Tăng Cường Bảo Mật AdminCP Cho XenForo

Chào các bạn, hôm nay mình sẽ hướng dẫn các bạn về bảo mật trang admin.php của XenForo. Các bạn có thể chọn các phần theo nhu cầu bảo mật của mình sao cho tiện lợi nhất.
Phần 1: Thay đổi địa chỉ trang quản lí admin (Mặc định trang quản lí của bạn là http://tenwebsiteban/admin.php).
- Vào host đổi tên file admin.php thành tên bạn muốn (ví dụ: vietxfdotorg.php).
- Mở file: library/XenForo/Link.php. Tìm đoạn code sau:
public static function buildAdminLink($type, $data = null, array $extraParams = array())
{
$type = self::_checkForFullLink($type, $fullLink, $fullLinkPrefix);
 
$link = self::_buildLink('admin', $type, $data, $extraParams);
$queryString = self::buildQueryString($extraParams);
 
if ($queryString !== '' && $link !== '')
{
$append = $link . '&' . $queryString;
}
else
{
// 1 or neither of these has content
$append = $link . $queryString;
}
 
if (($hashPos = strpos($type, '#')) !== false)
{
$append .= substr($type, $hashPos);
}
 
$outputLink = 'admin.php' . ($append !== '' ? '?' : '') . $append;
if ($fullLink)
{
$outputLink = $fullLinkPrefix . $outputLink;
}
 
return $outputLink;
}

Thay admin.php bằng tên file mà bạn vừa đổi.
Ví dụ:
$outputLink = 'vhb.php' . ($append !== '' ? '?' : '') . $append;
- Mở template moderator_bar tìm đoạn code sau:
{xen:phrase admin_control_panel}

{xen:phrase permissions_from_x, 'name={$session.permissionTest.username}'}
Thay admin.php bằng tên file mà bạn vừa đổi.
Ví dụ:
{xen:phrase admin_control_panel}
Phần 2: Tạo thêm 1 lần đăng nhập trước khi vào AdminCP.
- Mở file admin.php (hoặc file mà bạn vừa đổi tên) thêm vào sau:
$config['user_vietxforg'] = 'yourusername';
$config['pass_vietxforg'] = 'yourpassword';
if ($_SERVER['PHP_AUTH_USER'] != $config['user_vietxforg'] || $_SERVER['PHP_AUTH_PW'] != $config['pass_vietxforg']){
header('WWW-Authenticate: Basic realm="Xin vui long khai bao thong tin yeu cau truoc khi duoc chuyen den bang dang nhap"');
header('HTTP/1.0 401 Unauthorized');
//Trang sẽ hiển thị khi thông tin khai báo sai. (support HTML).
echo '
Access Denied!!!
';
exit;
}
Phần 3: Tạo 1 file admin.php ảo để đánh lừa hacker.
- Sau khi hoàn thành bước 1 file admin.php thật sẽ được thay đổi. Bạn có thể tạo ra 1 file admin.php ảo có nội dung như sau:
Phần 4: Bảo vệ file admin.php thật (file mà bạn đã đổi tên) bằng .htaccess. Mình sẽ nói qua về phần này,
- Mở file .htaccess (ngang hàng với index.php) thêm vào đoạn code sau:
RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_HOST} !^12.34.56.78
RewriteCond %{REQUEST_URI} !/index.php$
RewriteRule .* /index.php [R=302,L]
Thay 12.34.56.78 bằng IP của bạn (Tác dụng của việc này là chỉ cho phép IP của bạn có thể truy cập vào AdminCP). Để biết được IP của bạn các bạn vào http://whoer.net
Share on Google Plus

About Vo Uu

Tác Giả là người chuyên nghiên cứu về các kỹ thuật hacking, security, marketing, là người có góc nhìn lạ và đi sâu vấn đề cũng như là một con người thẳng thắn góp ý. Nếu sử dụng bài trên blog mong các bạn dẫn lại nguồn tác giả!!! Tác Giả rất mong có sự đóng góp hội ý từ cộng đồng để cho an toàn an ninh mạng việt nam ngày càng được an toàn hơn!!

0 nhận xét:

Post a Comment