Вопросы по защите форума от взлома

[stayler]

Всем привет, в админке висят три вопроса которые меня волнуют в Центре безопасности IP.Board

 

1) Защита файлом .htaccess Админцентра
Для повышения безопасности вы можете добавить HTTP-аутентификацию на директорию админцентра ("/admin/").
IPB не обнаружил .htaccess файл в директории админцентра.

 

2)Защита PHP/CGI файлом .htaccess
IPB может записать файл .htaccess в директории, где не содержатся php-файлы, препятствуя тем самым запуску файлов PHP и CGI в этих директориях.
IPB не обнаружил какие-либо .htaccess файлы.

 

3)Название директории Админцентра
Стандартную директорию админцентра ('/admin/') можно переименовать — тем самым злоумышленнику будет сложнее нарушить работу форума в случае взлома учетной записи какого-либо из администраторов.
Директория админцентра не переименована.

 

что из этого стоит/не стоит настроить, с чего начать, буду очень благодарен за развёрнутый ответ. Естественно хотелось бы в первую очередь убрать директорию admin для входа на сайт и переименовать её

[SanyaSamp]

Делай все. Все нужно. Самое важно - переименовать директорию admin

[Respected]

Естественно хотелось бы в первую очередь убрать директорию admin для входа на сайт и переименовать её

Я думаю этого будет достаточно, при условии что пароли хорошие установлены.

[muslimgauze]

Я думаю этого будет достаточно, при условии что пароли хорошие установлены.

 

При этом надо НЕ добавлять новое имя админки в список исключений в роботс.txt, откуда оно сразу станет известно злоумышленникам.

В файл .htaccess нужно добавить строку:

 

Deny from 3 4 6 7 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 41 43 44 45 47 48 51 52 53 54 55 56 57 58 59 60 61 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 140.92 140.96 140.109 140.138 163.13 163.32 180 192.192 196 202 203 210 211 214 215 218 219 220 221 222

 

Что моментально отсечет всех хакеров из Африки и Юго-Восточной Азии.

 

Если у админа выделенный IP или несколько извсетных IP, то в .htaccess в админке нужно добавить что-то вроде:

 

 

Order deny,allow

Deny from all

Allow from 1.2.3.4

Allow from 2.3.4.5

По числу разрешенных IP (естественно, указав правильные значения)

[stayler]

Делал все по инструкции ниже:

 

Шаг 1: 
Во-первых, вы должны переименовать директорию. Подключитесь к серверу при помощи FTP и найдите директорию с IPB (директория, в котором находится файл 'index.php'). 
Найдите директорию 'admin'. Он содержит один файл - 'index.php'. Выберите команду «Переименовать» в вашей FTP-программе и укажите новое название. В этой инструкции мы будем использовать название 'admin_secret'. Если у вас в указанной директории создан файл защиты '.htaccess', вы ДОЛЖНЫ его удалить. В противном случае вы не сможете авторизоваться в админцентр. Вы сможете создать этот файл заново после выполнения следующего шага. 

Шаг 2: Найдите файл 'initdata.php'. Он находится в корневой директории IPB. Скачайте его и откройте в текстовом редакторе. 
 

<?php
define( 'CP_DIRECTORY', 'admin' );
Измените строку:define( 'CP_DIRECTORY', 'admin' );наdefine( 'CP_DIRECTORY', 'admin_secret' );

Теперь директория вашего админцентра изменена.

 

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

проблема в том что после выше описанных действий сайт вообще не открывается, белый экран..может что то я упустил..по 1) пункту в директории admin файла .htaccess у меня нет по 2) пункту файл .htaccess есть, может нужно было его сперва удалить?

[stayler]

up

[LvsF]

up

Q: Белая страница?

A: Включайте показ ошибок

[stayler]

каких ошибок, сайт вообще не открывается, белый экран

 

может кто то на простом языке опишет, как переименовать директорию admin буду очень благодарен

Изменено 14 мая, 2014 пользователем stayler

[KitsuneSolar]

каких ошибок, сайт вообще не открывается, белый экран

Это ошибка PHP.

