Foro PhpBB
- Juan Antonio Villalpando -

-- Tutorial de seguridad de PhpBB --

Volver al índice.

____________________________

- He puesto un foro PhpBB, este tipo de foro lleva mucho tiempo funcionando en internet, tiene problemas de SPAM, es decir, bot de rusia, holanda, china... lo atacan y crean usuarios y mensajes sin aprobación del Administrador.

- Voy a poner restricciones para ver si se puede logar cortar esos SPAM.

__________________________________________
- Aprobación del Registro de Usuario.

- Nuevo usuario Registrado, es aquél que ha enviado menos de 3 mensajes:

- PCA / General / Configuración de registro de usuario / Activación de cuenta y Límite de mensajes para nuevos usuarios

- Aquí vemos dos cosas importante, una que podemos hacer que la Activación de cuenta deba ser aprobada por el Administrador o bien por el mismo usuario a través de su email. Es conveniente que lo apruebe el mismo usuario a través de un correo que se le envía automáticamente, de esta manera el Administrador no tendrá que estar pendiente de registro de usuarios.

- El problema es que a veces falla el correo. No llegan. Debes hacer pruebas de esto.

- Otra cosa importante que observamos, la diferencia entre Usuario Registrado y Nuevo Usuario Registrado, los usuarios cuando se actívan son Nuevo Usuario Regristrado, cuando ya han enviado 3 Mensajes pasan a ser Usuarios Registrados. Esto se hace para ver si el Nuevo Usuario está enviando SPAM. Podemos hacer que los Nuevos Usuarios Registrados necesiten aprobación y que los Usuarios Registrados publiquen directamente.

- En vez de 3 Mensajes, con 1 Mensaje sería suficiente.

PCA / Usuarios y Grupos / Grupos / Administrar grupos / Nuevos Usuarios Registrados / Preferencias

__________________________________________
- Aprobación de los mensajes antes de su publicación.

- Vamos a un foro y lo vamos a configurar para que los mensaje necesiten aprobación de Administrador antes de su publicación.

- Es conveniente que al menos los Nuevos Usuarios Registrados no puedan publicar su mensaje directamente, sino que necesite la autorización del Administrador o un moderador. Cuando el usuario envie, 1, 2 o 3 mensajes según lo tengamos configurado, pasará a Usuario Registrado y podemos confiar que publique directamente sus mensajes sin necesitar aprobación.

- PCA / Foros / Permisos de foros / Elija un Foro.

- Primero le vamos a poner permismos a los Nuevos Usuarios Registrados.

- Pulsamos en Permisos avanzados.

- Hacemos que los Nuevos Usuarios Registrados necesiten aprobación cada vez que envía un mensaje.
- Hemos visto anteriormente que si manda más de 3 mensajes pasa a ser Usuario Registrado.

- De esta manera podemos controlar que los Nuevos Usuarios no sean SPAM.

- Hacemos los mismo con los Usuarios Registrados.

- Si el Usuario ya ha enviado más de 3 mensajes, es Usuario Registrado y podemos confiar en él. Podrá enviar mensaje sin necesidad que los aprobemos.

- Si al cabo del tiempo no nos gusta el mensaje enviado, se lo podemos borrar.

__________________________________________
- Pasar permisos de un foro a otro. Copiar los permisos de foro.

- Tenemos el Foro App inventor con sus permisos establecidos, queremos que el foro Basic4Android tenga los mismos permisos.

__________________________________________
- Enviar las Notificaciones al correo del Administrador.

- A veces los correos de notificaciones de los usuario no le llegan al Administrador.

- Panel de Control del Usuario / Preferencia de Foros / Editar opciones de Notificación.

- Marcamos que las notificaciones se envía al email.

__________________________________________
- Banear IP y correos.

- A veces quieren Registrarse en el foro correos con terminaciones conocidas, podemos banear esos correos.

- PCA / Usuarios y grupos / Seguridad de usuario / Excluir emails.

