Foro de Ayuda IntercambiosvirtualeS - *.* Seguridad extra para vBulletin. [Concurso 2011]

http://i.imgur.com/YcL7a.png

Este tutorial, esta basado en agregar seguridad básica a nuestro vBulletin, para evitar ataques cibernéticos, evitar acceso a terceras personas a cierto información.

Bueno comencemos cambiando algunas configuraciones

Como ya muchos saben (los que conocemos vBulletin) que existen 2 carpetas administrativas (admincp y modcp) ambas carpetas tienen su función, "admincp" es la carpeta referente a la administración general del foro (Administradores); y "modcp" es la carpeta para la moderación y control externo del foro (Super moderadores y Moderadores).

¿Que gano o que ventaja me da cambiar el nombre de las carpetas administrativas?
Muy fácil, existen cientos de bot's o script que atacan estas carpetas y el algunos casos directamente a los archivos dentro de ella, tratando de corromperlas o dañarlas, con eso evitamos esos ataques directos.

Lo que haremos sera ir a la carpeta "includes" y editar el archivo "config.php"

En dicho archivo buscaremos lo siguiente;

Código PHP:


		
			
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******

    //    This setting allows you to change the name of the folders that the admin and

    //    moderator control panels reside in. You may wish to do this for security purposes.

    //    Please note that if you change the name of the directory here, you will still need

    //    to manually change the name of the directory on the server.

$config['Misc']['admincpdir'] = 'admincp';

$config['Misc']['modcpdir'] = 'modcp';

Cita:

Este codigo hace referencia a las carpetas administrativas, de nuestro foro.

https://lh4.googleusercontent.com/-T...IZ3-eARw/1.png

Aca editaremos las variables "admincp" y "modcp"

Cita:

Nota; al cambiar las variable deben cambiar el nombre de las carpetas también.

En mi caso, agregare palabras a las carpetas y quedaría así;

Código PHP:


		
			
    //    ****** PATH TO ADMIN & MODERATOR CONTROL PANELS ******

    //    This setting allows you to change the name of the folders that the admin and

    //    moderator control panels reside in. You may wish to do this for security purposes.

    //    Please note that if you change the name of the directory here, you will still need

    //    to manually change the name of the directory on the server.

$config['Misc']['admincpdir'] = 'localhost-admincp';

$config['Misc']['modcpdir'] = 'localhost-modcp';

Como se ve claramente, en el código anterior.

Cita:

Nota; recuerden cambiar el nombre de las carpetas "debe ser exactamente igual al nombre puesto en el config.php

https://lh5.googleusercontent.com/-z...ev74x124/2.png

Con ese pequeño cambio evitamos que ataquen directamente nuestras carpetas administrativas.

¿Es algo interesante esto no?:risa:
(http://www.intercambiosos.org/admincp/)
(http://www.intercambiosos.org/modcp/)

Continuemos :). En este caso agregaremos mas seguridad a nuestras carpetas administrativas. Ahora agregaremos una nueva barrera de seguridad, mediante un archivo .htaccess con el cual modificaremos el acceso a las carpetas administrativas, agregándole un usuario y una clave nueva (encriptada) de tal manera, que no solo deben ******* la defensa de vBulletin si no también descifrar nuestros datos.

¿Que es .htaccess?
Un fichero .htaccess (hypertext access), también conocido como archivo de configuración distribuida, es un fichero especial, popularizado por el Servidor HTTP Apache que nos permite definir diferentes directivas de configuración para cada directorio (con sus respectivos sub-directorios) sin necesidad de editar el archivo de configuración principal de Apache, mas info. http://es.wikipedia.org/wiki/Htaccess

Creando nuestro archivo .htaccess
Simplemente vamos a crear un archivo .htaccess (que se puede hacer con cualquier editor de texto) y lo subiremos a el directorio que vamos a proteger. En mi caso: localhost-modcp con el siguiente contenido:

Código HTML:

AuthType Basic

AuthName "NOMBRE QUE QUIERAS"

require valid-user

AuthUserFile "/home/localhost/public_html/carpetasecreta42/.htaSf5cHJ9D"



<Limit GET>

order allow,deny

allow from all

</Limit>

Veamos la siguiente linea;

Código HTML:

/home/localhost/public_html/carpetasecreta42/.htaSf5cHJ9D

Esta linea nos indica la dirección exacta donde se encuentra nuestro archivo con los usuarios y las claves de acceso a esos directorios.

