Sicherheitsratschläge für das wBB

Sicherheitsratschläge für das wBB (Woltlab Burning Board)

Diese Tipps sollen die Sicherheit des Woltlab Burning Bord (wBB) erhöhen und sind als Ergänzung zum Artikel Tipps zur Absicherung meines Webprojektes zu verstehen.

• den Administrationsbereich mit Webserver Kennwortschutz belegen. Dafür muss eine .htaccess Datei im Verzeichnis acp/ angelegt werden. Wenn man einen Rootserver einsetzt und die Möglichkeit hat, die Apache-Konfigurationsdatei zu bearbeiten, dann sollte man anstelle einer .htaccess Datei direkt diese Konfiguration in der httpd.conf Datei vornehmen. Idealerweise sollte zusammen mit dem htaccess Kennwortschutz eine SSL Verbindung genutzt werden (also https://...), damit das Kennwort verschlüsselt übertragen wird.
• IP für den Administrationsbereich einschränken Wenn alle Administratoren eine statische IP von Ihrem Internet-Provider zugewiesen bekommen haben, kann man mit folgenden Zeilen in der .htaccess oder httpd.conf den Zugriff auf bestimmte IP-Adresse einschränken: ```apache order allow,deny allow from 192.168.0.1 deny from all ``` Die IP-Adresse muss natürlich auf eine öffentlich zugängliche Adresse geändert werden (statische IP, die man vom Provider erhalten hat). Dieser Schutzmechanismus ist zwar sehr effektiv, aber leider haben die wenigsten Benutzer eine statische IP Adresse, weshalb diese Möglichkeit wohl nur für Firmen in Frage kommt.
• Normalerweise sollten die Sicherheitsmechanismen immer mit der höchstmöglichste Software-Ebene eingesetzt werden. Wenn man also die Möglichkeiten hat, an PHP Einstellungen, Webservereinstellungen oder Firewall-Einstellungen Anpassungen durchzuführen, sollte man diese auch dort machen. Falls man diese Möglichkeiten nicht hat, was nahezu immer bei Webhosting Paketen der Fall ist (wenn man also keinen eigenen Server verwendet), dann gibt es für das wBB auch noch verschiedene, sicherheitsrelevante Lösungen auf PHP Basis:
  • Sicherheitspaket (nur für WBB2 Kunden zugänglich) von rellek
  • CrackerTracker
  • oder die kommerzielle Lösung SecuritySystem professional
• Setup und Installations-Scripte aus dem acp Verzeichnis löschen Die setup.php und alle anderen Installations-Skripte von Addons entfernen. Normalerweise können alle *setup* und alle *install* Dateien aus dem Verzeichnis acp/ entfernt werden.
• Falls vorhanden, die Datei acp_tpl.php aus dem acp/ Verzeichnis löschen! Diese Datei wird nur dazu gebraucht, um die Templates des Adminbereiches neu zu cachen. Im Laufenden betrieb wird diese Datei nicht benötigt.
• Auf die Datei acp/lib/config.inc.php sollte nur der Webserver Leserechte besitzen - weitere Rechte werden hier nicht benötigt. Mit folgenden Befehl kann man über ssh die Zugriffsrechte festlegen (auszuführen im wBB Verzeichnis): ``` chmod 440 acp/lib/config.inc.php ``` Diese Einstellung kann aber auch über einen FTP Programm gemacht werden, indem man bei Besitzer und Gruppe Leserechte aktiviert, alle anderen Zugriffsrechte werden deaktiviert.
• Kein HTML Code erlauben! Es sollte niemals HTML Code in Beiträgen, PNs oder Signaturen erlaubt werden - für keine Benutzergruppe!