Concideraciones para no ser hackeado en foros phpbb

sidney rees · #1 (**permalink**) 08/08/2006, 16:06

Jajaja! Bueno creo que esto ya esta tomando forma. Espero que les sea util. Vere que mas puedo encontrar

Bueno, claro está que nadie esta excento de ser hackeado.
Aqui algunos consejillos para que al menos no les sea tan sencillo.
Un problema muy frecuente son las malas configuraciones en los permisos ftp y las contraseñas faciles.
Claro está que existen otras formas, me acabo de enterar que tambien existen bots que esperan latentes hasta que se publique en bug en phpbb, estando tan solo a un "click" de borrarte todo.
Tambien escuche que exiten fallas por las cuales los hackers pueden bannear al admin y este no puede entrar mas al foro!!!
Intentaré recopilar información a lo largo de la noche y la iré publicando aqui, pero si alguien sabe algo, por favor que publique todo lo que sepa (o al menos lo mas importante a tener en cuanta)
Todo esto que les cuento tambien se aplica a la ultima version de los foros phpbb 2.0.21, para que esten alertas.

Creemos entre todos un buen y actulizado topic para que no nos hackeen en un descuido

sidney rees · #2 (**permalink**) 09/08/2006, 00:05

Bueno, antes que nada perdon por el doblepost, es solo que queria que esto quede prolijo porque es importante:

Consideraciones para que no te hackeen el foro phpbb (aunque sea el ultimo! 2.0.21)

Sobre la contraseña del Admin y de ser posible tambien de los mods:

NO PERMITIR QUE WINDOWS GUARDE LOS PASSWORD PARA RECORDÁRNOSLOS DESPUÉS, ESO SE QUEDA EN ALGÚN RINCÓN

Las contraseñas no debes ser palabras comunes ni fechas. Son más fáciles de descubrir. Existen programas con millones de secuencias con palabras existentes y fechas. Que se dedican a intentar conectarse a una cuenta y tarde o temprano la encuentran. A no ser que tu password o clave no exista en nada similar. Por ejemplo, si pones un password llamado "rosario" es fácil que la encuentren, pero si pones "rozario" es más difícil por que no existe...
Si además le añades números, aún más difícil por que no existe para nada.. Ejemplo: "rozario9517" es más difícil..
Yo te recomendaría que si utilizas un nombre que puedas recordar mezclado con una fecha que recuerdes, te sería más fácil acordarte de tú del password y más difícil a los que intenten descubrirla
Ejemplo: si te llamas daniel y naciste en el año 1982 el password podría ser "da19ni82el" esta sería un password bueno, seguro y fácil de recordar ¿no?.
Se las quieres complicar aun mas, usa simbolos! "da@19ni_82el"

Sobre las configuraciones del ftp:

Si utilizas un programa de FTP, podrás comprobar que los archivos que muestra del server, los podrás organizar en orden ascendente, descendente y por nombre, fecha, etc. Pues la idea es que puedes controlar si alguien a accedido a tu servidor y a modificado algo ¿como? pues los organizas en descendente y por fechas y cuando termines de subir los archivos, anota el nombre del último archivo que subiste y el tamaño que tenga. De este modo cuando vuelvas a entrar, podrás comprobar si sigue siendo el archivo último que tu subiste. Quiero decir, que si ves que hay otro distinto e incluso que su tamaño no es el mismo, significaría que alguine a modificado algo en tu server.
Entonces deberías de comprobar dichas páginas a ver su contenido si a sido alterado. Esto mucha veces lo hacen para luego poner paginas porno (y de las peores, asi las medidas legales recaen sobre ti!!!

