6种方法保护你的MyBB论坛更加安全 [教程]

[admin]

六种方法来保护您的MyBB论坛
本教程由MyBB Studios提供。
本教程由MyBB中文站翻译整理
本文可以随意转载，但请注明出处：
http://www.mybbchina.net
6种方法保护你的MyBB论坛更加安全 [教程]

MyBB是一个非常安全的软件。这些文件都仔细编码阻止黑客和病毒。然而，仍有一些方法，您的论坛可能是被黑客入侵。他们大多数是可以预防的。
PS: 除了下面的第一种方法，其它五种方法都可以用于其它论坛软件。我推荐大家如果使用的其它论坛软件，一定要按照这些方法加固你的论坛。
重命名你的后台管理目录
在支持论坛的每个人都认为这是多余的！我认为重命名后台管理员目录是非常重要的。黑客们如果不知道你的后台文件放在哪里，它们如何黑你的管理区域？这很简单，真的。

登陆你的主机控制面板，到文件管理器。当然你也可以用ftp软件比如FileZilla。找到目录 'admin'，重命名为你想要的，比如这样（我强烈推荐命名为不规则的，易于保密的名称，如87y2ut）。
然后，在“inc”目录找到 config.php 文件。找到如下代码：

引用:/**
* Admin CP directory
* For security reasons, it is recommended you
* rename your Admin CP directory. You then need
* to adjust the value below to point to the
* new directory.
*/

$config['admin_dir'] = 'admin';

将红色的文本改为你刚才重命名的的目录名称。

.HTAccess 保护你的管理员目录
重命名管理员目录只是3中保护管理员目录的方法的第一步。接下来的代码将检测登陆者的IP地址，如果和你指定的IP地址不匹配，将会被强制重定向到主页。
要这样做，创建一个 .htaccess 文件在你的管理员目录。添加如下代码：

引用:RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_HOST} !^68\.193\.195\.1
RewriteRule .* http://www.mybbchina.net [R=301,L]

改变绿色的部分为你的IP地址（使用制定的格式），还有红色部分为你想要重定向到的域名。

如果你有多个管理员，使用下面的代码替换：

引用:ErrorDocument 403 http://www.mybbchina.net
Order deny,allow
Deny from all
Allow from 102.54.68.123
Allow from 102.54.68.123

改变绿色的部分为你的IP地址（使用制定的格式），还有红色部分为你想要重定向到的域名。

密码保护你的管理员目录
这是一种非常简单的保护管理员目录的方法。这种方法为访问管理员目录添加一个额外的需求。现在，人们需要管理员帐号和密码还有管理员目录的密码才能访问管理员控制面板。

如果你是用的是DirectAdmin, 找到 'Password Protected Directories' 目录。然后点击 'Find a Directory to Password Protect'。到你的 MyBB 根目录，并且点击 'Protect' 下一步到你的管理员目录。

然后，根据屏幕上的说明设置密码。

如果你是用的是cPanel, 在安全下找到'Password Protect Directories' 。然后，点击图标打开目录直到你找到管理员目录。然后点击它。

将会给你一个选项用来设置特别的用户帐号，可以设置谁可以访问设部可以访问。

注意： 如果论坛的一个管理员允许访问这里的话，我建议你修改密码。正式这个原因，我更喜欢cPanel的方式，它可以对不用的用户分别设置权限。

阻止从外部访问config文件
有时候，普通的权限还不够。这是一个使用 .htaccess 方式来实现阻止任何试图访问config文件的人，并给他显示403错误代码。但是你的mybb论坛依然运行正常。 它只是检测外部访问。

创建一个 .htaccess 文件在你的 'inc' 目录，并且添加如下代码：

引用:# Protect the config.php file
<files config.php>
Order deny,allow
deny from all
</files>

保持你密码的强壮性！
被黑的罪魁祸首往往就是因为密码过于简单。是密码变得强壮并不困难。如果你很懒的话，可以访问创建密码！

事实上，自从我的帐户监视器发现钓鱼攻击之后，我一直保持我的密码的复杂性，像一些重要帐户，如paypal等，有时候我自己都不知道那些密码是什么。我将它们记录在纸上​。这很重要。
你的密码最好比较复杂，包含大写字母，小写字母，数字和其它符号。最好超过16个字符或者更多。事实上，一个普通的10字符密码需要花费5亿8千万年的时间才能破解！现在你是不是想立刻更换你的密码？

及时更新
新版本的发布总有原因的。可能是修复了大量的bug，也可能是修补了安全漏洞。特别指出的是，这些都会以公告的形式告知公众，为什么你还要让你的mybb论坛容易收到攻击​呢？MyBB会使用一种很漂亮的方式在后台通知你有更新了。
当我说更新的时候，也包括插件。插件可能带来后门，而危及mybb系统。如果你没有锁这道门，天知道谁会进来？
-------------------

这就是所有的了。额外再说一点，这些习惯推荐给每个人：

• 经常改变密码 如果黑客查找你的密码，他可能会因为你经常更换而找不到。

• 不要显示版本 如果你因为各种原因不升级你的mybb软件，想想看吧，你这个版本号就好像立了个广告牌 '我的论坛没有更新！快来黑我吧！！！' 你不愿意给黑客这个信息吧？
  
  不显示版本号，访问后台 - 配置 - 全局设置 - 显示版本号 - 设置为关闭不显示即可

• 确保只有必要的几个文件具有写权限。 尽管在你的管理员控制面板中说config.php文件需要777的权限，但我真的不明白为什么... 这是很愚蠢的做法，会增加mybb论坛的安全风险。

• 定期做好备份。 MyBB已经有了一个功能，那就是任务管理器可以自动定时备份，你需要的就是下载它们到你的本地计算机。我个人是每2周下载一次备份，除非中间有突发事件，我会额外下载一​次。这全部取决于你的论坛规模有多大。
  
  我不知道为什么不会自动下载，但是已经有人开发了插件可以设定时间使用电子邮件发送给你(Hint Hint )

------------------------
6种方式保护你的mybb论坛 - Copyright © 2009 MyBB Studios, all rights reserved.

Disclaimer: Any methods here are only advice. They reduce the chances of your forum getting hacked, they do not eliminate it. MyBB Studios is not responsible for any damages or such caused by directly or indirectly using any methods on this tutorial. Anything you do is done at your own risk.
（译）声明：这里的任何方式只是建议。它们减少你的mybb论坛被黑的几率，但是不能完全排除。MyBB Studios 对于您的论坛直接或间接的使用本教程所带来的损害不负任何责任。你做的任何事都由你自己负责。译者注：本站只是翻译，也不负任何责任。

[wenz5155]

好帖，顶，very good

[osimoon]

好帖，这个学习了，谢谢！！楼主精神无限

[1pro]

好！寫得真好！謝謝！