Woltlab Burning Board Sicherheitsratschläge für das wBB
Sicherheitsratschläge für das wBB (Woltlab Burning Board)
Diese Tipps sollen die Sicherheit des Woltlab Burning Bord (wBB) erhöhen und sind als Ergänzung zum Artikel Tipps zur Absicherung meines Webprojektes zu verstehen.
- den Administrationsbereich mit Webserver Kennwortschutz belegen.
Dafür muss eine .htaccess Datei im Verzeichnis acp/ angelegt werden. Wenn man einen Rootserver einsetzt und die Möglichkeit hat, die Apache-Konfigurationsdatei zu bearbeiten, dann sollte man anstelle einer .htaccess Datei direkt diese Konfiguration in der httpd.conf Datei vornehmen.
Idealerweise sollte zusammen mit dem htaccess Kennwortschutz eine SSL Verbindung genutzt werden (also https://...), damit das Kennwort verschlüsselt übertragen wird. - IP für den Administrationsbereich einschränken
Wenn alle Administratoren eine statische IP von Ihrem Internet-Provider zugewiesen bekommen haben, kann man mit folgenden Zeilen in der .htaccess oder httpd.conf den Zugriff auf bestimmte IP-Adresse einschränken:
order allow,deny
allow from 192.168.0.1
deny from all
Die IP-Adresse muss natürlich auf eine öffentlich zugängliche Adresse geändert werden (statische IP, die man vom Provider erhalten hat). Dieser Schutzmechanismus ist zwar sehr effektiv, aber leider haben die wenigsten Benutzer eine statische IP Adresse, weshalb diese Möglichkeit wohl nur für Firmen in Frage kommt. - Normalerweise sollten die Sicherheitsmechanismen immer mit der höchstmöglichste Software-Ebene eingesetzt werden. Wenn man also die Möglichkeiten hat, an PHP Einstellungen, Webservereinstellungen oder Firewall-Einstellungen Anpassungen durchzuführen, sollte man diese auch dort machen.
Falls man diese Möglichkeiten nicht hat, was nahezu immer bei Webhosting Paketen der Fall ist (wenn man also keinen eigenen Server verwendet), dann gibt es für das wBB auch noch verschiedene, sicherheitsrelevante Lösungen auf PHP Basis:- Sicherheitspaket (nur für WBB2 Kunden zugänglich) von rellek
- CrackerTracker
- oder die kommerzielle Lösung SecuritySystem professional
- Setup und Installations-Scripte aus dem acp Verzeichnis löschen
Die setup.php und alle anderen Installations-Skripte von Addons entfernen. Normalerweise können alle *setup* und alle *install* Dateien aus dem Verzeichnis acp/ entfernt werden. - Falls vorhanden, die Datei acp_tpl.php aus dem acp/ Verzeichnis löschen!
Diese Datei wird nur dazu gebraucht, um die Templates des Adminbereiches neu zu cachen. Im Laufenden betrieb wird diese Datei nicht benötigt. - Auf die Datei acp/lib/config.inc.php sollte nur der Webserver Leserechte besitzen - weitere Rechte werden hier nicht benötigt.
Mit folgenden Befehl kann man über ssh die Zugriffsrechte festlegen (auszuführen im wBB Verzeichnis):
chmod 440 acp/lib/config.inc.php
Diese Einstellung kann aber auch über einen FTP Programm gemacht werden, indem man bei Besitzer und Gruppe Leserechte aktiviert, alle anderen Zugriffsrechte werden deaktiviert. - Kein HTML Code erlauben!
Es sollte niemals HTML Code in Beiträgen, PNs oder Signaturen erlaubt werden - für keine Benutzergruppe!
Unsere Buchempfehlung
Alle hier aufgeführten Informationen / Dokumentationen sind nur als Denkanstoß gedacht und wurden mit großer Sorgfalt erarbeitet. Es besteht jedoch kein Anrecht auf Vollständigkeit / Richtigkeit. Der Autor kann für eventuell verbliebene fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Gleiches gilt für entstandene Schäden bei unsachgemäßer Ausführung! Im Zweifelsfall immer einen Fachmann mit der Durchführung beauftragen!
Gerne bieten wir Ihnen hierfür unsere Consulting Dienste an. © Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten.