- Хранить пароли от админки, панели хостинга, панели домена в недоступном для третьих лиц месте. Желательно переписать\перепечать их на бумагу. Так же лучше удалить из электронной почты все письма от хостера\регистратора. Это убережет форум, если вдруг вашу почту взломают
- Пароли от админки\панели хостинга\панели домена должны быть разными и содержать буквы и цифры разного регистра
- На файл
config.php должны стоять либо 644 либо 640 права доступа - Желательно шаблоны стиля
Защита форума от взлома phpbb3
Модераторы: Vl@d1m1r, Lorem Ipsum, Atlas
Правила форума
----
----
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа, желательно не ссылки кидать, а подробно все описывать.
Список всех действий против взлома
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
- St_roy
- Завсегдатай Форума
- Сообщения: 873
- Стаж: 12 лет 4 месяца
- Откуда: Москва
- Контактная информация:
Защита форума от взлома phpbb3
Тааак) УдаляюDeaDRoMeO писал(а):Так же лучше удалить из электронной почты все письма от хостера\регистратора. Это убережет форум, если вдруг вашу почту взломают
Блин, а я придумал пароль с этими требованиями, но один для всего.. Надо бы изменитьDeaDRoMeO писал(а):Пароли от админки\панели хостинга\панели домена должны быть разными и содержать буквы и цифры разного регистра
Так и естьDeaDRoMeO писал(а):На файл config.php должны стоять либо 644 либо 640 права доступа
Тут беда только в том, что у кого-то будет такой же сайт и всё?DeaDRoMeO писал(а):Желательно шаблоны стиля защитить от скачивания
Зри в корень
- Lorem Ipsum
- Прописался тут надолго
- Сообщения: 1974
- Стаж: 11 лет 8 месяцев
- Контактная информация:
Защита форума от взлома phpbb3
в головеDeaDRoMeO писал(а):в недоступном для третьих лиц месте
а как сделать эти права??DeaDRoMeO писал(а):На файл config.php должны стоять либо 644 либо 640 права доступа
Я несколько раз думала установить мод для защиты юзеров - где регистрируются разные логин и ник. Как думаете, это нужно? ( в принципе, админ тоже юзер))DeaDRoMeO писал(а):Предлагаю делиться способами защиты наших форумов от взлома и незаконного доступа,
https://www.phpbb.com/customise/db/mod/ ... user_name/
Последний раз редактировалось Lorem Ipsum 02 окт 2012, 21:56, всего редактировалось 1 раз.
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Такой же и по функционалу, а не внешнему виду. Если человек знающий попадетсяSt_roy писал(а):что у кого-то будет такой же сайт и всё?
В админке, вкладка Общие, нет красных табличек ??? Если нет, то все у тебя впорядкеLorem Ipsum писал(а):а как сделать эти права??
Кхммм по моему лишнее дело этоLorem Ipsum писал(а):Как думаете, это нужно?
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
- Lorem Ipsum
- Прописался тут надолго
- Сообщения: 1974
- Стаж: 11 лет 8 месяцев
- Контактная информация:
Защита форума от взлома phpbb3
Объясни почему лишнее?DeaDRoMeO писал(а):Кхммм по моему лишнее дело это
На одном форуме пару раз подбирали пароли к никам (ну есть такие юзеры, которые вбивают имя своего ребёнка с датой рождения), вот я и думаю, что не зная логина, даже подбирать никто не будет.
Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?DeaDRoMeO писал(а):В админке, вкладка Общие, нет красных табличек ??? Если нет, то все у тебя впорядке
Я уже прошел тот период когда можно было забывать про очистку кеша ©salexcorp
- St_roy
- Завсегдатай Форума
- Сообщения: 873
- Стаж: 12 лет 4 месяца
- Откуда: Москва
- Контактная информация:
Защита форума от взлома phpbb3
Задачи надо решать по мере их поступления))Lorem Ipsum писал(а):Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?
Зри в корень
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
У меня стоит мод, отображающий при реге степень защищенности пароля, юзер проигнорил это = его проблемы, не заставить пользователей ставить нормальные паролиLorem Ipsum писал(а):На одном форуме пару раз подбирали пароли к никам (ну есть такие юзеры, которые вбивают имя своего ребёнка с датой рождения)
Ну надо было ставить права доступа, через тотал коммандер легко делать это. Почему может произойти ? От хостинга зависит, у меня автоматом все назначилось, у других может такого и не бытьLorem Ipsum писал(а):Не, нету. А если бы были, где что надо было делать? Так, на всякий случай. И почему это может произойти?
