Tips de Seguridad para Clientes de vBSEO

Original Brian's article:

Easy Security Tips for vBSEO customers

Hola a todos estimados clientes de vBSEO .

Debido a los recientes ataques contra algunos clientes de vBSEO, pensé que sería bueno compartir algunos ajustes de seguridad fáciles de implementar. El 99% del hacking se da porque se sabe que algo existe, y donde existe. Con solo cambiar el nombre original de algo, hay menos probabilidades de ser víctima de un exploit.

Estas instrucciones están enfocadas en servidores web Apache. Es posible que se puedan aplicar en otras plataformas de servidores web, pero usted tendrá que modificar algunas reglas para que coincidan con las exigencias de su servidor.


Cambiando el nombre a vbseocp.php

• Conéctese vía FTP al directorio raíz de su foro y halle el archivo vbseocp.php

• Cambie el nombre de ese archivo a algo que usted y solamente usted recuerde. En este ejemplo, hemos usado 'myvbseocp.php'. Usted no debe usar ese nombre, use tal vez algo como vb3242er42f2342seof23r234f423cp.php (por supuesto tampoco utilice esta exacta cadena de caracteres)

• Ahora, es necesario editar la barra de navegación a la izquierda en el panel de administración para reflejar este cambio. Descargue y abra el archivo includes/xml/cpnav_vbseo.xml con su editor favorito

Note en la imagen anterior el texto resaltado (vbseocp.php). Es eso lo que deberá ser modificado para especificar el nuevo nombre

• Vuelva a subir ese archivo vía FTP. Para hacer una prueba, diríjase al Panel de Administración de vBulletin y pulse en la barra de navegación de la izquierda sobre el enlace que dirige al panel de control de vBSEO

Renombrando el directorio del panel de administración


vBulletin incluye una manera sencilla de renombrar los directorios admincp y modcp. Esto se configura a través del archivo includes/config.php de vBulletin.

Halle lo siguiente:

PHP Code:

$config['Misc']['admincpdir'] = 'admincp';
$config['Misc']['modcpdir'] = 'modcp'; 


Reemplace los nombres con el respectivo nuevo nombre. Recuerde que los servidores Linux son sensibles al uso de mayúsculas.

Luego, por supuesto, renombre físicamente vía FTP los directorios con el nuevo nombre deseado.

Recuerde: Las actualizaciones de vBulletin y de vBSEO asumen los nombres de estos directorios. Cuando realice una actualización, asegúrese siempre de renombrar los directorios que serán subidos vía FTP para que coincidan con los directorios en el FTP antes de actualizar.


Asegurando el directorio del panel de administración de vBulletin


Usar archivos .htaccess y .htpasswd es bastante sencillo para agregar un nivel más de seguridad a la página de inicio de este directorio. En este caso, aunque su cuenta en su foro se vea comprometida, el hacker no podrá iniciar sesión en el panel de administración y "defacear" el foro.

Aquí el punto clave radica en colocar el archivo .htpasswd fuera del directorio web (public_html, www, etc.).

Por ejemplo, Si su sitio se ubica en:

/home/usuario/public_html/

ese archivo debe estar en un nuevo directorio, por encima del directorio web público, como:

/home/usuario/mi-password/

• Lo primero por hacer es crear un archivo 401.shtml en el directorio raíz de su sitio (sitio.com/401.shtml es la ruta de acceso, dependiendo de la ubicación de su foro). El contenido de este archivo no importa, solo debe existir. Si lo desea, puede utilizar una 'bonita' plantillla:

Code:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
   "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">

<head>
<title>401 - Autentificación fallida</title>
</head>

<body>

<h1>401 - Autentificación fallida</h1>
<p>
       Su solicitud requiere auntentificación (nombre de usuario y contraseña). Puede repetir la solicitud con una autorización adecuada desde el header. Es posible que su navegador lo haga por usted.
</p>

