CitarExcelente tuto!
5Likes
Esta es una discusión para el tema Guía Básica de Seguridad en vbulletin en el foro Tips y tutoriales, bajo la categoría Recursos para vBulletin (Descargas); Introducción.
Debido algunos pequeños problemitas en mi sitio he decidido a crear este pequeño tutorial de como agregar una seguridad extra a nuestro foro basado en vBulletin.
Cambiando Configuraciones en vBulletin.
Lo primero que haremos ...
Página:
URL del LinkBack
Acerca de los LinkBacks
Guía Básica de Seguridad en vbulletin
Introducción.
Debido algunos pequeños problemitas en mi sitio he decidido a crear este pequeño tutorial de como agregar una seguridad extra a nuestro foro basado en vBulletin.
Cambiando Configuraciones en vBulletin.
Lo primero que haremos será modificar el acceso a las carpetas de administración y moderación de nuestro foro. Para esto, iremos a nuestro archivo config.php y modificaremos los nombres de las carpetas modcp y admincp. (a gusto del cliente, en mi caso antepuse anti_carpeta_hack)
recuerden que config.php se encuentra en la carpeta includes
Default:
Modificado:Código PHP:// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
// This setting allows you to change the name of the folders that the admin and
// moderator control panels reside in. You may wish to do this for security purposes.
// Please note that if you change the name of the directory here, you will still need
// to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';
Luego de eso, cambiamos los nombres de las carpetas que se encuentran en el directorio.Código PHP:// ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******
// This setting allows you to change the name of the folders that the admin and
// moderator control panels reside in. You may wish to do this for security purposes.
// Please note that if you change the name of the directory here, you will still need
// to manually change the name of the directory on the server.
$config['Misc']['admincpdir'] = 'anti_admincp_hack';
$config['Misc']['modcpdir'] = 'anti_modcp_hack';
Con eso ya evitamos algunos script que atacan sobre esas carpetas y/o archivos.
Agregando Extra Seguridad a las Carpetas de Administración.
Ahora a través de los archivos .htaccess modificaremos los accesos a las carpetas de administración agregandoles una nueva barrera que contendra un nuevo usuario y una nueva contraseña. Así que ahora no sólo deberan hackear el sistema de vBulletin; sino un nuevo usuario (desconocido) y una nueva contraseña encriptada.
¿Que diablos es .htaccess? ¿Se come?
Wikipedía el más sabio de los mortales te dará la respuesta:
Creando nuestro Sistema de Protección:.htaccess (Acceso de Hiper-Texto) es el nombre por defecto del archivo de configuración de directorios de Apache. Provee de la habilidad para personalizar la configuración de las directivas definidas en el archivo de configuración principal. Las directivas de configuración necesitan estar en el contexto de .htaccess y el usuario necesita los permisos apropiados.
Simplemente vamos a crear un archivo .htaccess (que se puede hacer con cualquier editor de texto plano) y lo subiremos a nuestro directorio que vamos a proteger. En mi caso: anti_admincp_hack con el siguiente contenido:
Los datos en negrita son aquellos que deben editar dependiendo de las configuraciones de su foro.Código PHP:AuthName "Area Restringida - Deskiciados.com - Administración"
AuthType Basic
AuthUserFile /public_html/forito/anti_admincp_hack/.htpasswd
AuthGroupFile /dev/null
<Limit GET POST>
require valid-user
</Limit>
Luego de esto, vamos a crear nuestro archivo .htpasswd y lo subiremos al mismo directorio. El archivo .htpasswd deberá contener el usuario y la contraseña.
Para generar un usuario con una pass encriptada nos vamos a la página:
.htpasswd Content Generator
Una vez que damos Encrypt, nos genera esto:
Copiamos y pegamos el contenido en nuestro archivo .htpassword:
En este caso mi pass fue: mipass; que fue encriptado asi: XOPbTGPGUFCsw. Cuando hago el login sólo debo tipear "mipass" y no la masamorra de letras que se generan después de la encriptación.Código PHP:RooT:XOPbTGPGUFCsw
Ahora en mi directorio anti_admincp_hack debó tener los 2 archivos:
Ahora sólo debemos repetir el mismo proceso con las carpetas anti_modcp_hack (y obviamente asignar un usuario para el grupo de moderadores).
