Alors, cher ami, pour une raison quelconque, vous avez mis PhpBB sur votre site.
Peut-être parce que je n'ai pas lu le magazine] [, ou peut-être parce que vous aimez ce moteur. Cependant, les chances de ne pas être piraté sont minimes. Army Kiddis parcourt Internet à la recherche d'une autre victime. Comment allez-vous vous protéger du primitif
pirater le forum ? Je vais essayer de vous donner quelques idées. Vous pouvez également utiliser la plupart d'entre eux dans d'autres scripts.

Mettre à jour

C'est par défaut. Il est nécessaire de mettre à jour le forum. Et le fait que vous ayez 5/10/15 (soulignez le nécessaire) des mods n'est pas une excuse. Simplement dans ce cas, vous devez utiliser les "changements de code", soigneusement aménagés par les développeurs du forum sous la forme des mêmes mods. Je vous recommande également de vous inscrire à la newsletter sur les nouvelles versions du forum. Cependant, vous ne pouvez pas tout suivre, et même la paresse
arrive, non? Par conséquent, je vous propose plusieurs moyens passifs de protéger le forum.

Cacher la version

Récemment apparu dans PhpBB et est d'une grande aide contre les pirates de Google. Et si vous ne mettez toujours pas à jour le forum, je pense qu'il ne vous sera pas difficile de corriger les fichiers simple_footer.tpl et global_footer.tpl. Cependant, vous pouvez aller plus loin et écrire la phrase maléfique "Powered by PhpBB" en utilisant javascript

Il y a peu de perte si javascript est désactivé pour l'utilisateur, bien que vous ne devriez pas du tout supprimer la phrase pour des raisons purement morales. Ou vous pouvez vous en moquer en écrivant "PhpBB 2.0.6". Quand un hacker, malgré tout vous hackant, découvre la vraie version, il lâchera toute la base de données par colère 😉 Vous pouvez aussi écrire "Php BB"... Ce n'est pas tout à fait juste, mais ça marche !

Style personnalisé

Il décorera non seulement votre forum, mais augmentera également légèrement la protection contre les exploits arrachant des informations d'une page HTML. Et puis le style standard crée le sentiment que l'administrateur a marqué sur le forum ou sur lamo.

Préfixe de tableau

Pourquoi ne pas y mettre quelque chose de votre cru, par exemple "ExBB". Soit dit en passant, cela peut être fait après l'installation en éditant config.php et en renommant les tables.

Modification de la base de données

Un moyen fiable de se protéger contre les attaques SQL-injection-Union consiste à modifier la base de données. Ajoutez des champs vides supplémentaires aux tables, parcourez le code et les exploits primitifs (!) Parcourront la forêt en raison de la non-concordance du nombre de champs. Ou une autre manière : renommez le champ user_password en blahblahblah et corrigez les sources (vous pouvez facilement automatiser ce processus). Ça y est, maintenant, lorsque vous essayez d'obtenir le hachage du mot de passe administrateur, l'exploit se bloquera de surprise Et pas seulement l'exploit.

Cacher config.php

Cela vous facilitera la vie si le haxor obtient la possibilité de lire des fichiers sur le serveur grâce au bug d'inclusion. Bien entendu, dans ce cas, le contenu du fichier lui sera encore peu utile, à moins que vous ne mettiez simplement les mêmes passes sur tout.

Mot de passe normal

Ce n'est pas banal, mais le mot de passe doit être de la forme Sdh66rH904hG - c'est la seule façon de ne pas vous soucier de casser le hachage. Vous le stockerez dans Password Commander. Dites-moi, à quelle fréquence devez-vous le saisir ? Maintenant, si le hachage est toujours volé, cela aura moins de sens.

Couper la recherche

Et donc ça ne ferait pas de mal. Il fonctionne terriblement bogué, consomme une quantité incroyable d'espace dans la base de données et dégrade horriblement les performances. Et puis c'est la source des bugs, le même point culminant. Malheureusement, cela ne peut pas être fait avec des moyens standard, mais ce n'est pas en vain que vous lisez] [? Supprimez les fichiers qui y sont liés, supprimez les tableaux et nettoyez les matières premières et les thèmes. Le résultat est une productivité et une sécurité accrues. Si vous êtes trop paresseux pour le comprendre, alors je vais vous dire : éliminez les appels aux fonctions situées dans functions_search.php. Sauf le dernier, bien sûr. Et quelles tables pour le laisser tomber vous-même pensez .... Je n'ai eu aucun problème.

