MyBB.de Forum

Normale Version: Absicherung des ACP
Du siehst gerade eine vereinfachte Darstellung unserer Inhalte. Normale Ansicht mit richtiger Formatierung.
Nachdem vermutlich die Tipps & Tricks aus unserem Adventskalender aus dem Jahr 2012 kaum noch gelesen werden, sie aber an Aktualität nichts verloren haben, wollen wir entsprechende Inhalte hier im Forum anpinnen und noch einmal zur Verfügung stellen:

Absicherung des ACPs
Link zum entsprechenden Blog-Eintrag


Ein Thema, das nicht an Bedeutung verliert und extrem wichtig ist, es auch hier noch einmal zu erwähnen.

Es zeigt sich immer wieder, dass viele Forum ihr Admin-Verzeichnis weiterhin unter dem Verzeichnis "admin/" führen, so wie es einmal von der MyBB-Installation erstellt wurde. Trotz eines sicheren Passwortes ist es für einen möglichen Angreifer u.U. ein Kinderspiel, dieses mit entsprechenden Mitteln heraus zu finden.

Wir möchten hier ein paar einfache und schnell durchzuführende Schritte vorstellen, die das ACP eines Forums recht gut schützen:

Wie schon beschrieben, wird während der Installation eines MyBB-Forums das admin-Verzeichnis automatisch erstellt.
Man kann das aber im Nachhinein durch 2 Schritte ändern.
  • Umbenennen des admin-Verzeichnisses über den FTP-Zugang oder ggf. über die SSH-Konsole 
  • Anpassung der inc/config.php

Umbenennen des admin-Verzeichnisses über den FTP-Zugang oder ggf. über die SSH-Konsole

Dazu ist eigentlich nicht mehr zu sagen, als den Hinweis zu geben, dass der Verzeichnisname nicht zu einfach gewählt werden sollte. Sonderzeichen würde ich allerdings nicht verwenden.

Anpassung der inc/config.php

In der Datei inc/config.php findet sich folgende Zeile
PHP-Code:
$config['admin_dir'] = 'admin'
Hier ist nun statt admin der neue Verzeichnisname einzutragen.

Damit haben wir schon mal eine gute Hürde geschaffen und es einem möglichen Angreifer nicht mehr ganz so einfach gemacht, Zugriff auf unser ACP zu bekommen.
Mit viel Geduld und der möglicherweise kriminellen Energie kann aber auch u.U. dieses Verzeichnis heraus gefunden werden.

Deshalb bietet es sich an, das neue admin-Verzeichnis auch noch per .htaccess vor Zugriff zu schützen. Hierzu ist es notwendig, einen Benutzernamen und ein Passwort zu erzeugen, mit deren Hilfe man Zugang zu dem Verzeichnis und dem ACP erhält.

Übrigens sei hier nebenbei erwähnt, dass es sich nicht unbedingt anbietet, als Benutzernamen "admin", "Administrator" oder dem Benutzernamen aus dem Forum zu verwenden.
Wer einen Root- oder V-Server betreibt und nicht weiß, wie eine .htaccess Datei zum Schutz eines Verzeichnisses erstellt wird, kann sich bei SELFHTML schlau machen. Dort ist das Thema ganz gut beschrieben.

Wer einen Webspace angemietet hat (kostenlos oder bezahlt), sollte in den meisten Fällen in der Verwaltungsoberfläche des Hosters/Providers die Möglichkeit haben, einen Verzeichnisschutz (mit Benutzername und Passwort) zu erstellen.

Wir hoffen hier gezeigt zu haben, wie einfach es ist, recht schnell Schutz vor unerlaubtem Zugriff zu erlangen und wie immer....

...für Rückfragen stehen wir natürlich im Forum jederzeit gerne zur Verfügung.