Pin It

Witam.
W związku z masą pytań jak zabezpieczyć forum oraz z faktem, że w sieci działają oszuści wyłudzający pieniądze za rzekome zabezpieczenia forum publikuję niniejszy krótki poradnik co zrobić, aby zminimalizować możliwość włamania na Twoje forum.

1. Stosuj bezpieczne hasła. Hasło w stylu

alamakota kosmos01 dupadupa00 1234abcd

nie są bezpiecznymi hasłami!
Hasło nie może być słowem czy wyrażeniem, które znajdziesz w słowniku. Nie powinno być imieniem Fruzi, rybki, kumpla czy pokemona. Nie powinno być nazwą Twojego miasta, albo numerem autobusu do szkoły. Hasło bezpieczne ma minimum 8 znaków i podobne jest do tych przedstawionych poniżej

kQPdrmo8t@p. VCs’A/^n`NrX W.Y:$@BMdVp& Gt38Yu*i#rT

Zasady są proste
– im dłuższe hasło tym bezpieczniejsze
– im bardziej skomplikowane hasło tym bezpieczniejsze
– stosuj DUŻE i małe litery
– stosuj znaki specjalne !@#$%^&*
– stosuj cyfry
Aby łatwo zapamiętywać dłuższe i silne hasła zastosujemy prostą metodę. Weźmy na ten przykład zdanie

phpbb by przemo

Usuńmy spacje i dodajmy DUŻE litery

PhpBBByPrzemo

Miedzy wyrazami wstawiamy cyfry

6hpBB12By6rzem0

oraz znaki specjalne

6hpBB*12By#6rzem0

i życzę powodzenia w łamaniu takiego hasła :]
Zapewniam Was, że można z powodzeniem wymyślić nawet 20 znakowe hasło, które jest trudne do złamania/odgadnięcia ale jest proste dla Was do zapamiętania. Pole do popisu w układaniu haseł ogranicza tylko Wasza wyobraźnia…
Nie twierdzę, że takie hasło jest niemożliwe do złamania, ale jest to operacja pochłaniająca tyle czasu i mocy obliczeniowej, że jest to zwyczajnie nieopłacalne.
OK. Masz mocne hasło…

2. Stosuj wiele różnych haseł. To bardzo ważne abyś miał inne hasło do bazy danych, inne do FTP, inne hasło dla konta Admina na Twoim forum, inne na pocztę, inne w systemie. Nie stosuj jednego hasła na własnych stronach i w każdym innym internetowym miejscu. Zapytasz „Dlaczego? Nie mogę stosować silnego, skomplikowanego hasła w wielu rożnych miejscach? Przecież sam napisałeś, że takie hasło jest raczej niemożliwe do złamania.” Owszem, ale wystarczy, że ktoś, gdzieś w jednym miejscu odkryje Twoje hasło i będzie miał dostęp do wszystkich Twoich usług wymagających podania tego hasła.
Pamiętaj także aby ustawiać skomplikowane pytania służące przypomnieniu hasła (m.in. na skrzynkach pocztowych). Pytanie „Gdzie mieszkasz” można łatwo odgadnąć. Stosuj trudne pytania lub niestandardowe odpowiedzi wiadome tylko Tobie.

3. Zainstaluj na komputerze dobry program antywirusowy i pilnuj aby jego bazy były zawsze aktualne. Najlepiej byłoby gdyby program miał zintegrowaną zaporę dla połączenia internetowego oraz potrafił wykrywać keyloggery i szkodliwy kod na stronach internetowych. Uchroni Cię to przed przejęciem Twojego hasła. Pamiętaj aby nie korzystać z usług komputerów publicznych i w kafejkach internetowych – nigdy nie masz pewności czy na komputerze nie ma zainstalowanego programu do przejmowania haseł.

4. Korzystaj z usług renomowanych firm hostingowych. Kumpel z serwerem piętro wyżej może nie mieć na tyle wiedzy aby dobrze zabezpieczyć serwer, na którym postawisz swoje forum/stronę.
Pamiętaj aby zawsze sprawdzać wiarygodność firmy, w której chcesz wykupić konto. Sprawdź w internecie opinie.

5. Nie udostępniaj nikomu loginów i haseł dostępu do serwera. Zapamiętaj, że jeśli dasz komuś taki dostęp do serwera, do konta Admina na forum lub tylko do FTP to taka osoba może z łatwością zniszczyć Twoje forum lub wgrać kod, który umożliwi mu nieograniczony dostęp w przyszłości.

