Sicherheitsratschläge für das vBulletin

  • Nicht benötigte Dateien und Verzeichnis löschen Das Verzeichnis install/ wird nur für die Installation oder für ein Upgrade benötigt. Für den laufenden Betrieb wird dieses Verzeichnis nicht benötigt und stellt daher nur ein Sicherheitsrisiko dar. Daher kann dieses gelöscht werden. Falls man ImpEx für den Import verwendet hat, kann man diese Dateien nach dem Import auch bedenkenlos wieder löschen. Falls man die tools.php verwendet hat, um Reparaturen durchzuführen, sollte diese auf jeden Fall wieder gelöscht werden.
  • den Administrationsbereich oder Moderationsbereich mit Webserver Kennwortschutz belegen. Dafür muss eine .htaccess Datei im Verzeichnis admincp/ und im Verzeichnis modcp/ angelegt werden. Wenn man einen Rootserver einsetzt und die Möglichkeit hat, die Apache-Konfigurationsdatei zu bearbeiten, dann sollte man anstelle einer .htaccess Datei direkt diese Konfiguration in der httpd.conf Datei vornehmen. Idealerweise sollte zusammen mit dem htaccess Kennwortschutz eine SSL Verbindung genutzt werden (also https://...), damit das Kennwort verschlüsselt übertragen wird.
  • IP für den Administrationsbereich einschränken Wenn alle Administratoren eine statische IP von Ihrem Internet-Provider zugewiesen bekommen haben, kann man mit folgenden Zeilen in der .htaccess oder httpd.conf den Zugriff auf bestimmte IP-Adresse einschränken: ``` order allow,deny allow from 192.168.0.1 deny from all ``` Die IP-Adresse muss natürlich auf eine öffentlich zugängliche Adresse geändert werden (statische IP, die man vom Provider erhalten hat). Dieser Schutzmechanismus ist zwar sehr effektiv, aber leider haben die wenigsten Benutzer eine statische IP Adresse, weshalb diese Möglichkeit wohl nur für Firmen in Frage kommt.
  • Auf die Datei includes/config.inc.php sollte nur der Webserver Leserechte besitzen - weitere Rechte werden hier nicht benötigt. Mit folgenden Befehl kann man über ssh die Zugriffsrechte festlegen (auszuführen im vBulletin Verzeichnis): ``` chmod 440 includes/config.inc.php ``` Diese Einstellung kann aber auch über ein FTP Programm gemacht werden, indem man bei Besitzer und Gruppe Leserechte aktiviert, alle anderen Zugriffsrechte werden deaktiviert.
  • Kein HTML Code erlauben! Es sollte niemals HTML Code in Beiträgen, PNs oder Signaturen erlaubt werden - für keine Benutzergruppe!
  • Kennwortgültigkeitsbegrenzung für alle Benutzergruppen Standardmäßig wird vBulletin mit der Einstellung ausgeliefert, dass die Administratoren-Gruppe nach 180 Tagen gezwungen werden, Ihr Kennwort zu ändern. Diese Einstellung sollte auch auf alle anderen Benutzergruppen verwendet werden, wie Supermoderatoren, Moderatoren und Registrierte Benutzer. Wieso einen Kennwort-Wechsel auch für Registrierte Benutzer erzwingen? Ein Registrierte Benutzer hat bessere Voraussetzungen/Möglichkeiten einen Angriff auszuführen als ein Gast. Um den Missbrauch bestehender Accounts einzuschränken, sollten daher in regelmäßigen Abständen die Kennwörter geändert werden.
  • Vertrauenswürdige Erweiterungen verwenden Wenn man Addons einsetzt, sollte man sich genau überlegen, ob man den Anbieter vertraut, der diese Erweiterung anbietet. Bei vBulletin ist die zentrale Anlaufstelle für Erweiterungen vBulletin.org (dort werden schnell unseriöse Erweiterungen aufgedeckt).
  • Plugin Verwaltung nur wenn notwendig freigeben Zugriff auf die Plugin-Verwaltung sollte nur Admins gewährt werden, die auch wirklich für die Installation oder Weiterentwicklung der Plugins zuständig sind. Diese Einstellung wird unter Administrator-Berechtigungen/Kann Plug-ins verwalten festgelegt.

Anmerkung zu Suhosin Wenn man die PHP Extension Suhosin einsetzt, müssen folgende Einstellungen in der php.ini ergänzt werden, um einen fehlerfreien Betrieb zu gewährleisten:

suhosin.request.max_vars="500"
suhosin.get.max_vars="500"
suhosin.post.max_vars="500"

Aktualisiert: