[falcao1010]

Ich habe bzgl. SSL beim Hoster angefragt, die Antwort steht noch aus.

Noch eine andere Frage: Hauptgefahr ist ja offenbar, dass jemand in den Adminbereich gelangt. Nun logge ich nicht täglich in den Adminbereich ein, daher meine Frage: Wäre es aus Sicherheitsaspekten hilfreich, den kpl. Admin-Ordner oder Teile davon (z.B. die index.php ?) vom Server zu nehmen und nur jeweils per ftp hochzuladen, wenn man tatsächlich im Adminbereich arbeiten muss? Oder würde dies zu Problemen führen?

[MrBrechreiz]

Paranoia läßt Grüßen ^^

Du kannst dem ACP Zugang auch noch die zweite Zugangasabfrage (Zwei-Faktor-Authentifizierung) aktivieren. (ACP->Startseite->Einstellungen->Zwei-Faktor-Authentifizierung)

Wenn noch mehr Paranoia vorhanden sein sollte, kannst Du auch die PIN Abfrage aktivieren.
(inc/config.php -> Zeile 107

PHP-Code:

$config['secret_pin'] = ''; 


[falcao1010]

Ok, meine Frage beantwortet das aber nicht...

[MrBrechreiz]

Doch das tut es. Zwei Möglichkeiten die Du nehmen kannst, OHNE irgendwelche Dateien jedesmal vom Server zu löschen und wieder hochzuladen. Löschst man die index.php ist dein admin Ordner noch schlimer dran als zuvor.

[[ExiTuS]]

Die Antwort auf deine Frage lautet: Ja, kannst du.
Es wäre auch nützlich den Ordner ./admin umzubenennen, um niemandem überhaupt erst die Einsicht zu verschaffen, dass sich dort etwas befindet. Das wäre jedoch nur "Security through Obscurity"

Dateien löschen und wieder hochladen wäre natürlich auch möglich und machbar. Es würde aber auch hier ausreichen, einfach bestimmte Dateien umzubenennen, wie z.B. die index.php.
Wenn man die index.*-Seiten entfernt, sollte man allerdings sicherstellen, dass kein Directory Listing des Webservers stattfindet und der Ordnerinhalt angezeigt wird.

[ExiTuS]

[MatthiasK]

Hallo,
Also erstens mal wen man 100% sicher sein will darf man nicht ins Internet aber naja...

Dein Forum absichern:
erstmals gibt es dazu ein Tutorial hier im Forum https://www.mybb.de/forum/thread-32276.html
Wenn ich wieder zeit habe werde ich meine video tuts dazu auch mal fertig machen und hier posten
Ja werbung.

Ansonsten solltest du wen du sicher sein will kein ftp nutzen sonder sftp
warum siehst du hier:
https://www.youtube.com/watch?v=K24mw5kL8Nw

Klar wäre es auch möglich das man das Passwort besser hasht ich war mal am überlegen das Passwort noch mit diversen Ausschnitten aus einem timestamp zu versehen.

Nur ist halt immer die frage lohnt sich der zusätzliche Schutz zu Relation der Arbeit.
z.B
Mann könnte auch eine eigene Verschlüsselns Methode entwickeln um die Beiträge und userdaten von mybb zu schützen nur ist das so ein beispiel ob sich das wirklich lohnt zu dem was in einem Mybb Forum gepostet wird.

Zumal ich nun schon einige Foren Softwares getestet habe und auch schon einige berufliche Webentwickler gefragt habe, die meinen auch das MyBB eine der sicheren Foren Boards ist.
Wie gesagt aber da gehen denke ich Meinungen auch auseinander.

Einen 100% schutz gibt es einfach nicht im Internet.
Nicht umsonst hat die Börse und andere Großfirmen eine IT Abteilung die jedes Programm unter die Lupe nimmt und prüft und so weiter und so fort.

Das einzige was ich mir bei MyBB wünsche sind verschlüsselte Privatnachrichten aber da wies ich nicht ob das mittlerweile nicht sogar schon eingefügt wurde...

Mit freundlichen Grüßen:

Matthias K
Ich hoffe man versteht meinen Beitrag einigermaßen

[Farin]

Ich finde nichts geht über https://www.mybb.de/doku/haeufig-gestell...absichern/ und https://www.mybb.de/forum/thread-32276.html

Wer das überwunden hat, hat wahrscheinlich schon Serverzugriff und dann ist eh alles andere sinnlos.

[StefanT]

Noch eine andere Frage: Hauptgefahr ist ja offenbar, dass jemand in den Adminbereich gelangt.

Dafür benötigt der Angreifer aber schon einmal deine Login-Daten inklusive Passwort. Selbst wenn du den Admin-Bereich wie Fort Knox sicherst, kann er immer noch alle Themen löschen.

Regelmäßige Backups halte ich für viel wichtiger. Die helfen nicht nur bei der Wiederherstellung des Forums nach einem etwaigen Angriff sondern auch, wenn aus Versehen Benutzer, Themen oder Beiträge gelöscht werden.

[falcao1010]

Danke für Eure Beiträge, ich bleibe da am Ball. Also die Zwei-Faktor-Authentifizierung habe ich schonmal aktiviert und sie funktioniert nach anfänglichen Schwierigkeiten auch gut.

[Farin]

Das Admin-CP könntest du auch noch mit gezwungenen https aufrufen. Wird auch ohne Zertifikat verschlüsselt.