امنیت whmcs

[Z.eus]

امنیت whmcs – بخش اول

اسکریپت WHMCS اسکریپتی قدرتمند و محبوب است برای شرکت های میزبانی وب از جمله خود ما!که با توجه به محبوبیت آن، بحث امنیت whmcs نیز مطرح میگردد.
در این مطلب قصد داریم کمی در مورد امنیت whmcs و روش ها امن سازی آن صحبت کنیم.
با ما در سرور ساز همراه باشید..



خب، مورد اولی که باید همینجا خدمتتون عرض کنم اینکه همیشه باید اسکریپت ها، پلاگین ها و هر آنچه که برای سایتتون ازش استفاده میکنید رو آپدیت و بروز نگهدارید. چرا که در آپدیت هایی که منتشر میشه معمولا مشکلات و باگ های امنیتی برطرف و قابلیت های جدیدی اضافه و یا ویژگی های فعلی بهینه و بهتر میشوند.



امنیت whmcs

خب در ادامه چند مرحله رو ذکر میکنیم که حتما یا حداقل بهتره که انجام بدید.
۱. انتقال چهار فولدر یا پوشه

در این مرحله شما باید چهار فولدر اعم از: “attachments” ، “downloads”,“templates_c” و crons رو به قبل از فایل public_html منتقل کنید.
وقتی که این ۴ فایل رو به قبل از پوشه public_htmlتون منتقل کردید، باید مسیر های جدید این ۴ فولدر رو در فایل configuration.php مشخص کنید.
خب برای اینکار، از طریق قسمت فایل منیجر هاستتون و یا بوسیله ftp با اکانتتون به سرور متصل بشید. و فایل configuration.php را باز کنید.
در آخرین خط، قبل از اینکه تگ php بسته شود، یعنی قبل از ?> این مقادیر را وارد کنید:

کد:

$attachments_dir = "/home/serversaz/attachments/";
$downloads_dir = "/home/serversaz/downloads/";
$templates_compiledir = "/home/serversaz/templates_c/";

#: به جای serversaz نام یوزر هاست خودتون رو بنویسید.

خب تا اینجا ۳ تا از فایل ها ردیف شدند! می مونه فایل crons که یکم باهاش کار داریم!
بعد از اینکه فایل crons رو به قبل از public_html منتقل کردید، دو تا تغییر باید انجام بدید.

الف. مشخص کردن مسیر نصب whmcs رو برای cron

برای اینکار فایل config.php را از فولدر یا پوشه crons باز و ویرایش کنید.
و این عبارت رو وارد کنید:

کد:

$whmcspath = '/home/serversaz/public_html/whmcs/';

اگر این عبارت کامنت شده، یعنی # اولش هست، # رو حذف کنید و از کامنت در بیارید.
به جای serversaz نام یوزر خودتون رو بنویسید.
و به جای whmcs مسیر نصب whmcs رو بنویسید.

ب. مشخص کردن مسیر crons برای whmcs

به محل نصب whmcs رفته و فایل configuration.php باز کنید.
این عبارت رو در خط آخر، قبل از بسته شدن php وارد کنید:

کد:

$crons_dir = '/home/serversaz/crons/';

به جای serversaz نام یوزر خودتون رو وارد کنید.
از درستی مسیر هایی که وارد کردید مطمئن بشید.


نکته مهم:

اگر قبلا کرون رو تظیم کرده بودید (در cronjob) باید مسیر قبلی رو طبق تغییراتی که اعمال کردید، آپدیت و بروز رسانی کنید.

خب جهت طولانی نشدن مطلب به پایان قسمت اول «امن سازی whmcs» رسیدیم، بخش دوم آموزش را میتوانید در سرور ساز مطالعه نمایید.

- - - Updated - - -

امنیت whmcs – بخش دوم


در این مطلب به بخش دوم مبحث امنیت whmcs می‌پردازیم در صورتی که بخش اول امنیت whmcs را مطالعه نکردید، امنیت whmcs – بخش اول.
خب در این مبحث به موارد دیگر امنیت whmcs می پردازیم و مرحله به مرحله پیش می‌ رویم.

۱. تغییر نام فولدر ادمین whmcs

با تغییر نام فولدر admin میتوانید پیدا شدن آن فولدر توسط هکر ها را سخت تر کنید. برای این منظور فایل configuration.php را باز کنید و این خط را وارد نمایید:

کد:

$customadminpath = "ss-admin";

به جای ss-admin نام دلخواه خود را میتوانید جایگزین کنید.

