Tutorial: Guía Básica de Seguridad en vbulletin

OsiRiS_X

Beta
Verificación en dos pasos desactivada
Desde
23 Jun 2008
Mensajes
44
Edad
33
Crédito(s)
0
Puntos
0
Introducción.

Debido algunos pequeños problemitas en mi sitio he decidido a crear este pequeño tutorial de como agregar una seguridad extra a nuestro foro basado en vBulletin.

Cambiando Configuraciones en vBulletin.

Lo primero que haremos será modificar el acceso a las carpetas de administración y moderación de nuestro foro. Para esto, iremos a nuestro archivo config.php y modificaremos los nombres de las carpetas modcp y admincp. (a gusto del cliente, en mi caso antepuse anti_carpeta_hack)

recuerden que config.php se encuentra en la carpeta includes

Default:

PHP:
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
Modificado:

PHP:
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'anti_admincp_hack';
$config['Misc']['modcpdir'] = 'anti_modcp_hack';
Luego de eso, cambiamos los nombres de las carpetas que se encuentran en el directorio.



Con eso ya evitamos algunos script que atacan sobre esas carpetas y/o archivos.

Agregando Extra Seguridad a las Carpetas de Administración.

Ahora a través de los archivos .htaccess modificaremos los accesos a las carpetas de administración agregandoles una nueva barrera que contendra un nuevo usuario y una nueva contraseña. Así que ahora no sólo deberan hackear el sistema de vBulletin; sino un nuevo usuario (desconocido) y una nueva contraseña encriptada.

¿Que diablos es .htaccess? ¿Se come?

Wikipedía el más sabio de los mortales te dará la respuesta:

.htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuración de directorios de Apache. Provee de la habilidad para personalizar la configuración de las directivas definidas en el archivo de configuración principal. Las directivas de configuración necesitan estar en el contexto de .htaccess y el usuario necesita los permisos apropiados.
Creando nuestro Sistema de Protección:

Simplemente vamos a crear un archivo .htaccess (que se puede hacer con cualquier editor de texto plano) y lo subiremos a nuestro directorio que vamos a proteger. En mi caso: anti_admincp_hack con el siguiente contenido:

PHP:
AuthName "Area Restringida - Deskiciados.com - Administración"
AuthType Basic
AuthUserFile /public_html/forito/anti_admincp_hack/.htpasswd
AuthGroupFile /dev/null

<Limit GET POST>
require valid-user
</Limit>
Los datos en negrita son aquellos que deben editar dependiendo de las configuraciones de su foro.

Luego de esto, vamos a crear nuestro archivo .htpasswd y lo subiremos al mismo directorio. El archivo .htpasswd deberá contener el usuario y la contraseña.

Para generar un usuario con una pass encriptada nos vamos a la página:

.htpasswd Content Generator



Una vez que damos Encrypt, nos genera esto:



Copiamos y pegamos el contenido en nuestro archivo .htpassword:

PHP:
RooT:XOPbTGPGUFCsw
En este caso mi pass fue: mipass; que fue encriptado asi: XOPbTGPGUFCsw. Cuando hago el login sólo debo tipear "mipass" y no la masamorra de letras que se generan después de la encriptación.

Ahora en mi directorio anti_admincp_hack debó tener los 2 archivos:



Ahora sólo debemos repetir el mismo proceso con las carpetas anti_modcp_hack (y obviamente asignar un usuario para el grupo de moderadores).

Si todo esta correcto, nos deberia aparecer la autentificación:


Protección al Archivo Config.php

El archivo config.php es el archivo más importante en cuanto a seguridad. En el se depositan todas nuestras contraseñas y accesos a nuestro FTP y Base de datos. Es por esto que vamos a crear un archivo .htaccess que de protección a este archivo. Este archivo .htaccess debe contener lo siguiente:

PHP:
<Files config.php>
order deny,allow
deny from all
</Files>
El archivo .htaccess debe ser subido a nuestra carpeta includes :)

Entonces ahora cuando se consulte por nuestro archivo config.php aparecera:


Con estos simples pasos, ya tenemos muy asegurado nuestro foro. Libre de algún tipo de hackeo, capturación de la contraseña de vbulletin, etc.

