phpBB2 by Przemo
Support forów phpBB2 modified by Przemo

FAQFAQ - PIERWSZA POMOC!!  regulaminREGULAMIN  SzukajSZUKAJ  UżytkownicyUżytkownicy  GrupyGrupy  StatystykiStatystyki
RejestracjaRejestracja  ZalogujZaloguj  DownloadDownload  katalog Forów DyskusyjnychKatalog Forów   FAQ Video tutoriale

Poprzedni temat «» Następny temat
Zamknięty przez: arcy
10-02-2009, 18:03
Jak zabezpieczyć forum
Autor Wiadomość
arcy



Pomógł: 509 razy
Posty: 3761
Wysłany: 10-02-2009, 18:02   Jak zabezpieczyć forum

Witam.
W związku z masą pytań jak zabezpieczyć forum oraz z faktem, że w sieci działają oszuści wyłudzający pieniądze za rzekome zabezpieczenia forum publikuję niniejszy krótki poradnik co zrobić, aby zminimalizować możliwość włamania na Twoje forum.

1. Stosuj bezpieczne hasła. Hasło w stylu
Kod:
alamakota kosmos01 dupadupa00 1234abcd

<b>nie są bezpiecznymi hasłami!</b>
Hasło nie może być słowem czy wyrażeniem, które znajdziesz w słowniku. Nie powinno być imieniem Fruzi, rybki, kumpla czy pokemona. Nie powinno być nazwą Twojego miasta, albo numerem autobusu do szkoły. Hasło bezpieczne ma minimum 8 znaków i podobne jest do tych przedstawionych poniżej
Kod:
kQPdrmo8t@p.   VCs'A/^n`NrX   W.Y:$@BMdVp&   Gt38Yu*i#rT

Zasady są proste
- im dłuższe hasło tym bezpieczniejsze
- im bardziej skomplikowane hasło tym bezpieczniejsze
- stosuj DUŻE i małe litery
- stosuj znaki specjalne !@#$%^&*
- stosuj cyfry
Aby łatwo zapamiętywać dłuższe i silne hasła zastosujemy prostą metodę. Weźmy na ten przykład zdanie
Kod:
phpbb by przemo
Usuńmy spacje i dodajmy DUŻE litery
Kod:
PhpBBByPrzemo
Miedzy wyrazami wstawiamy cyfry
Kod:
6hpBB12By6rzem0
oraz znaki specjalne
Kod:
6hpBB*12By#6rzem0

i życzę powodzenia w łamaniu takiego hasła :]

Znasz jakiś wierszyk z dzieciństwa? Ja znam
Kod:
Hau Hau Szczeka Bobik
Buda W Śniegu Co Tu Robić!
Wyjść Nie Mogę Z Swego Domku
Hej Łopato Przyjdź i Pomóż!

Naprzemiennie duże i małe pierwsze litery każdego wyrazu + ilość wyrazów w każdej linijce oddzielone * i zakończone !
Kod:
HhSb*4BwScTr*6!
WnMzSd*6HlPiP*5!

I już masz dwa hasła. Głupie? Może się takim wydawać, ale znając wierszyk na pamięć zawsze pamiętamy skomplikowane hasła. Jak ktoś pamięta to można użyć wierszy pani Szymborskiej :)

Zapewniam Was, że można z powodzeniem wymyślić nawet 20 znakowe hasło, które jest trudne do złamania/odgadnięcia ale jest proste dla Was do zapamiętania. Pole do popisu w układaniu haseł ogranicza tylko Wasza wyobraźnia...
Nie twierdzę, że takie hasło jest niemożliwe do złamania, ale jest to operacja pochłaniająca tyle czasu i mocy obliczeniowej, że jest to zwyczajnie nieopłacalne.
OK. Masz mocne hasło...

2. Stosuj wiele różnych haseł. To bardzo ważne abyś miał inne hasło do bazy danych, inne do FTP, inne hasło dla konta Admina na Twoim forum, inne na pocztę, inne w systemie. Nie stosuj jednego hasła na własnych stronach i w każdym innym internetowym miejscu. Zapytasz "Dlaczego? Nie mogę stosować silnego, skomplikowanego hasła w wielu rożnych miejscach? Przecież sam napisałeś, że takie hasło jest raczej niemożliwe do złamania." Owszem, ale wystarczy, że ktoś, gdzieś w jednym miejscu odkryje Twoje hasło i będzie miał dostęp do wszystkich Twoich usług wymagających podania tego hasła.
Pamiętaj także aby ustawiać skomplikowane pytania służące przypomnieniu hasła (m.in. na skrzynkach pocztowych). Pytanie "Gdzie mieszkasz" można łatwo odgadnąć. Stosuj trudne pytania lub niestandardowe odpowiedzi wiadome tylko Tobie.

