Рекомендації щодо захисту движка форуму vbulletin

Рекомендації щодо захисту движка форуму vBulletin

Рекомендації щодо захисту движка форуму vBulletin

В інтернеті є різна інформація щодо захисту скрипта. Що тут можна сказати, хоч і кажуть що скрипт має високу захищеністю, але турки це спростовують. Не буду приховувати, наш форум так зламували аж 2 рази і якимось чином примудрилися залити йшов. Ну та Бог з ним. )


Отже, почну по порядку:
1. Що потрібно зробити після установки скрипта - це видалити папку install з файлової системи форуму (так само має сенс видалити файл validator.php і checksum.md5 - якщо вони є в кореневій папці), перейменувати папку панелі адміністратора (admincp) і папку панелі модератора (modcp) в довільні імена, які не забути вписати в файл includes / config.php ось в цьому місці:

Не забуваємо в config.php вказати в рядку undeletable user свій ID, щоб Ваш профіль не можна було видалити і змінити.

Виставляємо права на папки і файли:
папки форуму: 755
файли: 644
на файли. htaccess - 444

2. Встановлюємо на свій профіль "Сильний пароль", який важко буде зламати перебором. Так само рекомендується встановлювати складний пароль на базу даних, іноді злом виробляють безпосередньо через неї в такий спосіб. У прикладу Ви хостів у компанії альфа і використовуєте віртуальний хостинг, для злому зловмисник купує хостинг у тій же компанії що і Ваша і починає вивідувати ім'я Вашої бази (тому що зазвичай користувачі використовують загальний м'язів в якому зберігаються всі бази) і природно знаючи логін і пароль до неї можна її злити або просто стерти всі дані.

3. Замінюємо папку панелі адміністратора (admincp) на помилкову адмінку (Fake AdminCP), це дозволить всім допитливим варварам намагаються потрапити в панель адміністратора "втерти носа". А взагалі для повної надійності я б порекомендував встановити на папку з помилковою адмінкой і справжньою адмінкой пароль через файл .htpasswd. (Для тих хто не в курсі що це таке можливо викладу інструкцію при наявності часу, але можу точно сказати що в інтернеті на цю тему Ви знайдете масу інформації). Це може ввести в оману людини який подумає що додатковий пароль варто швидше за все на цій адмінки, а якщо він його і зламає, то все одно залишиться з носом.

Якщо Ви все таки вирішите зберігати Файлла в директорії форуму, то на неї потрібно буде виставити права 0777, а для захисту цієї директорії залийте туди файл .htaccess з вмістом:

Якщо потрібно, то можна додати свої розширення файлів, які будуть заборонені до виконання в цій папці.

5. Закриваємо доступ в папку includes шляхом заливки туди файлу .htaccess з вмістом:

6. Встановіть плагін Інспектор файлів за допомогою якого Ви зможете відслідковувати зміни в файлової системі форуму.

9. [Не обов'язково. ] Ще одним заходом захисту є перейменування конфігураційного файлу config.php і зміна його місця розташування. Це ускладнить зловмисникам пошук інформації про підключення до бази даних. Дивимося інструкцію Як перейменувати конфігураційний файл config.php

Це поки все, якщо хтось знайде додаткові матеріали щодо захисту vBulletin відписуйтеся в темі.