Một vài biện pháp bảo mật thêm cho diễn đàn

xuanmao87 · #1 (**permalink**) 27-01-2010, 02:19 PM

Tôi đưa ra một giả thiết rằng tài khoản Admin trên forum bạn bị ai đó chiếm lấy bất hợp pháp (thông qua đoán pass, cài troyzan, ăn cấp password cookie...).

Vấn đề đặt ra ở đây là sẽ phải có một pass thứ 2 để ngăn chặn bước chân của kẻ muốn tấn công forum bạn lại chứ
Thông thường thì một số bạn dùng htaccess tôi sẽ cung cấp cho các bạn thêm một cách làm nữa:

Cách thiết lập:

Bạn edit file global.php từ thư mục admincp của diễn đàn (không phải global.php nằm bên ngoài index)

-Bạn tìm

Mã:

<?php

-Thêm vào sau đó

Mã:

//Khai bao dang nhap
$config['dn2_dnp'] = 'usename';
$config['mk2_dnp'] = 'password';

if ($_SERVER['PHP_AUTH_USER'] != $config['dn2_dnp'] || $_SERVER['PHP_AUTH_PW'] != $config['mk2_dnp']){
header('WWW-Authenticate: Basic realm="Xin vui long khai bao thong tin yeu cau truoc khi duoc chuyen den bang dang nhap"');
header('HTTP/1.0 401 Unauthorized');


//Trang sẽ hiển thị khi thông tin khai báo sai bét. Hỗ trợ HTML nên bạn có thể thiết kế một trang đẹp hơn
echo '<center>Đi chổ khác chơi đi chú em. Nhấn nút biến!</center>';
exit;
}

-Save lại với mã là UTF-8

Bạn làm thêm một cái nữa ở modcp để bảo mật cho staff của mình luôn.

xuanmao87 · #2 (**permalink**) 30-01-2010, 03:29 PM

Thay đổi tên folder admincp / modcp
Bài viết này cũng chỉ là 1 phần nhỏ giúp các bạn thôi.Hi
Tránh bị hack vào folder admincp / modcp, đổi tên folder admincp / modcp
B1: Vào folder include/config.php tìm đoạn:

Trích:

$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp';

thay vào tên gì bạn muốn
B2: Đổi tên 2 folder admincp / modcp trong root giống như tên khi nãy bạn đã đổi

xuanmao87 · #3 (**permalink**) 30-01-2010, 03:41 PM

Đổi tên file config:
Cài đặt:
Bước 1: Mở includes/class_core.php :
Tìm:

Trích:

include(CWD . '/includes/config.php');

if (sizeof($config) == 0)
{
if (file_exists(CWD. '/includes/config.php'))
{
// config.php exists, but does not define $config
die(' Configuration: includes/config.php exists, but is not in the 3.6+ format. Please convert your config file via the new config.php.new.');
}
else
{
die(' Configuration: includes/config.php does not exist. Please fill out the data in config.php.new and rename it to config.php');
}
}

Thay thế bằng:

Trích:

include(CWD . 'XXXXX');

if (sizeof($config) == 0)
{
if (file_exists(CWD. 'XXXXX'))
{
// config.php exists, but does not define $config
die(' Configuration: includes/config.php exists, but is not in the 3.6+ format. Please convert your config file via the new config.php.new.');
}
else
{
die(' Configuration: includes/config.php does not exist. Please fill out the data in config.php.new and rename it to config.php');
}
}

Ngay phần XXXXX đường dẫn đến file config mới
VD: admincp/mynewconfig.php or includes/configuration.php

**huyan0702** · #4 (**permalink**) 30-01-2010, 05:20 PM

Mấy cách này đều hay cả, nhưng nếu bị local thì mình nghĩ cái này ko ăn thua, chủ yếu là chmod mình thế nào và trình tên cao thủ đó đến đâu thôi. Bị local thì ức chế lắm.. Hix!

hanhclubbl01 · #5 (**permalink**) 30-01-2010, 11:27 PM

Đúng.

Ku vietmf change link vẫn bị local như thường