و فولدر admin را به نام انتخابی رینیم (Re-Name) کنید.

۲. محدود کردن دسترسی قسمت مدیریت به آیپی خاص

برای اینکه امنیت قسمت مدیریت whmcs را افزایش دهید میتوانید فایل .htaccess را داخل پوشه ادمین یا هر اسمی که در مرحله قبل برای آن انتخاب کردید بسازید و آیپی های مجاز و یا به عبارت دیگر آیپی های پشتیبان ها و مدیران را درون آن قرار دهید.
در این روش آیپی های استاتیک و ثایت را درون فایل قرار می دهیم

کد:

order deny,allow
allow from 1.2.3.4
allow from 4.4.4.4
deny from all

دقت داشته باشید که بجای ۱.۲.۳.۴ و ۴.۴.۴.۴ آیپی های ثابت خود را وارد کنید. نکته۲: به هر تعداد که خواستید میتوانید از allow from IPADDRESS استفاده کنید و به جای IPADDRESS آیپی مد نظر خود را بگذارید.

سوال: اگر از آیپی های دینامیک یا متغییر استفاده کنیم، چه باید کرد؟
جواب : خب در اینصورت باید رنج ISP تون رو بهش اجازه‌ی دسترسی بدید.
مثلا میتونید از ساب نت استفاده کنید برای مثال :

کد:

Allow from 10.0.0.0/24

که این دستور به این معناست که تمام ایپی های بین ۱۰.۰.۰.۰ تا ۱۰.۰.۰.۲۵۵ را فعال میکند.

روش دوم هم به این صورت هست:

کد:

Allow from 122.70.89

که به آیپی های بین ۱۲۲.۷۰.۸۹ تا ۱۲۲.۷۰.۸۹.۲۵۵ اجازه‌ی دسترسی میدهد.

۳. انتخاب رمز و پسورد پیچیده

کاملا روشن است که تمامی پسورد های شما باید ترکیبی از حروف، اعداد، علائم و.. با تعداد کاراکتر های بالا باشند تا احتمال حدس زده شدن آن و لاگین شدن توسط روش هایی مثل بروت فورس و.. به حداقل برسد.

۴. بکاپ گیری

بکاپ گیری یک کلید و فاکتور اساسی و مهم است چرا که در صورت بروز هرگونه مشکل، شما یک نسخه پشتیبان دارید

جهت طولانی نشدن مطلب، به پایان بخش دوم از مجموعه مباحث امنیت whmcs رسیدیم.

شما میتوانید قسمت سوم از این آموزش را در بلاگ سرور ساز مطالعه نمایید.

- - - Updated - - -
امنیت whmcs – بخش سوم


در قسمت سوم از مجموعه آموزش های امنیت whmcs، به ذکر نکات تکمیلی میپردازیم. لازم به ذکر است که اگر اولین بار است این مطلب را مشاهده می نمایید، ابتدا قسمت های اول و دوم را مطالعه نمایید.
با سرورساز همراه باشید..



۱. افزایش امنیت whmc با پسورد گذاشتن روی پوشه ادمین

گذاشتن یک لایه دیگر امنیتی بر روی فولدر ادمین whmcs یکی از راه های دیگرِ افزایش امنیت whmcs است.
این کار را میتوان با .htaccess انجام داد. اکثر کاربران که از سی پنل و یا دایرکت ادمین استفاده می نمایند، میتوانند از قسمتی که بصورت مجزا برای اینکار تعبیه شده است استفاده نمایند.
در سی پنل آپشنی به نام Password Protect Directories برای این کار وجود دارد و همچنین در دایرکت ادمین میتوانید از گزینه Protect که در کنار نام پوشه نمایش داده میشود، استفاده نمایید.
در این مرحله باید از یک یوزر و پسورد استفاده نمایید. بهتر است از عبارت های پیچیده‌تر استفاده شود و به عبارت های ساده اکتفا نشود.

cpanel-permissions.png

۲. تغییر دسترسی فایل configuration.php

دسترسی و پرمیشن فایل configuration.php را روی ۴۰۰ تنظیم نمایید.

