Wie kann ich mein MyBB absichern?
Es gibt verschiedene Mittel mit denen Sie Ihr Forum soweit wie möglich absichern können. Das bedeutet nicht, dass Ihr Forum in der Standardkonfiguration unsicher ist, aber Vorsicht ist besser als Nachsicht.MyBB auf dem aktuellen Stand halten
Setzen Sie immer die aktuelle Version der Forensoftware ein; Sicherheitsaktualisierungen werden nicht ohne Grund herausgegeben. Sie haben im Admin-CP die Möglichkeit nach einer neuen Version zu suchen und sich die letzten Ankündigungen anzusehen. Klicken Sie dazu im Admin-CP in der Navigation auf den Link „Versions-Check“.Je nach Serverkonfiguration kann es sein, dass Ihnen dieses Feature nicht zur Verfügung steht und Sie eine Fehlermeldung erhalten. Sie haben die Möglichkeit unseren Newsfeed und/oder unseren Newsletter zu abonnieren. Dadurch werden Sie bei der Veröffentlichung einer neuen Version des MyBB zeitnah informiert.
„admin“-Ordner umbenennen und/oder zusätzlich schützen
Standardmäßig wird das Admin-CP durch Benutzername und Kennwort hinreichend geschützt. Sie können aber auch die Anzeige des Login-Formulars für andere Benutzer unterbinden. Dazu gibt es mehrere Möglichkeiten:- Sie können den Ordner „admin“ beliebig umbenennen. Damit wird es potenziellen Angreifern stark erschwert, den Zugang zu erreichen. Sie müsen den Namen des Ordners zusätzlich in der Datei inc/config.php in der folgenden Zeile ändern, damit die Links im Forum korrekt sind:
Bitte beachten Sie bei dieser Methode, dass bei einem Update die Dateien in den umbenannten Ordner hochgeladen werden müssen.$config['admin_dir'] = 'admin';
- Sie können den Zugang zum Ordner „admin“ per .htaccess-Datei schützen. Wählen Sie ein anderes Passwort und einen anderen Benutzernamen als im Forum. Am besten geeignet sind Passwörter aus zufällig aneinandergereihten Zahlen und Buchstaben. Viele Hoster bieten die Möglichkeit des Verzeichnisschutzes in Ihrem Kundenbereich an. Zudem finden Sie auch .htaccess-Generatoren im Internet.
- Sie können den Zugang zum Ordner „admin“ mit einer Pin zusätzlich schützen. Diese Pin ist für alle Administrationen gleich und wird bei jedem Anmelden im Admin-Bereich zusätzlich zu den Login-Daten abgefragt. Fügen Sie dazu in der Datei „inc/config.php“ bei „$config['secret_pin']“ ein sicheres Passwort hinzu:
$config['secret_pin'] = 'RANDOM-VALUE-HERE';
- Jeder Administrator kann die Zwei-Faktor-Authentisierung aktivieren. Dabei wird beim Anmelden zusätzlich ein Code abgefragt, der mit einer App (z.B. Google Authenticator) auf dem Smartphone generiert wird.
Transportverschlüsselung (HTTPS) aktivieren
Um die Verbindung zwischen Besucher und Server zu abzusichern, sollten Sie HTTPS verwenden. Dies können Sie meist in der Verwaltungsoberfläche Ihres Hosters aktivieren, ersetzen Sie anschließenden unter Admin-CP -> Konfiguration -> Foreneinstellungen -> Seiten-Details -> Foren-URL „http://“ durch „https://“. Weiterführende Informationen finden Sie in der englischsprachigen Dokumentation.Ausgabe der Versionsnummer deaktivieren
Die Anzeige der Versionsnummer im Copyright im Footer ist standardmäßig bereits deaktiviert. Sollten Sie diese eingeschaltet haben ist es ratsam, dieses wieder rückgängig zu machen. Potenzielle Angreifer sehen sofort um welche Version des MyBB es sich handelt und könnten zudem über eine Suchmaschine gezielt danach suchen.Die Einstellung finden Sie im Admin-CP -> Konfiguration -> Einstellungen -> Allgemeine Konfiguration -> Zeige Versionsnummer.
Regelmäßige Backups durchführen
Sichern Sie regelmäßig Ihre Datenbank und die Dateien auf dem Server. Sollte es einmal Probleme mit dem Forum geben, haben Sie so die Möglichkeit es wiederherzustellen. Die Datenbank können Sie im Admin-CP sichern oder über ein Tool Ihrer Wahl.Tabellenpräfix ändern
Das Standardpräfix für Datenbanktabellen lautet „mybb_“. Potenzielle Angreifer verwenden in der Regel das Standardpräfix für die Einschleusung von Datenbankabfragen (SQL-Injektion). Ein abweichender Präfix erhöht deshalb auch die Sicherheit. Geben Sie bei der Installation einfach ein anderes Präfix an.Sollte Ihr Forum bereits in Betrieb sein, können Sie das Präfix auch nachträglich ändern. Zunächst müssen Sie das Präfix in der Datei inc/config.php in folgender Zeile ändern:
$config['database']['table_prefix'] = 'mybb_';
Danach müssen Sie die Tabellen in der Datenbank umbenennen. Dazu ist es erforderlich, dass Sie für jede Tabelle in der Datenbank eine Datenbankabfrage (SQL-Query) ausführen. Die Syntax lautet wie folgt:
RENAME TABLE mybb_tabellenname TO neuerpräfix_tabellenname;
Für die Tabelle mybb_posts und das neue Präfix „meinforum_“ sähe die Abfrage so aus:
RENAME TABLE mybb_posts TO meinforum_posts;
Sicheres Passwort benutzen
Verwenden Sie (gerade als Administrator) ein sicheres Passwort. Dieses sollte sich nicht mit Ihnen in Verbindung bringen lassen (z.b. Geburtsdatum, Name des Haustiers, usw.) und bestenfalls aus zufälligen Zeichen und Ziffern bestehen.Eine einfache Eselsbrücke für ein Passwort wäre beispielsweise ein Merksatz, aus dem Sie die Anfangsbuchstaben und Ziffern verwenden. Aus dem Satz "Ich habe gestern ganze 17 Minuten verschlafen und war deshalb 8 Minuten zu spät" ergäbe sich beispielsweise dieses Passwort: Ihgg17Mvuwd8Mzs.
Natürlich ist es auch für andere Zugänge wichtig (FTP, E-Mail, usw.) ein sicheres Passwort zu benutzen.