Si todo esta correcto, nos deberia aparecer la autentificación:
Protección al Archivo Config.php
El archivo config.php es el archivo más importante en cuanto a seguridad. En el se depositan todas nuestras contraseñas y accesos a nuestro FTP y Base de datos. Es por esto que vamos a crear un archivo .htaccess que de protección a este archivo. Este archivo .htaccess debe contener lo siguiente:
El archivo .htaccess debe ser subido a nuestra carpeta includesCódigo PHP:<Files config.php>
order deny,allow
deny from all
</Files>
Entonces ahora cuando se consulte por nuestro archivo config.php aparecera:
Con estos simples pasos, ya tenemos muy asegurado nuestro foro. Libre de algún tipo de hackeo, capturación de la contraseña de vbulletin, etc.
Espero sea de utilidad.
Saludos!
Última edición por Elmer Hdez; 23/02/2012 a las 14:19
Respuesta: Guía Básica de Seguridad en vbulletin
Excelente Muy util, pero yo recomendaria que enves de .htpasswd le llamen de otra manera por ejemplo .kal23kjs o algo por el estilo y que lo ubiquen en otro directorio que no sea el admincp.Tambien protegi el archivo que contiene la clave incluyendo en el .htaccess del admincp
Código:<Files .kal23kjs> order deny,allow deny from all </Files>
Re: Guía Básica de Seguridad en vbulletin
Se agradece mucho tu ayuda compadre, en serio. Pero es poco etico eso de poner "spam" en las imagenes, no se, se entiende como que fuese para darle publicidad a tu web. Dudo mucho que te las vayan a "robar".
Te lo digo de muy buena forma, para que no te ofendas. Quizas no te diste cuenta, pero molesta mucho.
Por ultimo hubieses puesto "vbhispano" como sello de agua..
Saludos viejo, se aprecia tu ayuda
Re: Guía Básica de Seguridad en vbulletin
Tharos,
Se supone que vbhispano tiene el mismo formato que vb.org ( o similar). Si algún admin de algún foro X sube, escribe algún hack, estilo, tutorial, etc siempre hace referencia a su sitio ya sea con ejemplos, marcas de agua, etc. Ejemplo y nadie critica eso; se preocupan del contenido del post y no de donde proviene.
Re: Guía Básica de Seguridad en vbulletin
OsiRiS_X, a mí tamnien me pareció excesivo el tamaño de la "marca de agua", que no lo es, la marca de agua es otra cosa, pero como me pareció muy buena la idea y la guía, no dije nada. Pensé que una cosa compensaba a la otra.
Creo que hubiera quedado mas elegante, la misma referencia, pero con un tamaño algo menor.
En cuanto al ejemplo que pones, basta mirarlo para darse cuenta de que no sirve como tal. Allí hay una imagen con el nombre de la web del autor, que no tapa a las demas imágenes.
De todas maneras, ya sabes que aquí se permite promocionar otros sitios. Hasta hay un subforo dedicado a eso!!!
Gracias por tu aporte.
Re: Guía Básica de Seguridad en vbulletin
Pero compadre no te la tomes así. Sólo te lo decimos porque pensamos que eso le daba un toque menos "serio" al aporte, pero no era para que lo quitaras.
De verdad que te consideramos un usuario muy participativo y apreciamos eso, pero no te lo tomes como mala onda.
Saludos
Re: Guía Básica de Seguridad en vbulletin
Me interesa mucho este tuto ya que se ve que es muy util pero tengo un problema a la hora de querer entrar al admincp.
Utilizo vbulletin 3.7.2 LP1 Me puedes ayudar a solucionarlo. :eek:Código:Internal Server Error The server encountered an internal error or misconfiguration and was unable to complete your request. Please contact the server administrator, webmaster@descargasiempre.com and inform them of the time the error occurred, and anything you might have done that may have caused the error. More information about this error may be available in the server error log. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
Re: Guía Básica de Seguridad en vbulletin
Yo subo ambos archivos bien el htaccess y el htpasswd, me pide la clave.
Pero a la hora de poner el pass no me entra, simplemente me carga otra vez el mismo aviso pidiendome user y pass pero no entra. Alguna idea?
Tengo ambos archivos subidos a
/admincp/.htaccess
/admincp/.htpasswd
Aqui so dejo en contenido de cada uno:
Y el htpasswd:Código:AuthName "Area Restringida - Administracion" AuthType Basic AuthUserFile /admincp/.htpasswd AuthGroupFile /dev/null <Limit GET POST> require valid-user </Limit>
GraciasCódigo:admins:giLyYCf0utMys
EDIT: No es cosa del host, la proteccion del archivo config.php funciona.
