Hilfe und Tipps gegen Hacker

[Xandor]

Hallo zusammen,

ich bin im Moment dabei an einem größeren Projekt zuarbeiten welches auf dem PHPBB 3.0.2 Forum aufbaut. Nun habe ich in einigen Foren gelesen, auch von anderen Foren-Software, das es in letzter Zeit wieder eine Welle von Scans gibt um Zutritt zu diversen Foren und Seiten zu bekommen.

Nun würde mich interessieren welchen Sicherheits Tipps gibt es alles um es den Hackern zu erschweren sein mit viel Liebe und Schweiß aufgebautes Forum zu hacken. Das man Backups macht, immer fleißig updatet, richtige Passwörter nutzt und keine einfachen Namen setze ich jetzt mal voraus.

Ich habe für PhPBB 2.0 gelesen das /admin Verzeichnis mit einer .htaccess Datei zu sichern, funktioniert das auch bei PhPbb 3.0 für das /adm Verzeichnis?

Und welche Möglichkeiten gibt es sonst noch?

Hilft es wirklich viel das man HTML komplett im Forum verbietet? Wenn ja wie bzw wo stellt man dies ein?

Und wie sieht das mit dem verschieben der config.php in einen anderen neuen Ordner aus? Und die alte config.php einfach durch eine neue ersetzen.

Code: Alles auswählen

<?php
require_once('/absoluter/pfad/zum/ort/deiner/wahl/config.php'); 

Hilft das auch?

Das größte Sicherheitsrisiko sind für mich noch immer die Hacks und Scripte die man sich so mit der Zeit einbaut. Besonders für nicht Coder wie mich ist es sehr schwer bis unmöglich diese Dinge von der Sicherheitsstufe her ein zu schätzen. Gibt es eine Seite die Hacks und Codes auch auf Sicherheit hin überprüft oder zumindest eine Bewertung/Empfehlung dafür ab gibt?

Das sind jetzt erstmal so meine Überlegungen zum Thema Sicherheit. Leider habe ich im Deutschen Teil von PhPBB 3.0 noch nciht soviel zu dem Thema gefunden und ich würde mich freuen wenn man eventuell einen Guide zusammen stellen könnte um allen Anwendern auch den "Noobs" es ermöglichen kann ein sichereres Forum zu haben.

Gruß Xandor

[Xandor]

Im VBulletin Board gibt es eine Einstellung um Accounts vorm löschen zu schützen. Ich denke das ist eine sehr gute Möglichkeit da ja viele Hacker die Admin Accounts löschen um sich möglichst lange auf der Seite zu bleiben.

Im VBulletin Board sieht das so aus:

Code: Alles auswählen

$config['SpecialUsers']['undeletableusers'] = '1';

wobei 1 die ID des Accounts ist.

Gibt es sowas in der Art auch bei PhPBB 3.0 ?

[Xandor]

Wie es aus schaut interessiert es hier nicht viele über das Thema Sicherheit sich aus zu tauschen und auch Anfängern die Möglichkeit zu bieten Ihr Forum sicherer zu machen. Also fange ich mal an und schreib hier meine Erfahrungen nieder.

Das A und O sollten natürlich immer richtige Passwörter sein. Also keine Namen oder Geburtstage von Freunden, Verwanden etc. Ein Link für nen Passwort Generator folgt später.

Auch sollten die Passwort Vorgaben für eure Nutzer etwas hoch geschraubt werden. Also am besten sollten Sonderzeichen genutzt werden.
Die Einstellung dazu findet Ihr unter:
ACP -> Allgemein -> Registrierung -> Passwort-Komplexität

Dazu gehört ebenfalls das man sein Forum immer up-to-date hält. Im Moment ist das Version 3.0.2.


Also als erstes habe ich die config.php in ein anderes Verzeichnis verschoben.

und im root Verzeichnis des Forums eine neue config.php eingefügt.

Code: Alles auswählen

<?php
require_once('/absoluter/pfad/zum/ort/deiner/wahl/config.php'); 
?>

Desweiteren haben ich das Verzeichnis /adm mit einem .htaccess Passwort geschützt. Dadurch muss man jedesmal wenn man das erste mal von seinem Rechner auf den Adminbereich zu greift ein weiteres Passwort eingeben.

Weitere Tipps schreibe ich hier sobald ich neue gefunden habe. Ich würde mich natürlich freuen wenn auch mal die Profis sich hier äußern würden.

Gruß Xandor

[Boecki91]

phpBB.com prüft die Mods relativ gut, allerdings bei weitem nicht so genau wie phpBB3 selbst.

Zur config.php wäre noch zu sagen das es möglichst außerhalb deines Webspace verschoben werden sollte, dafür muss man allerdings die Hilfe des Hosters in Anspruch nehmen.