J
Jasabi
Abro este tema por que necesitamos seguridad de nuestro vbulletin vi un enlace dentro de Vbhispano que pedian ayuda y creo que nadie lo tomo importancia.
El post decia lo siguiente:
hay muchas pregutas que no han sido contestadas.
Por fabor ayudenmos a proteger nuestra web en vbulletin
ahora al grano que tan cierto es esto:
es verdad esto o es mentira lo que escribio un usuario??? para proteger nuestro vbulletin
y hay muchas preguntas que no han sido contestadas.
El post decia lo siguiente:
Introducción.
Debido algunos pequeños problemitas en mi sitio he decidido a crear este pequeño tutorial de como agregar una seguridad extra a nuestro foro basado en vBulletin.
Cambiando Configuraciones en vBulletin.
Lo primero que haremos será modificar el acceso a las carpetas de administración y moderación de nuestro foro. Para esto, iremos a nuestro archivo config.php y modificaremos los nombres de las carpetas modcp y admincp. (a gusto del cliente, en mi caso antepuse anti_carpeta_hack)
recuerden que config.php se encuentra en la carpeta includes
Default:
Código PHP:
// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
// This setting allows you to change the name of the folders that the admin and
// moderator control panels reside in. You may wish to do this for security purposes.
// Please note that if you change the name of the directory here, you will still need
// to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
Modificado:
Código PHP:
// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
// This setting allows you to change the name of the folders that the admin and
// moderator control panels reside in. You may wish to do this for security purposes.
// Please note that if you change the name of the directory here, you will still need
// to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'anti_admincp_hack';
$config['Misc']['modcpdir'] = 'anti_modcp_hack';
Luego de eso, cambiamos los nombres de las carpetas que se encuentran en el directorio.
Con eso ya evitamos algunos script que atacan sobre esas carpetas y/o archivos.
Agregando Extra Seguridad a las Carpetas de Administración.
Ahora a través de los archivos .htaccess modificaremos los accesos a las carpetas de administración agregandoles una nueva barrera que contendra un nuevo usuario y una nueva contraseña. Así que ahora no sólo deberan hackear el sistema de vBulletin; sino un nuevo usuario (desconocido) y una nueva contraseña encriptada.
¿Que diablos es .htaccess? ¿Se come?
Wikipedía el más sabio de los mortales te dará la respuesta:
Cita:
.htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuración de directorios de Apache. Provee de la habilidad para personalizar la configuración de las directivas definidas en el archivo de configuración principal. Las directivas de configuración necesitan estar en el contexto de .htaccess y el usuario necesita los permisos apropiados.
Creando nuestro Sistema de Protección:
Simplemente vamos a crear un archivo .htaccess (que se puede hacer con cualquier editor de texto plano) y lo subiremos a nuestro directorio que vamos a proteger. En mi caso: anti_admincp_hack con el siguiente contenido:
Código PHP:
AuthName "Area Restringida - Deskiciados.com - Administración"
AuthType Basic
AuthUserFile /public_html/forito/anti_admincp_hack/.htpasswd
AuthGroupFile /dev/null
<Limit GET POST>
require valid-user
</Limit>
Los datos en negrita son aquellos que deben editar dependiendo de las configuraciones de su foro.
Luego de esto, vamos a crear nuestro archivo .htpasswd y lo subiremos al mismo directorio. El archivo .htpasswd deberá contener el usuario y la contraseña.
Para generar un usuario con una pass encriptada nos vamos a la página:
.htpasswd Content Generator
Una vez que damos Encrypt, nos genera esto:
Copiamos y pegamos el contenido en nuestro archivo .htpassword:
Código PHP:
RooT:XOPbTGPGUFCsw
En este caso mi pass fue: mipass; que fue encriptado asi: XOPbTGPGUFCsw. Cuando hago el login sólo debo tipear "mipass" y no la masamorra de letras que se generan después de la encriptación.
Ahora en mi directorio anti_admincp_hack debó tener los 2 archivos:
Ahora sólo debemos repetir el mismo proceso con las carpetas anti_modcp_hack (y obviamente asignar un usuario para el grupo de moderadores).
Si todo esta correcto, nos deberia aparecer la autentificación:
Protección al Archivo Config.php
El archivo config.php es el archivo más importante en cuanto a seguridad. En el se depositan todas nuestras contraseñas y accesos a nuestro FTP y Base de datos. Es por esto que vamos a crear un archivo .htaccess que de protección a este archivo. Este archivo .htaccess debe contener lo siguiente:
Código PHP:
<Files config.php>
order deny,allow
deny from all
</Files>
El archivo .htaccess debe ser subido a nuestra carpeta includes
Entonces ahora cuando se consulte por nuestro archivo config.php aparecera:
Con estos simples pasos, ya tenemos muy asegurado nuestro foro. Libre de algún tipo de hackeo, capturación de la contraseña de vbulletin, etc.
Espero sea de utilidad.
hay muchas pregutas que no han sido contestadas.
Por fabor ayudenmos a proteger nuestra web en vbulletin
ahora al grano que tan cierto es esto:
es verdad esto o es mentira lo que escribio un usuario??? para proteger nuestro vbulletin
y hay muchas preguntas que no han sido contestadas.