6. Szczególnie nie ufaj ludziom, którzy twierdzą, że znaleźli dziurę i chcą zabezpieczyć Twój serwer i Twoje forum. Zwykle to oszuści, którzy wyłudzają w ten sposób pieniądze (za rzekomą naprawę forum), a tak naprawdę wgrywają na serwer szkodliwy kod umożliwiający im dostęp w przyszłości.
Każda rozpoznana dziura jest przez obsługę forum sprawdzana, a jeśli jest prawdziwa jest wydawana aktualizacja z łatką, która naprawia skrypt. Zawsze zajrzyj na forum supportu – http://www.przemo.org/phpBB2/forum/index.php – i sprawdź czy nie ma informacji o nowej dziurze. Nie daj się oszukać i nie płać podejrzanym ludziom!
Pamiętaj także, że nikt z obsługi forum supportu nie kontaktuje się z użytkownikami. Nie piszemy do Was przez GG. Jeśli będziemy mieli Wam do przekazania ważną informację dostaniecie e-maila z adresu @przemo.org. Tylko w taki sposób informujemy o dziurach, poprawkach i nowych wersjach skryptu!

7. Paczkę instalacyjną ze skryptem oraz style i modyfikacje pobieraj wyłącznie z oficjalnej strony skryptu phpBB by Przemo. Jeśli pobierasz coś z innego źródła to miej świadomość, że ktoś mógł zmodyfikować kod i wstrzyknąć do niego możliwość dostępu do Twojego forum. Miej także na uwadze, że obsługa forum nie jest w stanie sprawdzić wszystkich modyfikacji i nie może odpowiadać za błędy w nich zawarte. Nie klikaj w podejrzane linki, które dostaniesz od nieznajomych. Zwykle kierują na strony gdzie kradnie się hasła dostępu lub instaluje szpiegujące oprogramowanie.

8. Zawsze instaluj poprawki publikowane na stronie supportu. Jeśli wiemy o jakiejś dziurze to staramy się jak najszybciej ją załatać. Dlatego pamiętaj aby zawsze używać najnowszej wersji skryptu forum. Numer aktualnej wersji skryptu znajdziesz tutaj (w pierwszym zdaniu, pierwszy post).

9. Aby dodatkowo zabezpieczyć funkcje administratorskie na forum – zabezpiecz swój katalog admin poprzez htaccess:

– wejdź w panel zarządzania serwerem (cPanel lub inny w zależności od firmy dostarczającej usługi)
– znajdź opcję „Katalogi zabezpieczone haslem” lub podobną, wybierz katalog „admin”,
– dodaj użytkownika i nadaj mu dodatkowe hasło, inne niż do konta na forum.

Jak to działa? W momencie próby przejścia do Panelu Administratora na forum wyświetli się dodatkowe okienko do logowania, w którym podać musisz nazwę użytkownika i hasło które ustawiłeś. Logowanie to jest niezależne od skryptu forum i zwiększa bezpieczeństwo. Nawet jeśli ktoś uzyska dostęp do konta Administratora na Twoim forum to nie będzie mógł dostać się do Panelu Administratora.

10. Nie dawaj niezaufanym osobom rangi JuniorAdmin lub Moderator. Ogłaszanie konkursów z nagrodą w postaci rangi moderatora, lub nadawanie uprawnień do zarządzania forum osobom, które znasz tylko z internetu to czysta głupota (bardzo często występująca). Kończy się to zwykle skasowaniem tematów lub całego forum. Kłótnie, obrażanie się, robienie sobie na złość i tym podobne debilizmy to główne przyczyny włamań na fora czego efektem jest bezmyślne niszczenie całości Twojej pracy. Ty jesteś Adminem swojego forum i tylko Ty. Chyba, że masz kogoś zaufanego i wiesz, że na 100% nie wykręci Tobie żadnego numeru…

11. Rób kopie zapasowe. Sprawdź czy Twój serwer robi takie kopie automatycznie. Niektóre firmy oferują pełny zrzut konta (pliki + baza danych) na FTP skąd możesz ściągnąć taką kopię. Skontaktuj się z obsługą Twojego serwera i zapytaj czy mogą robić takie codzienne kopie. Jeśli nie – musisz sam co jakiś czas kopiować pliki z serwera i utworzyć kopię bazy danych. Im częściej będziesz kopię wykonywać tym mniej zawartości utracisz w przypadku ewentualnego ataku. Absolutnym minimum jest kopia zapasowa wykonywana raz w tygodniu.

Stosując powyższe zasady zminimalizujesz możliwość skutecznego ataku na swoje forum. Oczywiście nigdy nie ma pewności czy jutro, za tydzień, za miesiąc ktoś nie wykryje nowej dziury, ale w takich przypadkach zawsze staramy się szybko udostępniać poprawki.

Gdy dojdzie jednak do włamania na Twoje forum skorzystaj z działu Bezpieczeństwo i zgłaszanie włamań. Wykrycie i odtworzenie drogi włamania jest bardzo trudne i czasochłonne. Konieczna jest przy tym współpraca Twoja, nasza oraz administratora serwera. Jak zgłosić takie włamanie i jakie informacje musisz podać przeczytasz tutaj.

Jeśli na Twoim serwerze doszło do włamania i chcesz usunąć pozostałości po szkodliwym kodzie przeczytaj temat Postępowanie (czyszczenie śladów) po włamaniu.

Dziękuję Seraphe i maminowiec za mądre i cenne uwagi.