)

Mas importante aún son los permisos!!! Cuidado con esto, si dejas mal cofigurado un permiso "fuiste, alpieste, perdiste". Les puede llebar dos minutos destrozar tu trabajo de meses!!!
Estas configuraciones son faciles de modificar con cualquier gestor de ftp (como el cuteftp o el coreftp) Los configuraciones deben ser las siguientes:

Todos los archivos o directorios en el sistema tienen un propietario, la persona que los creó, quien puede asignar permisos (protecciones) para utilizar dicho directorio o archivo.
Para cada archivo o directorio hay tres clases de usuario: propietario (quien crea el archivo), grupo (de usuarios al que pertenece el propietario) y público (cualquier persona que tenga acceso al sistema).
Existen también tres tipos de permisos, lectura r, escritura w, y ejecución x
Si usted da el comando ls -l podrá observar las siguientes columnas:

permisos num. bloques propietario grupo tamaño fecha hora archivo

la primera le indicará los permisos asociados a cada archivo. Observe que esta columna se compone de 10 caracteres

drwxrwxrwx
el primero d indica si es un directorio o no, el primer conjunto de rwx son los permisos de propietario, el siguiente rwx son permisos de grupo y el tercer conjunto de rwx con los permisos del público. Cuando alguno de estos atributos esta desactivado verá solamente un guión en el espacio correspondiente,
ej. si su archivo indica:

-rwxr--r-- notas

significa que no es directorio, que el propietario tiene permisos de lectura, escritura y ejecucion, y por último el grupo y los otros solo tienen permiso de lectura.
Para cambiar los permisos a un archivo se usa el comando chmod, su sintáxis es

chmod [ugoa][+-][rwx] archivo

u permisos de usuario
g permisos de grupo
o permisos de otros
a permisos para todos
+ anadir un permiso
- quitar un permiso
r lectura
w escritura
x ejecucion

De manera que si desea agregar el permiso de escritura a su archivo notas deberá teclear

chmod g+w,o+w notas

Mas consejos todavia:

Te recomiendo que no guardes tu nombre de usuario y password en tu PC, guárdalos en un discket o bloc e insértalos cada vez que accedas a tu server. De este modo será más difícil que si alguien te entrase en tu PC lo encontrase. Si lo guardas en tu PC, intenta utilizar un programa que lo encripte o bloquee con password.

Instálate un buen antivirus, cortafuegos y un Spyware. (Te recomiendo McAfee que hace un rastre hasta donde comenzo el intento de hackeo y te da, a veces, hasta el numero de telefono del hacker)

Bloquéa los Kookies o que te pregunten si deseas instalarlos cuando navegues por internet. Deniégalos todos a no ser que te sea importante entrar en dichas páginas.

Elimina los temporales de internet. Hay una opción de eliminarlos cuando cierras la sesión o tu PC.

Lo primero antes que nada, hazte copias de seguridad de la carpeta Web por si te eliminan los datos y así los puedes recuperar.

Luego agrego información sobre los bots que se "registran" a tu foro y esperan pacientemente hasta que alguin les notifica una falla en tu foro y te lo destruyen!!! Por lo general crean dos usuarios, uno es el bot el otro uno ficticio para tapar el usuario bot para que su nombre no sea reconocido.

sidney rees · #3 (**permalink**) 09/08/2006, 00:31

Esto es noticia vieja pero es interesante para estar alertas

Esta información la saque de otro sitio, pero no puedo poner enlaces hasta tener 15 post asi que lo copio y lo pego aqui (para no romper las reglas pero se los puedo pasar por PM si lo desean)

Cita:

Posible ataque masivo a Internet: phpBB de nuevo

Leo en un foro algo que me preocupa bastante. Y me preocupa por un tema que me gustaría debatir. Como muchos sabeís existe una clase de foros en Internet, en las páginas, llamado phpBB, es un programa fácil de instalar y personalizar que usan muchos webmasters para poner rápidamente un foro.

El problema de este programa es que debería prohibirse definitivamente. Me parece que es el programa con más fallos de seguridad y con más formas de “hackear” que se ha visto en toda la historia de Internet. Yo, si fuera uno de los programadores, abandonaría y tiraría la toalla, pues se ha demostrado que ya no es viable tener estos programas funcionando.