Faux panneau d'administration

Cachez le vrai panneau d'administration et, dans le faux, supprimez toutes les requêtes dans la base de données comme INSERT, UPDATE, etc. Mieux encore, au lieu de les exécuter, enregistrez-les dans un fichier, avec l'IP et d'autres données utiles. Pouvez-vous imaginer comment un hacker va ralentir lorsque les modifications qu'il apporte ne sont pas appliquées ? C'est un pot de miel, pas un forum !

Modification de l'algorithme de hachage

Généralement une astuce utile. Remplacez tous les appels de fonction liés au hachage par les vôtres, ce qui, après avoir appelé les appels standard, modifie légèrement le hachage. Par exemple ac45e53bc8dc478e-> ac45e53bc8da478e.
Un hacker ne soupçonnera guère une astuce... D'ailleurs, en regardant ces deux hashs, il ne remarquera pas tout de suite la différence...

Eh bien, cette union a été inventée, elle a apporté tellement de trous... Alors ouvrez l'include pour travailler avec la base de données et ajoutez le filtrage des requêtes avec UNION !

Conclusion

Plus vous renommez des fichiers, des tables et des champs, plus

• Haxor sera plus difficile
• Il vous sera plus difficile de mettre à jour le forum
• Plus d'erreurs que vous faites

Alors sachez quand vous arrêter et ne soyez pas malade de paranoïa. En tournant toutes ces astuces, vous allez effrayer/arrêter à la fois Kiddis et Haxor, à moins que ce dernier n'ait pour objectif précis de vous pirater. Bien que renommer les champs de la table offre une protection presque impénétrable contre l'injection SQL, car avant le haxor, considérez qu'il n'y aura pas de tris.

Eh bien, commençons par donner de petits conseils pour optimiser et promouvoir des sites (forums) sur phpBB. Dans ce cas, nous allons faire un petit hack qui va permettre de se débarrasser du lien externe du formulaire " Propulsé par phpBB©... ". Dans cette publication, nous examinerons 2 façons de le faire - une astuce pour phpBB 3.x.x.

Suppression du lien externe Propulsé par phpBB © 2000, 2002, 2005, 2007 phpBB Group et phpBB Russian Support

Première façon de supprimer les xref étiquetés Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group... Et donc, le moyen le plus simple est de désinstaller à l'aide du panneau d'administration. Nous allons dans le panneau d'administration, allons dans l'élément de menu "Styles", à gauche, nous voyons le panneau où se trouve le bloc du menu, nous nous intéressons au bloc "Composants de style" et à celui-ci "Modèles". Par standard, dans la fenêtre proposée, nous verrons les éléments suivants : prosilver et subsilver2, bien qu'il puisse y en avoir d'autres si vous les avez installés. En général, pas le point. Dans l'ensemble proposé, sélectionnez celui par défaut. Cliquez sur le bouton "Modifier" à côté du modèle. Ensuite, une fenêtre apparaît avec l'offre "Sélectionnez un fichier modèle". Ensuite, sélectionnez "Fichier modèle" - "overall_footer.html". Ci-dessous, l'éditeur HTML apparaît. On retrouve le code suivant : " Propulsé par phpBB 2000, 2002, 2005, 2007 Groupe phpBB"et supprimez-le simplement, bien que vous puissiez définir votre propre lien et légende."
(TRANSLATION_INFO) "(qui est ci-dessous, vous pouvez également le supprimer) - ce code est responsable de la localisation, par exemple, un lien externe intitulé" Russian phpBB support ".

Deuxième façon de supprimer le lien externe étiqueté Propulsé par phpBB © 2000, 2002, 2005, 2007 phpBB Group... Cette méthode est similaire, mais nous nous connectons au site en utilisant ftp pratacol. Accédez aux styles de chemin suivants / nom_modèle / modèle / global_footer.html. Et nous éditons le même code que nous avons édité ci-dessus. Si vous modifiez le code, n'oubliez pas de définir l'encodage UTF - ainsi "krakozyably" (carrés et autres caractères incompréhensibles) peut apparaître à la place des ancres.

Dans l'un des commentaires de mon article, on m'a demandé de vous expliquer comment supprimer le champ copyright des créateurs du moteur phpBB : "Créé sur la base de phpBB". Étant donné que ces informations peuvent être utiles à d'autres visiteurs, j'ai décidé d'écrire cet article à ce sujet.