3. Zainstaluj na komputerze dobry program antywirusowy i pilnuj aby jego bazy były zawsze aktualne. Najlepiej byłoby gdyby program miał zintegrowaną zaporę dla połączenia internetowego oraz potrafił wykrywać keyloggery i szkodliwy kod na stronach internetowych. Uchroni Cię to przed przejęciem Twojego hasła. Pamiętaj aby nie korzystać z usług komputerów publicznych i w kafejkach internetowych - nigdy nie masz pewności czy na komputerze nie ma zainstalowanego programu do przejmowania haseł.

4. Korzystaj z usług renomowanych firm hostingowych. Kumpel z serwerem piętro wyżej może nie mieć na tyle wiedzy aby dobrze zabezpieczyć serwer, na którym postawisz swoje forum/stronę.
Pamiętaj aby zawsze sprawdzać wiarygodność firmy, w której chcesz wykupić konto. Sprawdź w internecie opinie.

5. Nie udostępniaj <b>nikomu</b> loginów i haseł dostępu do serwera. Zapamiętaj, że jeśli dasz komuś taki dostęp do serwera, do konta Admina na forum lub tylko do FTP to taka osoba może z łatwością zniszczyć Twoje forum lub wgrać kod, który umożliwi mu nieograniczony dostęp w przyszłości.

6. Szczególnie nie ufaj ludziom, którzy twierdzą, że znaleźli dziurę i chcą zabezpieczyć Twój serwer i Twoje forum. Zwykle to oszuści, którzy wyłudzają w ten sposób pieniądze (za rzekomą naprawę forum), a tak naprawdę wgrywają na serwer szkodliwy kod umożliwiający im dostęp w przyszłości.
Każda rozpoznana dziura jest przez obsługę forum sprawdzana, a jeśli jest prawdziwa jest wydawana aktualizacja z łatką, która naprawia skrypt. Zawsze zajrzyj na forum supportu - http://www.przemo.org/phpBB2/forum/index.php - i sprawdź czy nie ma informacji o nowej dziurze. Nie daj się oszukać i nie płać podejrzanym ludziom!
Pamiętaj także, że <b>nikt z obsługi forum supportu nie kontaktuje się z użytkownikami</b>. Nie piszemy do Was przez GG. <b>Jeśli będziemy mieli Wam do przekazania ważną informację dostaniecie e-maila z adresu @przemo.org. Tylko w taki sposób informujemy o dziurach, poprawkach i nowych wersjach skryptu!</b>

7. Paczkę instalacyjną ze skryptem oraz style i modyfikacje pobieraj wyłącznie z oficjalnej strony skryptu phpBB by Przemo. Jeśli pobierasz coś z innego źródła to miej świadomość, że ktoś mógł zmodyfikować kod i wstrzyknąć do niego możliwość dostępu do Twojego forum. Miej także na uwadze, że obsługa forum nie jest w stanie sprawdzić wszystkich modyfikacji i nie może odpowiadać za błędy w nich zawarte. Nie klikaj w podejrzane linki, które dostaniesz od nieznajomych. Zwykle kierują na strony gdzie kradnie się hasła dostępu lub instaluje szpiegujące oprogramowanie.

8. Zawsze instaluj poprawki publikowane na <a href="http://www.przemo.org/phpBB2/forum/viewforum.php?f=53">stronie supportu</a>. Jeśli wiemy o jakiejś dziurze to staramy się jak najszybciej ją załatać. Dlatego pamiętaj aby zawsze używać najnowszej wersji skryptu forum. Numer aktualnej wersji skryptu znajdziesz <a href="http://www.przemo.org/phpBB2/forum/viewtopic.php?t=12236">tutaj</a> (w pierwszym zdaniu, pierwszy post).

9. Aby dodatkowo zabezpieczyć funkcje administratorskie na forum - zabezpiecz swój katalog admin poprzez htaccess:
    - wejdź w panel zarządzania serwerem (cPanel lub inny w zależności od firmy dostarczającej usługi)
    - znajdź opcję "Katalogi zabezpieczone haslem" lub podobną, wybierz katalog "admin",
    - dodaj użytkownika i nadaj mu dodatkowe hasło, <b>inne niż do konta na forum.</b>

Jak to działa? W momencie próby przejścia do Panelu Administratora na forum wyświetli się dodatkowe okienko do logowania, w którym podać musisz nazwę użytkownika i hasło które ustawiłeś. Logowanie to jest niezależne od skryptu forum i zwiększa bezpieczeństwo. Nawet jeśli ktoś uzyska dostęp do konta Administratora na Twoim forum to nie będzie mógł dostać się do Panelu Administratora.

10. Nie dawaj niezaufanym osobom rangi JuniorAdmin lub Moderator. Ogłaszanie konkursów z nagrodą w postaci rangi moderatora, lub nadawanie uprawnień do zarządzania forum osobom, które znasz tylko z internetu to czysta głupota (bardzo często występująca). Kończy się to zwykle skasowaniem tematów lub całego forum. Kłótnie, obrażanie się, robienie sobie na złość i tym podobne debilizmy to główne przyczyny włamań na fora czego efektem jest bezmyślne niszczenie całości Twojej pracy. Ty jesteś Adminem swojego forum i tylko Ty. Chyba, że masz kogoś zaufanego i wiesz, że na 100% nie wykręci Tobie żadnego numeru...