El problema no viene en que tenga agujeros de seguridad, el problema está en que las personas que lo instalan (el 99%, webmasters que no tienen mucha idea y que además no se preocupan por ir actualizándolo con los parches adecuados), están en servidores de alojamientos compartidos (o virtuales) que comprometen la seguridad de su alojamiento y de todos los que están allí, que no hablar del dolor de cabeza que darán a los pobres administradores de sistemas de las empresas que dan estos alojamientos.

Recientemente, como leía en el foro, un nick llamado FuntKlakow-bot se ha dado de alta en los últimos días en miles de foros de phpBB. ¿Para que?. Bueno, lo más normal es que se prepare para el siguiente fallo publicado de phpBB.

Además lo ha preparado para poder enviar a los foros lo que sea necesario, tal y como vemos en estos dos ejemplos. Y ahí sigue, en esos dos foros y en miles más, esperando, calladito y sin decir nada.

Posiblemente entonces, cuando aparezca el siguiente fallo (que estadística y desgraciadamente no tardará más de 1 mes en aparecer) el creador de este BOT posiblemente con un sólo click pueda infectar todos los foros phpBB que no estén actualizados en esas siguientes 24 horas a la aparición del fallo.

Como decía, muchas veces, los fallos comprometen el servidor, de forma que podría haber un ataque a gran escala por miles de servidores con los cientos de alojamientos que hay por servidor… no es para tomarselo a broma, la verdad.

Para el phpBB tendría que haber un módulo instalado de base que baneara ciertos BOTS que se cogiesen de una lista pública y consensuada en los servidores de phpBB.com. La verdad, que los administradores y programadores de éste (lo siento) desastroso programa de foros, tendrían que tomarse más en serio la infinitamente lista de vulnerabilidades que sufren.

Por cierto, para el que quiera un foro de verdad seguro y con más funcionalidades que el phpBB, tiene una larga lista en esta página de HotScripts, del cual recomiendo el SMF.

Sigo buscando mas información... estoy seguro de que con esto debo havber captado su atención! Los que usamos phpbb 2.0.21 tenemos que estar preparados!!!

metacortex · #4 (**permalink**) 09/08/2006, 01:00

Muchas gracias por tu aporte sidney rees.

Saludos.

sidney rees · #5 (**permalink**) 09/08/2006, 01:13

De nada metacortex.

Encontré mas info:

Par evitar que este bot te "destrace" el foro tienes que hacer sencillamente esto:

-primero habilitar la confirmación visual para evitar que se registre.
-no permitir que los visitantes no registrados puedan responder (sobre todo si tienes al mod de respuesta rapida)

-No existen mods para solucionar esta falla (al menos no por ahoda) ya que es muy sencillo evitar ser hackeado asi.

-Instalen la menor cantidad de mods posibles... es imposible para los programadores de phpbb comprobar linea por linea de codigo! Alguno de estos mods pueden tener fallas intencionales de los creadores para vengarse en caso de mal uso de sus mods o por simple placer. Acabo de leer en la pagina oficial la historia de una persona que sufrio este tipo de ataque y a pesar de que sabe el nombre del creador no pudo tomar ninguna medida ya que fue el quien instalo el mod!!!.

Si se instalan muchos mods despues no es facil actualizar el foro a una nueva versión! Y tu te quedas con un foro con bugs que todos los hackers conocen!!!

-Los hackers no quieren hackear TU pagina, solo quieren hackear, a mi me gusta chatear a ellos hackear!!!
Ellos ya conocen la gran mayoria de fallas de los foros phpbb, simplemente buscan en google o yahoo: "Powered by phpBB" y ¡¡¡chau!! Te toco el ocho, te hackean! Solución: BORRA URGENTE ESTA FRACE deja el link si quieres pero borra la frace... pon algo como "f_o_r_o php_b.b." o algo asi (entonces no rompes la regla de no borrar el link!!! Cool no?) Tambien podrias poner una imagen para que no la encuentre google ni yahoo.