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
- Alexander
- Свой на все 100
- Сообщения: 484
- Стаж: 11 лет 7 месяцев
- Откуда: Россия
- Контактная информация:
Защита форума от взлома phpbb3
Проверил, у меня стоят права 600: чтение и запись только для владельца... Обязательно расширять права до 640 (+ чтение на групповые права) или до 644 (+ чтение на публичные права)?DeaDRoMeO писал(а):На файл config.php должны стоять либо 644 либо 640 права доступа
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Эти права ниже рекомендуемых, значит лучше, если форум стабильно функционирует, то незачем права менять
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
- Alexander
- Свой на все 100
- Сообщения: 484
- Стаж: 11 лет 7 месяцев
- Откуда: Россия
- Контактная информация:
Защита форума от взлома phpbb3
Я вот тут решил, что нужно серьезно позаботится о защите наших форумов от взлома и заражения вредоносным кодом. Так, например, у моего брата неделю назад взломали форум на phpBB3, заразили вирусом. Пришлось делать откат из резервной копии. Сейчас до сих пор (хоть и опасности уже нет) форум находится в базе зараженных сайтов одной из антивирусных программ и, соответственно, блокируется ею (если установлена именно эта антивирусная программа у пользователя, а это четверть трафика).
Кстати, злоумышленникам проще найти уязвимость, если они точно знают номер версии phpBB. А узнать его очень просто. Наберите в адресной строке: http://адрес_вашего_форума/styles/ваш_стиль/style.cfg и внизу вы увидите номер версии phpBB. Чтоб доступа к этому файлу не было я создал файл .htaccess, как написано здесь со следующим содержимым:
Поместил этот файл во все папки стилей (и в prosilver и в subsilver2). Теперь при попытке посмотреть номер версии получаем ошибку 403 Forbidden.
Хоть и небольшая, но все таки защита.
PS Хотя может можно просто права доступа поменять или номер версии другой прописать, чтоб запутать злоумышленника?
Кстати, злоумышленникам проще найти уязвимость, если они точно знают номер версии phpBB. А узнать его очень просто. Наберите в адресной строке: http://адрес_вашего_форума/styles/ваш_стиль/style.cfg и внизу вы увидите номер версии phpBB. Чтоб доступа к этому файлу не было я создал файл .htaccess, как написано здесь со следующим содержимым:
Код: Выделить всё
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Хоть и небольшая, но все таки защита.
PS Хотя может можно просто права доступа поменять или номер версии другой прописать, чтоб запутать злоумышленника?
Защита форума от взлома phpbb3
т.е. ваш фаил .htaccess теперь выглядит так
или просто
Код: Выделить всё
<Files "*.html">
Order allow,deny
Deny from all
</Files>
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Код: Выделить всё
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
- Alexander
- Свой на все 100
- Сообщения: 484
- Стаж: 11 лет 7 месяцев
- Откуда: Россия
- Контактная информация:
Защита форума от взлома phpbb3
Просто...
Может можно сделать и "2 в 1". Я не знаю распространяется ли действие .htaccess на вложенные вглубь папки. Если распространяется, то можно тогда сделать одним файлом, размещенным в папках http://адрес_вашего_форума/styles/стили и тогда отдельный файл для защиты шаблона в http://адрес_вашего_форума/styles/ваш_стиль/template делать не надо.
Код: Выделить всё
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
Защита форума от взлома phpbb3
Защитил файлы от скачивания, как описано в соседней теме. А будет ли работать вот такой файл? Как быть?
Код: Выделить всё
<Files "*.html">
Order allow,deny
Deny from all
</Files>
<Files "style.cfg">
Order Allow,Deny
Deny from All
</Files>
- Alexander
- Свой на все 100
- Сообщения: 484
- Стаж: 11 лет 7 месяцев
- Откуда: Россия
- Контактная информация:
Защита форума от взлома phpbb3
Наверное, надо просто проверить работоспособность этого файла опытным путем.ZmejNK писал(а):А будет ли работать вот такой файл? Как быть?
Защита форума от взлома phpbb3
Выдает такое сообщение
Forbidden
You don't have permission to access /styles/getaway_green/template/overal_futer.html on this server.
