Защита XenForo

[Vlad61]

Кто что думает по поводу защиты форума на XenForo?
Сегодня наткнулся на яндексе на такую вещь:

У Вас недостаточно прав для просмотра ссылок. Вход или Регистрация

, хоть и дата статьи очень старая (2007 год), но все-таки, какие известные уязвимости есть у движка XenForo, какие модули PHP лучше отключить и как обезопасить MySQL? Или оставить все как есть?

 

[hirowatch]

admin.php надо переименовать сначала для защиты =)

 

[Vlad61]

admin.php надо переименовать сначала для защиты :-)

А смысл, если его все равно можно вычислить, скачав сайт? И ссылку на админку нужно будет скрывать от роботов в robots.txt, там и будет светиться странная ссылка.

 

[Mirovinger]

Вот Вам заняться нечем, если будет большой интерес к Вашему форуму, то и взломают там, где Вы даже и думать не будите.

 

[Михаил Ранго]

Взломать можно все, только не все это умеют а если кому и нужно будет то обычно такие люди того добиваются а потом тролят всех и все на своих дешевых hack форумах какие они тру и отцы. Движок вполне уже имеет хорошую защиту и если не сторонние плагины то глупость админа приведет форум ко взлому.

 

[r000t]

admin.php надо переименовать сначала для защиты :-)

самая глупая идея, нужно admin.php не переименовывать, а с помощью апача или нгинкса разрешить доступ только со своих ип , а с остальных запретить, а от дудосов спасаться надо не силами веб-сервиса , а ядром системы

 

[Karat7]

У вас сайт филиал пентагона чтоли? Откуда такая параноя? Как говорили выше можно просто перепрятать админку. Если вы еще не обновились до последней версии XF можно сразу изменить адрес до установки.

 

[r000t]

прятать админку это както по школьному, костыль на время , поможет против лентяя школо-кулцхакера

 

[Vlad61]

У вас сайт филиал пентагона чтоли

Возможно :wink:
В принципе сайт системы "Платон" ведь тоже сделан на WordPress и никто не парится :lol:

Я думаю самая лучшая защита - ждать нападения, чтобы выявить уязвимое место.

 

[Karat7]

прятать админку это както по школьному, костыль на время , поможет против лентяя школо-кулцхакера

Ну не знаю. А каким макаром её можно будет найти? Единственное что нужно будет перед каждой установкой переписывать адрес админки, но это не сложно.

На всякий случай напишу как сменить админку до установки!
Лучше всего для этого использовать Notepad++ (Бесплатный)

Открываем файлы и в коде меняем admin.php на свое

\upload\install\data\phrases.xml (4 раза)

\upload\install\data\templates.xml (3 раза)

\upload\install\templates\install_complete.php (1 раз)

\upload\install\templates\upgrade_complete.php (1 раз)

\upload\js\xenforo\full\xenforo.js (1 раз)

\upload\js\xenforo\xenforo.js (1 раз)

\upload\library\XenForo\Link.php (1 раз)

\upload\library\XenForo\ViewRenderer\HtmlAdmin.php (1 раз)


В корне архива с форумом сменить имя файла admin.php на свое выбранное. И можно устанавливать по новой, или на старую версию. Испробовано на XF 1.5.6

 

[Captain]

Извращенцы

 

[r000t]

лол, в твоей писанине надо копатся в недрах форума чтобы найти 8 файлов и отредактировать 13 строк!! или по моему методу 1, один, АДЫН раз прописать в конфиг сервера строчку чтото типа :
location ^~ /admin.php {
allow твой ип или твоя подсеть;
deny all;
}
и всё карл!

 

[Vlad61]

лол, в твоей писанине надо копатся в недрах форума чтобы найти 8 файлов и отредактировать 13 строк!! или по моему методу 1, один, АДЫН раз прописать в конфиг сервера строчку чтото типа :
location ^~ /admin.php {
allow твой ип или твоя подсеть;
deny all;
}
и всё карл!

Может я еще многого не понимаю, но все же спрошу. Разве по моему методу нельзя вычислить адрес админки?

А смысл, если его все равно можно вычислить, скачав сайт? И ссылку на админку нужно будет скрывать от роботов в robots.txt, там и будет светиться странная ссылка.

 

[hirowatch]

А теперь встречный вопрос: Как узнать подсеть? для нескольких человек можно сделать по подсети?

 

[Karat7]

Если пошла такая пьянка то можно заблочить по IP админку. Недостаток в том что если захотите зайти не из дома хрен войдете))

<Files admin.php>
  Order deny,allow
  Deny from all
  Allow from 81.88.232.165 178.227.25.163
</Files>

ip адрес может быть один или через пробел несколько. Вставлять в файл .htaccess в корне форума

 

[Smalesh]

и всё карл!

На большинстве конф это отвалит админку напрочь. В локейшн нужно либо писать обработку php, либо перенаправлять в именованный локейшн под это дело. Как-то так.

Недостаток в том что если захотите зайти не из дома хрен войдете))

Для этого в ngixn есть директива satisfy (в апаче тоже есть такое). Без авторизации с таких-то ip, авторизация для всех остальных. Еще в отдельный лог писать и блочить любопытных.

 

[Vlad61]

Если пошла такая пьянка то можно заблочить по IP админку. Недостаток в том что если захотите зайти не из дома хрен войдете))

А тут и другая проблема - динамический IP :-)

 

[Smalesh]

А тут и другая проблема - динамический IP :-)

Пул ip закинуть.

 

[r000t]

На большинстве конф это отвалит админку напрочь. В локейшн нужно либо писать обработку php, либо перенаправлять в именованный локейшн под это дело. Как-то так.

бред какойто , писать обработчик чего ? на уровне веб-сервиса тут допуск идет ,а не на уровне движка форума!

Пул ip закинуть

верно ибо у провайдера статический пулл адресов и он не поменяется кардинально

 

[Mirovinger]

А двухфакторку не модно использовать, зачем её добавляли в XF1.5.