MyBB.de Forum

MyBB.de Forum > Anpassungen > Tutorials > MyBB absichern - Erweitert
Normale Version: MyBB absichern - Erweitert
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.

Farin

17.06.2015, 19:54
Hallo!

Zusätzlich zur Doku Wie kann ich mein MyBB absichern? kann man noch folgendes einsetzten und das Forum zusätzlich abzusichern.

1. Ordner "install" - wenn noch vorhanden - per htaccess mit Passwort schützen

2. Ordner "inc" per htaccess mit folgendem Inhalt schützen:
Code:
deny from all

3. Datei /inc/config.php außerhalb des Webroots auslagern ,
damit diese auf keinen Fall über http aufrufbar ist oder durch fehlerhafte Serververarbeitung eventuell als Text ausgegeben wird.

Dazu erstelle einen Ordner außerhalb des Webroots. Im folgenden Beispiel heißt dieser "geheim".

Ordnerstruktur:
absoluter pfad/webseiten/ Webroot > Forum (Zugang per http)
absoluter pfad/geheim/ (Kein Zugang per http)

Dateien:
1. Die config.php aus dem Ordner "inc" in den Ordner "geheim" kopieren.
2. Die config.php aus dem Ordner "inc" bearbeiten und den kompletten Inhalt mit folgendem Inhalt ersetzen.

PHP-Code:
<?php
   require('/absoluter pfad/geheim/config.php');
?>

Wichtig ist hier die Angabe des absoluter Pfads!


Gruß, Farin

MrBrechreiz

18.06.2015, 12:46
Nicht vergessen, Schreibrechte auf den Ordner und der Datei geben.

falcao1010

16.04.2016, 08:01
Dazu ein paar Fragen:
zu 1) Der Ordner "install" weist bei mir die lock-Datei auf. Ist es trotzdem sinnvoll, den Ordner zu löschen?
zu 2) Zum Vorgehen: Muss ich dazu nur eine Textdatei erstellen mit dem Inhalt "deny from all", diese ".htaccess" nennen und in das Verzeichnis .../inc legen?

MrBrechreiz

16.04.2016, 11:36
Den Ordner install braucht man nicht löschen, es reicht ein umbenennen.

Um es nochmal klar zu stellen, wegen deiner Paranoia ^^, die meisten Angriffe werden sowieso mittels injections auf die Datenbank durchgeführt. Von aussen kommt man nur in den seltesten Fällen in einen nicht zureichend gesicherten Ordner. Von daher finde ich deine Aufmerksamkeit die Ordner zu schützen doch recht übertrieben.

Farin

16.04.2016, 11:57
(16.04.2016, 08:01)falcao1010 schrieb: [ -> ]Zum Vorgehen: Muss ich dazu nur eine Textdatei erstellen mit dem Inhalt "deny from all", diese ".htaccess" nennen und in das Verzeichnis .../inc legen?

Genauso isses Wink

StefanT

16.04.2016, 17:51
(16.04.2016, 11:36)MrBrechreiz schrieb: [ -> ]Den Ordner install braucht man nicht löschen, es reicht ein umbenennen.
Entweder man löscht ihn oder man erstellt die lock-Datei. Aber warum sollte man ihn umbenennen?

MrBrechreiz

16.04.2016, 18:28
Die look Datei wird doch automatisch nach dem Install generiert ? Also, warum den install Ordner löschen ? Wenn man ihn nicht löschen mag, wie ich zum Beispiel, benennt man ihn um, sodas der Standard Name install eben nicht mehr im Verzeichnis vorkommt. Logisch oder ?

StefanT

16.04.2016, 18:32
Eigentlich nicht logisch. Toungue Den Ordner braucht man nur für Installationen und Updates; dort liegt er sowieso bei. Und einen Ordner umzubenennen, der gesperrt ist, erhört die Sicherheit einfach gar nicht.

MrBrechreiz

16.04.2016, 18:36
Da hast Du Recht, daher ist ein löschen sowieso unsinnig.

Farin

16.04.2016, 18:43
Ein nicht vorhandener Ordner ist auf alle Fälle sicherer, darum löschen Wink
MyBB.de Forum > Anpassungen > Tutorials > MyBB absichern - Erweitert