Chr*_*ris 3 php security phpbb3
继续听到其他论坛被黑客攻击.我意识到如果一个黑客已经确定了,他们会找到一种方法,但是你可以采取什么措施来尽可能地确保它不会发生呢?
PHPBB3中还会有另一个漏洞,您将被黑客入侵.尝试并保持PHPBB3最新.我知道简单机器论坛更加安全,因为我已经手动审核了它们.
1)毫无疑问,使用任何Web应用程序更安全的最重要的事情是使用Web应用程序防火墙,如Mod_Security.
2)确保您使用的是使用ether SELinux或AppArmor的现代Linux发行版,SELinux更安全.不要使用WINDOWS.
3)请确保您的MySQL用户帐户只能访问的URL转发数据库,并没有别的.最重要的是要确保PHPBB3的帐户无法访问mysql.user表!"文件权限"是迄今为止您可以为Web应用程序提供的最糟糕的事情.文件权限比"授权" 要糟糕得多,因为攻击者会尝试像这样注入sql:' union select '<?php eval($_GET[e])?>' into outfile "/var/www/backdoor.php"--上传他的后门,只有攻击者能够"堆叠"查询并且mysql_query()不允许这样做,才能使用"grant" for不能用于sql注入攻击.
4)防火墙关闭端口3306,或mysql正在使用的任何端口.您应该只允许您绝对需要的端口,并且要特别小心数据库.
5)运行PHPSecInfo并确保它不会抛出"红色"警告.
6)针对您的服务器运行OpenVAS,这可能是黑客首先要做的事情.