25/09/2007, 15:10
|
 | | | Fecha de Ingreso: agosto-2003 Ubicación: Sabadell
Mensajes: 114
Antigüedad: 20 años, 8 meses Puntos: 17 | |
 Guia para evitar spambots y otras cuestiones de seguridad 3
- Protegiendo archivos de nuestro phpBB
Cuando agregas MODs, éstos no pueden ser del todo seguros. Los archivos deben comprobar que están siendo llamados desde phpBB (y no de una fuente externa, es un riesgo). Para esto, basta con que en el inicio del archivo agregues estas lineas, antes del resto del código
Código:
if (!defined('IN_PHPBB'))
{
die('Hacking attempt');
}
Si quieres tener mas información sobre esto puedes visitar este tema relacionado con phpBB XS: http://www.phpbbxs.eu/viewtopic.php?p=2905#2905
- Protege el directorio "/includes"
Todos sabemos que la mayoría de los bugs y exploits vienen de librerías que no incluyen al principio la verificación de la definición de una variable de entorno para evitar su ejecución directa. Ya se ha recomendado verificar todos los ficheros del directorio include y comprobar que exista esa sentencia (mirar punto de arriba), de la misma forma cuando insertamos algún nuevo MOD o realizamos alguna actualización, etc. Pero puede darse el caso de que en alguna actualización o nuevo añadido no hagamos la revisión y pongamos nuestro foro en riesgo. Hay una forma de protegerlo, puesto que estos ficheros son incluidos y no invocados directamente (los ataques suelen hacerse invocando directamente las librerias), podemos evitar que directamente puedan invocar esos ficheros. ¿Cómo? Pues la solución ya está en el foro (si usas el sistema phpBB XS2), pero en otro directorio. No tienes más que copiar el fichero templates/.htaccess al directorio includes. Luego editas el fichero y cambia:
Por
Vosotros mismos podeis hacer las pruebas antes de subir el .htaccess al directorio includes. Para los que no usais el phpBB XS2, aquí teneis el contenido del fichero .htaccess (siempre que podais usar ficheros .htaccess):
Código:
<Files ~ "\.php$">
Order allow,deny
Deny from all
</Files>
- Realiza continuas visitas a tu directorio FTP
En el mundo no hay nada seguro. Cualquier barrera de seguridad que incluyas a tu foro harás que sea más difícil de penetrar, pero no será invulnerable a cualquier acción. Por ello se recomienda un paseo por los directorios del FTP en busca de ficheros raros. Sobre todo en aquellos directorios que se usen para guardar información externa (directorios caché, cache; los avatares, images/avatars, ...). En el caso de los avatares, las imágenes no tienen por qué tener permisos de ejecución, por lo que vigila que siempre tengan permisos CHMOD 644 (¿Qué es CHMOD?) y que no haya ningún fichero extraño.
- Backups, backups, backups...
Realiza backups, tanto de la BD como de tu directorio del foro. De este último no es necesario que sea tan frecuentemente (sobre todo depende tb de los MODs que tengas: album, subida de ficheros,...), pero como norma general puede ser de todo el foro tras cada actualización/"x" cambios de código, y otra pequeña con únicamente los directorios que guardan información: image/avatars, album/uploads (MOD album), files (MOD subida de ficheros),... De la BD ya depende de como quieras montártelo y de las opciones adicionales que incluya tu hosting: ya puedes bajarte una backup a la semana o cada 2. En la sección de guías y manuales del foro encontrarás temas sobre ello.
- Política de las cuentas de usuario
A continuación una serie de observaciones sobre las cuentas de usuario:
- Permitir o no que el usuario se cambie el nombre de usuario (phpBB XS).- Si evitamos que el usuario se pueda cambiar el sólo el nombre, podemos ahorrarnos el problema de que use caracteres erróneos. Por muy fashion que resulte usar caracteres especiales, estaremos ahorrándonos problemas con la BD. Con el MOD Restrict Username Charachters podemos restringir los caracteres que se pueden usar cuando se registra un usuario.
- Cuentas de usuario inactivas (MOD Admin Userlist).- Se recomienda borrar las cuentas de usuario que no han sido activadas después de un registro. Dar un margen depende del administrador, pero como mucho 4 semanas (1 mes). Si pasado ese tiempo no se activa la cuenta, se debería borrar.
- Cuentas no usadas (MOD Admin Userlist).- También se recomienda comprobar la actividad de las cuentas de usuario. Aquellas que lleven más de "x" meses sin actividad, deberían de borrarse, ya que pueden ser objetivos de intento de ataque para hacerse con la cuenta. Esto se haría 1 vez al año o según estipule el administrador. También puedes optar por enviar un correo al usuario por si ya no piensa pasarse más por el foro y borrar entonces su cuenta.
- Ocultar la fecha de la última conexión del usuario (MOD Last visit).- Si usamos este MOD, puede servirnos para combatir el problema comentado en "Cuentas no usadas". De esta forma, uno no sabe cuando se conectó por última vez un usuario. Sólo estará visible ese campo para moderadores o administradores. Puede ser configurado a través del Panel de Administración (Configuración/Foro).
- Otras configuraciones
- No permitir avatares remotos
- Permitir html -> No. Es un riesgo permitirlo en el foro.
- Si disponemos de un MOD para subir ficheros a los mensajes (ej. MOD File Attachment Mod), evitar la posibilidad de subir ficheros ejecutables, mejor si van empaquetados (ZIP, RAR, ...). En el caso de las imágenes, no es necesario. Permitir o no la subida de ficheros en los mensajes privados también es decisión de un administrador, pero si lo permitimos no podremos controlarlos sin tener que acceder a los mensajes privados, lo que conlleva eso.
|