vBulletin sicherer machen Sicherheitsratschläge für das vBulletin
Sicherheitsratschläge für das vBulletin
- Nicht benötigte Dateien und Verzeichnis löschen
Das Verzeichnis install/ wird nur für die Installation oder für ein Upgrade benötigt. Für den laufenden Betrieb wird dieses Verzeichnis nicht benötigt und stellt daher nur ein Sicherheitsrisiko dar. Daher kann dieses gelöscht werden. Falls man ImpEx für den Import verwendet hat, kann man diese Dateien nach dem Import auch bedenkenlos wieder löschen. Falls man die tools.php verwendet hat, um Reparaturen durchzuführen, sollte diese auf jeden Fall wieder gelöscht werden. - den Administrationsbereich oder Moderationsbereich mit Webserver Kennwortschutz belegen.
Dafür muss eine .htaccess Datei im Verzeichnis admincp/ und im Verzeichnis modcp/ angelegt werden. Wenn man einen Rootserver einsetzt und die Möglichkeit hat, die Apache-Konfigurationsdatei zu bearbeiten, dann sollte man anstelle einer .htaccess Datei direkt diese Konfiguration in der httpd.conf Datei vornehmen.
Idealerweise sollte zusammen mit dem htaccess Kennwortschutz eine SSL Verbindung genutzt werden (also https://...), damit das Kennwort verschlüsselt übertragen wird. - IP für den Administrationsbereich einschränken
Wenn alle Administratoren eine statische IP von Ihrem Internet-Provider zugewiesen bekommen haben, kann man mit folgenden Zeilen in der .htaccess oder httpd.conf den Zugriff auf bestimmte IP-Adresse einschränken:
order allow,deny
allow from 192.168.0.1
deny from all
Die IP-Adresse muss natürlich auf eine öffentlich zugängliche Adresse geändert werden (statische IP, die man vom Provider erhalten hat). Dieser Schutzmechanismus ist zwar sehr effektiv, aber leider haben die wenigsten Benutzer eine statische IP Adresse, weshalb diese Möglichkeit wohl nur für Firmen in Frage kommt. - Auf die Datei includes/config.inc.php sollte nur der Webserver Leserechte besitzen - weitere Rechte werden hier nicht benötigt.
Mit folgenden Befehl kann man über ssh die Zugriffsrechte festlegen (auszuführen im vBulletin Verzeichnis):
chmod 440 includes/config.inc.php
Diese Einstellung kann aber auch über ein FTP Programm gemacht werden, indem man bei Besitzer und Gruppe Leserechte aktiviert, alle anderen Zugriffsrechte werden deaktiviert. - Kein HTML Code erlauben!
Es sollte niemals HTML Code in Beiträgen, PNs oder Signaturen erlaubt werden - für keine Benutzergruppe! - Kennwortgültigkeitsbegrenzung für alle Benutzergruppen
Standardmäßig wird vBulletin mit der Einstellung ausgeliefert, dass die Administratoren-Gruppe nach 180 Tagen gezwungen werden, Ihr Kennwort zu ändern. Diese Einstellung sollte auch auf alle anderen Benutzergruppen verwendet werden, wie Supermoderatoren, Moderatoren und Registrierte Benutzer.
Wieso einen Kennwort-Wechsel auch für Registrierte Benutzer erzwingen?
Ein Registrierte Benutzer hat bessere Voraussetzungen/Möglichkeiten einen Angriff auszuführen als ein Gast. Um den Missbrauch bestehender Accounts einzuschränken, sollten daher in regelmäßigen Abständen die Kennwörter geändert werden. - Vertrauenswürdige Erweiterungen verwenden
Wenn man Addons einsetzt, sollte man sich genau überlegen, ob man den Anbieter vertraut, der diese Erweiterung anbietet. Bei vBulletin ist die zentrale Anlaufstelle für Erweiterungen vBulletin.org (dort werden schnell unseriöse Erweiterungen aufgedeckt). - Plugin Verwaltung nur wenn notwendig freigeben
Zugriff auf die Plugin-Verwaltung sollte nur Admins gewährt werden, die auch wirklich für die Installation oder Weiterentwicklung der Plugins zuständig sind. Diese Einstellung wird unter Administrator-Berechtigungen/Kann Plug-ins verwalten festgelegt.
Unsere Buchempfehlung
Autor: Mario Heiderich, Christian Matthies, Johannes Dahse, fukami
Verlag: Galileo Computing
Verkaufsrang: 42546
Das folgende Buch befasst sich ausführlicher mit dem hier genannten Thema.
Wenn Du mehr über Sichere Webanwendungen: Das Praxisbuch erfahren willst, empfehlen wir Dir diesen Artikel.
Anmerkung zu Suhosin
Wenn man die PHP Extension Suhosin einsetzt, müssen folgende Einstellungen in der php.ini ergänzt werden, um einen fehlerfreien Betrieb zu gewährleisten:
suhosin.request.max_vars="500"
suhosin.get.max_vars="500"
suhosin.post.max_vars="500"
suhosin.get.max_vars="500"
suhosin.post.max_vars="500"
Alle hier aufgeführten Informationen / Dokumentationen sind nur als Denkanstoß gedacht und wurden mit großer Sorgfalt erarbeitet. Es besteht jedoch kein Anrecht auf Vollständigkeit / Richtigkeit. Der Autor kann für eventuell verbliebene fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Gleiches gilt für entstandene Schäden bei unsachgemäßer Ausführung! Im Zweifelsfall immer einen Fachmann mit der Durchführung beauftragen!
Gerne bieten wir Ihnen hierfür unsere Consulting Dienste an. © Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten.