koil
Пользователь
- Регистрация
- 16.01.13
- Сообщения
- 577
- Реакции
- 98
- Баллы
- 13
Предпочитаю качать всё по отдельности. И, если нужно кому, вот ссылка на PL 2 для vBulletin 3.8.4
а как узнать стоит она у меня или нет?
Предпочитаю качать всё по отдельности. И, если нужно кому, вот ссылка на PL 2 для vBulletin 3.8.4
в админкеа как узнать стоит она у меня или нет?
кхм.. только версия..в админке
на каждой странице
сверху
версия и PL
если, конечно, всё правильно поставлено
а как узнать стоит она у меня или нет?
в админке
на каждой странице
сверху
версия и PL
если, конечно, всё правильно поставлено
аа.. может я и скачал версию 3.8.4 и не 3.8.4 PLНу я же вроде ясно сказал...
.
аа.. может я и скачал версию 3.8.4 и не 3.8.4 PL
Вы здесь на форуме видели два дистрибутива vb 3.8.4? Покажите?
А кстати тоже хороший способ защиты.Версию не как не узнаешь если нужные файлы подтерты)
Есть специальный хак суть работы которого в постоянной смене надписи номера версии в футере форума.А кстати тоже хороший способ защиты.
Ведь к разным версиям есть разные способы взлома полагаю.
посмотри:
Интересно будет ли работать vbulletin при отключении этих функций.
А зачем их отключать на vb? У каждого движка свои уязвимости и рекомендации к ним.
а настройки по поводу вложенности цитат?Вы не помните, что писали? Или нужны громоздкие структурные сообщения?.
3. В конфиге прописываем ID админа в той строке, где указывается неизменяемый и неудаляемый пользователь.
Хотелось бы убрать статус Adimistrator из post bit под аватаркой и из списка пользователей. Чтобы никто не видел имя пользователя администратора. ИМХО это затруднит подбор пароля.
это затруднит подбор пароля.
Подбор пароля затруднит сложность пароля А это баловство) убрать, спрятать, это элементарно вычислить, кто администратор
Как вычислить? И как лучше спрятать?
Как вычислить?
И как лучше спрятать?
Переходите по ссылке сайт.ру/member.php?u=1, и попадаете на профиль администратора, пример: https://lumtu.com/member.php?u=1
Почему? 1 - это id администратора, по умолчанию.
Еще проще посмотреть список руководства форума.
Убрать с руководства форума, сменить id, дату регистрации и т.д.
Хм... Зачем его прятать?
Попробуйте плиз найти администратора
Чтобы избежать подбора пароля, с использованием нескольких ip на время таймаута ввода.
Давайте угадаю это http://arbitraz.ru/member.php?u=6671?
А чего вы так боитесь брута? Сильный пароль и никакой брут не подействует.
Как нашли?
Основы безопасности когда-то где-то преподавали.
мне вот тоже всегда интересно...А чего вы так боитесь брута?
и никогда не ходить админским акком по каким бы то ни было ссылкам, особенно присланным юзерами
Секрет , никаких особых действий не делал, простой анализ.
Одно скажу, еслихацкеры, все же возьмутся за форум, то кто админ, большого значения не играет.
секретов у Mister.
4. В корневой .htaccess дописываем строку, запрещающую изменение конфига из вне:
PHP код:
<Files config.php>
deny from all
</Files>
Я правильно понял, когда переименовываем а .htaccess, расширение .txt стереть надо? В общем пробывал и стирать и не стирать, но файл скрытым вроде не стал . Или так и должно быть? На фтп захожу через файлзиллу.Создаешь в блокноте обычный текстовый документ с названием htaccess, добавляешь в него эту строчку и заливаешь в корневую папку форума, там переименовываешь в .htaccess и файл становится скрытым.
В случае если ваш IP статический:
Прошу прощения за дебильный вопрос, но как узнать статический или динамический у меня ип?Защищаем админку .htaccess если у вас динамический IP
У меня off стоит как в Local, так и в Master. Так и оставить?Ещё один момент безопасности, с которым столкнулась совершенно случайно:
проверьте, включена ли на вашем сервере функция register_globals.
Как это можно сделать?
Идём в админку, самый нижний левый блок "Обслуживание" и самая нижняя строка "Показать информацию о PHP". Вы увидите много всяких таблиц, ищем Configuration
PHP Core, а в ней пункт register_globals. Если там в строке напротив register_globals стоит "On", значит, эта функция включена. Это плохо.
Решение: добавить в файл .htaccess строчку следующего содержания:
php_flag register_globals off и проверить изменения в вышеуказанной таблице. В певой графе Local значение должно измениться, это значит, что вы всё сделали правильно.
Что то не нашел этот путь в админке. Я использовал тут: админка - основные настройки - регистрация пользователей - пункт "недопустимые имена пользователей". Или это не то?Кроме того на vBulletin 3.8.4 & 3.8.5 существует небольшая уязвимость благодаря которой злоумышленник может зарегистрироваться под админским ником и читать почту админа. Фикс: админ панель - опции - запрещённые имена пользователей - добавляем &# - сохраняем изменение
.htaccess - это всёкогда переименовываем а .htaccess, расширение .txt стереть надо?
ну если в настройках файлзиллы указано "показывать скрытые файлы", то .htaccess будет виденно файл скрытым вроде не стал . Или так и должно быть? На фтп захожу через файлзиллу.
оу...как узнать статический или динамический у меня ип?
да, это тоЯ использовал тут: админка - основные настройки - регистрация пользователей - пункт "недопустимые имена пользователей". Или это не то?
Звучит как будто есть еще изменения, о которых нужно догадаться самомуВ частности пп.6 добавлена папка cpstyles
Где-то читал, что для большей надежности нужно ограничить доступ через FTP по IP адресу? Так ли это? Если да, то что и где необходимо прописать?