Cita:

Nota; Dejen siempre el archivo .htpasswd fuera del alcance público, en caso de que eso no sea posible, cambíenle el nombre por algo del estilo .htaSf5cHJ9D. No evitarás que puedan descubrir tus usuarios y contraseñas, pero le pones el camino bastante más difícil.

Si no saben cual es la direcciónn exacta de sus servidor, creen un archivo PHP con el siguiente código;

Código PHP:


		
			
<?php     die($_SERVER["DOCUMENT_ROOT"]); ?>

Guarden con el nombre que quiera y subanlo a su servidor, en mi caso; seria algo así, http://localhost/1.php y debería darles algo as?;

https://lh3.googleusercontent.com/-J...ATO-iCsk/3.png

Como se dan cuenta nos da la dirección hasta la raíz del servidor (public_html) ustedes deben agregar la dirección exacta donde se encuentre su archivo con clave.

Con esto ya creamos nuestro archivo .htaccess ahora falta crear el archivo con los usuarios que tendrás acceso, es el mismo proceso lo podemos crear con cualquier editor de texto. Mi archivo como se dieron cuenta se llama, .htaSf5cHJ9D para generar usuarios con contraseñas encriptadas podemos hacerlo desde aca, .htpasswd Content Generator

Luego de entrar a el generador de claves, te saldrá lo siguiente

https://lh3.googleusercontent.com/-X...-9pQLOf0/4.png

Colocas tu Username (obviamente) seguido de tu clave a encriptar y clic en "Encryp" luego te saldrá lo siguiente.

https://lh5.googleusercontent.com/-y...-brzDV4s/5.png

Esto nos indica que todo esta realizado, ahora deben copiar su usuario y contraseña encriptada, a mi me dio el siguiente resultado.

Código:

Daniel Mu?oz:xkMomJSs4qITQ

Luego de copiar mis datos, voy a mi archivo .htaSf5cHJ9D e introduzco mi Username de acceso.

https://lh4.googleusercontent.com/-Y...fIvjhT9I/6.png

Cita:

Nota; puedes agregar tantos usuarios como quieras, solo que debe ser 1 debajo del otro.

Guardo los cambios y lo subo a mi servidor (donde colocaste tu archivo de contraseñas)

Intento entrar a la carpeta protegida, en mi caso; http://localhost/localhost-modcp/

https://lh4.googleusercontent.com/-2...v6lgMWr8/7.png

Cita:

Nota: Si falla es porque colocaste mal la dirección correcta de tu "AuthUserFile" y por eso falla

Si lo desean proteger un poco mas, agregando un archivo .htaccess que protega su archivo encriptado, con el siguiente código

Código HTML:

<Files .htaSf5cHJ9D>

order deny,allow

deny from all

</Files>  



<Limit GET>

order allow,deny

allow from all

</Limit>

Cita:

El archivo .htaccess deber ir junto con su archivo encriptado

Añadiendo seguridad al archivo config.php

Para concluir y aun mas importante añadiremos un poco de seguridad a nuestro archivo config.php mediante un archivo .htaccess, para eso vamos a la carpeta "includes" y añadimos el archivo .htaccess con el siguiente código.

Código HTML:

<Files config.php>

order deny,allow

deny from all

</Files>  



 <Limit GET>

order allow,deny

allow from all

</Limit>

Con eso reforzamos bastante la seguridad de nuestro foro, el resto queda en sus manos, en mantener una contraseña alfanumérica (recomendada) mantener sus computadoras limpias con un buen antivirus, y cambiar constantemente sus claves :)

Ademas, yo recomiendo mantener actualizado el vBulletin a la ultima versión disponible :)