Para cambiar estas "Powered by phpBB" necesitas modificar el archivo overall_footer.tpl de tu templeta (temes, estilo, como prefieras llamarlo)

Si lo que quieres es ocultar la versión:
Abre "includes/page_tail.php", luego cambia
'PHPBB_VERSION' =>
a
// 'PHPBB_VERSION' =>

sidney rees · #6 (**permalink**) 09/08/2006, 02:04

Como prevenir que te borren el foro via el admin panel

Formas faciles de borrar/vaciar tu foro via tus propios archivos .php!!!

Si alguien sigue este link te puede borrar todo!!
• "admin/admin_db_utilities.php" (-> esto te regresa la base de datos a su estado inicial!!! o sea te vacia todo!)
• "admin/admin_forums.php" (-> forum management = crea/borra/remombra foros)
• "modcp.php" (-> todo lo que el moderador puede hacer tambien ellos!)

Si el intruso logra hacerce pasar por moderador o por un admin falso llegando a estos archivo spuede hacer mucho daño!

Tip A: "admin_db_utilities.php" este es seguramente el mas severo sin envargo el archivo es el mas inutil! (A mi cuando quiero restaurar la base de datos desde el panel de control me da error) Recomiendo borrarlo o bien renombrelo, o mejor aun hacen un back up y solo lo suben cuando necesitan restaurar la base de datos! (Es una buena solución no creen?)
Asi si el hacker logra acceder a tu panel de admin al menos no podrá baciar tu base de datos.

Tip B: otro que pueden borra, renombrar o quitar y opnerlo de ser necesario "admin/admin_forums.php". Una vez que hayas configurado tu foro (con todos las descripciones de foros y nombres, será raro que necesites este archivo de nuevo, en todo caso lo vuelves a subir). Si la dejas cualquier hacker amateur te borra todo el foro con un solo click.

Tip C: otro metodo por el cual un hacker te puede borra varios topics de una es por medio de "modcp.php". Lo mejor que puedes hacer es quitar la opcion de borrar lo topicos (si ecesitas borrar subes de nuevo el archivo):
• ABRE "modcp.php"
• Cambia:
$delete = ( isset($HTTP_POST_VARS['delete']) ) ? TRUE : FALSE;
a
$delete = ( isset($HTTP_POST_VARS['delete']) ) ? FALSE: FALSE;

Si haces aun podras borrar el topic post por post.
Realmente poca veces necesitaras borrar todo un topic, siempre con borrar uno o dos post se soluciopna el problema.
Obviamente que un hacker que se metio como mod o admin (falso obvio) todavia puede borrar post por post pero de algo estoy seguro... ¡¡¡te la complicamos mucho hackerrr!!! jajaja!

Tengo mas info!! Pero son las 5:50 am y estoy muy cansado... pero eso si! estops hacker no van a ser mas una amenaza para nosotros!!! Mañana me levanto temprano y sigo con esto!!!

WebTech · #7 (**permalink**) 09/08/2006, 14:03

Mucho de este aporte es cierto.. como administrador de servidores Linux he visto muchísimos casos de defacing, hackeos, etc... y coincido contigo en cuanto a las contraseñas, y en cuanto a permisos de los archivos... pero hay algo que me parece realmente incoherente.

Código:

NO DEJAR TU CONEXIÓN EN LÍNEA SIN ESTAR TU ENFRENTE DEL PC PARA PODER DETECTAR
CUALQUIER INTRUSIÓN Y DESCONECTAR.

