Jump to content
najaru

Aumentare la sicurezza della board

Recommended Posts

najaru

Molti utenti non conoscono alcune possibilità che si hanno con IP.Board di aumentare la sicurezza e la protezione dei propri dati.

Ecco alcune funzioni o regole che vale la pena segnalarvi o ricordare:

1) ACCOUNT ADMIN: per ciascun elemento dello staff che deve accedere al pannello amministratore, fate utilizzare un account different e non fornite a tutti un unico utente per l'accesso. In questo modo potrete monitorare sempre chi-fa-cosa. Sempre in questo contesto è fondamentale usare password lunghe e complesse, potete inventarle o eventualmente crearle su questo sito http://www.generate-...om/?language=it (ma ce ne sono molti altri)

Ricordatevi di creare un account admin per li staff IPS se deve intervenire con l'assistenza.

Date accesso all'admin al minor numero di persone, e se non serve che accedano a tutte le aree disponibili allora settate dei vincoli di accesso in modo da consentire l'accesso solo a determinate aree.

2) RINOMINARE LA CARTELLA ADMIN: rinominare la cartella admin può essere utile, anche se complica un po le cose poi nella gestione delle applicazioni. Pottrete ad esempio chiamare la cartella admin=topolino, quindi l'accesso all'ACO diventerebbe www.tuosito.it/forum/topolino

In questo caso vi dovete ricordare di modificare il file che si trova in root initdata.php

trovare

define( 'CP_DIRECTORY', 'admin' );

e cambiarlo in

define( 'CP_DIRECTORY', 'topolino' );

Dovrete sempre ricordarvi poi, prima di caricare i file di qualsiasi hook o applicazione, di rinominare la cartella admin del pacchetto PRIMA di fare l'upload FTP

Anche in caso di upgrade della board dovrete sempre ricordarvi di rinominare la cartella admin del pacchetto e rimodificare il file initdata.php PRIMA di fare l'upload FTP

3) HTPASSWD: creare una protezione .htpasswd andando in:

System >

Security Center

IP.Board ACP .htaccess Protection

in questo modo prima di presentarvi il form di login del pannello ACP vi verrà chiesto di inserire ulteriori numi utenti e password

Se volete avere differenti accessi dovete settare il file manualmente, aiutandovi con questo sito: http://www.htaccesst...sswd-generator/

4) NON FATE SVARIONATE: non installate script strani o sconosciuti all'interno delle cartelle del forum, in questo modo potrete evitare attacchi indesiderati.

5) CONF_GLOBAL NON SCRIVIBILE: Lanciare lo script di protezione

System >

Security Center

Make "conf_global.php" Un-writable

Run Tool Now

6) IP.Board PHP/CGI .htaccess Protection: Lanciare lo script di protezione

System >

Security Center

IP.Board PHP/CGI .htaccess Protection

Run Tool Now

Con queste misure e con il vostro hosting potrete rendere più sicuro il vostro sito web

Share this post


Link to post
Share on other sites
Flaviospeed

Salve,

ho fatto tutto quello che è stato scritto nella preziosa guida ma dopo aver seguito il secondo punto, un admin non riesce più ad effettuare l'accesso nel PdC. Ho provato a rimettere il nome "admin" nella cartella, ma la cosa non cambia. Effettuato recache sito e browser, ma il problema persiste.

Io però non ho problemi ad accedere.

L'unica differenza tra me e lui è il grado di utente (admin io, vice-admin lui) ma la "mask" è la stessa.

Share this post


Link to post
Share on other sites
Askancy

Salve,

ho fatto tutto quello che è stato scritto nella preziosa guida ma dopo aver seguito il secondo punto, un admin non riesce più ad effettuare l'accesso nel PdC. Ho provato a rimettere il nome "admin" nella cartella, ma la cosa non cambia. Effettuato recache sito e browser, ma il problema persiste.

Io però non ho problemi ad accedere.

L'unica differenza tra me e lui è il grado di utente (admin io, vice-admin lui) ma la "mask" è la stessa.

Cioè dopo aver rinominato la cartella Admin non riesce più ad'entrare?

Hai già modificato il file initdata.php?


if ( !defined( 'CP_DIRECTORY' ) )
{
define( 'CP_DIRECTORY', 'admin' );
}

a posto di Admin metti il nome che utilizzi tu

Share this post


Link to post
Share on other sites
Flaviospeed

@Askancy

Il file initdata.php è già stato modificato con la cartella corretta ma non riesce ad accedere.

@Najaru

Esatto, restituisce errore (come se il nick o la password fosse errata).

Ha provato con Safari, Chrome e Firefox. Il problema persiste.

Share this post


Link to post
Share on other sites
najaru

prova con un altro admin a cambiarti la password

se non riesci lo devi fare dal database,

in ogni caso le operazioni di sicurezza non c entrano nulla con questo problema

Share this post


Link to post
Share on other sites
gianpiero

per me è una banalità che non dipende, come dice najaru, dalle operazioni fatte

  • controlla che nome nel forum e nome accesso (user) siano lo stesso, maiuscole e minuscole comprese
  • cambiagli tu la password da ACP con una password senza caratteri speciali. Non spedirgli la notifica di cambio password
  • prova a fare tu l'accesso con il suo account, dal tuo pc, con browser pulito

Share this post


Link to post
Share on other sites
gianpiero

di fatto è indifferente, hai perfettamente ragione

Io di solito non lo faccio per non confondere l'utente che mi richiede, così ho il tempo di fare un eventuale test con calma facendo il log-in per suo conto, senza sovrappormi ad un eventuale suo login

Tecnicamente NON FA DIFFERENZA

Share this post


Link to post
Share on other sites
gianpiero

aggiungo una cosa: a me non da molta sicurezza cambiare il nome della cartella admin per il seguente motivo:

dato che nel robots.txt c'è il Disallow: /forum/admin/ , analogamente devo mettere Disallow: /forum/nuova_admin/

Essendo il robots.txt un file di lettura in chiaro nel browser, praticamente perdo l'efficacia dell'occultamento

A questa soluzione di cambio nome ho sempre preferito impostare la cartella admin come protetta, tutti i pannelli di controllo dei server lo permettono anche se non si ha dimestichezza con gli htaccess.

Una password in più non è male. Inoltre genero sempre password random, con caratteri maiuscoli minuscoli underscore e cifre, parole senza alcun significato

Share this post


Link to post
Share on other sites
gianpiero

in merito al robots.txt ai fini della protezione è ininfluente, mi sono espresso in modo ambiguo, serve solo per nasconderla ai motori se è accessibile

si d'accordo, adesso ho letto nuovamente la tua guida, scusa ma mi era sfuggito che anche tu hai messo "....creare una protezione .htpasswd andando in ...."

Io manco lo sapevo che la IPB avesse la possibilità di scrivere l'. htaccess da ACP :rolleyes:

uso le dir protette non solo per IPB ma anche per i miei CMS, fin dai tempi di Carlo Magno

grazie, ora è più chiaro

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...

×
×
  • Crea Nuovo...

Important Information

By using this site, you agree to our Terms of Use.