[stayler]

up

[LvsF]

up

Q: Белая страница? A: Включайте показ ошибок

'?do=embed' frameborder='0' data-embedContent>>

 

В теме найдете, как включить отображение ошибок

[stayler]

а вообще есть возможность подключить защиту на форум с помощью смс? тебе отправляется смс с кодом, ты его вводишь (в течении определенного времени) и входишь в админку, это возможно?

[SanyaSamp]

а вообще есть возможность подключить защиту на форум с помощью смс? тебе отправляется смс с кодом, ты его вводишь (в течении определенного времени) и входишь в админку, это возможно?

За деньги да, пишите фрилансером, они будут делать. Но платить деньги за смс, что бы войти в ац, это бред

[stayler]

При этом надо НЕ добавлять новое имя админки в список исключений в роботс.txt, откуда оно сразу станет известно злоумышленникам.

 

В файл .htaccess нужно добавить строку:

 

Deny from 3 4 6 7 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 41 43 44 45 47 48 51 52 53 54 55 56 57 58 59 60 61 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 140.92 140.96 140.109 140.138 163.13 163.32 180 192.192 196 202 203 210 211 214 215 218 219 220 221 222

 

Что моментально отсечет всех хакеров из Африки и Юго-Восточной Азии.

 

Если у админа выделенный IP или несколько извсетных IP, то в .htaccess в админке нужно добавить что-то вроде:

 

 

Order deny,allow

Deny from all

Allow from 1.2.3.4

Allow from 2.3.4.5

По числу разрешенных IP (естественно, указав правильные значения)

muslimgauze  вот код в файле .htaccess

 

<IfModule mod_rewrite.c>

Options -MultiViews

RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule .(jpeg|jpg|gif|png)$ /public/404.php [NC,L]

 

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

 

куда лучше в код вставить это:

 

Deny from 3 4 6 7 8 9 11 12 13 14 15 16 17 18 19 20 21 22 24 25 26 28 29 30 32 33 34 35 38 40 41 43 44 45 47 48 51 52 53 54 55 56 57 58 59 60 61 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 140.92 140.96 140.109 140.138 163.13 163.32 180 192.192 196 202 203 210 211 214 215 218 219 220 221 222

Изменено 26 мая, 2014 пользователем stayler

[stayler]

у меня так и не получается переименовать директорию admin..хоть убейся, в папке public_html/admin есть файл index.php его надо переименовать? или в самом корне public_html/, там тоже есть файл index.php, тут же находится файл .htaccess

 

Какая последовательность действий?

1) переименовать файл index.php (в какой директории?)

2) удалить в корне public_html/ файл .htaccess

3) в корне public_html/ в файле 'initdata.php'.  переименовать строки define( 'CP_DIRECTORY', 'admin' );на  define( 'CP_DIRECTORY', 'admin_secret' );

4) записать в корень файл  .htaccess (что то надо внутри него дописать?) щас он выглядит так

 

<IfModule mod_rewrite.c>

Options -MultiViews

RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule .(jpeg|jpg|gif|png)$ /public/404.php [NC,L]

 

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

[AlexBrtn]

 

у меня так и не получается переименовать директорию admin..хоть убейся, в папке public_html/admin есть файл index.php его надо переименовать? или в самом корне public_html/, там тоже есть файл index.php, тут же находится файл .htaccess

 

Какая последовательность действий?

1) переименовать файл index.php (в какой директории?)