کد:

 /configuration.php CHMOD 400 Readable

در کنترل پنل دایرکت ادمین، به محلی که whmcs را نصب کرده‌اید بروید و فایل configuration.php را انتخاب نمایید و در پایین صفحه مقدار ۴۰۰ را وارد و بر روی گزینه set Permission کلیک نمایید تا دسترسی فایل configuration.php به ۴۰۰ تغییر یابد.
برای کنترل پنل cPanel نیز شیوه‌ی کار مشابه است.


protect-tpl-files.png
۳. جلوگیری از سرقت قالب سایت

یکی از آسان‌ترین راه هایی که قالب های whmcs ***یده می شوند دانلود شدن فایل های tpl است.
برای جلوگیری از دانلود شدن فایل های tpl ، کد های زیر را در فایل .htaccess قرار دهید‌ :

کد:

<Files ~ "\.tpl$">
Order allow,deny
Deny from all
</Files>

personal-coputer-security-serversaz.jpg

۴. امنیت رایانه شخصی

به عنوان آخرین نکته از مجموعه مطالب «افزایش امنیت whmcs» میتوان به تامین امنیت رایانه شخصی اشاره نمود. البته در این قسمت موارد زیادی مطرح است که از گنجایش این مطلب خارج است ولی کلی‌ترین مواردی که میتوان به آنها اشاره کرد این موارد هستند:

• استفاده از یک آنتی ویروس (اگر از سیستم عامل ویندوز استفاده میکنید)
• کنترل ورودی ها و خروجی های سیستم
• آپدیت نگهداشتن سیستم
• رمزنگاری پوشه های مهم
• و..

شایان ذکر است همانطور که پیش تر عرض شد، موارد زیادی هستند که در زمینه امنیت سیستم های شخصی باید به آن ها پرداخت.

اگر نظری در این باره دارید یا اگر موارد دیگری از امنیت را میشناسید که در این زمینه مفید می باشد، بی درنگ از قسمت نظرات برای ما ارسال نمایید.
http://serversaz.com/blog/امنیت-whmcs-بخش-سوم/

[smhnw]

بسیارم خوب و آموزنده ولی قسمت کد کردن فایل یک کار کاملا بی هوده هستش ...

چون کسی که توانایی نفوذ رو داشته باشه خیلی راحت require میزنه و متغیرای مورد نیازشو چاپ میکنه !

[shivahost]

بسیارم خوب و آموزنده ولی قسمت کد کردن فایل یک کار کاملا بی هوده هستش ...

چون کسی که توانایی نفوذ رو داشته باشه خیلی راحت require میزنه و متغیرای مورد نیازشو چاپ میکنه !

تما این نکات توسط افرادی که قصد 100 پسته شدن دارند چندین مرتبه در این انجمن نوشته شده، شما دیگه تو ذوقش نزن!

http://www.webhostingtalk.ir/showthread.php?t=124478

http://www.webhostingtalk.ir/showthread.php?t=136902

http://www.webhostingtalk.ir/showthread.php?t=86486

[Z.eus]

بسیارم خوب و آموزنده ولی قسمت کد کردن فایل یک کار کاملا بی هوده هستش ...

چون کسی که توانایی نفوذ رو داشته باشه خیلی راحت require میزنه و متغیرای مورد نیازشو چاپ میکنه !

حرفتون درسته. هیچ روشی امنیت رو تضمین نمیکنه.. ioncube که جای خود داره
بدلیل پراکنده‌بودن مطالب، تمامی نکات در یک آموزش بصورت یکجا جمع آوری شده، این مورد از آموزش حذف شد.
با تشکر از نظر شما.

تما این نکات توسط افرادی که قصد 100 پسته شدن دارند چندین مرتبه در این انجمن نوشته شده، شما دیگه تو ذوقش نزن!

http://www.webhostingtalk.ir/showthread.php?t=124478

http://www.webhostingtalk.ir/showthread.php?t=136902

http://www.webhostingtalk.ir/showthread.php?t=86486

دوست نسبتا محترم،
اینجا جایی برای خالی کردن عقده‌ی دلت نیست عزیزم اگر هدف افزایش پست بود، ۳ سال پیش اینکارو میکردم.
بنده مثل شما نیازی برای خود نشان دادن ندارم.اگر پست های بنده را سرچ کنید، همگی پاسخ به مشکلات دوستان است نه ایجاد حاشیه از سر بیکاری.

در رابطه با این تاپیک: بدلیل اینکه مطالب پراکنده بود، همه‌ی نکات بصورت یکجا گرد آوری شده است که اکثرا از سایت رسمی whmcs.com ترجمه شده.

بدرود.