Por supuesto.. esa es la solución más fácil que hay para el problema de la seguridad informática.. pero si vamos a pensar así tampoco vas a irte a dormir y dejar un archivo de 1GB descargando toda la noche por miedo a que te "hackeen", un ejemplo de la vida real: tampoco vas a salir de tu casa en la noche por miedo a que te roben o maten.., la vida esta llena de riesgos al igual que la informática y sus redes. Se debe tener una actitud diferente, se debe estudiar y securizar las redes y equipos, informarse de las últimas vulnerabilidades, parchear las aplicaciones, etc; los riesgos siempre existen.

Mi principal consejo es NO USEN PHPBB, y si lo usan siempre manténganlo al día con los últimos parches, el 90% de los casos se debe a que los usuarios son irresponsables y siguen usando aplicaciones viejísimas y sin actualizar.

Un saludo!

sidney rees · #8 (**permalink**) 09/08/2006, 18:56

Cita:

Por supuesto.. esa es la solución más fácil que hay para el problema de la seguridad informática.. pero si vamos a pensar así tampoco vas a irte a dormir y dejar un archivo de 1GB descargando toda la noche por miedo a que te "hackeen", un ejemplo de la vida real: tampoco vas a salir de tu casa en la noche por miedo a que te roben o maten.., la vida esta llena de riesgos al igual que la informática y sus redes. Se debe tener una actitud diferente, se debe estudiar y securizar las redes y equipos, informarse de las últimas vulnerabilidades, parchear las aplicaciones, etc; los riesgos siempre existen.

jejeje! Claro me referia a si no estas bajando nada... yo tenia la costumbre de que cuando terminaba de usarla la dejaba conectada hasta que me di cuenta de esta vulnerabilidad. Que tu ya lo sepas no quiere decir que todos los demas tambine lo sepan.

sidney rees · #9 (**permalink**) 10/08/2006, 23:05

Nota a algun moderados: Podria cambiar el titulo del topico por "Consejos de seguridad"

Sobre la configuración de los permisos de ftp, a mi criterio, la forma mas apropiada es:
para las carpetas: 755 o drwxr-xr-x
para los archivos: 644 o -rw-r--r--

Mas consejos:
Supongo que nadie necesita buscar caractares tales como ][\/%():><{}`

Quitemos esta funcion y mejoremos otro poquito la seguridad.
Abran viewtopic.php

Buscar:

Cita:

if ( isset($HTTP_GET_VARS['highlight']) )
{

Despues agregar:

Cita:

$HTTP_GET_VARS['highlight'] = addslashes(preg_replace('#[\]\[\\\\\/%:><{}`]#',' ',$HTTP_GET_VARS['highlight']));

No se preocupen por google, nunca lee estos caracteres, se los saltea... por ejemplo:
"\%sid[]n'ey" es lo mismo que " sid n ey"

sidney rees · #10 (**permalink**) 10/08/2006, 23:21

Una duda que tengo es:
en el config.php se puede ver el password de la base de datos!!!
tal claro como

$dbuser = 'admin';
$dbpasswd = 'abc123';
$table_prefix = 'phpbb_';

como se puede solucionar esto (recuerden que no soy un experto!)

sidney rees · #11 (**permalink**) 10/08/2006, 23:22

Esta es otra medida recomendable, antes de la version 2.0.17 era una forma comun de hackeo.
Abran el archibo bbcode.php
busquen: $patterns[] = "#\[url
hasta encontar lo siguiente (cuidado puede modificr algun mod):

Cita:

// matches a xxxx://www.phpbb.com code..
$patterns[] = "#\[url\]([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url1'];

// www.phpbb.com code.. (no xxxx:// prefix).
$patterns[] = "#\[url\]((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url2'];

// phpBB code..
$patterns[] = "#\[url=([\w]+?://[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";
$replacements[] = $bbcode_tpl['url3'];

// phpBB code.. (no xxxx:// prefix).
$patterns[] = "#\[url=((www|ftp)\.[\w\#$%&~/.\-;:=,?@\[\]+]*?)\]([^?\n\r\t].*?)\[/url\]#is";

remplacen esa parte de codigo por esta:

Cita:

