Como proteger o seu IPB Versão adequadamente

[Angelzinho]

Olá,
quero mostrar-lhe algumas coisas importantes, que muitos de vocês devem saber, mas outros não vai. Este tutorial irá mostrar-lhe noções básicas sobre como proteger o seu website. Então vamos começar com o servidor e permissões:


Nunca - e realmente não - definir 777 permissão em qualquer diretório / arquivo. Isso permitiria que usuários mal-intencionados para executar / excluir / mover / editar seus arquivos facilmente.
Não faça arquivos .htaccess legível - que poderiam vazar dados importantes.
Como configurar as permissões: chmod xxx -R / dir / a / arquivos
Seguro phpMyAdmin - existem várias maneiras de fazer isso, mas um arquivo .htaccess simples deve ser suficiente.
O arquivo .htaccess pode ficar assim (i usá-lo como este):

AuthType Básico
AuthName "Arquivos Restritos"

AuthUserFile / caminho / para / senhas . / Htpasswd

Exigir válida - usuário

adicionar um arquivo chamado .htaccess (ele deve ter o. htaccess antes e ele precisa estar no diretório que você deseja proteger. Para phpMyAdmin sua geralmente / usr / share / phpmyadmin)
Não execute o Apache como root - se você fizer isso, um usuário mal-intencionado pode usar exploits para obter acesso para o usuário apache2 - que poderia levar a um desastre real.
usar este tutorial para alterar o seu usuário para apache2 : http:? //ubuntuforums....ad.php t = 927142



Seguro php - desactivar as funcionalidades desnecessárias e configurar open_basedir, que poderia salvar o seu servidor.
Isso deve ajudar com o desligamento recursos para php: http: //stackoverflow...erous-functions

Se você usar Apache, use mod_antiloris
O que faz mod_antiloris fazer?

Bem
é fácil: há uma ferramenta chamada slowloris. Pessoas usá-lo para DoS um
servidor -. Que significa que, eles atacá-lo, para que o servidor desliga ? Como é que mod_antiloris fazer isso . Ele abre um monte de apache processos para que o apacheserver simplesmente não pode obter o suficiente ram mais e desliga-se automaticamente Por que eles usar essa ferramenta? Porque ele usa tão pouco ressources que torna muito fácil para trazer um servidor para baixo. O que faz mod_antiloris fazer agora? Bem, um servidor entende pedidos como este: SYN - ACK - SYN - ACK Bem slowloris faz isso: ACK - ACK - ACK - ACK . O servidor abre processos e nunca fecha-los uma vez que nenhum SYN está voltando mod_antiloris detecta esses pedidos maliciosos e fecha-los em si. Nota: para instalar mod_antiloris, você precisa de olhar para ele no google, eu não posso ir indepth com a configuração, uma vez que eu só uso o Ubuntu como meu servidor.






Desligue o relatório de erros php. Ninguém precisa ver erros php na página. Eles poderiam causar a um vazamento de dados e, neste caso, existe um script divulgação Caminho completo lá fora, que poderia dizer um atacante que o seu diretório é chamado.
Para desativá-lo você pode adicionar:
error_reporting ( 0 );
ini_set ( 'display_errors' , 0 );
ao final do seu arquivo de índice. Agora, para o programa de configuração e arquivo de instalação IPB:

Use .htaccess para o admin. (Referr para o centro de segurança para esta, ou olhar acima no tutorial configuração do servidor)
Renomeie o diretório admin. (Referr ao centro da Segurança)
Remover dav.php se ele não é necessário. (No terminal: rm /path/to/dav.php)
Usar ganchos como StopForumSpam evitar fraudes em seu fórum. (Use o site StopForumSpam para mais informações, eles têm tutoriais em profundidade para este em seu site)
Antes de instalar uma pele, verificá-lo. A pele "Brilho por Tom Christian", revela o seu diretório admin no código-fonte, por exemplo, não importa o que você configurá-lo para fazer.
. Você pode fazê-lo, basta abrir seu código-fonte na página de índice do seu fórum e procurando o seu link ACP Então, quando você o encontrou pode facilmente referr aos arquivos CSS (aparência e comportamento - Edit pele CSS - globalTemplate)

Alterar seu nome de exibição. Usuários canuse Bruteforce para obter sua senha, mas e se eles não sabem o seu nome de usuário é chamado? Eles não podem bruta lo.
Você pode fazê-lo no separador membros na ACP.
Não permita que as assinaturas que são demasiado grande (eu sei que não é de segurança relacionado, mas ele pode abrandar o seu site de forma dramática)
Isso pode ser feito dentro do IPB ACP (redimensionar imagens)
Siga as coisas escritas no seu Centro de Segurança, IPB sabe o que eles escrevem.
Use as Damas (Verificador de espaços em branco e assim por diante) por semana para que você ver se algo der errado.
Remover usuários usando nomes de usuários ímpares.
O que quero dizer com estranho?

<script> alerta ( blabla ) </ script>
é certamente estranho e isso mostra que o usuário tentou fazer um ataque XSS. XSS
pode ser usado para ataques de obter dados confidenciais ou desfigurar seu site. Espero que este tutorial básico pode ajudá-lo. Todo mundo sabe, um site precisa ser mantida, por isso, fazê-lo. Saudações Cry


By: Angel