Вот пришлось накатать простыню на этот вопрос, поэтому сохраню её...
- Убедитесь что используете последнюю версию движка (или ветки движка). Следите за обновлениями. Если выявляются особенно критические уязвимости - выпускают специально отдельные патчи.
- . Необходимо проверить и убедиться что на папки\файлы форума верно выставлены права (они же чмоды)
права 777 должны быть только для папок где хранятся аватары, картинки и др. файлы загружаемые пользователями ну и возможно ещё на папки некоторых хаков, где это необходимо. На остальные папки должны быть права 755 на файлы 644 (кроме тех которые оговорены в инструкции по установку движка или инструкциях хаков.)
- . Необходимо убедиться что удалена папка install
- . Необходимо убедиться, что на базу данных, фтп-доступ и на админку форума установлены надёжные пароли (РАЗНЫЕ! не менее 8 символов и состоящие из больших и маленьких букв, цифр и знаков типа @!_ #$, при этом больше их нигде не использовать) а так же достаточно наёжные пароли у модераторов. Можно дополнительно запоролить админку с помощью .htacceess - при заходе в неё будет требовать ввести ещё один пароль. Так же желательно переименовать папки admincp и modcp (после переименования прописать новые названиея в config.php)
- . Нельзя не уделить внимание e-mail адресу который будет указан как адрес администратора. (и дать соответствующие установки модераторам) - этот e-mail желательно иметь на хорошем почтовом сервисе типа gmail.com или непосредственно созданном на хостинге, на домене сайта, типа vashmail@vashsite.ru И так же установить на него достаточно хороший пароль и не использовать для других целей (регистрациях на каких-нибудь сайтах\форумах и прочем.)
- . На форуме не рекомендуется разрешать пользователям использование HTML, вставку flash А так же желательно запретить загрузку файлов с компа только что зарегистрированным пользователям. Желательно создать дополнительную группу пользователей в которую переводить написавших 7-15 сообщений и им уже разрешить больше возможностей.
- . Желательно у себя на компе иметь хороший обновляемый антивирус и файерволл (сейчас большинство так же комбинирует это в одной программе) и быть внимательным. Т.к. если у злоумышленников не получается пробиться через форум. они могут воспользоваться социальной инженерией и попытаться подсунуть хитрый троян админу - поэтому с большой осторожностью тыкать по ссылкам от незнакомых людей и уж тем более получать и открывать сомнительные файлы даже если там обещают очень красивые сиськи. Впрочем это может быть и вполне солидное письмо с предложением сотрудничества или размещения рекламы, или заявлением что такой-то материал на форуме нарушает авторские права и ссылкой вроде как на сайт где представлен оригинал. Обращайте внимание на адрес ссылки, особенно если он дан очень длинный с кучей непонятных символов, или тем более ведёт на файл.
-. Можно создать для себя 2 аккаунта. Одному дать администраторские права и с помощью него ходить только в админку, не оставляя сообщений на форуме. (и лучше делать это в другом, не основном браузере) а вторым с правами супермодератора общаться на форуме.
Так же это касается и ссылок оставляемых самими пользователями.
- . Не ставить на форум лишних хаков без необходимости, или ставить их по крайней мере с vbsupport (ну или может есть ещё какой надёжный украинский форум по вбюллетин) - обычно если хак представляет угрозу - это достаточно быстро обнаружат и сообщат.
- Убедитесь что используете последнюю версию движка (или ветки движка). Следите за обновлениями. Если выявляются особенно критические уязвимости - выпускают специально отдельные патчи.
- . Необходимо проверить и убедиться что на папки\файлы форума верно выставлены права (они же чмоды)
права 777 должны быть только для папок где хранятся аватары, картинки и др. файлы загружаемые пользователями ну и возможно ещё на папки некоторых хаков, где это необходимо. На остальные папки должны быть права 755 на файлы 644 (кроме тех которые оговорены в инструкции по установку движка или инструкциях хаков.)
- . Необходимо убедиться что удалена папка install
- . Необходимо убедиться, что на базу данных, фтп-доступ и на админку форума установлены надёжные пароли (РАЗНЫЕ! не менее 8 символов и состоящие из больших и маленьких букв, цифр и знаков типа @!_ #$, при этом больше их нигде не использовать) а так же достаточно наёжные пароли у модераторов. Можно дополнительно запоролить админку с помощью .htacceess - при заходе в неё будет требовать ввести ещё один пароль. Так же желательно переименовать папки admincp и modcp (после переименования прописать новые названиея в config.php)
- . Нельзя не уделить внимание e-mail адресу который будет указан как адрес администратора. (и дать соответствующие установки модераторам) - этот e-mail желательно иметь на хорошем почтовом сервисе типа gmail.com или непосредственно созданном на хостинге, на домене сайта, типа vashmail@vashsite.ru И так же установить на него достаточно хороший пароль и не использовать для других целей (регистрациях на каких-нибудь сайтах\форумах и прочем.)
- . На форуме не рекомендуется разрешать пользователям использование HTML, вставку flash А так же желательно запретить загрузку файлов с компа только что зарегистрированным пользователям. Желательно создать дополнительную группу пользователей в которую переводить написавших 7-15 сообщений и им уже разрешить больше возможностей.
- . Желательно у себя на компе иметь хороший обновляемый антивирус и файерволл (сейчас большинство так же комбинирует это в одной программе) и быть внимательным. Т.к. если у злоумышленников не получается пробиться через форум. они могут воспользоваться социальной инженерией и попытаться подсунуть хитрый троян админу - поэтому с большой осторожностью тыкать по ссылкам от незнакомых людей и уж тем более получать и открывать сомнительные файлы даже если там обещают очень красивые сиськи. Впрочем это может быть и вполне солидное письмо с предложением сотрудничества или размещения рекламы, или заявлением что такой-то материал на форуме нарушает авторские права и ссылкой вроде как на сайт где представлен оригинал. Обращайте внимание на адрес ссылки, особенно если он дан очень длинный с кучей непонятных символов, или тем более ведёт на файл.
-. Можно создать для себя 2 аккаунта. Одному дать администраторские права и с помощью него ходить только в админку, не оставляя сообщений на форуме. (и лучше делать это в другом, не основном браузере) а вторым с правами супермодератора общаться на форуме.
Так же это касается и ссылок оставляемых самими пользователями.
- . Не ставить на форум лишних хаков без необходимости, или ставить их по крайней мере с vbsupport (ну или может есть ещё какой надёжный украинский форум по вбюллетин) - обычно если хак представляет угрозу - это достаточно быстро обнаружат и сообщат.
- . регулярно - хотябы раз в одну-две недели делать бекап базы форума
ну а от ДДоса к сожалению лекарств ещё не придумали - тут больше зависит от хостера - способности его каналов и качества оборудования
