Login: Senha: Registrar-se - Esqueci minha senha
.: Menu
Home
Artigos
Sign. dos Sonhos
Papel de Parede
Ilusões de Ótica
.: Bancos
Emoticons e Gifs
Ícones
Logos
.: Serviços
Mural de Recados
Usuários Online
Bloco de Notas
Formmail
Meu IP
.: Geradores
Gerador de Senhas
Barra de Rolagem
Recomende
Pop-up
Inverter Link
.: Canais
Apostilas
Arte/Cultura
Blog
Busca
Celular
Downloads
E-mail Grátis
Emoticons
Esportes
Filmes
Flogs
Fontes
GTA Mods
Host Grátis
Humor
Infantil
Informática
Jogos
Jogos Online
Linux
Músicas
Notícias
Offline
Redirecionadores
Sites Parceiros
Webdesigners
Webmasters
.: Na Faixa
Sobre
Contato
Recomende-nos
Termos de uso

Dez dicas preciosas para manter o seu phpBB protegido

Enviado em 09/05/2007 - 05:38
Fonte: A A A A

Olá

Constantemente, muitas pessoas me perguntam sobre como manter seus fóruns em phpBB seguros e livres de invasores (crackers). Infelizmente, não existe uma solução mágica ou uma maneira 100% garantida para isto. O que existem são determinadas precauções que o administrador deve tomar, além de ferramentas que podem ser úteis neste sentido.

Procurei fazer uma lista daquilo que considero mais relevante e que deve manter os crackers longe de sua comunidade ou pelo menos dificultar bastante para eles. São dicas que devem fazer parte do dia-a-dia de todo administrador, uma espécie de "10 mandamentos contra crackers". Eis a lista, com uma breve explicação de cada tópico:
  1. Mantenha o phpBB de seu fórum sempre atualizado
    A maioria das vulnerabilidades do phpBB está diretamente ligada à utilização de versões desatualizadas do sistema. Para maiores informações sobre este assunto, vide artigo:     A importância de manter seu phpBB atualizado;
  2. Verifique se o servidor onde seu fórum está hospedado é seguro
    A melhor forma de descobrir isto é sabendo as versões de PHP e MySQL disponíveis, principalmente PHP, se não está sendo utilizado versões muito antigas. Com relação ao PHP, se a versão for anterior à 4.3.11 ou à 5.0.4, com certeza o servidor está inseguro e é importante pedir ao suporte sobre a possibilidade de atualização;
  3. Tenha senhas seguras
    Utilize senhas grandes (no mínimo 10 caracteres) e complexas para a sua conta de acesso ao servidor e para o usuário de administrador do fórum, mesclando caracteres númericos, alfa-numéricos e outros. Procure ainda alterar estas senhas periodicamente;
  4. Seja cauteloso com quem colocar de administrador
    Tenha muito cuidado com aqueles usuários que delegar o poder de administração. Só faça isto com usuários que conhecer muito bem e tiver total confiança na pessoa. Se possível, tenha um máximo de 3 administradores, contando com você;
  5. Atualize todos os MODs instalados
    Mantenha sempre atualizados os MODs instalados no fórum, principalmente aqueles que tenham função de upload (envio de arquivos via página) e onde seja necessário o uso do CHMOD 777;
  6. Bloqueie o acesso de arquivos de template
    O phpBB possui uma quantidade muito grande de templates (estilos) disponíveis, que são responsáveis pela estrutura HTML e visual das páginas do fórum. Além de ser interessante utilizar sempre templates atualizados e prontos para a última versão do phpBB, é importante bloquear o acesso direto, via navegador, dos códigos dos mesmos. A questão é que os arquivos dos templates (com extensão .tpl) funcionam através de "chamadas" dos arquivos PHP. Ao se tentar entrar em algum diretamente, será mostrado o código do mesmo, o que pode expor a sua comunidade à crackers, principalmente aqueles que estejam tentando descobrir os MODs instalados. Para evitar isto, crie um arquivo em um editor de textos qualquer com o seguinte conteúdo:
    <Files "*.tpl">
        Order allow,deny
        Deny from all
    </Files>
    Salve com o nome htaccess.txt e envie via FTP pra o diretório /templates/ de seu fórum. Assim que enviar, renomeie o arquivo para .htaccess, sem nada mesmo antes do "." (ponto).
  7. Evite a listagem de arquivos em diretórios
    Todo diretório que não possui um arquivo principal (index), por padrão, ao ser acessado irá mostrar todos os arquivos que estão neste diretório. Aparentemente isto não é um grande problema, mas podem haver diretórios do seu phpBB, onde não seja interessante que os visitantes descubram os arquivos que fazem parte, como por exemplo, no diretório docs/, que possui toda documentação do phpBB, podendo ser acessado para se descobrir a versão do mesmo que se está utilizando. Para evitar este tipo de problema, crie (ou edite se já existir) um arquivo .htacces na raiz de seu site e coloque o seguinte:
    IndexIgnore *
  8. Proteja o diretório admin/
    O diretório admin/ de seu fórum possui aqueles arquivos responsáveis pelo painel de administração do phpBB, sendo portanto, alvo direto de invasores. Nas versões atuais do phpBB, mesmo que você esteja logado como administrador pela página inicial do fórum, o sistema exige uma nova autenticação, como forma de prevenir acessos de robôs ou administradores que não estejam realmente identificados. Por ser tão importante, recomendo que se proteja o diretório admin/ com senha e apenas os administradores saibam dela. Para fazer isso, em vez de colocar explicações detalhas aqui (o que iria deixar o artigo muito grande), sugiro a leitura do tutorial completo disponível no seguinte endereço:     http://www.numaboa.com.br/informatica/webmaster/htaccess/htaccess2.php
  9. Mantenha as tabelas phpbb_sesssions e phpbb_sessions_keys sempre limpas
    As tabelas phpbb_sesssions e phpbb_sessions_keys são responsáveis por verificar e salvar as sessões de usuários que fazem identificação no fórum, deixando rastros e SID's (SID é uma espécie de identificação de cada usuário que visita o fórum) antigas inúteis. É importante manter estas tabelas constantemente limpas (pelo menos uma vez por semana), pois, além de irem acumulando os valores das sessões e com isso aumentando o tamanho do banco de dados (um problema para fóruns muito grandes), deixam rastros perigosos, que podem vir a serem acessados por algum invasor. Para limpar estas duas tabelas, entre no phpMyAdmin (ou outro gerenciador de banco de dados), escolha o banco de dados de seu fórum e execute o seguinte comando SQL:
    TRUNCATE phpbb_sessions;
    TRUNCATE phpbb_sessions_keys;
  10. Instale MOD's de segurança no fórum
    Por último e não menos importante, existem diversos MOD's que adicionam funções de segurança para o phpBB. Uma boa lista pode ser encontrada no seguinte tópico de nossa comunidade:     http://www.phpbbrasil.com.br/phpBB/viewtopic.php?t=1063