$security_threat_chars = ' \t\r\n\'\"\`\[\]\<\>\\\\';
$text = preg_replace('$\[url=?.*?(http://|ftp://)?(www[.])?([a-zA-Z0-9-.]+)([^'.$security_threat_chars.']*).*?\[\/url\]$i','<a href="http://\\1\\2\\3\\4" title="http://\\1\\2\\3\\4" target="_blank" class="postlink">\\3...</a>',$text);
$text = preg_replace('$"http://(http://|ftp://)$i','"\\1',$text); // Replace a double "http://http://" to -> "http://"

Este codigo no solo te proteje sino que tambien te mejora el posting de urls
• las urls muy largas no te alargan el post
• "www." no se muestra mas (segun entiendo esta es una buena medida de seguridad, lo que no se es por qué)

sidney rees · #12 (**permalink**) 10/08/2006, 23:34

NO USEN EL PREFIJO "phpbb_" como prefijo de tabla!!! Cualquier hacker asumira que loestas haciendo! y puede hackear las entradas de la bd.
En vez de usar "phpbb_" inventen un prefijo con las tecnicas que les comente sobre como crear passwords.

Abran el "config.php"
Busquen:

Cita:

$table_prefix = 'phpbb_'

y cambien phpbb_ por el prefijo elejido.

Algunos lineas de codigo en los mods pueden necesitar edición tambien.

Lo siguiente es cambiar los prefijos en tu base de datos.
deberan modificar este scritp segun tu prefijo:

Cita:

ALTER TABLE phpbb_auth_access RENAME TO sidney_auth_access;
ALTER TABLE phpbb_banlist RENAME TO sidney_banlist;
ALTER TABLE phpbb_categories RENAME TO sidney_categories;
ALTER TABLE phpbb_config RENAME TO sidney_config;
ALTER TABLE phpbb_confirm RENAME TO sidney_confirm;
ALTER TABLE phpbb_disallow RENAME TO sidney_disallow;
ALTER TABLE phpbb_forum_prune RENAME TO sidney_forum_prune;
ALTER TABLE phpbb_forums RENAME TO sidney_forums;
ALTER TABLE phpbb_groups RENAME TO sidney_groups;
ALTER TABLE phpbb_posts RENAME TO sidney_posts;
ALTER TABLE phpbb_posts_text RENAME TO sidney_posts_text;
ALTER TABLE phpbb_privmsgs RENAME TO sidney_privmsgs;
ALTER TABLE phpbb_privmsgs_text RENAME TO sidney_privmsgs_text;
ALTER TABLE phpbb_ranks RENAME TO sidney_ranks;
ALTER TABLE phpbb_search_results RENAME TO sidney_search_results;
ALTER TABLE phpbb_search_wordlist RENAME TO sidney_search_wordlist;
ALTER TABLE phpbb_search_wordmatch RENAME TO sidney_search_wordmatch;
ALTER TABLE phpbb_sessions RENAME TO sidney_sessions;
ALTER TABLE phpbb_smilies RENAME TO sidney_smilies;
ALTER TABLE phpbb_themes RENAME TO sidney_themes;
ALTER TABLE phpbb_themes_name RENAME TO sidney_themes_name;
ALTER TABLE phpbb_topics RENAME TO sidney_topics;
ALTER TABLE phpbb_topics_watch RENAME TO sidney_topics_watch;
ALTER TABLE phpbb_user_group RENAME TO sidney_user_group;
ALTER TABLE phpbb_users RENAME TO sidney_users;
ALTER TABLE phpbb_vote_desc RENAME TO sidney_vote_desc;
ALTER TABLE phpbb_vote_results RENAME TO sidney_vote_results;
ALTER TABLE phpbb_vote_voters RENAME TO sidney_vote_voters;
ALTER TABLE phpbb_words RENAME TO sidney_words;

Si encuentras tablas que no esten listadas arriva (algo muy obvio si tienes algunos mods extra) deberas renombrarlos tambien!

ferny · #13 (**permalink**) 12/08/2006, 10:16

Otro detalle que puede ayudar a mejorar la seguridad de estos foros es incluir un archivo .htaccess que deshabilite user_agent malignos y que prevenga en cierta medida el envío de spam desde ciertas páginas. El siguiente archivo .htaccess puede ayudar a ello.

