Deprecated: str_replace(): Passing null to parameter #3 ($subject) of type array|string is deprecated in /var/www/mybb-es.com/html/inc/class_language.php on line 201
[Tutorial] Métodos para la seguridad de tu foro MyBB
Páginas (2): 1 2   
nentab   25 Oct, 2010, 5:04 pm
#1
MyBB es un software muy seguro. Los archivos están codificados cuidadosamente para mantener el acceso a hackers y virus. Sin embargo, todavía hay formas en que tu foro podría ser hackeado. La mayoría de ellos se pueden prevenir con pequeños cambios, así que veamos algunos de ellos..

Salvo el primer método a continuación, los otros cinco pasos se pueden utilizar para cualquier tipo de software para crea tu foro.

Cambiar el nombre de su directorio admin
Es muy importante que cambie el nombre de su directorio de administración. ¿Cómo alguien hecha un vistazo al área de administración, si no saben donde están ubicados los archivos? Es muy sencillo entrar, en realidad.

Para ello, escriba panel de tu alojamiento web de control e ir al Administrador de archivos. Alternativamente, puedes utilizar un programa FTP como FileZilla. Busca el directorio '/admin'', y simplemente cambia el nombre a otra cosa (se sugiere que cambiarle el nombre a algo difícil, como 87y2ut).

A continuación, busque el archivo config.php en el directorio '/inc'. Busque el siguiente código:

Cita:/**
* Admin CP directory
* For security reasons, it is recommended you
* rename your Admin CP directory. You then need
* to adjust the value below to point to the
* new directory.
*/

$config['admin_dir'] = 'admin';

Cambia lo que esta en rojo por el nuevo nombre de directorio.

.htaccess Para protejer tu directorio administrador
Antes que nada aclaro algo, hay personas que tienen IP dinámica, al reiniciar su modem les cambia la IP. Si tienes IP fija, al cambiar de compañía (de internet) o modem la IP te cambiara. Con esto te trato de decir que uno no cambia la IP todos los días, y siempre tendras la misma cuenta en tu hosting, por lo cual tu entras al FTP y podrás cambiar la (s) IP (s) que especificaras en el siguiente método.

Cambiar el nombre del directorio '/admin' es sólo el 1 de los 3 pasos de los diferentes procesos que puede utilizar para cambiar el nombre de su directorio. El siguiente fragmento de código comprueba la dirección IP de alguien. Si su dirección IP no coincide con la que se especifica, serán redirigidos a tu índice.

Para aquello, cree un archivo .htaccess en tu directorio admin. Y agregas el siguiente código:

Cita:RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_HOST} !^68\.193\.195\.1
RewriteRule .* http://www.mybbhispano.com [R=301,L]

Lo que esta en verde modificalo por tu IP (usando el formato especificado) y lo que esta en rojo la URL para donde se ira la gente.

Y si tienes varios administradores (2 o +), agregas el siguiente código:

Cita:ErrorDocument 403 http://www.mybbhispano.com
Order deny,allow
Deny from all
Allow from 102.54.68.123
Allow from 102.54.68.123

Lo que esta en verde modificalo por tu IP (y la de los otros administradores) y lo que esta en rojo la URL para donde se ira la gente. Para agregar mas IP`s, sigue el formato de el ejemplo.

Contraseña del Directorio administrador'

Este es el método más sencillo para la protección de tu directorio de administración. Esto añade un requisito adicional de tener acceso al directorio '/admin' (o al que tengas si lo cambiaste), el cual es tener la contraseña del directorio. Ahora, la gente necesitará una cuenta de administrador, contraseña de usuario correcta y la contraseña de directorio ¿Como la ves?.

Si utilizas "cPanel" ve a "Protección de Directorios" en la categoría de Seguridad, haz click en los iconos de carpeta y encuentra el directorio admin.
Se te dara opción de crear cuentas individuales, y podras gestionar quién tiene acceso y quién no.

NOTA: Si algun administrador que tenían acceso es despedido, se cierra, o se retira, le sugiero que cambie la contraseña. Por esta posible situación, recomiendo (y prefiero) el método cPanel de los diferentes usuarios, porque entonces puede simplemente eliminar sus privilegios de acceso.

