Sikkerhet og drift av phpBB

Her finner du en komprimert, praktisk veiledning for å holde phpBB trygt i produksjon. Følg sjekklistene, dokumenter rutinene og test jevnlig.

Grunnprinsipper (sjekkliste)

• Hold kjerne, utvidelser og stiler oppdatert.
• Bruk HTTPS overalt (vurder HSTS).
• Sterke passord og (der mulig) tofaktor for admin/moderator.
• Backup av filer og database; test gjenoppretting.
• Anti-spam aktivert og riktig satt opp ved registrering.
• Rettighetsmodell: minst mulig privilegier, tydelige roller.
• Overvåk logger og ytelse; ha en enkel beredskapsplan.

Oppdateringer og endringskontroll

• Følg med på nye utgivelser. Oppdater først i staging.
• Dokumenter versjoner og endringer. Aktiver/oppdater én utvidelse om gangen.
• Planlegg utrulling utenfor rushtid og informer moderatorer.

Kontoer, autentisering og autorisasjon

• Unike, sterke passord. Deaktiver eller endre standardkontoer der det finnes.
• Aktiver tofaktor (via utvidelse) for administratorer/moderatorer.
• Bruk grupper og roller; unngå manuelle «one-off» rettigheter.
• Regelmessig gjennomgang av inaktive/forlatte kontoer.

HTTPS, HSTS og cookie-sikkerhet

• Bruk gyldig TLS-sertifikat på hele domenet.
• Vurder HSTS (preload kun når du forstår konsekvensene).
• Sett cookies til Secure, HttpOnly og passende SameSite.

Anti-spam og registrering

• Aktiver CAPTCHA og filtrering ved registrering.
• Vurder godkjenning av første innlegg for nye brukere.
• Begrens antall lenker/bilder for nye kontoer.
• Hold svartelister/regelsett oppdatert (ord/IP der relevant).

Tillatelser og moderering

• Minst mulig privilegier: gi bare nødvendige rettigheter.
• Bruk egne moderatorfora for dokumentasjon av tiltak/avgjørelser.
• Revider rettigheter etter endringer i teamet.

Backup og gjenoppretting

• Automatiser daglig databasebackup og ukentlig filbackup.
• Oppbevar kopier off-site og kryptert.
• Test gjenoppretting kvartalsvis (inkl. vedlegg og bilder).

Overvåkning og logger

• Aktiver web-/PHP-logger og kontroller dem jevnlig.
• Følg med på påloggingsfeil, 403/404-mønstre og uvanlige «spikes».
• Få varsel ved høy feilrate eller ekstraordinær ressursbruk.

Server-herding og driftsmiljø

• Oppdater OS og pakker. Deaktiver unødvendige tjenester.
• Rettigheter: 644 for filer / 755 for mapper (typisk delt hosting).
• PHP OPcache aktivert; begrens farlige funksjoner der mulig.
• Separat skrive-område for cache/, files/, store/, images/avatars/upload/.

Utvidelser og stil-hygiene

• Bruk vedlikeholdte utvidelser fra pålitelige kilder.
• Fjern det du ikke bruker; færre utvidelser = lavere risiko.
• Oppdater stiler; test mot standardtema ved feil for å isolere årsaken.

Hendelseshåndtering (enkelt rammeverk)

• Oppdag: Logger, varsler, brukerrapporter.
• Innehold: Sett forum i «vedlikehold» ved behov; midlertidig steng registrering.
• Utrede: Sjekk endringer, utvidelser, nylige deploys.
• Utbedre: Rull tilbake, patch, roter nøkler/passord.
• Lær: Skriv post-mortem, oppdater rutiner.

Personvern og GDPR (kort)

• Ha oppdatert personvernerklæring og cookie-beskrivelse.
• Definer behandlingsgrunnlag; dataminimering og lagringsbegrensning.
• Håndter forespørsler om innsyn, retting og sletting.
• Databehandleravtaler med hosting/e-posttjenester der det kreves.

Bot-vern, rate limiting og WAF

• Aktiver grunnleggende bot-vern (robots.txt/anti-spam-tiltak).
• Vurder rate limiting på innloggings-/registreringsendepunkter.
• Edge-tjenester/WAF kan blokkere kjente angrepsmønstre.

Vanlige problemer (hurtig feilsøk)

• Blank side/500: Sjekk PHP-logg. Rull tilbake siste endring (kjerne/utvidelse/stil).
• Innloggingssløyfe: Kontroller cookie-domene/sti og konsistent HTTPS/URL.
• Spam-bølge: Stram inn registrering, øk CAPTCHA, moderér første innlegg.
• Tregt forum: OPcache, fjern tunge utvidelser, reindekser søk, optimaliser DB.

Neste steg: Ytelse · Backup · Feilsøking · GDPR

Juridisk: phpBB™ er et varemerke som tilhører phpBB Limited. Denne siden er en uoffisiell fan-side og er ikke tilknyttet, sponset eller godkjent av phpBB Limited.