2) удалить в корне public_html/ файл .htaccess

3) в корне public_html/ в файле 'initdata.php'.  переименовать строки define( 'CP_DIRECTORY', 'admin' );на  define( 'CP_DIRECTORY', 'admin_secret' );

4) записать в корень файл  .htaccess (что то надо внутри него дописать?) щас он выглядит так

 

<IfModule mod_rewrite.c>

Options -MultiViews

RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_FILENAME} !-f

RewriteRule .(jpeg|jpg|gif|png)$ /public/404.php [NC,L]

 

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

 

Что тут не понятного? Всё же разжёвано 

Invision Power Board обнаружил директорию админцентра. В целях повышения безопасности, вы можете изменить эту директорию. 

Шаг 1: 
Во-первых, вы должны переименовать директорию. Подключитесь к серверу при помощи FTP и найдите директорию с IPB (директория, в котором находится файл 'index.php'). 
Найдите директорию 'admin'. Он содержит один файл - 'index.php'. Выберите команду «Переименовать» в вашей FTP-программе и укажите новое название. В этой инструкции мы будем использовать название 'admin_secret'. Если у вас в указанной директории создан файл защиты '.htaccess', вы ДОЛЖНЫ его удалить. В противном случае вы не сможете авторизоваться в админцентр. Вы сможете создать этот файл заново после выполнения следующего шага. 

Шаг 2: Найдите файл 'initdata.php'. Он находится в корневой директории IPB. Скачайте его и откройте в текстовом редакторе. 

<?php
define( 'CP_DIRECTORY', 'admin' );

Измените строку:
define( 'CP_DIRECTORY', 'admin' );
на
define( 'CP_DIRECTORY', 'admin_secret' );


Теперь директория вашего админцентра изменена.

[stayler]

 

Что тут не понятного? Всё же разжёвано 

Invision Power Board обнаружил директорию админцентра. В целях повышения безопасности, вы можете изменить эту директорию. 

Шаг 1: 
Во-первых, вы должны переименовать директорию. Подключитесь к серверу при помощи FTP и найдите директорию с IPB (директория, в котором находится файл 'index.php'). 
Найдите директорию 'admin'. Он содержит один файл - 'index.php'. Выберите команду «Переименовать» в вашей FTP-программе и укажите новое название. В этой инструкции мы будем использовать название 'admin_secret'. Если у вас в указанной директории создан файл защиты '.htaccess', вы ДОЛЖНЫ его удалить. В противном случае вы не сможете авторизоваться в админцентр. Вы сможете создать этот файл заново после выполнения следующего шага. 

Шаг 2: Найдите файл 'initdata.php'. Он находится в корневой директории IPB. Скачайте его и откройте в текстовом редакторе. 

<?php
define( 'CP_DIRECTORY', 'admin' );

Измените строку:
define( 'CP_DIRECTORY', 'admin' );
на
define( 'CP_DIRECTORY', 'admin_secret' );


Теперь директория вашего админцентра изменена.

я всё делаю по этому описанию, итог = сайт подвисает в белый экран

[AlexBrtn]

1) переименовать файл index.php (в какой директории?)

папку admin переименовать

Если у вас в указанной директории создан файл защиты '.htaccess', вы ДОЛЖНЫ его удалить.

Шаг 2: Найдите файл 'initdata.php'. Он находится в корневой директории IPB. Скачайте его и откройте в текстовом редакторе.

4) записать в корень файл  .htaccess (что то надо внутри него дописать?) щас он выглядит так

Это сделаете в конце ч/з Центр безопасности IP.Board там должно быть что-то вроде пункта "прописать в корень папок .htaccess"

---

Для создания паролей и их хранения рекомендую расширение для браузера LastPass (нужно будет просто запомнить один мастер-пароль)

[stayler]

папку admin переименовать

 

 

 

 

 

саму папку admin переименовать? а не файл index.php ?

[LvsF]

саму папку admin переименовать? а не файл index.php ?

Папку. Индексный файл вообще трогать не надо.

[AlexBrtn]

саму папку admin переименовать? а не файл index.php ?

Шаг 1: Во-первых, вы должны переименовать директорию.

Не читайте по диагонали. Вчитывайтесь в каждое слово и осмысливайте.