Jump to content

Aumentare la sicurezza della board


najaru

Recommended Posts

Molti utenti non conoscono alcune possibilità che si hanno con IP.Board di aumentare la sicurezza e la protezione dei propri dati.

Ecco alcune funzioni o regole che vale la pena segnalarvi o ricordare:

1) ACCOUNT ADMIN: per ciascun elemento dello staff che deve accedere al pannello amministratore, fate utilizzare un account different e non fornite a tutti un unico utente per l'accesso. In questo modo potrete monitorare sempre chi-fa-cosa. Sempre in questo contesto è fondamentale usare password lunghe e complesse, potete inventarle o eventualmente crearle su questo sito http://www.generate-...om/?language=it (ma ce ne sono molti altri)

Ricordatevi di creare un account admin per li staff IPS se deve intervenire con l'assistenza.

Date accesso all'admin al minor numero di persone, e se non serve che accedano a tutte le aree disponibili allora settate dei vincoli di accesso in modo da consentire l'accesso solo a determinate aree.

2) RINOMINARE LA CARTELLA ADMIN: rinominare la cartella admin può essere utile, anche se complica un po le cose poi nella gestione delle applicazioni. Pottrete ad esempio chiamare la cartella admin=topolino, quindi l'accesso all'ACO diventerebbe www.tuosito.it/forum/topolino

In questo caso vi dovete ricordare di modificare il file che si trova in root initdata.php

trovare

define( 'CP_DIRECTORY', 'admin' );

e cambiarlo in

define( 'CP_DIRECTORY', 'topolino' );

Dovrete sempre ricordarvi poi, prima di caricare i file di qualsiasi hook o applicazione, di rinominare la cartella admin del pacchetto PRIMA di fare l'upload FTP

Anche in caso di upgrade della board dovrete sempre ricordarvi di rinominare la cartella admin del pacchetto e rimodificare il file initdata.php PRIMA di fare l'upload FTP

3) HTPASSWD: creare una protezione .htpasswd andando in:

System >

Security Center

IP.Board ACP .htaccess Protection

in questo modo prima di presentarvi il form di login del pannello ACP vi verrà chiesto di inserire ulteriori numi utenti e password

Se volete avere differenti accessi dovete settare il file manualmente, aiutandovi con questo sito: http://www.htaccesst...sswd-generator/

4) NON FATE SVARIONATE: non installate script strani o sconosciuti all'interno delle cartelle del forum, in questo modo potrete evitare attacchi indesiderati.

5) CONF_GLOBAL NON SCRIVIBILE: Lanciare lo script di protezione

System >

Security Center

Make "conf_global.php" Un-writable

Run Tool Now

6) IP.Board PHP/CGI .htaccess Protection: Lanciare lo script di protezione

System >

Security Center

IP.Board PHP/CGI .htaccess Protection

Run Tool Now

Con queste misure e con il vostro hosting potrete rendere più sicuro il vostro sito web

Link to post
Share on other sites
Flaviospeed

Salve,

ho fatto tutto quello che è stato scritto nella preziosa guida ma dopo aver seguito il secondo punto, un admin non riesce più ad effettuare l'accesso nel PdC. Ho provato a rimettere il nome "admin" nella cartella, ma la cosa non cambia. Effettuato recache sito e browser, ma il problema persiste.

Io però non ho problemi ad accedere.

L'unica differenza tra me e lui è il grado di utente (admin io, vice-admin lui) ma la "mask" è la stessa.

Link to post
Share on other sites
  • Admin

Salve,

ho fatto tutto quello che è stato scritto nella preziosa guida ma dopo aver seguito il secondo punto, un admin non riesce più ad effettuare l'accesso nel PdC. Ho provato a rimettere il nome "admin" nella cartella, ma la cosa non cambia. Effettuato recache sito e browser, ma il problema persiste.

Io però non ho problemi ad accedere.

L'unica differenza tra me e lui è il grado di utente (admin io, vice-admin lui) ma la "mask" è la stessa.

Cioè dopo aver rinominato la cartella Admin non riesce più ad'entrare?

Hai già modificato il file initdata.php?


if ( !defined( 'CP_DIRECTORY' ) )
{
define( 'CP_DIRECTORY', 'admin' );
}

a posto di Admin metti il nome che utilizzi tu

Link to post
Share on other sites
Flaviospeed

@Askancy

Il file initdata.php è già stato modificato con la cartella corretta ma non riesce ad accedere.

