Tổng hợp các phương pháp bảo mật cho vbbuletin

Bài viết tổng hợp từ nhiều nguồn khác nhau. Nhằm đem lại một cách tổng quan nhất về bảo mật cho VBB. Hi vọng sẽ có ích đối với các bạn.

1. Dis functions (yêu cầu có quyền root vps, server, VD..)
Dis một số hàm sau

Mã:

system, exec, shell_exec, passthru, pcntl_exec, putenv, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, popen, pclose, set_time_limit, ini_alter, virtual, openlog, escapeshellcmd, escapeshellarg, dl, curl_exec, parse_ini_file, show_source

2. Chmod

- CHMOD thư mục Public_html thành 710 thay vì 750 mặc định việc này sẽ giúp bạn bảo vệ được cấu trúc Website của mình.
- CHMOD thư mục là 701 và cố gắng đừng bao giờ CHMOD 777, có một số folder ko quan trọng, bạn có thể CHMOD 755 để có thể hiện thị đúng và đầy đủ một số nội dung trong Folder đó .
- CHMOD tập tin config và các file index.php của site thành 400 thay vì 644 thường dùng, điều này chống hacker local và view source của tập tin này
- Các file index.htm, index.html, hay các tập tin .html hãy cố gắng chmod thành 444 thay vì mặc định là 644.
- Đối với các thư mục bắt buộc phải chmod 777 thì cần thêm htaccess bảo vệ.

3. Thay đổi tên thư mục admincp và modcpBạn mở thư mục includes mở tiếp file config.php
Tìm đoạn sau:

Mã:

$config['Misc']['modcpdir'] = 'modcp'; 

Thay modcp bằng tên mà bạn sẽ đổi cho thư mục này.
Ở đây có nhiều hướng dẫn là đổi tên admincp trong file config luôn tuy nhiên theo kinh nghiệm của mình thì các bạn vẫn đổi tên admincp nhưng không sửa trong file config.php

* Chú ý: Cái này là kinh nghiệm và cũng ít thấy hướng dẫn trên mạng nhé Đổi tên thư mục admincp (không sửa file config.php) sau đó tạo thư mục admincp khác, các bạn copy hết các file liên quan đến plugin di chuyển quan thư mục admincp mới tạo và xóa luôn các file này trong thư mục admincp đã đổi tên  tác dụng là nếu plugin có bug thì sẽ hạn chế ảnh hưởng

4. Di chuyển file configBạn mở thư mục admincp (hoặc thư mục tương đương mà bạn đã đổi tên) tìm file diagnostic.php
Bạn tìm đoạn

Mã:

/includes/config.php 

Thay bằng tên thư mục chứa file config mới và tên file config mới

VD:

Mã:

/quyle/abc.php

Tiếp đến bạn tìm file class_core.php trong thư mục includes
Tìm đoạn

Mã:

includes/config.php 

thay tương tự như bên trên (trong file class_core.php có 2 chỗ cần thay)

5. Đặt pass 2 cho admincp
6. Thay đổi ID của superadmin, hạn chế dùng acc super admin để post bài (Tốt nhất ko dùng)
7. Xóa file online.php, faq.php
- Dùng serach google và xóa luôn search.php 

8. Chống CSRF

Dùng plugin:  Anti CSRF
Plugin được viết bởi VTLai admin sinhvienit.net

9. COOKIE SECURITY HASHMở config.php tìm:

Mã:

$config['Misc']['cookie_security_hash'] = ''; 

Thêm ký tự bất kỳ váo giữa ''

ví dụ:

Mã:

$config['Misc']['cookie_security_hash'] = 'sgFEi9345fkwfFJKIE392i9g'; 

Nếu trong config.php không có đoạn trên thì các bạn mở functions.php tìm

Mã:

define('COOKIE_SALT', '');  

và cũng thêm ký tự vào giữa ''

vd:

Mã:

define('COOKIE_SALT', 'jf545GEgew656FE5gre5gbFG');  

- Vẫn trong file config.php tìm:

Mã:

$config['Misc']['cookieprefix'] = 'vb';

thay vb bằng từ khác.

10. Hạn chế sử dụng nhiều plugin, thường xuyên kiểm tra bug, backup thường xuyên

Done.