Брауэра powered by phpbb. Защищаем PhpBB

Ну что же, начнем давать маленькие советы по оптимизации и продвижении сайтов (форумов) на phpBB. В данном случае мы проведем небольшой хак, который поможет избавиться от внешней ссылки вида "Powered by phpBB © ...". В данной публикации мы рассмотрим 2 способа, с помощью которых можно это сделать - прием для phpBB 3.x.x .

Удаляем внешнюю ссылку Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group и Русская поддержка phpBB

Первый способ удаления внешней ссылки с надписью Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group . И так, самый легкий способ - удалить с помощью панели администратора. Заходим в административную панель, переходим в пункт меню "Стили", слева видим панель, где расположен блок в меню, нас интересует блок "Компоненты стилей", а в нем "Шаблоны". По стандарту в предложенном окне мы увидим следующие: prosilver и subsilver2, хотя моуг быть и другие, если Вы их устанавливали. В общем не суть. Из преложенного набора выбираем используемый по умолчанию. Нажимаем на кнопку "изменить" рядом с шаблоном. Далее появляется окно с предложением "Выбрать файл шаблона". Далее выбираем "Файл шаблона" - "overall_footer.html". Ниже появляется HTML редактор. Находим следующий код: "Powered by phpBB 2000, 2002, 2005, 2007 phpBB Group " и просто удалем, хотя можно и установить свою ссылку и надпись. "
{TRANSLATION_INFO}
" (который находится ниже, также можно удалить) - это код отвечает за локализацию например внешнюю ссылку с надписью "Русская поддержка phpBB".

Второй способ удаления внешней ссылки с надписью Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group . Этот способ аналогичен, но мы подключаемся к сайту по пратаколу ftp. Переходим по следующему пути styles/имя_шаблона/template/overall_footer.html. И редактируем тот же код, который редактировали мы выше. Если будете изменять код, то не забудьте установить кодировку UTF - так на месте анкоров могут появится "кракозяблы" (квадратики, и другие непонятные символы).

Итак, дорогой друг, ты почему-то поставил себе на сайт PhpBB.
Может быть потому, что не читал журнал ][, а может потому, что тебе нравится этот движок. Однако шанс на то, что тебя не хакнут минимален. Армии киддисов рыскают в инете в поисках очередной жертвы. Как же защитится от примитивного
взлома форума? Попытаюсь подкинуть тебе несколько идей. Большую их часть ты сможешь использовать и в других скриптах.

Обновление

Это по дефолту. Обновлять форум надо. И то, что у тебя стоит 5/10/15 (нужное подчеркнуть) модов не отговорка. Просто в этом случае тебе следует использовать «code changes», заботливо выкладываемые разработчиками форума в виде тех же модов. Рекомендую также подписаться на рассылку о новых версиях форума. Однако за всем не уследишь, да и лень
бывает, правда? Посему я предлагаю тебе несколько пассивных способов защиты форума.

Сокрытие версии

Недавно появилось в PhpBB и здорово помогает против гугл-хакеров. А если ты всё-таки не обновляешь форум, я думаю подправить файлы simple_footer.tpl и overall_footer.tpl тебе не составит труда. Однако можно пойти дальше и написать злую фразу "Powered by PhpBB" с помощью javascript

Невелика потеря, если у юзверя отключён javascript, хотя вовсе убирать фразу не следует по чисто моральным принципам. А можешь и поиздеваться, написав "PhpBB 2.0.6". Когда хакер, всё же хакнув тебя, узнает настоящую версию, то от злобы он уронит тебе всю БД 😉 Можешь ещё написать "Php BB"... Это не совсем честно, но работает!

Нестандартный стиль

Не только украсит твой форум, но и незначительно повысит защиту против эксплойтов, выдирающих инфу из HTML-страницы. И потом стандартный стиль создаёт ощущение, что админ или забил на форум или ламо.

Префикс таблиц

Почему бы не поставить туда чего-нибудь своего, например "ExBB". Кстати, это можно сделать и после установки, путём правки config.php и переименования таблиц.

Модификация БД

Надёжный способ защиты от SQL-injection-Union атаки - это изменение БД. Добавь в таблицы лишние пустые поля, пройдись по коду и примитивные (!) эксплойты пойдут лесом по причине несовпадения количества полей. Или другой способ: переименуй поле user_password в blahblahblah и исправь исходники (автоматизировать сей процесс можно запросто). Всё, теперь при попытке раздобыть хеш пароля админа эксплойт удивлённо повиснет 🙂 Да и не только эксплойт.

Прятанье config.php

Упростит тебе жизнь, если хаксор получит возможность читать файлы на сервере благодаря include багу. Конечно, в этом случае от содержимого файла ему всё равно будет мало толку, если ты только не ставишь одинаковые пассы на всё подряд.

Нормальный пароль

Как это не банально, но пароль должен быть вида Sdh66rH904hG - только так ты сможешь не беспокоится о взломе хеша. Хранить его будешь в Password Commander. Ну скажи, часто ли тебе придётся его вводить? Теперь, если хеш всё-таки будет украден, то толку от него будет меньше.

Отрубить поиск

И так не мешало бы. Работает он жутко глючно, жрёт неимоверное количество места в БД и кошмарно снижает производительность. И потом является источником багов, того же highlight. К сожалению, сделать это стандартными средствами нельзя, но не зря же ты читаешь ][? Убирай относящиеся к нему файлы, роняй таблицы и вычисти сырцы и темы. Результат - повышение производительности и безопасности. Если лень разбираться, то подскажу: устрани вызовы функций, находящихся в functions_search.php. За исключением последней, конечно. А какие дропать таблицы сам подумай.... У меня проблем не возникло.