Espero sea de utilidad.

Saludos!
 

cnicolaide

Beta
Verificación en dos pasos desactivada
Desde
7 May 2008
Mensajes
98
Edad
68
Crédito(s)
0
Puntos
0
Respuesta: Guía Básica de Seguridad en vbulletin

Excelente Muy util, pero yo recomendaria que enves de .htpasswd le llamen de otra manera por ejemplo .kal23kjs o algo por el estilo y que lo ubiquen en otro directorio que no sea el admincp.Tambien protegi el archivo que contiene la clave incluyendo en el .htaccess del admincp

Insertar CODE, HTML o PHP:
[COLOR=#000000][COLOR=#0000bb][/COLOR][FONT=Courier New][COLOR=#007700]<[/COLOR][COLOR=#0000bb]Files .kal23kjs[/COLOR][/FONT][FONT=Courier New][COLOR=#007700]>
[/COLOR][COLOR=#0000bb]order deny[/COLOR][COLOR=#007700],[/COLOR][/FONT][FONT=Courier New][COLOR=#0000bb]allow
deny from all
[/COLOR][COLOR=#007700]</[/COLOR][COLOR=#0000bb]Files[/COLOR][COLOR=#007700]>  [/COLOR][/FONT][/COLOR]
 

Tharos

Dseda
Verificación en dos pasos desactivada
Desde
26 Dic 2007
Mensajes
1.033
Edad
31
Crédito(s)
0
Puntos
0
Se agradece mucho tu ayuda compadre, en serio. Pero es poco etico eso de poner "spam" en las imagenes, no se, se entiende como que fuese para darle publicidad a tu web. Dudo mucho que te las vayan a "robar".
Te lo digo de muy buena forma, para que no te ofendas. Quizas no te diste cuenta, pero molesta mucho.
Por ultimo hubieses puesto "vbhispano" como sello de agua..
Saludos viejo, se aprecia tu ayuda
 

Sax

Gamma
Verificación en dos pasos desactivada
Desde
30 May 2008
Mensajes
227
Edad
30
Crédito(s)
0
Puntos
0
Respuesta: Guía Básica de Seguridad en vbulletin

Excelente guia, gracias :D
 

OsiRiS_X

Beta
Verificación en dos pasos desactivada
Desde
23 Jun 2008
Mensajes
44
Edad
33
Crédito(s)
0
Puntos
0
Tharos,

Se supone que vbhispano tiene el mismo formato que vb.org ( o similar). Si algún admin de algún foro X sube, escribe algún hack, estilo, tutorial, etc siempre hace referencia a su sitio ya sea con ejemplos, marcas de agua, etc. Ejemplo y nadie critica eso; se preocupan del contenido del post y no de donde proviene.
 

mcloud

Ni
Verificación en dos pasos desactivada
Desde
11 Oct 2005
Mensajes
3.829
Edad
99
Crédito(s)
0
Puntos
0
OsiRiS_X, a mí tamnien me pareció excesivo el tamaño de la "marca de agua", que no lo es, la marca de agua es otra cosa, pero como me pareció muy buena la idea y la guía, no dije nada. Pensé que una cosa compensaba a la otra.

Creo que hubiera quedado mas elegante, la misma referencia, pero con un tamaño algo menor.

En cuanto al ejemplo que pones, basta mirarlo para darse cuenta de que no sirve como tal. Allí hay una imagen con el nombre de la web del autor, que no tapa a las demas imágenes.

De todas maneras, ya sabes que aquí se permite promocionar otros sitios. Hasta hay un subforo dedicado a eso!!!

Gracias por tu aporte.
 