- Banear correos que sean de la forma XXXXXX@XXXXXXX.ru

_________________________________________
- Banear IP

- Banear las IP que comiencen por 188.143.

- Hay un servidor en San Petersburgo, Rusia que envía muchos SPAM mediante bot, lo podemos restringir de esta manera.

- Ver las IP asignadas a rusia.
- Ver las IP asignadas a ucrania.

______________________________
- Purgar usuarios.

- Si se han colado muchos usuarios que tiene 0 mensajes, los podemos borrar mediante Purgar usuarios.

___________________________________________________
- Restricción de IP a nuestro sitio web.

- Esto no lo hacemos en el foro Phpbb sino en nuestro hosting.

- Evitamos que IP rusas y ucranianas entren en nuestra web.

- Entramos en el Panel de control de nuestro hosting y ponemos el rango de IP que no queremos que entren en nuestra web.

Esto crea en el fichero .htacces del servidor:

Options -Indexes

<Files 403.shtml>
order allow,deny
allow from all
</Files>

deny from 31.184.0.1
deny from 31.184.0.2/3
...
__________________________________
- Bloquear bajadas de Httrack.

Si además ponemos en el archivo .htacces

SetEnvIfNoCase User-Agent ^Httrack keep_away

Y en robot.txt:

User-agent: HTTrack
Disallow: /
User-agent: HTTrack Website Copier
Disallow: /

- Evitaremos que HTTrack nos copie el sitio.

__________________________________
- Contador de visita en el foro phpBB.

Para poner un contador, vamos a

styles/prosilver/template/overall_footer.html

Refrescar la cache en Panel de control ACP del foro

__________________________________
- Cambiar textos en el foro phpBB.

- Vamos al archivo languaje/es/ucp.php con el Notepad++

- En Notepad++ le ponemos Codificación: Codificar UTF-8 sin BOM

- Mensaje de correos:

/raíz/language/es/email/user_welcome_inactive.txt

/raíz/language/es/email/user_welcome.txt

- Luego debemos ir a PCA / General / a la derecha hay un botón de "Limpiar la caché".

-----------------------------------

- Variables que pueden aparecer en el email: https://www.phpbb.com/community/viewtopic.php?f=71&t=571663

__________________________________
- No permitir que vean imágenes nuestras fuera de nuestro dominio.

- Seguridad / Protección de vínculo directo.

- Esto evita que vinculen nuestras imágenes desde otros dominios. Observar las estadísticas de Awstats que habrá muchos intentos de entrada a nuestras imágenes.

Protección de vínculo directo

La protección de vínculo directo impide que otros sitios web establezcan vínculos directamente con archivos (según se especifica a continuación) de su sitio web. Los otros sitios seguirán pudiendo vincular a cualquier tipo de archivo que no especifique a continuación (por ejemplo, archivos html). Un ejemplo de vinculación activa será utilizar una etiqueta <img> para mostrar una imagen del sitio desde otro lugar de la red. El resultado final es que el otro sitio está robando ancho de banda. Muestra todos los sitios a continuación desde los que desea permitir vínculos directos. El sistema intenta agregar a la lista todos los sitios que sabe que son de su propiedad, aunque si lo desea puede agregar otros.

La protección de vínculo directo está “habilitada” actualmente.

Configurar protección de vínculo directo:

URL para permitir acceso:

http://tudominio.com
http://www.tudominio.com

Bloquear acceso directo para las siguientes extensiones (separadas por comas):

jpg,jpeg,gif,png,bmp

Permitir solicitudes directas (por ejemplo, cuando escriba la dirección URL de una imagen en un navegador). NOTA : Debe marcar la casilla de verificación “Permitir solicitudes directas” al utiliza la protección contra HotLink en archivos que quiere que los visitantes vean en QuickTime (por ejemplo, usuarios de Mac).

__________________________________
- Ver de dónde son las IP.

Ver de donde es una IP, aunque en web como https://www.iplocation.net/ podemos ver la procedencia de una IP, con Atelier Web IP Locator podemos instalar un programa en nuestro ordenador para localizarla más cómodamente.

________________________________