Как при попытке скачать файлы, так и при попытке проверить версию. Сбоев в работе форума на первый взгляд замечено не было. Пользуемся!Forbidden
You don't have permission to access /styles/getaway_green/template/style.cfg on this server.
Защита форума от взлома phpbb3
Всем привет!
Хотел бы обсудить,такую вещь как SSL-сертификат. Что нам даёт этот сертификат? Но не секрет,что он защищает передачу данных в сети Интернет между клиентом и сервером. А какие у него ещё есть плюсы и минусы,стоит ли его ставить? Кто что знает,кто сталкивался с этим пишите. Сам сертификат стоит от 1000 до 30000 руб. в год(зависит от сертификата)
Хотел открыть отдельную тему,так как не нашел на форуме,но видимо у меня ещё не достаточно прав.Администрация посчитает нужным,то откроет новую тему.
Хотел бы обсудить,такую вещь как SSL-сертификат. Что нам даёт этот сертификат? Но не секрет,что он защищает передачу данных в сети Интернет между клиентом и сервером. А какие у него ещё есть плюсы и минусы,стоит ли его ставить? Кто что знает,кто сталкивался с этим пишите. Сам сертификат стоит от 1000 до 30000 руб. в год(зависит от сертификата)
Хотел открыть отдельную тему,так как не нашел на форуме,но видимо у меня ещё не достаточно прав.Администрация посчитает нужным,то откроет новую тему.
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Да я даже и не знаю, по мне так это лишняя трата денег, сам таким не пользовался
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!
- ursego
- Свой на все 100
- Сообщения: 478
- Стаж: 11 лет 4 месяца
- Откуда: Днепропетровск
- Контактная информация:
Защита форума от взлома phpbb3
Я тоже изменил права доступа на 600 - вроде работает, тьфу-тьфу-тьфу...DeaDRoMeO писал(а):Эти права ниже рекомендуемых, значит лучше, если форум стабильно функционирует, то незачем права менять
-
- Заглянул на огонек
- Сообщения: 32
- Стаж: 11 лет 6 месяцев
- Откуда: Волгоград РФ
- Контактная информация:
Защита форума от взлома phpbb3
Еще если я правильно помню в вашем .htaccess можно прописать такую функцию Options -Indexes
Таким образом вы запретите любой доступ к папкам на вашем сервере.
Будет перебрасывать на страницу ошибки 403.
Так же в вашем
.htaccess можно прописать такие ссылки
ErrorDocument 400 http://ссылка.куда-то там
ErrorDocument 401 http://ссылка.куда-то там
ErrorDocument 403 http://ссылка.куда-то там
ErrorDocument 404 http://ссылка.куда-то там
ErrorDocument 500 http://ссылка.куда-то там
Я поставил ссылку обратно на главную форума. Вы можете допустим создать страницу с описанием ошибки или просто послать куда подальше)))
Таким образом если кто-то в адресной строке напишет http://ваш_сайт.ру/styles(или любая другая папка)/ будет отправлен на главную или на ту страницу которую вы создадите
Правда меня берут сомнения насчет этого Options -Indexes . Если кто знает дайте ответ. Если я прописал эту строку,мой форум будет индексироваться?
Таким образом вы запретите любой доступ к папкам на вашем сервере.
Будет перебрасывать на страницу ошибки 403.
Так же в вашем
.htaccess можно прописать такие ссылки
ErrorDocument 400 http://ссылка.куда-то там
ErrorDocument 401 http://ссылка.куда-то там
ErrorDocument 403 http://ссылка.куда-то там
ErrorDocument 404 http://ссылка.куда-то там
ErrorDocument 500 http://ссылка.куда-то там
Я поставил ссылку обратно на главную форума. Вы можете допустим создать страницу с описанием ошибки или просто послать куда подальше)))
Таким образом если кто-то в адресной строке напишет http://ваш_сайт.ру/styles(или любая другая папка)/ будет отправлен на главную или на ту страницу которую вы создадите
Правда меня берут сомнения насчет этого Options -Indexes . Если кто знает дайте ответ. Если я прописал эту строку,мой форум будет индексироваться?
- DeaDRoMeO
- Старожил Форума
- Сообщения: 16763
- Стаж: 13 лет 2 месяца
- Откуда: Витебск
- Контактная информация:
Защита форума от взлома phpbb3
Эммм, поиск по форуму - свои страницы ошибок - и находим альтернативный мод для этого случая))
На вопросы, связанные с phpBB, по ЛС не отвечаю !!!