Tăng cường bảo mật admincp cho xenforo

[Admin]

Chào các bạn, hôm nay mình sẽ hướng dẫn các bạn về bảo mật trang admin.php của XenForo. Các bạn có thể chọn các phần theo nhu cầu bảo mật của mình sao cho tiện lợi nhất.

Phần 1: Thay đổi địa chỉ trang quản lí admin (Mặc định trang quản lí của bạn là http://tenwebsiteban/admin.php).
- Vào host đổi tên file admin.php thành tên bạn muốn (ví dụ: tuoitrevndotbiz.php).
- Mở file: library/XenForo/Link.php. Tìm đoạn code sau:

public static function buildAdminLink($type, $data = null, array $extraParams = array())
{
$type = self::_checkForFullLink($type, $fullLink, $fullLinkPrefix);

$link = self::_buildLink('admin', $type, $data, $extraParams);
$queryString = self::buildQueryString($extraParams);

if ($queryString !== '' && $link !== '')
{
$append = $link . '&' . $queryString;
}
else
{
// 1 or neither of these has content
$append = $link . $queryString;
}

if (($hashPos = strpos($type, '#')) !== false)
{
$append .= substr($type, $hashPos);
}

$outputLink = 'admin.php' . ($append !== '' ? '?' : '') . $append;
if ($fullLink)
{
$outputLink = $fullLinkPrefix . $outputLink;
}

return $outputLink;
}

- Thay admin.php bằng tên file mà bạn vừa đổi.
Ví dụ:

$outputLink = 'tuoitrevndotbiz.php' . ($append !== '' ? '?' : '') . $append;

- Mở template moderator_bar tìm đoạn code sau:

<xen:if is="{$visitor.is_admin}">   
                <a href="admin.php" class="acp adminLink"><span class="itemLabel">{xen:phrase admin_control_panel}</span></a>
       
                <xen:if is="{$session.permissionTest}">
                    <a href="{xen:link misc/reset-permissions}" class="permissionTest adminLink OverlayTrigger">
                        <span class="itemLabel">{xen:phrase permissions_from_x, 'name={$session.permissionTest.username}'}</span>
                    </a>
                </xen:if>
            </xen:if>

- Thay admin.php bằng tên file mà bạn vừa đổi.
Ví dụ:

 <a href="tuoitrevndotbiz.php" class="acp adminLink"><span class="itemLabel">{xen:phrase admin_control_panel}</span></a>

Phần 2: Tạo thêm 1 lần đăng nhập trước khi vào AdminCP.
- Mở file admin.php (hoặc file mà bạn vừa đổi tên) thêm vào sau:

<?php

Đoạn code sau:

//Dang nhap vao admincp
$config['user_tuoitrevnbiz'] = 'yourusername';
$config['pass_tuoitrevnbiz'] = 'yourpassword';

if ($_SERVER['PHP_AUTH_USER'] != $config['user_tuoitrevnbiz'] || $_SERVER['PHP_AUTH_PW'] != $config['pass_tuoitrevnbiz']){
header('WWW-Authenticate: Basic realm="Xin vui long khai bao thong tin yeu cau truoc khi duoc chuyen den bang dang nhap"');
header('HTTP/1.0 401 Unauthorized');

//Trang sẽ hiển thị khi thông tin khai báo sai. (support HTML).
echo '<center>Access Denied!!!</center>';
exit;
}

Phần 3: Tạo 1 file admin.php ảo để đánh lừa hacker.
- Sau khi hoàn thành bước 1 file admin.php thật sẽ được thay đổi. Bạn có thể tạo ra 1 file admin.php ảo có nội dung như sau:

<?php
header('WWW-Authenticate: Basic realm="Welcome to tuoitreit.vn Admin CP"');
header('Refresh: 3; url=http://tuoitreit.vn');
print 'Wrong data. You will be redirected in 3 seconds';
?>

Phần 4: Bảo vệ file admin.php thật (file mà bạn đã đổi tên) bằng .htaccess. Mình sẽ nói qua về phần này
- Mở file .htaccess (ngang hàng với index.php) thêm vào đoạn code sau:

<Files admin.php>
RewriteEngine On
RewriteBase /
RewriteCond %{REMOTE_HOST} !^12.34.56.78
RewriteCond %{REQUEST_URI} !/index.php$
RewriteRule .* /index.php [R=302,L]
</Files>

Thay 12.34.56.78 bằng IP của bạn (Tác dụng của việc này là chỉ cho phép IP của bạn có thể truy cập vào AdminCP). Để biết được IP của bạn các bạn vào http://whoer.net
Done ! Tuts by Alucar (VietXF.ORG)

Nguồn: VIETXF