Pourquoi supprimer ce champ ? Beaucoup d'entre vous peuvent exprimer leur indignation, disent-ils, la suppression de ce champ sera considérée comme une violation du droit d'auteur. Cependant, ce n'est pas tout à fait vrai - phpBB est un forum Web source gratuit. Par conséquent, toute modification que vous apportez suppose que vous possédez l'intégralité des droits d'auteur de votre produit particulier. Autrement dit, après avoir créé un forum sur ce moteur, il devient votre propriété intellectuelle. Les auteurs de phpBB ont écrit un mécanisme, un outil de création de forum, pas un produit fini. Dans ce cas, si vous supprimez l'avis de droit d'auteur dans le pied de page du forum, cela ne constituera pas une violation du droit d'auteur. En revanche, si vous quittez cette inscription, ce sera un signe de gratitude et de soutien de la part des développeurs, ce qui est vraiment bien !

Donc, si vous décidez toujours de vous débarrasser de cette inscription, la première étape consiste à savoir où le paramètre est responsable de l'affichage des informations sur le droit d'auteur. Pour ce faire, nous devons ouvrir n'importe quelle page du forum où le forum est visible dans l'un des navigateurs prenant en charge la fonction de visualisation du code de la page (Opera, Google Chrome, Firefox, etc.), et en faisant un clic droit sur l'inscription elle-même, sélectionnez dans l'option du menu déroulant Inspecter l'élément.

Après avoir ouvert l'inspecteur de code, nous pouvons voir que le bloc qui nous intéresse s'appelle " droits d'auteur". Dans celui-ci, vous devez apporter des modifications afin de modifier, masquer ou supprimer des informations.

La deuxième étape consiste à trouver le fichier qui contient le bloc "copyright". Comme nous ne connaissons pas le nom du fichier, la recherche manuelle prendra beaucoup de temps. Par conséquent, nous utiliserons une fonction pratique - la recherche par contenu, qui appartient à mon gestionnaire de fichiers préféré - Total Commander, puis TS (il existe d'autres moyens de rechercher par contenu, mais ils ne seront pas pris en compte dans cet article). Dans le gestionnaire de fichiers, ouvrez le dossier où est installé le forum sur le serveur local ou sur le serveur FTP de votre hébergeur. Pour faciliter la recherche, nous allons immédiatement ouvrir le dossier dans lequel sont stockés les fichiers du style par défaut. Ensuite, sélectionnez la recherche de fichiers dans le menu " Commandes"Ou cliquez simplement Alt + F7... Dans la fenêtre de recherche qui apparaît, nous ignorons le champ " Rechercher des fichiers», puisque le nom du fichier nous est inconnu. Dans le champ " Emplacement de recherche"Le chemin d'accès au dossier avec le moteur de forum installé doit être spécifié, par défaut le TS récupère le chemin automatiquement si la fenêtre de recherche a été appelée depuis la partie active où vous visualisez le contenu des dossiers. Ensuite, mettez une coche à côté du champ " Avec texte"Et entrez" copyright "dans la barre de recherche, après quoi nous appuyons hardiment sur le bouton" Pour commencer la recherche»Et attendez la sortie des résultats.


La recherche nous a donné plusieurs fichiers, en théorie il devrait y en avoir 5, qui mentionnent le nom du bloc de copyright. De tous les fichiers émis, nous voyons clairement que nous sommes intéressés par un fichier portant le nom " global_footer.html» Puisque le bloc est situé dans le pied de page, et le mot globalement suggère que ce fichier contient des paramètres globaux, c'est-à-dire pour l'ensemble du forum. Nous avons maintenant 2 options pour modifier le fichier dont nous avons besoin - via l'éditeur de modèle phpBB intégré ou en utilisant un éditeur tiers. Tout d'abord, nous examinerons l'option d'édition via l'interface native de phpBB.
Nous devons y aller " Centre d'administration"Et allez au" modes". Dans la section de gestion des styles, nous examinons quel style est défini par défaut, comme indiqué par un astérisque après le nom du style. Dans l'exemple, un seul est défini, le style de base est prosilve, mais vous pouvez en avoir plusieurs.

De plus, dans la section de gestion des composants de style, nous allons à la sous-section " Modèles"Et sélectionnez l'article" Changer»À côté de notre sujet actif.


Maintenant, nous devons sélectionner dans la liste déroulante le fichier qui nous intéresse sous le nom " global_footer.html»


Dans la zone d'édition apparue, nous allons tout en bas de la page et trouvons la ligne :