OsiRiS_X

Beta
Verificación en dos pasos desactivada
Desde
23 Jun 2008
Mensajes
44
Edad
33
Crédito(s)
0
Puntos
0
No me complicare mucho. Sin Imagenes.

Saludos!
 

Tharos

Dseda
Verificación en dos pasos desactivada
Desde
26 Dic 2007
Mensajes
1.033
Edad
31
Crédito(s)
0
Puntos
0
Pero compadre no te la tomes así. Sólo te lo decimos porque pensamos que eso le daba un toque menos "serio" al aporte, pero no era para que lo quitaras.
De verdad que te consideramos un usuario muy participativo y apreciamos eso, pero no te lo tomes como mala onda.

Saludos
 

OsiRiS_X

Beta
Verificación en dos pasos desactivada
Desde
23 Jun 2008
Mensajes
44
Edad
33
Crédito(s)
0
Puntos
0
Relax Viejo, Cuando tenga tiempo actualizo las Img. Pero por ahora estoy copadisimo de cosas y no tengo tiempo para sacar de nuevo las img.

Saludos!
 

Picaflor

Beta
Verificación en dos pasos desactivada
Desde
10 Abr 2008
Mensajes
42
Edad
38
Crédito(s)
0
Puntos
0
Me interesa mucho este tuto ya que se ve que es muy util pero tengo un problema a la hora de querer entrar al admincp.

Insertar CODE, HTML o PHP:
Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request.
 Please contact the server administrator,  webmaster@descargasiempre.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.
 More information about this error may be available in the server error log.
 Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Utilizo vbulletin 3.7.2 LP1 Me puedes ayudar a solucionarlo. :eek:
 

Sax

Gamma
Verificación en dos pasos desactivada
Desde
30 May 2008
Mensajes
227
Edad
30
Crédito(s)
0
Puntos
0
Yo subo ambos archivos bien el htaccess y el htpasswd, me pide la clave.

Pero a la hora de poner el pass no me entra, simplemente me carga otra vez el mismo aviso pidiendome user y pass pero no entra. Alguna idea?

Tengo ambos archivos subidos a
/admincp/.htaccess
/admincp/.htpasswd

Aqui so dejo en contenido de cada uno:

Insertar CODE, HTML o PHP:
AuthName "Area Restringida - Administracion"
AuthType Basic
AuthUserFile /admincp/.htpasswd
AuthGroupFile /dev/null

<Limit GET POST>
require valid-user
</Limit>
Y el htpasswd:

Insertar CODE, HTML o PHP:
admins:giLyYCf0utMys
Gracias :D




EDIT: No es cosa del host, la proteccion del archivo config.php funciona.
 

BlackZ

Gamma
Verificación en dos pasos desactivada
Desde
21 Ago 2008
Mensajes
367
Edad
29
Crédito(s)
0
Puntos
0
Pues la verdad, muy buen tutorial, lo tendré en cuenta en cualquier momento le hago. Se agradece tu aporte, :D
 

Sax

Gamma
Verificación en dos pasos desactivada
Desde
30 May 2008
Mensajes
227
Edad
30
Crédito(s)
0
Puntos
0
Si es muy bueno pero la parte de proteger als carpetas no me va xD
Osiris podrias decirme que ago mal? gracias
 

Neno

Gamma
Redactor
Verificación en dos pasos desactivada
Desde
8 Ago 2008
Mensajes
479
Edad
28
Crédito(s)
0
Puntos
2
exelente me callo
ya me habian hackeado :p ajaja
 

huguito15

Beta
Verificación en dos pasos desactivada
Desde
20 Jul 2008
Mensajes
39
Edad
29
Crédito(s)
0
Puntos
0
man todo bien pero no habra una forma de q cuando le den cancelar varias veces no les entre al panel de control

osea..... todo bien pero si le das cancelar vairas veces despues q le das 3 veces te lleva al panel normal... como si fueras usuario....
 

Arriba