Lembrando que é sempre importante fazer backups periódicos do banco de dados, para o caso de uma possível invasão.

Quero deixar bem claro que, além destes "mandamentos", existem vários outros possíveis que não caberiam nesta coluna. Estes que citei talvez sejam os mais importantes e achei interessante compartilhar com a comunidade.

Para outras dicas de segurança, dêem uma olhada no seguinte tópico de nosso fórum:

http://www.phpbbrasil.com.br/phpBB/viewtopic.php?t=5689

Até a próxima!

Fonte: www.phpbbrasil.com.br

Enviado por: brunohcs

Esse artigo foi visualizado 7795 vezes

Compartilhe este artigo
facebook del.icio.us rec6 digg
Recomende este artigo a um amigo


Voltar
>> Comentários
 
Related Posts Plugin for WordPress, Blogger...
Comentar
Buscar Artigos:
.: Mods de GTA
GTA SA, VC, IV
SA - Carros
IV - Carros
Mods
GTA IV
SA - Mods Cleo
.: Saúde
Calculadora de IMC
Peso Ideal
Artigos de Saúde
.: Jogos Online
Ação
Aventura
Cassino
Classicos
Colorir
Corrida
Educativos
Esporte
Estrategia
Infantil
Luta
Meninas
Nave
Tiro
Outros
Adulto
Top Jogos
.: Parceiros
Mural de Recados Grátis
Papel de Parede
Show Moto
Web Visual
.: Nossos Números
Artigos: 930
Categorias: 50
Comentarios: 1863
Usuarios: 26634
Blocos de Nota: 87
Canais: 169

website monitoring service
eXTReMe Tracker
Na Faixa.net - Todos os direitos reservados. 12/2003 - 04/2024
Leia nossos Termos de Uso - Política de Privacidade
Desenvolvido por Web Visual
Crie seu Site - Papel de Parede Grátis - Show Moto - Mural de Recados Grátis - Dicas10