Tipps und Tricks (Teil 3)

Veröffentlicht am 15.01.2013 von Jockl in Adventskalender 2012

Im Adventskalender am 15.12.2012

Absicherung des ACPs


Ein Thema, das nicht an Bedeutung verliert und extrem wichtig ist, es auch hier noch einmal zu erwähnen.

Es zeigt sich immer wieder, dass viele Forum ihr Admin-Verzeichnis weiterhin unter dem Verzeichnis "admin/" führen, so wie es einmal von der MyBB-Installation erstellt wurde. Trotz eines sicheren Passwortes ist es für einen möglichen Angreifer u.U. ein Kinderspiel, dieses mit entsprechenden Mitteln heraus zu finden.

Wir möchten hier ein paar einfache und schnell durchzuführende Schritte vorstellen, die das ACP eines Forums recht gut schützen:

Wie schon beschrieben, wird während der Installation eines MyBB-Forums das admin-Verzeichnis automatisch erstellt.
Man kann da aber im Nachhinein durch 2 Schritte ändern.
  • Umbenennen des admin-Verzeichnisses über den FTP-Zugang oder ggf. über die SSH-Konsole
  • Anpassung der inc/config.php

Umbenennen des admin-Verzeichnisses über den FTP-Zugang oder ggf. über die SSH-Konsole


Dazu ist eigentlich nicht mehr zu sagen, als den Hinweis zu geben, dass der Verzeichnisname nicht zu einfach gewählt werden sollte. Sonderzeichen würde ich allerdings nicht verwenden.

Anpassung der inc/config.php


In der Datei inc/config.php findet sich folgende Zeile
$config['admin_dir'] = 'admin';
Hier ist nun statt admin nun der neue Verzeichnisname einzutragen.

Damit haben wir schon mal eine gute Hürde geschaffen und es einem möglichen Angreifer nicht mehr ganz so einfach gemacht, Zugriff auf unser ACP zu bekommen.
Mit viel Geduld und der möglicherweise kriminellen Energie kann aber auch u.U. dieses Verzeichnis heraus gefunden werden.

Deshalb bietet es sich an, das neue admin-Verzeichnis auch noch per .htaccess von Zugriff zu schützen. Hierzu ist es notwendig, einen Benutzernamen und ein Passwort zu erzeugen, mit deren Hilfe man Zugang zu dem Verzeichnis und dem ACP erhält.

Übrigens sei hier nebenbei erwähnt, dass es sich nicht unbedingt anbietet, als Benutzernamen "admin", "Administrator" oder dem Benutzernamen aus dem Forum zu verwenden.
Wer einen Root- oder V-Server betreibt und nicht weiß, wie eine .htaccess Datei zum Schutz eines Verzeichnisses erstellt wird, kann sich bei SELFHTML schlau machen.
Dort ist das Thema ganz gut beschrieben.
Wer einen Webspace angemietet hat (kostenlos und bezahlt), sollte in den meisten Fällen in der Verwaltungsoberfläche des Hosters/Providers die Möglichkeit haben, einen Verzeichnisschutz (mit Benutzername und Passwort) zu erstellen.

Wir hoffen, hier gezeigt zu haben, wie einfach es ist, recht schnell Schutz vor unerlaubtem Zugriff zu erlangen und wie
immer....

...für Rückfragen stehen wir natürlich im Forum jederzeit gerne zur Verfügung.