Среда , 14 Ноябрь 2018
Home / Vbulletin 4 / Vbulletin | Вторая статья о защите вашего форума
Защита форума
Защита форума

Vbulletin | Вторая статья о защите вашего форума

Доступ к файлам Vbulletin должен происходить только через веб браузер. Однако иногда, кто-то пытается влезть на наш сервер чтобы поковыряться, и нам естественно нужно защитить наши файлы от таких отморозков 🙂 Для этого мы можем использовать конфигурацию файлов сервера, таких как .htaccess или web.config. Эти файлы помогут нам контролировать доступы к нашим файлам.

Автор: Алексей Раков

Защита admincp, modcp и каталог install

Эти три каталога самые важные и часто требуются админам для проведения работ над форумом. В случае если туда попадет злоумышленник он может открыт пути в системе для дальнейшего злоупотребления, особенно в AdminCP. Общая предпосылка ко всему этому, это то. что каждый кто имеет доступ к AdminCP может сделать массу плохих вещей, включая отключение форумом, угон данных, установить левые хаки, пере направление на другие ресурсы, и другие вредоносные действия. Поэтому с самого начала любому администратору форума Vbulletin нужно позаботится о защите этих каталогов. Для этого вы должны использовать .htaccess чтобы при входе в эти каталоги спрашивлся дополнительный пароль для входа. Идеально для каждого админа использовать свои пароли.

Более подробнее можно почитать тут:
. Htaccess – http://www.javascriptkit.com/howto/htaccess3.shtml
web.config – http://support.microsoft.com/kb/815151

Ограничение доступа по IP-адресов

Если вы являетесь единственным кто имеет доступ к этим каталогам. вы можете ограничить доступ по вашему ip адресу. Для этого необходимо иметь статический IP-адрес от поставщика услуг Интернета.

. Htaccess:

order deny,allow
deny from all
# allow the admin
allow from 83.116.19.53
# allow moderator:
allow from 83.116.19.59

#for all the xxx.xxx.xxx.xxx put in an ip-addres, or ip-range

web.config:

<security>
    <ipSecurity allowUnlisted="false">    <!-- this line blocks everybody, except those listed below -->
        <clear/> <!-- removes all upstream restrictions -->
        <add ipAddress="127.0.0.1" allowed="true"/>    <!-- allow requests from the local machine -->
        <add ipAddress="83.116.19.53" allowed="true"/>   <!-- allow the specific IP of 83.116.19.53  -->
        <add ipAddress="83.116.119.0" subnetMask="255.255.255.0" allowed="true"/>   <!--allow network 83.116.119.0 to 83.116.119.255-->
        <add ipAddress="83.116.0.0" subnetMask="255.255.0.0" allowed="true"/>   <!--allow network 83.116.0.0 to 83.116.255.255-->
        <add ipAddress="83.0.0.0" subnetMask="255.0.0.0" allowed="true"/>   <!--allow entire /8 network of 83.0.0.0 to 83.255.255.255-->
    </ipSecurity>
</security>

Переименование AdminCP и Modcp каталогов

Чтобы еще более обезопасить себя скройте каталоги управления форумом, переименовать вы их можете в файле config.php. Если кто-либо попытается зайти в эти каталоги по дефолтным адресам он получит сообщение о ошибке. хотя я бы рекомендовал оставить пустые дефолтные каталоги с именами AdminCP и modcp после того как вы переименуете с .htaccess внутри. Который при заходе будет выдавать пароль, пусть злоумышленики пытаются его сломать, там все равно не чего не будет. не забудьте указать новые имена правильных каталогов в файле config.php:

 //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

Но помните, что если вы переименовали свои каталоги в конфиге, при каждом обновлении Vbulletin вам нужно вернуть их обратно.

Другие каталоги входящие в пакет Vbulletin.

В принципе не кто не должен иметь кроме вас доступы в любые каталоги вашего движка, однако от греха подальше я бы тоже советовал вам их защитить, ведь они содержат информацию для внутренней работы Vbulletin. Для обеспечения безопасности вы также можете положить в них файл .htaccess запрещающий любое вмешательство. Для этого создайте файл .htaccess со следующим содержимым:

deny from all

Загрузите этот файл в трех каталогах.
Предупреждение
Существует одно предостережение для тех кто использует защиту через .htaccess или web.config. Если атакующий имеет доступ на фтп или другие средства, то он может просто удалить эти файлы.
Ну вот. основное все рассказал, будут вопросы, постараюсь ответить.

Рейтинг статьи

0%

Рейтинг

Оцените данный материал!

User Rating: Be the first one !

About artscripts

Check Also

восстановление vbulletin часть 6

Взломали форум — начинаем восстанавливать (Часть 6)

Настала время заменить все файлы Vbulletin форума новой копией. Для этого скачаем новый zip архив …

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.