Хороший способ держать платы PHPBB3 в безопасности от хакеров?

Следите за тем, чтобы другие форумы были взломаны. Я понимаю, что если хакер будет определен, они найдут способ, но какие действия вы можете предпринять, чтобы попытаться обеспечить, где это возможно, что это не произойдет?

2 ответа

В PHPBB3 будет еще одна уязвимость, и вы будете взломаны. Попробуйте обновить PHPBB3. Я знаю, что Simple Machines Forums намного более безопасен, потому что я вручную проверил их оба.

1) Несомненно, самое важное, что вы можете сделать, чтобы сделать любое веб-приложение более безопасным, - использовать брандмауэр веб-приложений, например Mod_Security.

2) Убедитесь, что вы используете современный дистрибутив Linux, который использует простой SELinux или AppArmor, SELinux более безопасен. НЕ ИСПОЛЬЗУЙТЕ WINDOWS.

3) Убедитесь, что ваша учетная запись пользователя mysql имеет доступ только к базе данных PHPBB3 и NOTHING ELSE. Самое главное убедиться, что учетная запись PHPBB3 не может получить доступ к таблице mysql.user! "Файловые привилегии" - это самое худшее, что вы можете дать веб-приложению. Файловые привилегии намного хуже, чем "grant", потому что злоумышленник попытается ввести sql следующим образом: ' union select ' <!--?php eval($_GET[e])?-->' into outfile "/var/www/backdoor.php"--, чтобы загрузить его бэкдор, "grant" может использоваться только в том случае, если злоумышленник может "складывать" запросы и mysql_query() не разрешает это и не может использоваться в SQL-инъекции.

4) Firewall off port 3306 или любой другой порт mysql. Вы должны разрешать только порты, которые вам абсолютно необходимы, и будьте осторожны с вашей базой данных.

5) Запустите PHPSecInfo и убедитесь, что он не выбрасывает "красные" предупреждения.

6) Запустите OpenVAS против вашего сервера, это, вероятно, первое, что сделает хакер.


Вы не можете сказать, как быть на 100% безопасным от хакеров, но вы можете, по крайней мере, следовать некоторым политикам безопасности, чтобы минимизировать риск.

  • Использовать сильный пароль root,
  • отслеживать критические проблемы в сети и исправлять их как можно скорее,
  • использовать captcha для непрерывного входа в систему,
  • использовать электронную почту для новых регистраций,
  • отключить HTML в сообщениях и подписях.

licensed under cc by-sa 3.0 with attribution.