Fake-админка

Настоящую админку упрячь подальше, а в фейке удали все запросы к БД типа INSERT, UPDATE и.т.п. А ещё лучше, вместо их выполнения логируй их в файл, вместе с IP и другими полезными данными. Представляешь, как будет тормозить хакер, когда изменения, производимые им, не будут применяться? Прямо honeypot, а не форум!

Изменение алгоритма хеширования

Вообще полезный приём. Измени все вызовы функций, связанные с хешированием на свои, которые после вызова стандартных слегка модифицируют хеш. Например ac45e53bc8dc478e->ac45e53bc8da478e.
Хакер едва ли заподозрит подвох... Более того, взглянув на эти два хеша он и разницу не сразу заметит...

Ну накой этот юнион изобрели, столько он дыр принёс.... Так открой инклуд для работы с БД и добавь фильтрацию запросов с UNION!

Заключение

Чем больше ты переименуешь файлов, таблиц и полей, тем

  • Сложней будет хаксору
  • Сложней будет тебе обновлять форум
  • Больше ошибок ты налепишь

Так что знай меру и не болей паранойей. Провернув все эти приёмчики ты отпугнёшь/остановишь и киддиса и хаксора, если только у последнего не будет конкретной цели хакнуть именно тебя. Хотя переименование полей таблицы даёт практически непробиваемую защиту от SQL-injection, ибо перед хаксором, считай, не будет сорцев.

В одном из комментариев к моей статье , меня попросили рассказать — как убрать поле копирайта создателей движка phpBB: «Создано на основе phpBB». Так как эта информация может быть полезна и другим посетителям, я решил написать об этом данную статью.

Зачем удалять это поле? Многие из вас могут высказать негодование, мол, удаление этого поля будет расценено как несоблюдение авторских прав. Однако это не совсем так – phpBB является бесплатным веб-форумом со свободным исходным кодом. Поэтому любые изменения, сделанные вами, предполагают, что авторскими правами конкретно на ваш продукт полностью обладаете вы. Другими словами, после создания форума на этом движке, он становиться вашей интеллектуальной собственностью. Авторы phpBB написали механизм, инструмент для создания форумов, а не готовый продукт. В таком случае, если вы удалите надпись копирайта в футере форума – это не будет нарушением авторских прав. С другой стороны, если вы все-таки оставите эту надпись – это будет являться знаком благодарности и поддержки разработчиков, что однозначно хорошо!

Итак, если вы решили все же избавиться от этой надписи, то первым шагом нам необходимо узнать, где находиться параметр, отвечающий за вывод информации о копирайте. Для этого нам необходимо открыть любую страницу форума, где виден форум, в одном из браузеров, которые поддерживают функцию просмотра кода страницы (Opera, Google Chrome, Firefox и т.д.), и, клацнув правой кнопкой по самой надписи, выбрать из выпадающего меню опцию просмотра кода (Inspect element) .

После открытия код-инспектора мы сможем увидеть, что блок, который нас интересует, называется «copyright » . В нем и необходимо делать изменения, чтобы отредактировать, спрятать или удалить информацию.

Вторым шагом будет поиск файла, в котором содержится блок «copyright». Так как название файла нам не известно, то поиск вручную займет очень много времени. Поэтому мы воспользуемся удобной функцией — поиск по содержимому, которой обладает мой любимый менеджер файлов – Total Commander, далее ТС (существуют другие способы поиска по содержимому, но в данной статье они рассматриваться не будут). В менеджере файлов открываем папку, в которую установлен форум на локальном сервере или на FTP-сервере вашего хостера. Для облегчения поиска, мы откроем сразу папку, в которой хранится файлы выбранного по умолчанию стиля. Далее выбираем поиск файлов в меню «Команды » или просто нажимаем Alt+F7 . В появившемся окне поиска мы оставляем без внимания поле «Искать файлы «, так как название файла нам неизвестно. В поле «Место поиска » должен быть указан путь в папку с установленным движком форума, по умолчанию ТС подхватывает путь автоматически, если окно поиска было вызвано из активной части, где вы просматриваете содержимое папок. Далее ставим галочку рядом с полем «С текстом » и вводим в строку поиска «copyright», после чего смело жмем кнопку «Начать поиск » и ждем вывода результатов.


Поиск выдал нам несколько файлов, по идее их должно быть 5, в которых упоминается название блока копирайта. Из всех выданных файлов мы четко видим, что нас интересует файл с названием «overall_footer.html » так как блок находится в футере страницы, а слово overall подсказывает, что в этом файле хранятся глобальные настройки, то есть для всего форума. Теперь у нас есть 2 варианта как отредактировать нужный нам файл – через встроенный редактор шаблонов phpBB или с использованием стороннего редактора. Первым мы рассмотрим вариант редактирования через родной интерфейс phpBB.
Нам необходимо зайти «Центр администрирования » и перейти во вкладку «Стили «. В разделе управления стилями мы смотрим, какой стиль установлен по умолчанию, на это указывает звездочка после названия стиля. В примере установлен всего один, базовый стиль – prosilve, но у вас их может быть несколько.

Далее в разделе управления компонентами стилей мы переходим в подраздел «Шаблоны » и выбираем пункт «Изменить » рядом с нашей активной темой.


Теперь нам необходимо выбрать из выпадающего списка интересующий нас файл под названием «overall_footer.html »


В появившейся области редактирования мы идем в самый низ страницы и находим строку: