phpBB.de

Hallo Zusammen,

Situation:
Ich habe mir vor einiger Zeit phpbb3 in der lokalisierten deutschen Version heruntergeladen und auch auf meinem Webserver im Netz installieren können. Danach den Schnelleinstige durchgearbeitet und den Artikel Rechtevergabe in phpbb hier in der Doku ebenfalls. In diesem Forum nach Konfiguration gesucht und auch einige gute Tipps gefunden. Soweit, so gut.

Da phpbb sehr weit verbreitet ist, scheint es auch eine sehr große Angriffsfläche für automatisierte Angriffe zu bieten (Meldungen in Heise Security etc.).

Offene Fragen:
1) Welche Maßnahmen kann ich über die Basiskonfiguration/installation hinaus ergreifen, um automatisierten Anmelden und Spam im zukünftigen Forum möglichst gut zu unterbinden? Mit diesem Thema muß ich mich jetzt erstmals auseinandersetzen und würde mir "Anfängerfehler" gerne so gut es geht sparen.

2) Habe den Adminordner /adm mit eine .htacess geschützt, um den Zugriff auf die Adminebene weiter zu erschweren (Sinnvoll?), gibt es noch weitere Ordner, die man aus Sicherheitsgründen schützen sollte?

Danke vorab für Tips und Infos,
tuxracer

Schau mal in unserer Knowledge Base nach. Zum Beispiel: KB:sicher

Wichtiges in Kürze gegen Spam: Keine Gastbeiträge erlauben, das GD-Captcha verwenden.

Danke für die schnelle Antwort

zu 2)
Der Ordner includes dürfte keinerlei "von außen" aufrufbare Dateien haben und kann so auch zusätzlich geschützt werden(wenn er das nicht schon ist)

Es empfiehlt sich des weiteren immer 1-2 lokale Testkopien zu haben die immer immer auf dem selben Stand sind wie die "online" Version.
Sollte es einen Hack-Angriff geben kannst du immer noch zwischen letzter lokaler Version(noch nicht gehackt) und der online Version z.B. mit Windiff unterschiede herrausfinden, selbiges natürlich auch bei den DB-Backups.

Für die ganz harten könnte lokales SVN etwas sein, das gibt eine Übersicht über alle Änderungen.

Boecki91 hat geschrieben: Für die ganz harten könnte lokales SVN etwas sein, das gibt eine Übersicht über alle Änderungen.

Hi, ok, verstanden, da vermutlich eine Abkürzung mit vielen Möglichkeiten: SVN...?

Schauenen wir doch mal bei Wikipedia nach:

http://de.wikipedia.org/wiki/SVN

* Satzung der Vereinten Nationen (nein)
* Slowenien (ISO 3166) (nein)
* Space Vehicle Number, die fortlaufende Nummer der GPS-Satelliten (nein, ist mir aber auch neu)
* Strukturierte Vererbungsnetze, eine Methode zur Wissensrepräsentation in der Künstlichen Intelligenz (nein)
* Subversion, ein Versionskontrollsystem primär für Programm-Quellcode(ja)
* Sozialversicherungsnummer (nein)

Es ist primär zur Entwicklung gedacht, und auch nicht so ganz leicht einzurichten, und war von mir eher als "Wenn du total Sicherheitsfanatisch bist und zig Änderungen in einem längerem Zeitraum planst"

Meist ist es aber so das man sein Forum seinen Wünschen anpasst (Code-technisch) sich davon ein Back-Up macht und dieses sicher aufbewahrt.

Datenbank-Backups sollten da schon regelmäßiger gemacht werden, ich mache diese ca. alle 100 Beiträge (Du siehst im ACP ja wie viele Beiträge du durchschnittlich pro Tag hast), mindestens jedoch wöchentlich, ich bewahre die Backups dann anschließend 30 Tage auf.
Ein gutes Tool für automatische Backups ist (meine Meinung)
www.mysqldumper.de
Ich lasse ein Cronscript die Perl-Datei ausführen.