Не так давно мне поломали один форум, не сказать, чтобы сильно, просто поменяли пароль у администратора и подпись форума типа, что делать если хочу вернуть контроль над форумом, хорошо хоть не грохнули. Форум этот был скорее для души и чисто для своих, коммерческой ценности не имел, тем не менее, я решил написать здесь некие базовые принципы, так сказать узелок на память.
Супер-пользователь должен иметь id отличный от 1, поможет только от лоха.
В подписях, мета информации и комментариях форума не должно быть правдивой информации о версии программного обеспечения используемого движка. Поможет не всегда, некоторые эксплоиты подходят к нескольким версиям движка форума, а какой конкретно движок видно и так.
Желательно следить за баг-треками движка и вовремя исправлять найденные ошибки
Если администратор у форума один, желательно написать некую оболочку для админки в которую бы пускало только с ip админа - здесь есть ряд ограничений.
Идеальное решение собственный движок форума, но это слишком накладное решение.
Периодический бекап базы и файлов форума – ну это общее решение для любого сайта, про нормальные пароли и т.п. даже писать не буду.
Добавлено: 23 мая 08
Для любых сайтов в форме логина в админку нужно делать защиту от перебора паролей, чтобы злоумышленник не мог сделать, например, более 5 попыток логина, если кол-во попыток исчерпано запрещать вход с ip адреса злоумышленника на час. И в админку или на емейл слать предупреждающее письмо. При этом не стоит забывать про существование прокси серверов, часть из которых отдают что-нибудь вроде HTTP_X_FORWARDED_FOR. Дабы оградить администраторов заходящих из домовых сетей за прокси или NATом после 3-ей попытки нужно выводить CAPTHA. При неправильно введенной или пустой CAPTHA анализ логина и пароля не производить и счетчик ошибок не увеличивать.
p.s. По мере появления идей буду дополнять список, если у кого есть какие идеи велком в комменты.
p.p.s. Думаю очевидно, что после восстановления работы форума, нужно выяснить как его сломали, закрыть дырку и поменять пароли.
Подписаться на:
Комментарии к сообщению (Atom)
2 комментария:
что за форум был? phpbb?
Да так ли важно какой движек был?
Советы которые я постарался систематизировать напрямую к движку не относятся... Кстати, список далеко не полный, его можно и нужно дополнять.
Отправить комментарий