră (sait făcut bineînţeles cu platforma MyBB).
Acest tutorial are numai 10 paşi. Dar este făcut în aşa fel încât poate fi accesibil oricărui utilizator de MyBB, fie că este doar la stadiul de începător, fie intermediar etc.
PASUL 1 - În general un user caută să "câştige" diverse drepturi administrative pentru a putea şterge, muta, copia informaţie sau de ce nu pentru a face backup la baza dumneavoastră de date. Astfel noi vom trebui să "ascundem" în primă fază directorul "admin" din cadrul platformei, dându-i o altă denumire. Acest lucru se poate realiza relativ uşor prin accesarea unui cont FTP sau chiar din cPanel. După modificare va trebui să edităm şi fişierul de configurare "config.php" (/inc/config.php) şi anume linia de mai jos:

Code:
$config['admin_dir'] = 'admin';

PASUL 2 - O super-securizare ca să zic aşa a directorului "admin" o constituie şi setarea unui control, a unui fişier .htacces. Nu voi intra în detalii pentru că aici e destul de mult de spus şi ar fi prea mult.
PASUL 3 - În general, în funcţie de versiune există unele vulnerabilităţi găsite de unele persoane care sunt făcute publice şi care spre exemplu afectează MyBB 1.4 sau versiuni mai vechi decât acesta. În acest fel este recomandat să se ascundă versiunea platformei folosite de forumul dumneavoastră pentru a fi mai greu de depistat. (Din fericire MyBB are deja această opţiune de ascundere a versiunii setată pe default)
PASUL 4 - Legat de pasul de mai înainte ar mai fi şi recomandarea să se facă update în fiecare moment de timp în care apar versiuni mai noi. Astfel riscurile la care vă supuneţi sunt din ce în ce mai mici.
PASUL 5 - Mai departe vom trece la securizarea bazei de date. În primul rând, în mod asemănător ca la pasul 1, este bine să schimbaţi prefixul bazei dumneavoastră de date (nu uitaţi să editaţi fişierul de configurare - /inc/config.php).

Code:
$config['database']['table_prefix'] = 'mybb_';

PASUL 6 - Tot legat de baze de date trebuie să fiţi foarte atenţi la setarea permisunilor celorlalţi administratori de pe forumul dumneavoastră. Nu este bine să le acordaţi permsiuni de a putea realiza backup la baza dumneavoastră. Nu de alta dar ei poate nu au nicio intenţie malefică în spate, dar se poate întâmpla să le fie dat un keylogger şi să le fie spart contul.
PASUL 7 - Pentru a putea completa pasul anterior (6) este nevoie să realizaţi backup periodic la baza dumneavoastră de date. Pentru aceasta MyBB vă oferă un task care face acest lucru pentru voi, sau ca şi alternativă puteţi folosi scripturi şi cronjob-uri care vă trimit periodic emailuri cu baza de date. (Astfel dacă aveţi backup periodic şi unui alt admin/ moderator global îi este spart contul prin intermediul unui keylogger acesta nu are altceva să facă decât să vă şteargă informaţie, care poate fi astfel recuperată uşor şi fără prea mari pierderi)
PASUL 8 - Mai mult decât atât, dacă aveţi şi o secţiune privată (ce conţine scripturi premium, conturi etc.) puteţi seta şi o parolă, în afara setărilor legate de permisiuni. Astfel dacă eu sparg un cont nu voi putea accesa acea secţiune pentru că nu ştiu parola. Bine asta necesită permisiuni cât mai mici pentru administratori.
PASUL 9 - Dezactivarea modului de vizualizare a debug-ului de către alţi administratori în afară de root.
PASUL 10 - Şi nu în ultimul rând, cea mai mare problemă o constituie pluginurile. Peste 90% din saiturile sparte , care au avut ca şi platformă MyBB au avut lagune în diferite astfel de scripturi. De aceea nu va recomand să vă instalaţi prea multe pluginuri. Pluginurile la care trebuie să vă gândiţi de două ori înainte de a le instala sunt acelea care au formulare, prin care un user poate introduce cod în cadrul unui script. Această aria a pluginurilor este foarte vastă, dar după cum vedeţi plină de capcane. Trebuie să selectaţi informaţia care vi se oferă şi este nevoie să fiţi capabili să cântăriţi între necesitate şi plăcere/design.
Acestea fiind spuse v-am prezentat în 10 paşi un mic tutorial de securizare a platformei dumneavoastre. Sper să vă fie de mare ajutor în incursiunea MyBB.

Users : collective term for those who use computers. Users are divided into three types : novice, intermediate and expert.
Novice users : people who are afraid that simply pressing a key might break their computer.
Intermediate users : people who don`t know how to fix their computer after they`ve just pressed a key that broke it.
Expert users : people who break other people`s computers.
Reply
#2
Multumesc mi-o fost de folos.
Reply
#3
foarte bun si util
Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)