@Najaru

Esatto, restituisce errore (come se il nick o la password fosse errata).

Ha provato con Safari, Chrome e Firefox. Il problema persiste.

Link to post
Share on other sites

prova con un altro admin a cambiarti la password

se non riesci lo devi fare dal database,

in ogni caso le operazioni di sicurezza non c entrano nulla con questo problema

Link to post
Share on other sites
gianpiero

per me è una banalità che non dipende, come dice najaru, dalle operazioni fatte

  • controlla che nome nel forum e nome accesso (user) siano lo stesso, maiuscole e minuscole comprese
  • cambiagli tu la password da ACP con una password senza caratteri speciali. Non spedirgli la notifica di cambio password
  • prova a fare tu l'accesso con il suo account, dal tuo pc, con browser pulito

  • Like 1
Link to post
Share on other sites
gianpiero

di fatto è indifferente, hai perfettamente ragione

Io di solito non lo faccio per non confondere l'utente che mi richiede, così ho il tempo di fare un eventuale test con calma facendo il log-in per suo conto, senza sovrappormi ad un eventuale suo login

Tecnicamente NON FA DIFFERENZA

Link to post
Share on other sites
gianpiero

aggiungo una cosa: a me non da molta sicurezza cambiare il nome della cartella admin per il seguente motivo:

dato che nel robots.txt c'è il Disallow: /forum/admin/ , analogamente devo mettere Disallow: /forum/nuova_admin/

Essendo il robots.txt un file di lettura in chiaro nel browser, praticamente perdo l'efficacia dell'occultamento

A questa soluzione di cambio nome ho sempre preferito impostare la cartella admin come protetta, tutti i pannelli di controllo dei server lo permettono anche se non si ha dimestichezza con gli htaccess.

Una password in più non è male. Inoltre genero sempre password random, con caratteri maiuscoli minuscoli underscore e cifre, parole senza alcun significato

Link to post
Share on other sites
gianpiero

in merito al robots.txt ai fini della protezione è ininfluente, mi sono espresso in modo ambiguo, serve solo per nasconderla ai motori se è accessibile

si d'accordo, adesso ho letto nuovamente la tua guida, scusa ma mi era sfuggito che anche tu hai messo "....creare una protezione .htpasswd andando in ...."

Io manco lo sapevo che la IPB avesse la possibilità di scrivere l'. htaccess da ACP :rolleyes:

uso le dir protette non solo per IPB ma anche per i miei CMS, fin dai tempi di Carlo Magno

grazie, ora è più chiaro

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • Davide DB
      By Davide DB
      Ciao ragazzi,
       
      Ogni riferimento è puramente casuale.
       
      Se, dico, se volessi cambiare servizio di hosting, quali operazioni vanno fatte?
      Per cominciare:
       
      Ho:
      ip.content ip.board La cosa più difficile dell'installazione fu avere il content come root e far funzionare un minimo ma veramente un minimo le breadcrumbs e gli indirizzi delle pagine. Alla fine è venuto un mezzo accrocco.
       
      Ho i backup del database e della installazione sul server.
       
      Cosa si deve prevedere e quali sono i passaggi chiave?
       
      Se chiedo di spostare il dominio e compro un piano di hosting da un nuovo provider, dovrò aspettare che il dominio sia spostato e i dns aggiornati per poter lavorare alla migrazione? O posso copiare tutto solo avendo il nuovo indirizzo IP temporaneo?
       
      Se migro avendo solo l'IP temporaneo come posso provare se tutto è ok?
       
      Riuscite a chiarirmi le idee e nel contempo creiamo un tutorial o miniguida per passare la nostra installazione viva dall'hosting X all'hosting Y?
       
