Guía Básica de Seguridad en vbulletin Guía Básica de Seguridad en vbulletin


Página 1 de 5 123 ... ÚltimoÚltimo
Mostrando resultados del 1 al 10 de 41
  1. #1
    Registro
    23-junio-2008
    Edad
    31
    Mensajes
    44
    Cuenta segura [?]
    Guía Básica de Seguridad en vbulletin
    Introducción.

    Debido algunos pequeños problemitas en mi sitio he decidido a crear este pequeño tutorial de como agregar una seguridad extra a nuestro foro basado en vBulletin.

    Cambiando Configuraciones en vBulletin.

    Lo primero que haremos será modificar el acceso a las carpetas de administración y moderación de nuestro foro. Para esto, iremos a nuestro archivo config.php y modificaremos los nombres de las carpetas modcp y admincp. (a gusto del cliente, en mi caso antepuse anti_carpeta_hack)

    recuerden que config.php se encuentra en la carpeta includes

    Default:

    Código PHP:
        //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
        //    This setting allows you to change the name of the folders that the admin and
        //    moderator control panels reside in. You may wish to do this for security purposes.
        //    Please note that if you change the name of the directory here, you will still need
        //    to manually change the name of the directory on the server.
    $config['Misc']['admincpdir'] = 'admincp';
    $config['Misc']['modcpdir'] = 'modcp'
    Modificado:

    Código PHP:
        //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
        //    This setting allows you to change the name of the folders that the admin and
        //    moderator control panels reside in. You may wish to do this for security purposes.
        //    Please note that if you change the name of the directory here, you will still need
        //    to manually change the name of the directory on the server.
    $config['Misc']['admincpdir'] = 'anti_admincp_hack';
    $config['Misc']['modcpdir'] = 'anti_modcp_hack'
    Luego de eso, cambiamos los nombres de las carpetas que se encuentran en el directorio.



    Con eso ya evitamos algunos script que atacan sobre esas carpetas y/o archivos.

    Agregando Extra Seguridad a las Carpetas de Administración.

    Ahora a través de los archivos .htaccess modificaremos los accesos a las carpetas de administración agregandoles una nueva barrera que contendra un nuevo usuario y una nueva contraseña. Así que ahora no sólo deberan hackear el sistema de vBulletin; sino un nuevo usuario (desconocido) y una nueva contraseña encriptada.

    ¿Que diablos es .htaccess? ¿Se come?

    Wikipedía el más sabio de los mortales te dará la respuesta:

    .htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuración de directorios de Apache. Provee de la habilidad para personalizar la configuración de las directivas definidas en el archivo de configuración principal. Las directivas de configuración necesitan estar en el contexto de .htaccess y el usuario necesita los permisos apropiados.
    Creando nuestro Sistema de Protección:

    Simplemente vamos a crear un archivo .htaccess (que se puede hacer con cualquier editor de texto plano) y lo subiremos a nuestro directorio que vamos a proteger. En mi caso: anti_admincp_hack con el siguiente contenido:

    Código PHP:
    AuthName "Area Restringida - Deskiciados.com - Administración"
    AuthType Basic
    AuthUserFile 
    /public_html/forito/anti_admincp_hack/.htpasswd
    AuthGroupFile 
    /dev/null

    <Limit GET POST>
    require 
    valid-user
    </Limit
    Los datos en negrita son aquellos que deben editar dependiendo de las configuraciones de su foro.

    Luego de esto, vamos a crear nuestro archivo .htpasswd y lo subiremos al mismo directorio. El archivo .htpasswd deberá contener el usuario y la contraseña.

    Para generar un usuario con una pass encriptada nos vamos a la página:

    .htpasswd Content Generator



    Una vez que damos Encrypt, nos genera esto:



    Copiamos y pegamos el contenido en nuestro archivo .htpassword:

    Código PHP:
    RooT:XOPbTGPGUFCsw 
    En este caso mi pass fue: mipass; que fue encriptado asi: XOPbTGPGUFCsw. Cuando hago el login sólo debo tipear "mipass" y no la masamorra de letras que se generan después de la encriptación.

    Ahora en mi directorio anti_admincp_hack debó tener los 2 archivos:



    Ahora sólo debemos repetir el mismo proceso con las carpetas anti_modcp_hack (y obviamente asignar un usuario para el grupo de moderadores).

