Spesso è necessario alzare le difese intorno a un sito web
perché gli spam bot lo hanno preso di mira. Per rafforzare
phpbb3 e renderlo più sicuro non occorrono molte conoscenze,
già cambiano qualche impostazione del pannello di gestione
dell'amministratore è possibile raggiungere livelli di
sicurezza niente male.
Nella versione phpBB3 gold, la conferma
visuale è stata attivata di default. La conferma visuale
prevede la visualizzazione di un'immagine con dei caratteri che vanno
digitati in uno spazio apposito per verificare che l'utente sia una
persona e non uno script malevole che cerca di registrasi al
sito.
Nel menù "Generale", nella spalla sinistra
c'è la sezione "conferma visuale".
In questa parte si può
attivare o meno la conferma visuale, modificando "GD disturbo in
primo piano" l'immagine proposta diventa più difficile da
riconoscere, anche per le persone in carne ed ossa. La cosa migliore
da fare è provare.
|
Senza GD disturbo |
Con GD disturbo |
|
|
|
Variando i numeri sugli assi
l'immagine diventa più disturbata, è un'ottima idea
modificare lievemente in ribasso queste cifre; per esempio impostando
20 per entrambi i valori e nessun disturbo in primo piano si può
ricavare l'immagine:
Si possono modificare le
preimpostazioni riguardanti le registrazioni degli utenti in phpBB3.
A volte gli utenti registrati scelgono password facili da indovinare
oppure username troppo corti. Se le password sono troppo semplici,
sono probabili imminenti attacchi da parte di persone
malintenzionate. E' un dovere scongiurare queste situazioni perché
se vengono carpite le informazioni personali degli utenti, si possono
passare dei guai.
Nella barra laterale c'è la sezione
"Iscrizione utente", qui si possono fare dei cambiamenti
per rafforzare phpbb3.
E' utile alzare la lunghezza della password portandola a minimo otto caratteri, mentre è altamente consigliato (per l'hardening di phpbb3) elevare la complessità della password.
Scegliendo "deve contenere
simboli" si ottengono maggiori margini di sicurezza.
Forzare
il cambio della password è una cosa molto scomoda per gli
utenti, sopratutto quelli che non abituali che potrebbero non
cambiarla. Se vuole il cambio delle password è meglio mettere
almeno un mese. Scegliere un periodo più breve è
sconsigliato.
A volte se qualche spam bot si accanisce sul sito e sul forum phpbb3 è opportuno modificare temporaneamente il "Numero massimo di tentativi per login" perché utenti maliziosi potrebbero tentare tutte le password per poter entrare nel forum.
E' una buona idea modificare il nome
del cookie che viene inviato al browser, questo deve essere
fatto il prima possibile, perchè si potrebbero generare degli
errori. Buoni nomi potrebbero essere: forum_sco21, phpbbf_2310,
bb3forum_7295...
Se è possibile, è consigliato
abilitare l'invio di cookie sicuri che così passerebbero per
la rete cifrati.
Nella barra laterale nelle impostazioni server si
può scegliere di usare il protocollo http sicuro o criptato
(https://).
L'abilitazione per l'uso del
protocollo sicuro, tuttavia, dipende dalle proprietà dello
spazio web che ospita il forum phpbb3.
Sempre nella barra laterale
nelle impostazioni sicurezza possono essere modificate parecchie
voci.
Permettendo le connessioni automatiche
ogni volta che un utente si collega al sito verrà
automaticamente riconosciuto se nel browser che usa ha impostato il
cookie del forum. Nella seconda opzione è possibile indicare
quanto dura il riconoscimento automatico, lasciandolo a zero l'utente
viene riconosciuto solo durante il tempo prestabilito di una sessione
standard (1800 secondi in genere). E' opportuno per l'hardening
lasciare queste impostazioni così come sono.
Con la
"convalida sessione ip" è possibile scegliere quale
parte dell'indirizzo IP venga confrontata per controllare se un
utente ha delle autorizzazioni. Attivando tutto, l'intero indirizzo
ip (es. 192.168.10.200) viene controllato mentre "A.B.C"
vengono controllati solo i primo tre blocchi (es. 192.168.10.x).
Mentre indicando "Nessuno" non verrà fatto il
controllo dell'ip. Personalmente per maggior sicurezza sceglierei
"Tutto".
Le
successive due sono da lasciare così come sono perché
potrebbero esserci dei problemi.
Il "controllo IP tramite DNS
blackhole list" potrebbe rallentare il riconoscimento o
sbagliare e lasciare fuori utenti legittimi, quindi è meglio
attivarlo solo quando gli spam bot iniziano ad insistere.
Altra
cosa da fare è la difesa contro quegli utenti umani che
tentano di riempire il forum phpbb3 di messaggi spam.
E' opportuno cambiare il valore di
"limite tempo modifica" a 1 minuto, così se l'utente
ha sbagliato di scrivere qualcosa nel messaggio ha la possibilità
di correggere gli errori. L'intervallo di flood è quel tempo
minimo che deve passare dall'inserimento di un messaggio all'altro.
E' importante lasciare qualche secondo perché altrimenti si
potrebbero verificare inserimenti di messaggi duplicati, ma non
esagerare, il tempo indicato è sufficiente.
Abbastanza
utile è indicare un numero massimo di caratteri per evitare
che ci siano problemi col database o messaggi troppo lunghi.
Gli allegati potenzialmente potrebbero
contenere virus, per questo è importante fare attenzione. Se
non sono necessari sul forum, vanno disabilitati.
Certi utenti
potrebbero iscriversi al forum phpbb3 usando un e-mail temporanea
nella quale riceveranno la conferma per l'iscrizione, l'e-mail
temporanea dopo il tempo di scadenza diventa inutilizzabile, perciò
tutte i messaggi inviati non saranno letti. Per questo motivo è
opportuno disabilitare certi indirizzi di posta elettronica.
Nella
barra laterale in "Ban e-mail" indicare gli indirizzi che
non si vogliono accettare.
Se si vogliono escludere indirizzi di
posta di yahoo.it si può inserire *@yahoo.it, mentre se si
vogliono escludere quelli cinesi si può mettere *@*.cn
La
stessa cosa si può fare con determinati indirizzi ip, magari
quelli dei principali spammer.
Realizzata da
Valent
http://valent-blog.eu
