Como proteger o seu IPB Versão adequadamente

[Angelzinho]

Olá,
quero mostrar-lhe algumas coisas importantes, que muitos de vocês devem saber, mas outros não vai. Este tutorial irá mostrar-lhe noções básicas sobre como proteger o seu website. Então vamos começar com o servidor e permissões:


Nunca - e realmente não - definir 777 permissão em qualquer diretório / arquivo. Isso permitiria que usuários mal-intencionados para executar / excluir / mover / editar seus arquivos facilmente.
Não faça arquivos .htaccess legível - que poderiam vazar dados importantes.
Como configurar as permissões: chmod xxx -R / dir / a / arquivos
Seguro phpMyAdmin - existem várias maneiras de fazer isso, mas um arquivo .htaccess simples deve ser suficiente.
O arquivo .htaccess pode ficar assim (i usá-lo como este):

AuthType Básico
AuthName "Arquivos Restritos"

AuthUserFile / caminho / para / senhas . / Htpasswd

Exigir válida - usuário

adicionar um arquivo chamado .htaccess (ele deve ter o. htaccess antes e ele precisa estar no diretório que você deseja proteger. Para phpMyAdmin sua geralmente / usr / share / phpmyadmin)
Não execute o Apache como root - se você fizer isso, um usuário mal-intencionado pode usar exploits para obter acesso para o usuário apache2 - que poderia levar a um desastre real.
usar este tutorial para alterar o seu usuário para apache2 : http:? //ubuntuforums....ad.php t = 927142



Seguro php - desactivar as funcionalidades desnecessárias e configurar open_basedir, que poderia salvar o seu servidor.
Isso deve ajudar com o desligamento recursos para php: http: //stackoverflow...erous-functions

Se você usar Apache, use mod_antiloris
O que faz mod_antiloris fazer?

Bem
é fácil: há uma ferramenta chamada slowloris. Pessoas usá-lo para DoS um
servidor -. Que significa que, eles atacá-lo, para que o servidor desliga ? Como é que mod_antiloris fazer isso . Ele abre um monte de apache processos para que o apacheserver simplesmente não pode obter o suficiente ram mais e desliga-se automaticamente Por que eles usar essa ferramenta? Porque ele usa tão pouco ressources que torna muito fácil para trazer um servidor para baixo. O que faz mod_antiloris fazer agora? Bem, um servidor entende pedidos como este: SYN - ACK - SYN - ACK Bem slowloris faz isso: ACK - ACK - ACK - ACK . O servidor abre processos e nunca fecha-los uma vez que nenhum SYN está voltando mod_antiloris detecta esses pedidos maliciosos e fecha-los em si. Nota: para instalar mod_antiloris, você precisa de olhar para ele no google, eu não posso ir indepth com a configuração, uma vez que eu só uso o Ubuntu como meu servidor.






Desligue o relatório de erros php. Ninguém precisa ver erros php na página. Eles poderiam causar a um vazamento de dados e, neste caso, existe um script divulgação Caminho completo lá fora, que poderia dizer um atacante que o seu diretório é chamado.
Para desativá-lo você pode adicionar:
error_reporting ( 0 );
ini_set ( 'display_errors' , 0 );
ao final do seu arquivo de índice. Agora, para o programa de configuração e arquivo de instalação IPB:

Use .htaccess para o admin. (Referr para o centro de segurança para esta, ou olhar acima no tutorial configuração do servidor)
Renomeie o diretório admin. (Referr ao centro da Segurança)
Remover dav.php se ele não é necessário. (No terminal: rm /path/to/dav.php)
Usar ganchos como StopForumSpam evitar fraudes em seu fórum. (Use o site StopForumSpam para mais informações, eles têm tutoriais em profundidade para este em seu site)
Antes de instalar uma pele, verificá-lo. A pele "Brilho por Tom Christian", revela o seu diretório admin no código-fonte, por exemplo, não importa o que você configurá-lo para fazer.
. Você pode fazê-lo, basta abrir seu código-fonte na página de índice do seu fórum e procurando o seu link ACP Então, quando você o encontrou pode facilmente referr aos arquivos CSS (aparência e comportamento - Edit pele CSS - globalTemplate)

Alterar seu nome de exibição. Usuários canuse Bruteforce para obter sua senha, mas e se eles não sabem o seu nome de usuário é chamado? Eles não podem bruta lo.
Você pode fazê-lo no separador membros na ACP.
Não permita que as assinaturas que são demasiado grande (eu sei que não é de segurança relacionado, mas ele pode abrandar o seu site de forma dramática)
Isso pode ser feito dentro do IPB ACP (redimensionar imagens)
Siga as coisas escritas no seu Centro de Segurança, IPB sabe o que eles escrevem.
Use as Damas (Verificador de espaços em branco e assim por diante) por semana para que você ver se algo der errado.
Remover usuários usando nomes de usuários ímpares.
O que quero dizer com estranho?

<script> alerta ( blabla ) </ script>
é certamente estranho e isso mostra que o usuário tentou fazer um ataque XSS. XSS
pode ser usado para ataques de obter dados confidenciais ou desfigurar seu site. Espero que este tutorial básico pode ajudá-lo. Todo mundo sabe, um site precisa ser mantida, por isso, fazê-lo. Saudações Cry


By: Angel

[Azhaurn]

Organiza melhor seu tópico, você apenas pegou o tutorial do Invision-Virus, deu control+c/v, traduziu e postou.
Coloque uma formatação e quote entre os códigos. Tá extremamente confuso a leitura, faça um ajuste nisso. Sem falar que os créditos estão errados, o autor é error403 ou Cry.

[Angelzinho]

Organiza melhor seu tópico, você apenas pegou o tutorial do Invision-Virus, deu control+c/v, traduziu e postou.
Coloque uma formatação e quote entre os códigos. Tá extremamente confuso a leitura, faça um ajuste nisso. Sem falar que os créditos estão errados, o autor é error403 ou Cry.

cara voce é cego
eu deixei os credito sim, verifique o final do texto que você vera os credito do autor,
porém estou postando alguns tutorial no control+c/v pra pegar alguns posts
mais em fim,
engraçado que você pega skins free e fica postado nem credito você mantem no tópico, verifique as coisa antes de postar..
[ ]'s

[Azhaurn]

cara voce é cego
eu deixei os credito sim, verifique o final do texto que você vera os credito do autor,
porém estou postando alguns tutorial no control+c/v pra pegar alguns posts
mais em fim,
engraçado que você pega skins free e fica postado nem credito você mantem no tópico, verifique as coisa antes de postar..
[ ]'s

"By: Angel" você se refere a isso? Porque como eu disse, esses créditos são falsos. "Saudações Cry" não são créditos.
Entendo que queira posts, porém, se for postar, posta direito. Porque se você fosse ler algo, você gostaria de ler algo que você entendesse e não que tentasse decifrar. Até porque o que importa não é a quantidade e sim a qualidade.

Em relação às skins em que posto, os créditos estão no próprio título do tópico, os que não tem, é que o autor é desconhecido e não vou dar créditos à quem postou e sim ao autor.

Então reveja o que você diz. Beijos e tenha uma boa tarde.

[Renato]

Estou fechando o tópico até que seja feita uma correção por parte do Autor.

@Azhaurn tem razão, o tópico está confuso e, ao que parece, foi um ctrl c + ctrl v de uma postagem em outro idioma que foi traduzida pelo Google Translator e postada aqui, sem qualquer correção.

Arrume e me envie MP para reabrir o tópico.

[]'s