Beiträge: 305
Themen: 85
Registriert seit: 15.01.2009
MyBB-Version: 1.4.4
Hallo,
bin nicht so begeistert von dem Zutritt zum ACP, man kann es so oft probieren wie man will. Es wird nichteinmal die IP vorübergehend gesperrt.
Ist es irgendwie möglich den ACP mit .htaccess zu schützen? Und wenn ja wie müsste ich an welcher die beiden Dateien einfügen?
Gruß,
aTCWiki
Beiträge: 414
Themen: 19
Registriert seit: 18.06.2006
MyBB-Version: 1.8.6
Grüsse aus Hamburg
Bernd alias BeeJayZZR
MyBB Version.: 1.8.10
PHP Version...: 5.6.25-nmm1
MySQL Version: MySQL 5.6.33
![[Bild: signature_red_en_us.php]](https://camo.mybb.de/7bc171c46b6939500eee675cbc52d92aba24e18a/687474703a2f2f7a7a722d666f72756d2e64652f7369676e61747572655f7265645f656e5f75732e706870)
Beiträge: 1.443
Themen: 95
Registriert seit: 15.12.2005
MyBB-Version: 1.6.x
Hallo,
öhm, steht doch in der Doku, wie man MyBB sicher(er) macht:
https://www.mybb.de/doku/haeufig-gestell...chern.html
Müsstest du doch schon gelesen haben, oder?
Und zum Thema .htaccess-Schutz, steht eigentlich alles hier:
http://de.selfhtml.org/servercgi/server/...hnisschutz
gruß querschlaeger
Beiträge: 2.318
Themen: 13
Registriert seit: 09.11.2008
Am wichtigsten ist ein gutes Passwort (möglichst lang und zufällig). Alle anderen Maßnahmen sind zweitrangig (admin-Ordner umbenennen - kann man machen, kostet nix, bringt wenn das Passwort bekannt ist aber auch nix), oder schlimmstenfalls nervig (die von dir vorgeschlagene HTTP Auth - bringt nur was wenn MyBB eine Sicherheitslücke hat mit der man den Login komplett umgehen kann).
Brute force übers Internet kann man vergessen - mit viel Glück schafft man 100 Requests pro Sekunde, ein sicheres Passwort auf dem Weg zu erraten dauert einige Jahre, und der Angriff fällt durch die vielen Requests und die dadurch entstehende Serverlast schnell auf. Um mit sowas Erfolg zu haben muss das Passwort schon extrem banal gewesen sein (z.B. im Wörterbuch stehen).
Wenn man den Brute force lokal machen kann - etwa weil die Software den saublöden Fehler macht, ungesalzene Hashes des Passworts rauszugeben - sieht es schon anders aus, die einzige Begrenzung ist dann Rechenleistung, und Rechenleistung ist spottbillig - selbst mit einem normalen Desktop-PC bist dann schon mit einer Million Kombinationen pro Sekunde dabei, und man kann das beliebig skalieren... wenn das Passwort nicht übermäßig lange war ist es nach ein paar Tagen geknackt, im Gegensatz zu zig Jahren die man versuchen müsste sich online übers ACP einzuloggen.
Mein Forum hat ein sicheres Passwort für die Datenbank (maximal mögliche Länge, zufällig generiert) und die Admins sind ebenso angewiesen, sichere Passwörter zu haben. Den Admin-Ordner habe ich auch umbenannt, das ist aber weniger eine Sicherheitsmaßnahme, sondern mehr um zu verhindern, daß irgendein Spinner es trotzdem mit Bruteforce versucht und dadurch den Server unnötig belastet.
Beiträge: 305
Themen: 85
Registriert seit: 15.01.2009
MyBB-Version: 1.4.4
Vielen Dank,
aber wenn ich das Passwort der Datenbank ändere...
...bei der Installation von MyBB musste ich es angeben, wo ändere ich es damit mein Forum nicht plötzlich von der eigenen Datenbank ausgesperrt wird?
Beiträge: 2.318
Themen: 13
Registriert seit: 09.11.2008
11.04.2009, 12:28
(Dieser Beitrag wurde zuletzt bearbeitet: 11.04.2009, 12:28 von frostschutz.)
inc/config.php
ACP mit .htaccess schützen?
