Aumentare la sicurezza della board

[najaru]

Molti utenti non conoscono alcune possibilità che si hanno con IP.Board di aumentare la sicurezza e la protezione dei propri dati.

Ecco alcune funzioni o regole che vale la pena segnalarvi o ricordare:

1) ACCOUNT ADMIN: per ciascun elemento dello staff che deve accedere al pannello amministratore, fate utilizzare un account different e non fornite a tutti un unico utente per l'accesso. In questo modo potrete monitorare sempre chi-fa-cosa. Sempre in questo contesto è fondamentale usare password lunghe e complesse, potete inventarle o eventualmente crearle su questo sito http://www.generate-...om/?language=it (ma ce ne sono molti altri)

Ricordatevi di creare un account admin per li staff IPS se deve intervenire con l'assistenza.

Date accesso all'admin al minor numero di persone, e se non serve che accedano a tutte le aree disponibili allora settate dei vincoli di accesso in modo da consentire l'accesso solo a determinate aree.

2) RINOMINARE LA CARTELLA ADMIN: rinominare la cartella admin può essere utile, anche se complica un po le cose poi nella gestione delle applicazioni. Pottrete ad esempio chiamare la cartella admin=topolino, quindi l'accesso all'ACO diventerebbe www.tuosito.it/forum/topolino

In questo caso vi dovete ricordare di modificare il file che si trova in root initdata.php

trovare

define( 'CP_DIRECTORY', 'admin' );

e cambiarlo in

define( 'CP_DIRECTORY', 'topolino' );

Dovrete sempre ricordarvi poi, prima di caricare i file di qualsiasi hook o applicazione, di rinominare la cartella admin del pacchetto PRIMA di fare l'upload FTP

Anche in caso di upgrade della board dovrete sempre ricordarvi di rinominare la cartella admin del pacchetto e rimodificare il file initdata.php PRIMA di fare l'upload FTP

3) HTPASSWD: creare una protezione .htpasswd andando in:

System >

Security Center

IP.Board ACP .htaccess Protection

in questo modo prima di presentarvi il form di login del pannello ACP vi verrà chiesto di inserire ulteriori numi utenti e password

Se volete avere differenti accessi dovete settare il file manualmente, aiutandovi con questo sito: http://www.htaccesst...sswd-generator/

4) NON FATE SVARIONATE: non installate script strani o sconosciuti all'interno delle cartelle del forum, in questo modo potrete evitare attacchi indesiderati.

5) CONF_GLOBAL NON SCRIVIBILE: Lanciare lo script di protezione

System >

Security Center

Make "conf_global.php" Un-writable

Run Tool Now

6) IP.Board PHP/CGI .htaccess Protection: Lanciare lo script di protezione

System >

Security Center

IP.Board PHP/CGI .htaccess Protection

Run Tool Now

Con queste misure e con il vostro hosting potrete rendere più sicuro il vostro sito web

[Flaviospeed]

Salve,

ho fatto tutto quello che è stato scritto nella preziosa guida ma dopo aver seguito il secondo punto, un admin non riesce più ad effettuare l'accesso nel PdC. Ho provato a rimettere il nome "admin" nella cartella, ma la cosa non cambia. Effettuato recache sito e browser, ma il problema persiste.

Io però non ho problemi ad accedere.

L'unica differenza tra me e lui è il grado di utente (admin io, vice-admin lui) ma la "mask" è la stessa.

[Askancy]

Salve,

ho fatto tutto quello che è stato scritto nella preziosa guida ma dopo aver seguito il secondo punto, un admin non riesce più ad effettuare l'accesso nel PdC. Ho provato a rimettere il nome "admin" nella cartella, ma la cosa non cambia. Effettuato recache sito e browser, ma il problema persiste.

Io però non ho problemi ad accedere.

L'unica differenza tra me e lui è il grado di utente (admin io, vice-admin lui) ma la "mask" è la stessa.

Cioè dopo aver rinominato la cartella Admin non riesce più ad'entrare?

Hai già modificato il file initdata.php?

if ( !defined( 'CP_DIRECTORY' ) )
{
define( 'CP_DIRECTORY', 'admin' );
}

a posto di Admin metti il nome che utilizzi tu

[najaru]

non riesci piu a entrare ma ti fa mettere i dati di login?

se e' cosi e' un problema di browser, provane un altro

[Flaviospeed]

@Askancy

Il file initdata.php è già stato modificato con la cartella corretta ma non riesce ad accedere.

@Najaru

Esatto, restituisce errore (come se il nick o la password fosse errata).

Ha provato con Safari, Chrome e Firefox. Il problema persiste.

[najaru]

prova con un altro admin a cambiarti la password

se non riesci lo devi fare dal database,

in ogni caso le operazioni di sicurezza non c entrano nulla con questo problema

[gianpiero]

per me è una banalità che non dipende, come dice najaru, dalle operazioni fatte

• controlla che nome nel forum e nome accesso (user) siano lo stesso, maiuscole e minuscole comprese
  
• cambiagli tu la password da ACP con una password senza caratteri speciali. Non spedirgli la notifica di cambio password
  
• prova a fare tu l'accesso con il suo account, dal tuo pc, con browser pulito
  

[najaru]

una curiosità: perchè Non spedirgli la notifica di cambio password ?

[gianpiero]

di fatto è indifferente, hai perfettamente ragione

Io di solito non lo faccio per non confondere l'utente che mi richiede, così ho il tempo di fare un eventuale test con calma facendo il log-in per suo conto, senza sovrappormi ad un eventuale suo login

Tecnicamente NON FA DIFFERENZA

[gianpiero]

aggiungo una cosa: a me non da molta sicurezza cambiare il nome della cartella admin per il seguente motivo:

dato che nel robots.txt c'è il Disallow: /forum/admin/ , analogamente devo mettere Disallow: /forum/nuova_admin/

Essendo il robots.txt un file di lettura in chiaro nel browser, praticamente perdo l'efficacia dell'occultamento

A questa soluzione di cambio nome ho sempre preferito impostare la cartella admin come protetta, tutti i pannelli di controllo dei server lo permettono anche se non si ha dimestichezza con gli htaccess.

Una password in più non è male. Inoltre genero sempre password random, con caratteri maiuscoli minuscoli underscore e cifre, parole senza alcun significato

[najaru]

gianpiero, se tu usi l'htpasswd è automaticamente disallow la cartella non hai bisogno di dichiarlo nel robots

[gianpiero]

in merito al robots.txt ai fini della protezione è ininfluente, mi sono espresso in modo ambiguo, serve solo per nasconderla ai motori se è accessibile

si d'accordo, adesso ho letto nuovamente la tua guida, scusa ma mi era sfuggito che anche tu hai messo "....creare una protezione .htpasswd andando in ...."

Io manco lo sapevo che la IPB avesse la possibilità di scrivere l'. htaccess da ACP

uso le dir protette non solo per IPB ma anche per i miei CMS, fin dai tempi di Carlo Magno

grazie, ora è più chiaro

[najaru]

perfect, l'importante è che tutti insieme controlliamo le varie procedure in modo da fare tutto al meglio

[per_Favore_ascoltatemi]

ottima guida.