Consta al principio de una serie de entradas que deshabilitan ciertos user_agent (nombre del programa cliente o navegador que entra a la web). Si deseamos incluir alguno más, basta añadirlo a la lista de la misma forma que están el resto. Esto hará que cuando alguien quiera entrar a nuestro foro usando un programa "prohibido", le redireccionará a su propio ordenador (127.0.0.1)

Incluye unas entradas para prevenir el acceso al Santy Webworm, un gusano que hace tiempo atacaba a los foros phpbb y que causó estragos hasta que sacaron una actualización de seguridad. También prohibe la utilización del agente de Perl, usado por el Santy y por algunos lammers/hackers para atacar foros phpbb usando ciertos exploits.

Al final vienen entradas para prevenir el envío de spam. Lo que hace es que si detecta que el visitante de la página viene desde una de las páginas de la lista, supone que viene a hacer spam y por tanto lo redirecciona a su propio ordenador (127.0.0.1)

Este archivo .htaccess (ojo, que viene comprimido en un ZIP) debe ser colocado en la carpeta raíz del servidor. Éste debe ser un servidor Apache con el módulo Mod Rewrite instalado y habilitado, si no pues no nos funcionará.

Saludos

WebTech · #14 (**permalink**) 12/08/2006, 12:38

Interesantes aportes Sydey, y útiles medidas las que sugieres Ferny, seguro serán utiles a muchos usuarios.

Un saludo!

sidney rees · #15 (**permalink**) 13/08/2006, 00:55

Muy bueno tu aporte Ferny ya mismo lo estoy implementando!

Mas concideraciones:

Si permites el upload de avatar en tu foro la carpeta de los avatar tiene que tener la siguiente configuración de ftp: drwxrwxrwx

Concejos de ferny (a mi criterio muy buenos)
1- no usen la misma contraseña para nada... para cada cosa una contraseña!!!
2- Mantengan todo el software actualizado, todo!!! Incluso Apache, PHP, MySQL, phpMyAdmin, etc. (Si ya sabemos que de estos se encarga el host, exijanles que los actualizen! que para eso pagan!)

El concejo de modificar el bbcode.php es opcional... teniendo en cuanta que antes se usaba para hackear pues yo que uds lo modificaria (es mas ya lo modifiqué). Ademas es una mejora interesante para las url muy largas.

WebTech me alegro de que te guste este pequeño aporte...por ahora esto es todo lo que se, pero seguiré buscando información para agregar a este post.
Si alguien sabe algo que quiera comentar no dude en hacerlo, todo nos veremos beneficiados! Hasta luego!

Fungy · #16 (**permalink**) 14/08/2006, 12:28

Pfff muchisimias gracias amigos, la verdad empieso a dudar si darle privilegio de moderador o peor ahun, admin a otras personas, me arriesgo a que inggresen en lugares con keyloggers, virus, espias, quien sabe :S

sidney rees · #17 (**permalink**) 15/08/2006, 16:08

No temas que para eso es este topic... para que les des esos privilegios y a ti no te puedan hacer nada. Te recomiendo que no des el rango de Admin a nadie mas... despues de todo tu tienes que descarte en algo por todo tu esfuerza!!! Con los moderadores no te preocupes, si los eliges como moderadores es porque seguramente ya los conoces. Si tomas estas medidas seras practicamente inhackeable o al menos muy dificil de hackear... ya que los "hackers" (lammers diria yo) que se dedican a hackear estos foros son principiantes (en la mayoria de los casos) y si le quitas estas fallas a tu foro sera dificil que te hackeen.