phpBB absichern

phpBB absichern geht einfacher als gedacht. Gerade in der heutigen Zeit sollte man im Web besonders auf Sicherheit achten. Ein gut gehendes Forum ist leider ein beliebtes Angriffsziel von Hackern und sollte deshalb bestmöglich geschützt werden. Ich zeige euch wie das geht.

phpBB absichern

Mit diesem 4-Schritte-Plan macht ihr eure phpBB Installation sicher vor Angriffen. 100 prozentige Sicherheit gibt es leider nie, denn immer wieder werden neue Sicherheitslücken in Software und Betriebssystemen gefunden und ausgebessert. Mein Artikel schafft aber schon eine sehr gute Verbesserung gegenüber einer einfachen Installation. Im besten Fall sollte man aber über Softwareupdates und Sicherheitspatches am laufenden bleiben und gegebenenfalls die Software auf die neueste Version bringen.

Schritt 1: aktuelle Software

Das Web wird mittels Bots nach potenzielle Angriffsziele abgesucht. Besonders beliebt ist dabei veraltete Software, denn dort sind Bugs und Sicherheitslöcher bereits veröffentlicht worden und Hacks sind bekannt. Veraltete Software ist somit ein leichtes Ziel. Bei phpBB sollte man aktuell auf phpBB ab Version 3 setzen, da phpBB 2 nicht mehr unterstützt und somit auch nicht mehr gepatched wird. Ideal  ist die Installation der aktuellsten Version, falls Modifikationen benutzt werden müssen, die die derzeit aktuelle Version noch nicht unterstützt sollte man Sicherheitsupdates einspielen.

In meinem Fall meldet mir die Übersichtsseite im Administrator Panel, dass es eine neue Version meiner Forensoftware gibt. Das Update der Version funktioniert folgendermaßen:

• aktuelle Version von der phpBB Homepage herunterladen. In meinem Fall wird mir für die Version 3.0.13-PL1 die neue Version 3.0.14 vorgeschlagen. Man muss die „Automatischer Updater“ Datei phpBB-3.0.13-PL1_to_3.0.14.zip herunterladen.
• die Update Datei entpackt man lokal und spielt die Dateien über ein FTP Programm in das phpBB Hauptverzeichnis des Webservers. In meinem Fall sind das die Ordner docs und install.
• das Update wird schließlich über den Browser gestartet. Dazu gibt man wie bereits bei der phpBB Installation angegebene install Verzeichnis an.

• der Installer führt dabei durch die Installation des Updates. Wie immer ist ein Backup der aktuellen Version eine gute Idee.
• nach dem erfolgreichen Update auf die aktuellste Version muss das install Verzeichnis am Server gelöscht werden.

Schritt 2: Admin Verzeichnis absichern

Über einen Benutzernamen und Passwort kann man sich am Administrator Bereich (ACP) des Forums anmelden. Kennt der Angreifer dieses (zum Beispiel durch ein unsicheres Passwort oder ein bereits bekanntes Passworts des Benutzers von einer anderen Seite) kommt dieser sehr einfach an alle Daten und hat volle Kontrolle. Abhilfe schafft hier der Webserver, man kann über einen Verzeichnisschutz den Zugriff auf Verzeichnisse zusätzlich über Benutzername und Passwort sichern (diese sollten sich von jenen des Admin Zugangs unterscheiden!).

Eingerichtet wird ein Verzeichnisschutz bei einem Apache Webserver über die .htaccess Datei. In meinem letzten Artikel habe ich bereits gezeigt, wie man einen .htaccess Verzeichnisschutz auf dem Webserver einrichten kann. Für phpBB müssen im adm Ordner die beiden Dateien .htaccess und .htpasswd abgelegt werden. Möchte man sich nun im Administrator Panel anmelden erscheint die folgende Meldung:

Schritt 3: config.php darf nicht gelesen werden können

In der Konfigurationsdatei config.php stehen alle wichtigen Daten, die phpBB benötigt. Darunter auch Zugangsdaten zur Datenbank. diese dürfen nicht in falsche Hände geraten. Die Konfigurationsdatei selbst braucht nur von phpBB gelesen werden. Wir haben dazu zwei Möglichkeiten:

• config.php außerhalb des Webserver Verzeichnis ablegen
  sofern man über einen Root Server besitzt beziehungsweise den Server selber hostet, dann kann man Dateien auch außerhalb vom Webserver Verzeichnis ablegen. Der Vorteil ist, dass man vom Browser aus diese Datei nicht mehr erreichen kann. Mögliche Ablageorte sind das etc oder das home Verzeichnis. Im phpBB Verzeichnis erstellt man nun eine neue config.php Datei mit folgendem Inhalt

  <?php
  require('/pfad_in_dem_die_datei_nun_liegt/config.php');
  ?>

• Zugriff über .htaccess verhindern
  für alle die einen Shared Webspace benutzen lässt sich der Zugriff über die .htaccess Datei regeln. Wir fügen folgenden Code in die .htaccess des Hauptverzeichnisses von phpBB (bei aktuellen phpBB Versionen ist das übrigens bereits integriert):

  <Files config.php>
  Deny from all
  </Files>

Schritt 4: Mods

Mit so genannten Mods (Modifikationen) oder ab phpBB Version 3.1 Extensions sind von externen Programmierern erstellte zusätzliche Funktionen für die Forumsoftware. Man darf nicht vergessen, es handelt sich um Open Source, deshalb ist es erwünscht, dass die Basisfunktionalität der Software auch weiter entwickelt wird. Über Mods kann man jede Menge wichtige und intelligente Erweiterungen einbauen. Wichtig dabei ist jedoch, dass man möglichst wenig Mods installiert. Falls notwendig, dann sollte ein Mod von einer vertrauenswürdigen Stelle kommen. Ideal sind dabei Modifikationen die oft verwendet werden, aktiv weiterentwickelt werden und auf diversen Portalen gut bewertet sind. Hände weg von fragwürdigen Mods!

Fazit

phpBB absichern ist mit meinem 4-Schritte-Plan relativ einfach und durch wenig Zeitaufwand gut durchführbar. Je beliebter ein Forum, desto höher ist die Chance, dass es gehackt wird. Umso schlimmer ist das im Nachhinein für den Betreiber wenn jahrelang gesammelter Content weg ist, oder die Software plötzlich unbrauchbar ist. Neben wirtschaftlichen Schaden kann auch das Image einer Webseite dadurch völlig kaputt gemacht werden. Aus diesem Grund lohnt es sich doppelt und dreifach ein paar Minuten zu investieren.

Welche Maßnahmen fallen euch sonst noch ein? Wer von euch hatte schon mal das Problem, dass ein Forum zugespamt wurde oder die Software von Hackern angegriffen wurde?