Il existe 4 étapes pour sécuriser votre site. Si vous ne les suivez pas ou ne les suivez pas dans le bon ordre, vous êtes susceptible d'être piraté de nouveau.

Fermer la faille en 3 sous-étapes.

  1. Supprimer votre dossier /install/
  2. Vérifiez vos administrateurs et supprimez ceux qui ne doivent pas en faire parti. Ne les excluez pas. N'en faites pas des utilisateurs simples. Supprimez-les
  3. Fermez l'accès du Logiciel d'Administration avec un fichier .htaccess. Utilisez soit une identification avec un identifiant et mot de passe différent ou avec une restriction d'adresse IP

Combler la faille en 7 sous-étapes.

  1. Vérifiez vos fichiers si elles ont subies des modifications. Vous pouvez le faire dans Maintenance > Diagnostics
  2. Supprimez tous les fichiers suspects
  3. Remplacez tous les fichiers indiquant « Ce fichier ne contient pas le contenu attendu »
  4. Scannez vos modules si ils contiennent du code malicieux (exec, base64, system, pass_thru, iframe sont des mots suspectés). Supprimez tout ce que vous pouvez trouver
  5. Réparez vos modèles. Tous les modèles qui n'ont pas de notes sur les modifications apportées, vous devez les réinitialiser. Si vous utilisez un style personnalisé, il est préférable de supprimez votre style existant et d'en installer une nouvelle copie fraîchement téléchargée
  6. Mettez à jour les produits installés
  7. Régénérez le contenu de la table « datastore ». Vous pouvez utiliser le fichier tools.php qui se trouve dans le dossier « do_not_upload ». Placez-le dans le dossier du Logiciel d'Administration et supprimez-le une fois terminé

Sécuriser la faille

Tout ce qui suit a été fait ci-dessus mais certaines choses restent à faire :

  1. Conservez des notes sur toutes les modifications que vous effectuez sur le système - quels modèles et expressions vous modifiez, quels fichiers appartiennent à quel produit, quels modules chaque produit installe
  2. Utilisez un super administrateur différent qui a accès aux journaux dans le Logiciel d'Administration. Il devrait y avoir qu'un seul super admin
  3. Créez un administrateur avec moins de permissions pour une utilisation quotidienne
  4. Révisez les permissions dans le système
  5. Bloquez tout accès aux dossiers « includes », « modcp », « packages » et « vb » avec des fichiers .htaccess. « Deny All » peut fonctionner, sauf si vous utilisez le Logiciel de Modération. Vous devrez placer une identification supplémentaire ici.
  6. Déplacez vos pièces jointes en dehors de dossier du forum
  7. Effectuez une sauvegarde complète de votre site. Faites-le toutes les semaines

Vigilance

Vous devez rester actif sur la sécurité de votre site :

  1. Donnez le minimum de permissions pour chacun
  2. Soyez certain que votre hébergeur met à jour les logiciels de votre serveur web
  3. Mettez-vous à jour à la dernière version de vBulletin une fois disponible
  4. Soyez certain de toujours avoir vos produits à jour