11. Rób kopie zapasowe. Sprawdź czy Twój serwer robi takie kopie automatycznie. Niektóre firmy oferują pełny zrzut konta (pliki + baza danych) na FTP skąd możesz ściągnąć taką kopię. Skontaktuj się z obsługą Twojego serwera i zapytaj czy mogą robić takie codzienne kopie. Jeśli nie - musisz sam co jakiś czas kopiować pliki z serwera i <a href="http://www.przemo.org/phpBB2/forum/viewtopic.php?t=17648">utworzyć kopię bazy danych</a>. Im częściej będziesz kopię wykonywać tym mniej zawartości utracisz w przypadku ewentualnego ataku. Absolutnym minimum jest kopia zapasowa wykonywana raz w tygodniu.

Stosując powyższe zasady zminimalizujesz możliwość skutecznego ataku na swoje forum. Oczywiście nigdy nie ma pewności czy jutro, za tydzień, za miesiąc ktoś nie wykryje nowej dziury, ale w takich przypadkach zawsze staramy się szybko udostępniać poprawki.

Gdy dojdzie jednak do włamania na Twoje forum skorzystaj z działu <a href="http://www.przemo.org/phpBB2/forum/viewforum.php?f=73">Bezpieczeństwo i zgłaszanie włamań</a>. Wykrycie i odtworzenie drogi włamania jest bardzo trudne i czasochłonne. Konieczna jest przy tym współpraca Twoja, nasza oraz administratora serwera. Jak zgłosić takie włamanie i jakie informacje musisz podać przeczytasz <a href="http://www.przemo.org/phpBB2/forum/viewtopic.php?t=46727">tutaj</a>.

Jeśli na Twoim serwerze doszło do włamania i chcesz usunąć pozostałości po szkodliwym kodzie przeczytaj temat <a href="http://www.przemo.org/phpBB2/forum/viewtopic.php?t=47643">Postępowanie (czyszczenie śladów) po włamaniu</a>.

Dziękuję Seraphe i maminowiec za mądre i cenne uwagi.

<a rel="license" href="http://creativecommons.org/licenses/by-nc-nd/2.5/pl/"><img style="border-width:0" src="http://i.creativecommons.org/l/by-nc-nd/2.5/pl/80x15.png" alt="Creative Commons License" /></a>
Ten <span>utwór</span> autorstwa <a rel="cc:attributionURL" href="http://www.arcy.net">Arkadiusz Polak</a> jest licencjonowany na podstawie <a rel="license" href="http://creativecommons.org/licenses/by-nc-nd/2.5/pl/">Creative Commons Uznanie autorstwa-Użycie niekomercyjne-Bez utworów zależnych 2.5 Polska License</a>. Uprawnienia poza zakresem tej licencji oraz szczegółowe informacje o licencji dostępne są na stronie <a rel="cc:morePermissions" href="http://www.arcy.net/prawa-autorskie/">http://www.arcy.net/prawa-autorskie/</a>.
_________________
| Regulamin | F.A.Q. | Szukaj | Oficjalny podręcznik administratora phpBB2 by Przemo |
| arcy.net - nowości ze świata phpBB by Przemo, Opera, Android | w tym państwie pełnym nienawiści, rap po godzinach i luz ponad wszystkim... | Opera Browser
|
Ostatnio zmieniony przez arcy 04-12-2009, 15:23, w całości zmieniany 4 razy  
 
     
Gadatliwa Kasia 

   
joli
Yollien +Styler



Pomógł: 2988 razy
Posty: 16981
Wysłany: 10-02-2009, 20:30   

Dodam, ze modyfikacje, ktore zmieniaja kod skryptu (np BBCode Menager - ktory umozliwia wstawienie linka do obrazka, zawierajacego kod wykonywalny) moga zawierac luki. Wszystkie modyfikacje instalujecie na własną odpowiedzialność.
_________________
Walczę z warezami. Więc jak masz forum warezowe, nie proś mnie o pomoc i nie wchodź pod rękę, bo zniszczę.
Nie pisz do mnie na GG i PW,(chyba że proszę) bo nie odpowiem, a Ty dostaniesz bonusik. Masz forum do zadawania pytań!!! Poza forum pomagam TYLKO odpłatnie.
liberte d'expression pour tout le monde... OFICJALNY DOWNLOAD STYLÓW - style ogólnodostępne i na zamówienie - PORTFOLIO JOLI
 
     
Wyświetl posty z ostatnich:   
Ten temat jest zablokowany bez możliwości zmiany postów lub pisania odpowiedzi
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!

Powered by phpBB modified by Przemo © 2003 phpBB
Strona wygenerowana w 0,11 sekundy. Zapytań do SQL: 14
Polecane serwisy

Najlepsze oprogramowanie do prowadzenia sklepu internetowegoNajlepszy program do sklepu firmowany przez Przem'a

Sklep z gadżetami

Design Cart - Tworzenie sklepu internetowego

iRonin.IT

• Zamów reklamę