<p><!--#if expr="\"$HTTP_REFERER\" != \"\"" -->
       Usted ha sido referido desde <a href="<!--#echo var="HTTP_REFERER" -->"><!--#echo var="HTTP_REFERER" --></a>.
       <!--#else -->
       Por favor, revise su solicitud en caso de tener errores ortográficos e inténtelo de nuevo.
       <!--#endif -->
</p>
<address>
       Si el error indicado se asimila a una configuración errónea, por favor informe al        <a href="mailto:<!--#echo var="SERVER_ADMIN" -->"
      SUBJECT="Feedback about Error message [<!--#echo var="REDIRECT_STATUS"
        -->] <!--#echo var="title" -->, req=<!--#echo var="REQUEST_URI" -->">Webmaster de 
  <!--#echo var="SERVER_NAME" --></A>.
</address>

</body>
</html>

• Luego, coloque un nuevo archivo .htaccess en /admincp/.htaccess. Si ya existe un archivo .htaccess en ese directorio, entonces defina las reglas al puro inicio. De otra manera, haga un archivo .htaccess con este contenido. Tenga en cuenta que necesitará reemplazar mi-password con la ruta hacia donde se encuentra el archivo passwd (como hacerlo en el siguiente paso):

Code:

AuthUserFile /home/usuario/mi-password/passwd
AuthName "AdminCP"
AuthType Basic
Require valid-user

De nuevo, usted debe colocar la ruta exacta hacia el archivo passwd. Consulte el script de información de php (phpinfo) si necesita ayuda para hallar y crear rutas. Si sus proveedores de hosting no le permiten crear directorios por fuera de public_html, contacte con ellos para recibir consejos.

• Haga el archivo passwd. Estos archivos son simples sin extensión, que usan un formato nombreusuario:hash(password). Diríjase aquí (o cualquier otro sitio generador de hash md5) y escriba su contraseña para recibir de vuelta el hash. Recuerde su contraseña, ya que no hay manera/herramienta que le permita recuperarla.

Code:

username:md5passwordstring

Este debe ser todo el contenido que debe tener ese archivo. Guárdelo como "passwd" sin extensión y ubícelo en la ruta correcta, tal y como se define en el paso anterior.

• Ahora, cuando usted visite el panel de administración, visualizará un nuevo pop-up solicitándole un usuario y una contraseña. Si no puede iniciar sesión, eso quiere decir que hizo algo mal. Vuelva a intentarlo.

• También es posible extender esto hasta el modcp. Simplemente copie el archivo .htaccess al directorio /modcp.

• Asegúrese de notificar a su staff sobre estos cambios. Ellos y cualquiera que desee acceder al panel de administración y de moderación necesitarán esta contraseña. Es fácil utilizar un nombre de usuario y una contraseña genéricos para todo el staff, pero usted puede hallar tutoriales avanzados sobre como hacer cuentas para usuarios individuales de la misma forma.

Si alguno tiene otra sugerencia, por favor, siéntase libre de hacerla! .

Tener en cuenta que el tip de renombrar el archivo vbseocp.php funciona solamente en versiones 3.5.x de vBSEO. Para vBSEO 3.3.x es necesario hacer una serie de ediciones en los archivos vbseocp.php y vbseocp_form.php.

Además, acá otros consejos:

• Nunca incluyas los directorios admincp o modcp en tu archivo robots.txt.
• Haz que tu usuario sea inalterable a través del panel de administración modificando la siguiente línea en el archivo config.php:

PHP Code:

$config['SpecialUsers']['undeletableusers'] = '3'; 


Donde 3 es tu id de usuario.

• Borra o renombra el directorio "/install/".
• SOLO instala add-ons que hayas obtenido en vBulletin.org.
• Si has actualizado a vBSEO 3.5.x desde vBSEO 3.3.x, asegúrate de haber borrado todos los archivos de la versión antigua.
• SOLO concede permiso de acceder al Panel de administración y a ejecutar consultas SQL a personas en las que confías.
• Usa contraseñas fuertes y distintas para cada sitio que visitas.
• Usa protección .htaccess en directorios con permisos 0777.
• Protege con contraseña tu directorio "/includes/".

Y en este enlace, otros tips generales:

How To Make My Forums More Secure