رفتن به مطلب

راهکار های افزایش امنیت در IPB


ارسال های توصیه شده

  • بنیان گذار IPSFarsi

با سلام :)

 

ابتدا این رو خدمت تون عرض کنم چیزی به نام امنیت 100 درصد نداریم! این حرف تمام افرادی است که در حوزه امنیتی کار می کنند.  در حدود 98 درصد مواردی که در مواقع هک شدن انجمن ها با اون برخورد کردیم عامل انسانی باعث نفوذ بوده و خود اسکریپت در اصل به خاطر عامل انسانی که سهل انگاری بوده عامل هک شده است.

 

این به معنی هست که مدیر انجمن، انجمن رو به حال خودش رها کرده و نه بروزرسانی نصب کرده، نه وصله های امنیتی رو انجام داده و نه نکات امنیتی رو رعایت کرده به این امید که همه چیز درست خواهد بود.

شما در این آموزش یاد می گیرد که چگونه انجمن ساز خودتون رو امن نگه دارید.

 

نکات عمومی

 

نکته اول : همیشه از آخرین نسخه IPB استفاده کنید.

نکته دوم : همیشه وصله های امنیتی که برای IPB منتشر می شه رو دریافت و اعمال کنید.( RSS این بخش برای اطلاع رسانی از آخرین خبر ها )

 

نکته سوم : مشخصات Host و حساب کاربری خودتون رو در اختیار افراد متفرقه قرار ندید.

نکته چهارم : از خدمات میزبانی سایت هایی استفاده کنید که امنیت اون ها، در حد قابل قبولی قرار داره. به این علت که اگر یکی از سایت هایی که در همون سروری که شما میزبانی می شید قرار داشته باشه و نفوذ به اون بشه شما مورد نفوذ دیگه قرار نگیرید ( در Host های اشتراکی این اتفاق می افتد به شرطی که به درستی تنظیم نشده باشند ).

 

نکته پنجم : مد های IPB و خود IPB را سایت های معتبر دریافت کنید. ممکن است سایت های متفرقه فایل های آلوده برای دانلود قرار داده باشند.

 

نکات تخصصی IPB

نکته اول : نام نمایشی خود را متفاوت از نام کاربری خود انتخاب کنید.

نکته دوم : هرگز قابلیت ارسال HTML را فعال نکنید. مطمئن شوید.برای این امر در قسمت Manage Member Groups برای هر گروه کاربری مطمئن شوید گزینه Can Post HTML بر روی No باشد.

 

نکته سوم : برای جلوگیری از سوء استفاده های احتمالی میزان دفعاتی که کاربر رمز خود را اشتباه وارد می کند را تعیین کنید و مدت زمانی که سامانه حساب کاربری را قفل می کند را تنظیم نمایید. برای این کار به بخش     System Settings  >      System  >      Security and Privacy     بروید.

Lock user account after how many failed login attempts : میزان دفعاتی که بعد از آن حساب قفل می گردد

Reset failed login attempts after how many minutes : مدت زمان قفل بودن حساب کاربری

Automatically unlock account : بر روی Yes باشد

 

نکته چهارم : حتما نسخه ای که از آن استفاده می کنید را مخفی نگاه دارید. System Settings  >      System  >      Security and Privacy   تنظیم Display IP.Board version on your site را بر روی No بگذارید.

 

نکته پنجم : نوع فعال سازی عضویت ها را حتما بر روی User Email Validation قرار دهید که کاربر ایمیل خود را حتما فعال کند تا مطمئن شوید یک ربات نیست. (System Settings  >      System  >      Security and Privacy)

 

نکته ششم : فایل conf_global.php را سطح دسترسی آن را روی 400 تنظیم نمایید (در صورتی که نمی دانید چگونه از پشتیبانی Host خود سوال کنید) .

 

 

مرکز امنیت IPB یا Security Center

 

IPB یک بخش اختصاصی برای بررسی موارد امنیتی دارد و نکاتی که نیازمند توجه شما باشد را به شما گوشزد خواهد نمود.

 

نکته اول : گزینه IP.Board PHP/CGI .htaccess Protection این قابلیت را خواهد داشت که فایل های اجرایی در مکان هایی از IPB که نیاز نیست اجرا نشوند. کافیست بر روی Run Tool Now کلیک نمایید.

نکته دوم :  گزینه IP.Board ACP .htaccess Protection نام کاربری و رمز عبور جدیدی برای پوشه مدیریت شما ایجاد خواهد کرد. توصیه اکید ما اجرای این مرحله می باشد.

 

نکته سوم : یکی از گزینه هایی که به شما پیشنهاد می شود Rename The 'admin' Directory است که تغییر نام پوشه مدیریت است. البته اگر گزینه قبل را انجام دهید در صورتی که کاربر حرفه ای نیستید این گزینه را لازم نیست انجام دهید ولی در هر صورت برای اینکار کافیست پوشه admin را به هر نامی که می خواهید تغییر نام دهید و سپس یک فایل با نام constants.php در مکانی که conf_global.php قرار دارد ایجاد نمایید و کد زیر را قرار دهید

<?php
define( 'CP_DIRECTORY', 'admin' );

به جای admin نام جدید پوشه خود را وارد نمایید.

 

نکته چهارم : فایل .htaccess خود را که در مکانی که conf_global.php قرار دارد باز کنید و کدهای زیر را به انتهای آن اضافه نمایید

# Protect the conf_global.php file
<files conf_global.php>
ErrorDocument 403 http://www.yourwebsite.org/403.html
Order deny,allow
deny from all
</files>
# Protect the initdata.php file
<files initdata.php>
ErrorDocument 403 http://www.yourwebsite.org/403.html
Order deny,allow
deny from all
</files>

نکته پنجم : اگر دو گزینه  Disable Dangerous PHP Functions و  Enable open_basedir برای شما به صورت قرمز آماده است حتما با پشتیبانی Host خود تماس بگیرید و این دو مورد را به اطلاع آنان برسانید.

 

موفق باشید @};-

لینک ارسال
به اشتراک گذاری در سایت های دیگر

بایگانی شده

این موضوع بایگانی و قفل شده و دیگر امکان ارسال پاسخ نیست.

مهمان
این موضوع برای عدم ارسال قفل گردیده است.
  • کاربران آنلاین در این صفحه   0 کاربر

    • هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.
×
×
  • اضافه کردن...

اطلاعات مهم

ما مجبور شدیم تا از کوکی ها و فناوری های مشابه برای اجرای این وب سایت استفاده کنیم تا بتوانیم تجربه بهتری در زمان استفاده از سایت برای شما ایجاد نماییم. سیاست حریم خصوصی.