Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.12 veröffentlicht (22.05.17)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
MyBB absichern - Erweitert
#1
Hallo!

Zusätzlich zur Doku Wie kann ich mein MyBB absichern? kann man noch folgendes einsetzten und das Forum zusätzlich abzusichern.

1. Ordner "install" - wenn noch vorhanden - per htaccess mit Passwort schützen

2. Ordner "inc" per htaccess mit folgendem Inhalt schützen:
Code:
deny from all

3. Datei /inc/config.php außerhalb des Webroots auslagern ,
damit diese auf keinen Fall über http aufrufbar ist oder durch fehlerhafte Serververarbeitung eventuell als Text ausgegeben wird.

Dazu erstelle einen Ordner außerhalb des Webroots. Im folgenden Beispiel heißt dieser "geheim".

Ordnerstruktur:
absoluter pfad/webseiten/ Webroot > Forum (Zugang per http)
absoluter pfad/geheim/ (Kein Zugang per http)

Dateien:
1. Die config.php aus dem Ordner "inc" in den Ordner "geheim" kopieren.
2. Die config.php aus dem Ordner "inc" bearbeiten und den kompletten Inhalt mit folgendem Inhalt ersetzen.

PHP-Code:
<?php
   require
('/absoluter pfad/geheim/config.php');
?>

Wichtig ist hier die Angabe des absoluter Pfads!


Gruß, Farin
Zitieren
#2
Nicht vergessen, Schreibrechte auf den Ordner und der Datei geben.
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#3
Dazu ein paar Fragen:
zu 1) Der Ordner "install" weist bei mir die lock-Datei auf. Ist es trotzdem sinnvoll, den Ordner zu löschen?
zu 2) Zum Vorgehen: Muss ich dazu nur eine Textdatei erstellen mit dem Inhalt "deny from all", diese ".htaccess" nennen und in das Verzeichnis .../inc legen?
Zitieren
#4
Den Ordner install braucht man nicht löschen, es reicht ein umbenennen.

Um es nochmal klar zu stellen, wegen deiner Paranoia ^^, die meisten Angriffe werden sowieso mittels injections auf die Datenbank durchgeführt. Von aussen kommt man nur in den seltesten Fällen in einen nicht zureichend gesicherten Ordner. Von daher finde ich deine Aufmerksamkeit die Ordner zu schützen doch recht übertrieben.
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#5
(16.04.2016, 08:01)falcao1010 schrieb: Zum Vorgehen: Muss ich dazu nur eine Textdatei erstellen mit dem Inhalt "deny from all", diese ".htaccess" nennen und in das Verzeichnis .../inc legen?

Genauso isses Wink
Zitieren
#6
(16.04.2016, 11:36)MrBrechreiz schrieb: Den Ordner install braucht man nicht löschen, es reicht ein umbenennen.
Entweder man löscht ihn oder man erstellt die lock-Datei. Aber warum sollte man ihn umbenennen?
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Zitieren
#7
Die look Datei wird doch automatisch nach dem Install generiert ? Also, warum den install Ordner löschen ? Wenn man ihn nicht löschen mag, wie ich zum Beispiel, benennt man ihn um, sodas der Standard Name install eben nicht mehr im Verzeichnis vorkommt. Logisch oder ?
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#8
Eigentlich nicht logisch. Toungue Den Ordner braucht man nur für Installationen und Updates; dort liegt er sowieso bei. Und einen Ordner umzubenennen, der gesperrt ist, erhört die Sicherheit einfach gar nicht.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Zitieren
#9
Da hast Du Recht, daher ist ein löschen sowieso unsinnig.
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#10
Ein nicht vorhandener Ordner ist auf alle Fälle sicherer, darum löschen Wink
Zitieren