Tema: Preguntas Frecuentes (FAQ)
Ver Mensaje Individual
  #32 (permalink)  
Antiguo 25/09/2007, 15:09
Avatar de ThE KuKa
ThE KuKa
 
Fecha de Ingreso: agosto-2003
Ubicación: Sabadell
Mensajes: 114
Antigüedad: 20 años, 8 meses
Puntos: 17
De acuerdo Guia para evitar spambots y otras cuestiones de seguridad 2
[x] Otras cuestiones de seguridad (por dinoyoco)
  1. MODs para asegurar tu foro
    MOD Cracker Tracker. Este MOD suele sacar normalmente una nueva versión con cada versión nueva del sistema de foros phpBB. Este MOD es un clásico y tiene un alto reconocimiento. En esta sección encontrarás información sobre las últimas versiones. Enlace a la web.
    MOD Hack_Whacker. Este pequeño MOD nos ayudará a proteger un poco más el foro. Enlace al tema.
    MOD Block Bad Bots. Este pequeño MOD nos incluye el fichero "robots.txt", que ubicado en la raiz del foro nos permitirá parar los pies a los spam. Enlace web.
    MOD Advanced IP Tools Pack. Este MOD nos registrará las IP y hostname de un usuario cuando inicia la sesión. Incluye adicionales opciones y extensiones. Enlace web.
    MOD phpBB Security. Este MOD nos ayudará a combatir los exploits. Enlace web.
    MOD Redirect anonymous users to login. Este simple MOD redirecciona a los usuarios anónimos a la página de logueo cuando intentan acceder a la pagina de lista de miembros, información de grupos o los perfiles de usuario. Enlace web.
    MOD Register Login Failed. Este simple MOD se encarga de registrar los intentos de accesos erróneos a las cuentas de usuario, almacena la IP, fecha y cuenta de usuario afectada. Incluye varias listas. Enlace al tema.

  2. Trasteando en el php.ini de tu hosting
    Estas modificaciones las obtuve de una página que actualmente no está operativa. Si tienes acceso a la configuración del php.ini de tu servidor, las acciones son las siguientes (guarda antes una copia en tu HD):
    -Activar:
    Código: 
    safe_mode = 1
    -Desactivar:
    Código: 
    register_log = 0
register_global = 0
    NOTA: Si no puedes acceder al fichero php.ini, pregunta a tu hosting. No obstante, hay una forma de desactivar "REGISTER_GLOBALS". Haz uso del fichero .htaccess (si no tienes, crea uno en la raiz de tu foro por FTP) y necesita Apache Rewrite Engine activada. Ver tema.
    -Deshabilitar las siguientes funciones:
    Código: 
    disable_functions = openlog, apache_child_terminate, apache_get_modules, apache_get_version, apache_getenv, apache_note, apache_setenv, virtual, passthru, proc_open, system, shell_exec
    -Especificar el campo "open_basedir" para limitar las acciones de los scripts. Que apunte al directorio raiz de la web, no del FTP:
    Código: 
    open_basedir = /ruta_tu_hosting/htdocs/
    NOTA: Si desconoces la ruta, bien puedes consultarlo en el panel de administración de tu sitio web o bien usando un pequeño script. Crea un fichero con el siguiente código, súbelo a tu servidor (ponlo en la raiz) y cárgalo en el browser.
    Código: 
    $ruta = ereg_replace ("\\\\","/",__FILE__); 
$ruta = trim(dirname ($ruta));
echo $ruta;
    Obtendrás la ruta, pero no te olvides de cuando lo pongas en el fichero, obvia la letra de la unidad. Por ejemplo, si mi ruta es "F:/Archivos de programa/Xampp_1.5.1/xampp/htdocs", pues yo pondré "/Archivos de programa/Xampp_1.5.1/xampp/htdocs"
    -Cambios en el tratamiento de los errores:
    Código: 
    error_reporting  =  E_ALL

log_errors = On
    Con esto los errores aparecerán en el log de tu hosting.

  3. Protegiendo el directorio admin con password
    Protege el acceso al directorio admin del phpBB con usuario y contraseña adicionales. Enlace al tema. He leído (no lo he probado) que hay una forma para registrar los accesos erróneos a los directorios protegidos con .htaccess. Normalmente, si te equivocas, te vuelve a preguntar y así sigue hasta que aciertes o pulsas sobre cancelar. La forma de hacerlo, es que cada intento de acceso erróneo es interpretado como un error 401. Especificandolo en el .htaccess, podemos usarlo para redireccionarlo a un fichero que registre el suceso.

  4. Desactiva el envio de password
    NOTA: Esta recomendación vino a partir de un bug que apareció en la versión 2.0.19. No obstante, si quieres puedes aplicarlo.
    Con el phpBB, existe la opción de que si un usuario ha perdido su contraseña, se le envia una aleatoria a su cuenta de correo. Por seguridad y evitar lo que sería el robo de cuenta de correo, se puede deshabilitar esta opción y poner un mensaje para que el usuario envíe un correo al administrador solicitando una nueva contraseña, por supuesto desde la misma cuenta de correo que el usuario tiene en el foro.
    Abre el fichero includes/usercp_sendpassword.php y después de:
    Código: 
    if ( !defined('IN_PHPBB') )
{
	die('Hacking attempt');
	exit;
}
    Reemplaza lo que haya por el código. Ej.:
    Código: 
    // Output basic page
include($phpbb_root_path . 'includes/page_header.'.$phpEx);

?>
<br>
<br>
<table width="100%" cellpadding="5" cellspacing="0" class="forumline">
	<tr>
		<th class="thTop">Aviso</th>
	</tr>
	<tr>
		<td class="gensmall">Por razones de seguridad, esta funci&oacute;n ha sido desactivada. Si has perdido o no
		recuerdas la contraseña, env&iacute;a un correo a esta direcci&oacute;n <u>webmaster@tu_sitio.com</u>
		para que te lo cambie. <b>Recuerda usar el mismo correo que usastes cuando te registrastes aqu&iacute;</b>.<br>
		<br></td>
	</tr>
	<tr>
		<th class="catBotton" align="center">Atentamente, el Equipo</td>
	</tr>
</table>
<br>
<br>
<?php

include($phpbb_root_path . 'includes/page_tail.'.$phpEx);

?>
__________________
phpBB en Castellano - phpBBMODs en Castellano
No doy soporte por privado.