[Farin]

Hallo!

Zusätzlich zur Doku Wie kann ich mein MyBB absichern? kann man noch folgendes einsetzten und das Forum zusätzlich abzusichern.

1. Ordner "install" - wenn noch vorhanden - per htaccess mit Passwort schützen

2. Ordner "inc" per htaccess mit folgendem Inhalt schützen:

Code:

deny from all

3. Datei /inc/config.php außerhalb des Webroots auslagern ,
damit diese auf keinen Fall über http aufrufbar ist oder durch fehlerhafte Serververarbeitung eventuell als Text ausgegeben wird.

Dazu erstelle einen Ordner außerhalb des Webroots. Im folgenden Beispiel heißt dieser "geheim".

Ordnerstruktur:
absoluter pfad/webseiten/ Webroot > Forum (Zugang per http)
absoluter pfad/geheim/ (Kein Zugang per http)

Dateien:
1. Die config.php aus dem Ordner "inc" in den Ordner "geheim" kopieren.
2. Die config.php aus dem Ordner "inc" bearbeiten und den kompletten Inhalt mit folgendem Inhalt ersetzen.

PHP-Code:

<?php
   require('/absoluter pfad/geheim/config.php');
?>

Wichtig ist hier die Angabe des absoluter Pfads!


Gruß, Farin

[MrBrechreiz]

Nicht vergessen, Schreibrechte auf den Ordner und der Datei geben.

[falcao1010]

Dazu ein paar Fragen:
zu 1) Der Ordner "install" weist bei mir die lock-Datei auf. Ist es trotzdem sinnvoll, den Ordner zu löschen?
zu 2) Zum Vorgehen: Muss ich dazu nur eine Textdatei erstellen mit dem Inhalt "deny from all", diese ".htaccess" nennen und in das Verzeichnis .../inc legen?

[MrBrechreiz]

Den Ordner install braucht man nicht löschen, es reicht ein umbenennen.

Um es nochmal klar zu stellen, wegen deiner Paranoia ^^, die meisten Angriffe werden sowieso mittels injections auf die Datenbank durchgeführt. Von aussen kommt man nur in den seltesten Fällen in einen nicht zureichend gesicherten Ordner. Von daher finde ich deine Aufmerksamkeit die Ordner zu schützen doch recht übertrieben.

[Farin]

Zum Vorgehen: Muss ich dazu nur eine Textdatei erstellen mit dem Inhalt "deny from all", diese ".htaccess" nennen und in das Verzeichnis .../inc legen?

Genauso isses

[StefanT]

Den Ordner install braucht man nicht löschen, es reicht ein umbenennen.

Entweder man löscht ihn oder man erstellt die lock-Datei. Aber warum sollte man ihn umbenennen?

[MrBrechreiz]

Die look Datei wird doch automatisch nach dem Install generiert ? Also, warum den install Ordner löschen ? Wenn man ihn nicht löschen mag, wie ich zum Beispiel, benennt man ihn um, sodas der Standard Name install eben nicht mehr im Verzeichnis vorkommt. Logisch oder ?

[StefanT]

Eigentlich nicht logisch. Den Ordner braucht man nur für Installationen und Updates; dort liegt er sowieso bei. Und einen Ordner umzubenennen, der gesperrt ist, erhört die Sicherheit einfach gar nicht.

[MrBrechreiz]

Da hast Du Recht, daher ist ein löschen sowieso unsinnig.

[Farin]

Ein nicht vorhandener Ordner ist auf alle Fälle sicherer, darum löschen