Proteger archivo config.php

Aveces cambiar los CHMOD no es suficiente. Su foro MyBB seguirá en completa normalidad sin embargo, esto lo protegerá contra el acceso externo a tu archivo de configuración.

Para aquello, cree un archivo .htaccess en tu directorio '/inc'. Y agregas el siguiente código:

Cita:# Protejer el archivo config php
<files config.php>
Order deny,allow
deny from all
</files>

Recuerda Actualizar

Las nuevas versiones se publican por una razón. Mientras se soluciona un montón de errores, también se solucionan temas de seguridad, sobre todo ahora que esta hazaña se anuncia al público, ¿ahora que solucionaron tal tema, crees que a los que no actualizan no los atacarán?. MyBB tiene una excelente manera de recordar a ustedes dentro de su AdminCP cuando hay nuevas actualizaciones disponibles.

Cuando digo actualizar, me refiero también a los plugins. Los Plugins son como una puerta a la gran mansión (que seria MyBB), si se mantiene esta puerta abierta, que sabe lo que puede entrar?

Recomendaciones aún mas breves, pero no menos importantes
  • Cambia tu contraseña con frecuencia (que sorpresita se llevaran xDD)
  • Eliminar números de versión Si por alguna razón no actualizas, se recomienda borrarlos.
  • Hacer copias de seguridad regularmente y descargar MyBB lo hace, unos 2 minutos pueden salvar tu foro.


Fuente: MyBB Comunnity Forums (Foro Oficial)
Traducido y Modificado por: Fantasma.Fantasy
Creado por: Zash
Arturo   25 Oct, 2010, 6:23 pm
#2
Huy de todas maneras usaré esto es fundamental en un foro ^^,
Night~   31 Oct, 2010, 4:53 am
#3
Este ya lo gavia visto y me parece mas que útil ;D
Última modificación: 31 Oct, 2010, 4:53 am por Royal.
leoclaros   12 Dec, 2010, 4:22 am
#4
Ahora Lo Voy Hacer En Mi Foro! Smile
Muchas Gracias!
The-Master   12 Dec, 2010, 7:31 pm
#5
Gracias por el tutorial, tratare de hacer esto lo mas rapido posible y asi tener el foro un poco mas seguro.
Ignnacio_mybb_import8182   15 Dec, 2010, 9:17 pm
#6
Seguiré completamente este tutorial porque siempre a mi me joden foros XD.
Maxii_mybb_import8095   15 Dec, 2010, 9:21 pm
#7
Con respecto a la carpeta admin, es muy facil sacarla siendo un hacker novato/experto....
No creo necesario lo de esta carpeta, la encontraMOS igual...
Última modificación: 15 Dec, 2010, 9:21 pm por Aeroxis.
Exponsore   1 Mar, 2011, 9:29 pm
#8
Gracias por poner la fuente, muy poca gente respeta los derechos de autor (yo soy Fantasma.Fantasy). Ademas de esto, ya encontre nuevas técnicas de seguridad que estoy seguro que quieren aprender, pronto lanzare la 2 versión de este tutorial, esta vez para SoporteMyBB.
nentab   2 Mar, 2011, 1:31 am
#9
(1 Mar, 2011, 9:29 pm)Exponsore escribió: Gracias por poner la fuente, muy poca gente respeta los derechos de autor (yo soy Fantasma.Fantasy). Ademas de esto, ya encontre nuevas técnicas de seguridad que estoy seguro que quieren aprender, pronto lanzare la 2 versión de este tutorial, esta vez para SoporteMyBB.

De nada, me gusta respetarlos. Smile

La esperaremos pues. Big Grin
Hynbox   11 Aug, 2011, 12:42 pm
#10
En el paso 2, he creado el .txt y le he cambiado la extensión por .htaccess , pero dónde se guarda? en /admin?
Páginas (2): 1 2   
  
Powered By MyBB, © 2002-2024 MyBB Group.
Made with by Curves UI.