Tutorial: Guía Básica de Seguridad en vbulletin

OsiRiS_X · 17 Jul 2008

Introducción.

Debido algunos pequeños problemitas en mi sitio he decidido a crear este pequeño tutorial de como agregar una seguridad extra a nuestro foro basado en vBulletin.

Cambiando Configuraciones en vBulletin.

Lo primero que haremos será modificar el acceso a las carpetas de administración y moderación de nuestro foro. Para esto, iremos a nuestro archivo config.php y modificaremos los nombres de las carpetas modcp y admincp. (a gusto del cliente, en mi caso antepuse anti_carpeta_hack)

recuerden que config.php se encuentra en la carpeta includes

Default:

PHP:

    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

Modificado:

PHP:

    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
    //    This setting allows you to change the name of the folders that the admin and
    //    moderator control panels reside in. You may wish to do this for security purposes.
    //    Please note that if you change the name of the directory here, you will still need
    //    to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'anti_admincp_hack';
$config['Misc']['modcpdir'] = 'anti_modcp_hack';

Luego de eso, cambiamos los nombres de las carpetas que se encuentran en el directorio.

Con eso ya evitamos algunos script que atacan sobre esas carpetas y/o archivos.

Agregando Extra Seguridad a las Carpetas de Administración.

Ahora a través de los archivos .htaccess modificaremos los accesos a las carpetas de administración agregandoles una nueva barrera que contendra un nuevo usuario y una nueva contraseña. Así que ahora no sólo deberan hackear el sistema de vBulletin; sino un nuevo usuario (desconocido) y una nueva contraseña encriptada.

¿Que diablos es .htaccess? ¿Se come?

Wikipedía el más sabio de los mortales te dará la respuesta:

.htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuración de directorios de Apache. Provee de la habilidad para personalizar la configuración de las directivas definidas en el archivo de configuración principal. Las directivas de configuración necesitan estar en el contexto de .htaccess y el usuario necesita los permisos apropiados.

Creando nuestro Sistema de Protección:

Simplemente vamos a crear un archivo .htaccess (que se puede hacer con cualquier editor de texto plano) y lo subiremos a nuestro directorio que vamos a proteger. En mi caso: anti_admincp_hack con el siguiente contenido:

PHP:

AuthName "Area Restringida - Deskiciados.com - Administración"
AuthType Basic
AuthUserFile /public_html/forito/anti_admincp_hack/.htpasswd
AuthGroupFile /dev/null

<Limit GET POST>
require valid-user
</Limit>

Los datos en negrita son aquellos que deben editar dependiendo de las configuraciones de su foro.

Luego de esto, vamos a crear nuestro archivo .htpasswd y lo subiremos al mismo directorio. El archivo .htpasswd deberá contener el usuario y la contraseña.

Para generar un usuario con una pass encriptada nos vamos a la página:

.htpasswd Content Generator

Una vez que damos Encrypt, nos genera esto:

Copiamos y pegamos el contenido en nuestro archivo .htpassword:

PHP:

RooT:XOPbTGPGUFCsw

En este caso mi pass fue: mipass; que fue encriptado asi: XOPbTGPGUFCsw. Cuando hago el login sólo debo tipear "mipass" y no la masamorra de letras que se generan después de la encriptación.

Ahora en mi directorio anti_admincp_hack debó tener los 2 archivos:

Ahora sólo debemos repetir el mismo proceso con las carpetas anti_modcp_hack (y obviamente asignar un usuario para el grupo de moderadores).

Si todo esta correcto, nos deberia aparecer la autentificación:

Protección al Archivo Config.php

El archivo config.php es el archivo más importante en cuanto a seguridad. En el se depositan todas nuestras contraseñas y accesos a nuestro FTP y Base de datos. Es por esto que vamos a crear un archivo .htaccess que de protección a este archivo. Este archivo .htaccess debe contener lo siguiente:

PHP:

<Files config.php>
order deny,allow
deny from all
</Files>

El archivo .htaccess debe ser subido a nuestra carpeta includes

Entonces ahora cuando se consulte por nuestro archivo config.php aparecera:

Con estos simples pasos, ya tenemos muy asegurado nuestro foro. Libre de algún tipo de hackeo, capturación de la contraseña de vbulletin, etc.

Espero sea de utilidad.

Saludos!

imported_Toni · 17 Jul 2008

Excelente tuto!