       
       
    • najaru
      By najaru
      Per inserire un nuovo Tab nel menù principale esistono sostanzialmente 3 metodi (nessuno dei 3 è veramente comodo o conveniente)
       
      METODO 1:
      Per chi ha IP.Content, esiste un settaggio specifico che permette di aggiungere tutti i tab personalizzati che si vogliono (a pagamento)
       
       
      METODO 2:
      utilizzare prodotti tipo PROMENU PLUS (a pagamento)
       
       
       
      METODO 3:
      si può fare gratuitamente tramite modifica manuale del template
      è sufficiente connettersi a:

      ACP > Look & Feel > Manage Skin Sets & Templates > Scegli la tua skin > Global Templates > globalTemplate


      trovare:
       
      </ul></div><script type='text/javascript'> if( $('primary_nav') ){ ipb.global.activateMainMenu(); }</script></div><!-- ::: MAIN CONTENT AREA ::: --><div id='content' class='clearfix'><!-- ::: NAVIGATION BREADCRUMBS ::: --><if test="count( $items['navigation'] )">e aggiungere PRIMA:
      <li id='nav_home' class='left'><a href='METTI QUI IL TUO LINK COMPLETO' title='METTI QUI IL NOME DEL LINK COMPLETO' rel="home">NOME LINK</a></li>
    • najaru
      By najaru
      Skin gratuita, semplice e compatta sviluppata sulla base della grafica usata da gmail.
      Per eventuali personalizzazioni colore contattare privatamente l'autore. (me stesso in sostanza)
    • najaru
      By najaru
      Come tutti sapete sono contrario all'utilizzo della traduzione in italiano nel lato admin, ma molti utenti potrebbero volerla assolutamente.
      Allora visto che Skillman92 ha fatto una grossa parte di lavoro, e che in questo periodo ho qualche minuto libero, cercherò di completarla e se posso di migliorarla.
       
      In ogni caso verrà rilasciata come pacchetto separato dalla traduzione italiana del lato pubblico
       
      ----------------------------------------
       
      Intanto vorrei segnalare che alcuni termini devono cambiare, e cercare di usare una traduzione non prettamente letteraria.
       
      Ad membri non mi piace (sembra di parlare di organi sessuali maschili)
      anche Registri non mi piace, meglio lasciare i Log.
      Alcune parole secondo me è proprio meglio non tradurle....
    • najaru
      By najaru
      Una traduzione di questo tutorial realizzato molto pazientemente da AndyF (tutte le immagini sono sempre realizzate da AndyF)

      1. solitamente scaricate un file della skin che è compresso .zip o .rar. Scompattatelo nel vostro PC locale :




      2. all'interno della cartella scompattata di solito ci sono almeno 2 file. -un file nomeskin.xml.gz che contiene i template e i dati della skin
      -un file images-nomeskin.xml.gz che contiene tutte le immagini della skin
      eventualmente potrebbe esserci:
      - remplacements-nomeskin.xml.gz
      - cartelle che contengono i file pds dei loghi icone ecc....
      - file per istruzioni verie di installazione







      4. Login nell' admin control panel. Look / Feel
      Cliccare Import New Skin Set nella colonna sinistra:




      5. Ci sono 3 sezioni nella pagina che compare. Iniziare sempre dall'alto in 'Import Skin Set'. cliccare su browse e selezionare dal proprio PC locale il pacchetto della skin nomeskin.xml.gz
      Il resto dei parametri deve essere vuoto , cliccare poi su 'Import Skin Set'




      6. Dovreste vedere qualcosa del genere:




      7. Stesso percorso del punto 4, ma scendere a metà pagina nella zona 'Import Image Set'. Browse e scegliere dal proprio PC locale images-nomeskin.xml.gz. selezionando anche nel campo 'Apply To Skin Set' la skin che è stata importata nei punti precedenti. In questo modo si importeranno le immagini e verranno assegnati a quella skin.

      Cliccare su 'Import Image Set'




      8. Dovreste avere:




      9. Ora cliccare su Look / Feel, poi 'Manage Skin Sets & Template'e avrete la lista di tutte le skin installate, tra cui quella appena importata, sulla destra della stessa riga si trova una piccola freccia che se cliccata fa comparire un menu, cliccare su 'Edit Settings':




      10. Tra i vari parametri della skin troverete i gruppi che possono visualizzarla 'Set Permissions'. Dovete assicurarvi che tutti i gruppi possano vedere la vostra skin ufficiale di base.




      11. Per renderla attiva come skin di base attivare 'Select All current and future groups' e 'Make this the default skin' ed impostare in 'Hide this skin from the dropdown list?' come NO.




      12. In fondo cliccate su salva:




      13. Potrete quindi vedere la vostra skin installata :


×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. to insert a cookie message.