    Si todo esta correcto, nos deberia aparecer la autentificación:


    Protección al Archivo Config.php

    El archivo config.php es el archivo más importante en cuanto a seguridad. En el se depositan todas nuestras contraseñas y accesos a nuestro FTP y Base de datos. Es por esto que vamos a crear un archivo .htaccess que de protección a este archivo. Este archivo .htaccess debe contener lo siguiente:

    Código PHP:
    <Files config.php>
    order deny,allow
    deny from all
    </Files
    El archivo .htaccess debe ser subido a nuestra carpeta includes

    Entonces ahora cuando se consulte por nuestro archivo config.php aparecera:


    Con estos simples pasos, ya tenemos muy asegurado nuestro foro. Libre de algún tipo de hackeo, capturación de la contraseña de vbulletin, etc.

    Espero sea de utilidad.

    Saludos!

  2. #2
    Excelente tuto!

  3. #3
    Excelente Juan, muy util la información...
    Gracias...

  4. #4
    Excelente Muy util, pero yo recomendaria que enves de .htpasswd le llamen de otra manera por ejemplo .kal23kjs o algo por el estilo y que lo ubiquen en otro directorio que no sea el admincp.Tambien protegi el archivo que contiene la clave incluyendo en el .htaccess del admincp

    Código:
    <Files .kal23kjs>
    order deny,allow
    deny from all
    </Files>  

  5. #5
    Registro
    26-diciembre-2007
    Edad
    30
    Mensajes
    1.033
    Cuenta segura [?]
    Guía Básica de Seguridad en vbulletin
    Se agradece mucho tu ayuda compadre, en serio. Pero es poco etico eso de poner "spam" en las imagenes, no se, se entiende como que fuese para darle publicidad a tu web. Dudo mucho que te las vayan a "robar".
    Te lo digo de muy buena forma, para que no te ofendas. Quizas no te diste cuenta, pero molesta mucho.
    Por ultimo hubieses puesto "vbhispano" como sello de agua..
    Saludos viejo, se aprecia tu ayuda

  6. #6
    Registro
    30-mayo-2008
    Edad
    28
    Mensajes
    227
    Cuenta segura [?]
    Guía Básica de Seguridad en vbulletin
    Excelente guia, gracias

  7. #7
    Registro
    23-junio-2008
    Edad
    31
    Mensajes
    44
    Cuenta segura [?]
    Guía Básica de Seguridad en vbulletin
    Tharos,

    Se supone que vbhispano tiene el mismo formato que vb.org ( o similar). Si algún admin de algún foro X sube, escribe algún hack, estilo, tutorial, etc siempre hace referencia a su sitio ya sea con ejemplos, marcas de agua, etc. Ejemplo y nadie critica eso; se preocupan del contenido del post y no de donde proviene.

  8. #8
    Registro
    11-octubre-2005
    Edad
    97
    Mensajes
    3.829
    Cuenta segura [?]
    Guía Básica de Seguridad en vbulletin
    OsiRiS_X, a mí tamnien me pareció excesivo el tamaño de la "marca de agua", que no lo es, la marca de agua es otra cosa, pero como me pareció muy buena la idea y la guía, no dije nada. Pensé que una cosa compensaba a la otra.

    Creo que hubiera quedado mas elegante, la misma referencia, pero con un tamaño algo menor.

    En cuanto al ejemplo que pones, basta mirarlo para darse cuenta de que no sirve como tal. Allí hay una imagen con el nombre de la web del autor, que no tapa a las demas imágenes.

    De todas maneras, ya sabes que aquí se permite promocionar otros sitios. Hasta hay un subforo dedicado a eso!!!

    Gracias por tu aporte.

  9. #9
    Registro
    23-junio-2008
    Edad
    31
    Mensajes
    44
    Cuenta segura [?]
    Guía Básica de Seguridad en vbulletin
    No me complicare mucho. Sin Imagenes.

    Saludos!

  10. #10
    Registro
    26-diciembre-2007
    Edad
    30
    Mensajes
    1.033
    Cuenta segura [?]
    Guía Básica de Seguridad en vbulletin
    Pero compadre no te la tomes así. Sólo te lo decimos porque pensamos que eso le daba un toque menos "serio" al aporte, pero no era para que lo quitaras.
    De verdad que te consideramos un usuario muy participativo y apreciamos eso, pero no te lo tomes como mala onda.

    Saludos

Página 1 de 5 123 ... ÚltimoÚltimo

Temas similares

  1. Problemas con sitemap
    26229736299366655363339346299794246222976224547369 Google Bot = :turtle: Salu2 :hello:
    Respuestas: 10
    Último mensaje: 17-ago-2009

Normas de publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •