[Другое] Элементарная защита вашего форума IPB 3.x.x

[Teplovoznik]

Пишу под 3.х.х , хотя все действия подойдут и для 2.х.х. Всё это есть в админке , НО по статистике люди не воспринимают , то что им пишут в админке , им лучше читать из статей.
Приступим.

Первым делом меняем дефолтное название "админки" /admin/​

Для этого открываем файлек initdata.php , находим строку

define( 'CP_DIRECTORY', 'admin' );

Тут нас интересует 'admin' , меняем на то , что вам нужно.
Например :

define( 'CP_DIRECTORY', 'example' );

Теперь переименовываем директорию /admin/ ( которая находится в корне вашего форума ) , в нашем случае на example.

Далее запрещаем чтение или запись файлека conf_global.php​

Выставляем chmod 444. Это требуется только на системах *nix.
Сделать это можно фтп-клиентом , либо командой если есть доступ по ssh.
Делается это так :

chmod 444 /путь/до/форума/conf_global.php

Несколько советов новичкам:

1) Не ставить одинаковые пароли на всех форумах.
2) Не давать некому свой пароль.
3) Не ставить пароли типа "вашего номера телефона" , "даты рождения"
4) Не давать подозрительным лицам (лучше вообще некому) фтп / ssh доступ к вашему форуму.
5) Не ставить пароли состоящие менее чем из 6-ти символов , лучше ставить пароли в MD5.

Многие это знают , тем не менее написал , т.к получал несколько вопросов подобной тематики. Подсказывайте , что добавить , с удовольствием добавлю в статью.
Просьба не умничать тем кто это знает , а просто проходить мимо.

 

[$@$TANKIST@$@]

полно такой инфы можно найти в гугле в чем смысл выложить пару примеров?

 

[bromista]

не хранить пароли в куках

 

[Revenge-R]

Teplovoznik, да и + ограничить доступ к папке admin по IP и по паролю на папку. (самый действенный способ)

P.S главное потом в robots.txt не пришите Disallow: /adminka/ ... а то все ваше прикрытие в ( )*( )

не хранить пароли в куках

А в IPB есть выбор где хранить пароли?

 

[z!m3r]

Раз тема про защиту, у кого нибудь имеется анти-ботская защита? Чтобы была техника проверки чела на мозги?
Типа теста при регистрации...??

 

[tostrss]

Поставь капчу, например рекапчу.

reCAPTCHA

reCAPTCHA это широко распространенный в Интернете сервис, использующийся для защиты от спам-ботов и массовых регистраций. Хотя идеальных систем нет мы все же надеемся, что использование систем аналогичных reCAPTCHA, которая непрерывно улучшается, должно помочь в противостоянии массовым регистрациям. reCAPTCHA обновляется удаленно, а это значит что все нововведения у вас появятся сразу же, без вашего вмешательства, тем самым при появлении новых методов у авторов спам-ботов, через кратчайшее время ваш форум уже сможет противостоять им.

Версия IP.Board 3.0 содержит reCAPTCHA по умолчанию.

Как использовать reCAPTCHA?

Необходимый для работы системы код уже интегрирован в форум (версия от 2.3.6 и выше). Вам необходимо просто включить в админцентре вашего форума в настройках безопасности и произвести необходимые действия для этого. Все новые форумы устанавливаются с уже включенной данной опцией.

IP.Board имеет специальный глобальный ключ для reCAPTCHA, который помогает легко активировать систему. Вы можете также посетить сайт Для просмотра ссылки Войди или Зарегистрируйся и создать свой собственный ключ.

 

[Revenge-R]

tostrss, рекапча, как и любая другая расшифровывается уже.
На ботов лучше действуют случайные вопросы... т.к на них может ответить только человек.
Эффект будет только в связке капчи и случайных вопросов, причем вопросы, чем сложнее тем лучше.
P.S если конечно регается не вручную, человеком
P.S видел в паре блогов ГЛУПУЮ защиту, например когда нужно отметить галочкой в чекбоксе "я не робот"... так вот это полная х**ня потому что боты автоматом проставляют неизвесные чекбоксы... а следовательно правильней бы было в их случае наоборот сделать "Отметьте если ВЫ РОБОТ"

Самый действенным способом защиты админки будет установка пароля на папку "admin", при этом сначало будет вылетать табличка с полями логин и пароля на саму папку, а потом уже форма входа IPB.
Ну и очень действенный, но в некоторых случаях неудобный(если IP не статичный) это способ ограничения доступа к папке по IP через .htaccess.
По крайней мере вы можете сделать свой регион (140.*.*.*) обычно меняется только последнее, если IP динам.
В таком случае с других адресов доступ к админке будет закрыт вообще.