Das Underground · 17 Jul 2008

Excelente Juan, muy util la información...
Gracias...

cnicolaide · 17 Jul 2008

Respuesta: Guía Básica de Seguridad en vbulletin

Excelente Muy util, pero yo recomendaria que enves de .htpasswd le llamen de otra manera por ejemplo .kal23kjs o algo por el estilo y que lo ubiquen en otro directorio que no sea el admincp.Tambien protegi el archivo que contiene la clave incluyendo en el .htaccess del admincp

Insertar CODE, HTML o PHP:

[COLOR=#000000][COLOR=#0000bb][/COLOR][FONT=Courier New][COLOR=#007700]<[/COLOR][COLOR=#0000bb]Files .kal23kjs[/COLOR][/FONT][FONT=Courier New][COLOR=#007700]>
[/COLOR][COLOR=#0000bb]order deny[/COLOR][COLOR=#007700],[/COLOR][/FONT][FONT=Courier New][COLOR=#0000bb]allow
deny from all
[/COLOR][COLOR=#007700]</[/COLOR][COLOR=#0000bb]Files[/COLOR][COLOR=#007700]>  [/COLOR][/FONT][/COLOR]

Tharos · 22 Jul 2008

Se agradece mucho tu ayuda compadre, en serio. Pero es poco etico eso de poner "spam" en las imagenes, no se, se entiende como que fuese para darle publicidad a tu web. Dudo mucho que te las vayan a "robar".
Te lo digo de muy buena forma, para que no te ofendas. Quizas no te diste cuenta, pero molesta mucho.
Por ultimo hubieses puesto "vbhispano" como sello de agua..
Saludos viejo, se aprecia tu ayuda

Sax · 22 Jul 2008

Respuesta: Guía Básica de Seguridad en vbulletin

Excelente guia, gracias

OsiRiS_X · 23 Jul 2008

Tharos,

Se supone que vbhispano tiene el mismo formato que vb.org ( o similar). Si algún admin de algún foro X sube, escribe algún hack, estilo, tutorial, etc siempre hace referencia a su sitio ya sea con ejemplos, marcas de agua, etc. Ejemplo y nadie critica eso; se preocupan del contenido del post y no de donde proviene.

mcloud · 23 Jul 2008

OsiRiS_X, a mí tamnien me pareció excesivo el tamaño de la "marca de agua", que no lo es, la marca de agua es otra cosa, pero como me pareció muy buena la idea y la guía, no dije nada. Pensé que una cosa compensaba a la otra.

Creo que hubiera quedado mas elegante, la misma referencia, pero con un tamaño algo menor.

En cuanto al ejemplo que pones, basta mirarlo para darse cuenta de que no sirve como tal. Allí hay una imagen con el nombre de la web del autor, que no tapa a las demas imágenes.

De todas maneras, ya sabes que aquí se permite promocionar otros sitios. Hasta hay un subforo dedicado a eso!!!

Gracias por tu aporte.

OsiRiS_X · 23 Jul 2008

No me complicare mucho. Sin Imagenes.

Saludos!

Tharos · 26 Jul 2008

Pero compadre no te la tomes así. Sólo te lo decimos porque pensamos que eso le daba un toque menos "serio" al aporte, pero no era para que lo quitaras.
De verdad que te consideramos un usuario muy participativo y apreciamos eso, pero no te lo tomes como mala onda.

Saludos

OsiRiS_X · 27 Jul 2008

Relax Viejo, Cuando tenga tiempo actualizo las Img. Pero por ahora estoy copadisimo de cosas y no tengo tiempo para sacar de nuevo las img.

Saludos!

Picaflor · 2008-08-04T18:50:51-0500

Me interesa mucho este tuto ya que se ve que es muy util pero tengo un problema a la hora de querer entrar al admincp.

Insertar CODE, HTML o PHP:

Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request.
 Please contact the server administrator,  webmaster@descargasiempre.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.
 More information about this error may be available in the server error log.
 Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Utilizo vbulletin 3.7.2 LP1 Me puedes ayudar a solucionarlo.

imported_Gasper · 2008-08-04T19:11:39-0500

Parece que tu hosting no soporta .htaccess.

Sax · 19 Sep 2008

Yo subo ambos archivos bien el htaccess y el htpasswd, me pide la clave.

Pero a la hora de poner el pass no me entra, simplemente me carga otra vez el mismo aviso pidiendome user y pass pero no entra. Alguna idea?

Tengo ambos archivos subidos a
/admincp/.htaccess
/admincp/.htpasswd

Aqui so dejo en contenido de cada uno:

Insertar CODE, HTML o PHP:

AuthName "Area Restringida - Administracion"
AuthType Basic
AuthUserFile /admincp/.htpasswd
AuthGroupFile /dev/null

<Limit GET POST>
require valid-user
</Limit>

Y el htpasswd:

Insertar CODE, HTML o PHP:

admins:giLyYCf0utMys

Gracias

EDIT: No es cosa del host, la proteccion del archivo config.php funciona.

BlackZ · 19 Sep 2008

Pues la verdad, muy buen tutorial, lo tendré en cuenta en cualquier momento le hago. Se agradece tu aporte,

Sax · 20 Sep 2008

Si es muy bueno pero la parte de proteger als carpetas no me va xD
Osiris podrias decirme que ago mal? gracias

Jorge Gomez · 25 Sep 2008

Muy Bueno!
gracias!

Neno · 11 Oct 2008

exelente me callo
ya me habian hackeado

ajaja

fldesarrollo · 16 Oct 2008

esto siempre es muy util

huguito15 · 17 Oct 2008

man todo bien pero no habra una forma de q cuando le den cancelar varias veces no les entre al panel de control

osea..... todo bien pero si le das cancelar vairas veces despues q le das 3 veces te lleva al panel normal... como si fueras usuario....