Wie kann ich mein MyBB absichern? - Doku

Wie kann ich mein MyBB absichern?

Es gibt verschiedene Mittel mit denen Sie Ihr Forum soweit wie möglich absichern können. Das bedeutet nicht, dass Ihr Forum in der Standardkonfiguration unsicher ist, aber Vorsicht ist besser als Nachsicht.

MyBB auf dem aktuellen Stand halten

Setzen Sie immer die aktuelle Version der Forensoftware ein; Sicherheitsaktualisierungen werden nicht ohne Grund herausgegeben. Sie haben im Admin-CP die Möglichkeit nach einer neuen Version zu suchen und sich die letzten Ankündigungen anzusehen. Klicken Sie dazu im Admin-CP in der Navigation auf den Link „Versions-Check“.

Je nach Serverkonfiguration kann es sein, dass Ihnen dieses Feature nicht zur Verfügung steht und Sie eine Fehlermeldung erhalten. Sie haben die Möglichkeit unseren Newsfeed und/oder unseren Newsletter zu abonnieren. Dadurch werden Sie bei der Veröffentlichung einer neuen Version des MyBB zeitnah informiert.

„admin“-Ordner umbenennen und/oder zusätzlich schützen

Standardmäßig wird das Admin-CP durch Benutzername und Kennwort hinreichend geschützt. Sie können aber auch die Anzeige des Login-Formulars für andere Benutzer unterbinden. Dazu gibt es mehrere Möglichkeiten:

Sie können den Ordner „admin“ beliebig umbenennen. Damit wird es potenziellen Angreifern stark erschwert, den Zugang zu erreichen. Sie müsen den Namen des Ordners zusätzlich in der Datei inc/config.php in der folgenden Zeile ändern, damit die Links im Forum korrekt sind:
```
$config['admin_dir'] = 'admin';
```
Bitte beachten Sie bei dieser Methode, dass bei einem Update die Dateien in den umbenannten Ordner hochgeladen werden müssen.
Sie können den Zugang zum Ordner „admin“ per .htaccess-Datei schützen. Wählen Sie ein anderes Passwort und einen anderen Benutzernamen als im Forum. Am besten geeignet sind Passwörter aus zufällig aneinandergereihten Zahlen und Buchstaben. Viele Hoster bieten die Möglichkeit des Verzeichnisschutzes in Ihrem Kundenbereich an. Zudem finden Sie auch .htaccess-Generatoren im Internet.
Sie können den Zugang zum Ordner „admin“ mit einer Pin zusätzlich schützen. Diese Pin ist für alle Administrationen gleich und wird bei jedem Anmelden im Admin-Bereich zusätzlich zu den Login-Daten abgefragt. Fügen Sie dazu in der Datei „inc/config.php“ bei „$config['secret_pin']“ ein sicheres Passwort hinzu:
```
$config['secret_pin'] = 'RANDOM-VALUE-HERE';
```
Jeder Administrator kann die Zwei-Faktor-Authentisierung aktivieren. Dabei wird beim Anmelden zusätzlich ein Code abgefragt, der mit einer App (z.B. Google Authenticator) auf dem Smartphone generiert wird.

Natürlich können Sie auch mehrere Maßnahmen kombinieren, um maximalen Schutz zu erreichen.

Transportverschlüsselung (HTTPS) aktivieren

Um die Verbindung zwischen Besucher und Server zu abzusichern, sollten Sie HTTPS verwenden. Dies können Sie meist in der Verwaltungsoberfläche Ihres Hosters aktivieren, ersetzen Sie anschließenden unter Admin-CP -> Konfiguration -> Foreneinstellungen -> Seiten-Details -> Foren-URL „http://“ durch „https://“. Weiterführende Informationen finden Sie in der englischsprachigen Dokumentation.

Ausgabe der Versionsnummer deaktivieren

Die Anzeige der Versionsnummer im Copyright im Footer ist standardmäßig bereits deaktiviert. Sollten Sie diese eingeschaltet haben ist es ratsam, dieses wieder rückgängig zu machen. Potenzielle Angreifer sehen sofort um welche Version des MyBB es sich handelt und könnten zudem über eine Suchmaschine gezielt danach suchen.

Die Einstellung finden Sie im Admin-CP -> Konfiguration -> Einstellungen -> Allgemeine Konfiguration -> Zeige Versionsnummer.

Regelmäßige Backups durchführen

Sichern Sie regelmäßig Ihre Datenbank und die Dateien auf dem Server. Sollte es einmal Probleme mit dem Forum geben, haben Sie so die Möglichkeit es wiederherzustellen. Die Datenbank können Sie im Admin-CP sichern oder über ein Tool Ihrer Wahl.

Tabellenpräfix ändern

Das Standardpräfix für Datenbanktabellen lautet „mybb_“. Potenzielle Angreifer verwenden in der Regel das Standardpräfix für die Einschleusung von Datenbankabfragen (SQL-Injektion). Ein abweichender Präfix erhöht deshalb auch die Sicherheit. Geben Sie bei der Installation einfach ein anderes Präfix an.

Sollte Ihr Forum bereits in Betrieb sein, können Sie das Präfix auch nachträglich ändern. Zunächst müssen Sie das Präfix in der Datei inc/config.php in folgender Zeile ändern:

$config['database']['table_prefix'] = 'mybb_';

Danach müssen Sie die Tabellen in der Datenbank umbenennen. Dazu ist es erforderlich, dass Sie für jede Tabelle in der Datenbank eine Datenbankabfrage (SQL-Query) ausführen. Die Syntax lautet wie folgt:

RENAME TABLE mybb_tabellenname TO neuerpräfix_tabellenname;

Für die Tabelle mybb_posts und das neue Präfix „meinforum_“ sähe die Abfrage so aus:

RENAME TABLE mybb_posts TO meinforum_posts;

Sicheres Passwort benutzen

Verwenden Sie (gerade als Administrator) ein sicheres Passwort. Dieses sollte sich nicht mit Ihnen in Verbindung bringen lassen (z.b. Geburtsdatum, Name des Haustiers, usw.) und bestenfalls aus zufälligen Zeichen und Ziffern bestehen.

Eine einfache Eselsbrücke für ein Passwort wäre beispielsweise ein Merksatz, aus dem Sie die Anfangsbuchstaben und Ziffern verwenden. Aus dem Satz "Ich habe gestern ganze 17 Minuten verschlafen und war deshalb 8 Minuten zu spät" ergäbe sich beispielsweise dieses Passwort: Ihgg17Mvuwd8Mzs.

Natürlich ist es auch für andere Zugänge wichtig (FTP, E-Mail, usw.) ein sicheres Passwort zu benutzen.

Serversoftware aktuell halten

Die sicherste Forensoftware nützt nichts, wenn veraltete Versionen des Apache, von PHP usw. eingesetzt werden. Häufig wurden Foren über Sicherheitslücken in der eingesetzten Serversoftware angegriffen. Sollten Sie feststellen, dass Ihr Hoster veraltete Software einsetzt, machen Sie ihn darauf aufmerksam. Auf einem eigenen Server sind Sie dafür verantwortlich die Software aktuell zu halten.