Z.eus
February 8th, 2016, 22:25
امنیت whmcs – بخش اول
(http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs/)اسکریپت WHMCS اسکریپتی قدرتمند و محبوب است برای شرکت های میزبانی وب از جمله خود ما!که با توجه به محبوبیت آن، بحث امنیت whmcs (http://serversaz.com/blog/امنیت-whmcs/) نیز مطرح میگردد.
در این مطلب قصد داریم کمی در مورد امنیت whmcs و روش ها امن سازی آن صحبت کنیم.
با ما در سرور ساز همراه باشید..
خب، مورد اولی که باید همینجا خدمتتون عرض کنم اینکه همیشه باید اسکریپت ها، پلاگین ها و هر آنچه که برای سایتتون ازش استفاده میکنید رو آپدیت و بروز نگهدارید. چرا که در آپدیت هایی که منتشر میشه معمولا مشکلات و باگ های امنیتی برطرف و قابلیت های جدیدی اضافه و یا ویژگی های فعلی بهینه و بهتر میشوند.
امنیت whmcs (http://serversaz.com/blog/امنیت-whmcs/)
خب در ادامه چند مرحله رو ذکر میکنیم که حتما یا حداقل بهتره که انجام بدید.
۱. انتقال چهار فولدر یا پوشه
در این مرحله شما باید چهار فولدر اعم از: “attachments” ، “downloads”,“templates_c” و crons رو به قبل از فایل public_html منتقل کنید.
وقتی که این ۴ فایل رو به قبل از پوشه public_htmlتون منتقل کردید، باید مسیر های جدید این ۴ فولدر رو در فایل configuration.php مشخص کنید.
خب برای اینکار، از طریق قسمت فایل منیجر هاستتون و یا بوسیله ftp با اکانتتون به سرور متصل بشید. و فایل configuration.php را باز کنید.
در آخرین خط، قبل از اینکه تگ php بسته شود، یعنی قبل از ?> این مقادیر را وارد کنید:
$attachments_dir = "/home/serversaz/attachments/";
$downloads_dir = "/home/serversaz/downloads/";
$templates_compiledir = "/home/serversaz/templates_c/";
#: به جای serversaz نام یوزر هاست خودتون رو بنویسید.
خب تا اینجا ۳ تا از فایل ها ردیف شدند! می مونه فایل crons که یکم باهاش کار داریم!
بعد از اینکه فایل crons رو به قبل از public_html منتقل کردید، دو تا تغییر باید انجام بدید.
الف. مشخص کردن مسیر نصب whmcs رو برای cron
برای اینکار فایل config.php را از فولدر یا پوشه crons باز و ویرایش کنید.
و این عبارت رو وارد کنید:
$whmcspath = '/home/serversaz/public_html/whmcs/';
اگر این عبارت کامنت شده، یعنی # اولش هست، # رو حذف کنید و از کامنت در بیارید.
به جای serversaz نام یوزر خودتون رو بنویسید.
و به جای whmcs مسیر نصب whmcs رو بنویسید.
ب. مشخص کردن مسیر crons برای whmcs
به محل نصب whmcs رفته و فایل configuration.php باز کنید.
این عبارت رو در خط آخر، قبل از بسته شدن php وارد کنید:
$crons_dir = '/home/serversaz/crons/';
به جای serversaz نام یوزر خودتون رو وارد کنید.
از درستی مسیر هایی که وارد کردید مطمئن بشید.
نکته مهم:
اگر قبلا کرون رو تظیم کرده بودید (در cronjob) باید مسیر قبلی رو طبق تغییراتی که اعمال کردید، آپدیت و بروز رسانی کنید.
خب جهت طولانی نشدن مطلب به پایان قسمت اول «امن سازی whmcs» رسیدیم، بخش دوم آموزش را میتوانید در سرور ساز مطالعه نمایید.
- - - Updated - - -
امنیت whmcs – بخش دوم
(http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs-%d8%a8%d8%ae%d8%b4-%d8%af%d9%88%d9%85/)در این مطلب به بخش دوم مبحث امنیت whmcs میپردازیم در صورتی که بخش اول امنیت whmcs را مطالعه نکردید، امنیت whmcs – بخش اول (http://%D8%A7%D9%85%D9%86%DB%8C%D8%AA%20whmcs%20%E2%80%93 %20%D8%A8%D8%AE%D8%B4%20%D8%A7%D9%88%D9%84).
خب در این مبحث به موارد دیگر امنیت whmcs می پردازیم و مرحله به مرحله پیش می رویم.
۱. تغییر نام فولدر ادمین whmcs
با تغییر نام فولدر admin میتوانید پیدا شدن آن فولدر توسط هکر ها را سخت تر کنید. برای این منظور فایل configuration.php را باز کنید و این خط را وارد نمایید:
$customadminpath = "ss-admin";به جای ss-admin نام دلخواه خود را میتوانید جایگزین کنید.
و فولدر admin را به نام انتخابی رینیم (Re-Name) کنید.
۲. محدود کردن دسترسی قسمت مدیریت به آیپی خاص
برای اینکه امنیت قسمت مدیریت whmcs را افزایش دهید میتوانید فایل .htaccess را داخل پوشه ادمین یا هر اسمی که در مرحله قبل برای آن انتخاب کردید بسازید و آیپی های مجاز و یا به عبارت دیگر آیپی های پشتیبان ها و مدیران را درون آن قرار دهید.
در این روش آیپی های استاتیک و ثایت را درون فایل قرار می دهیم
order deny,allow
allow from 1.2.3.4
allow from 4.4.4.4
deny from all
دقت داشته باشید که بجای ۱.۲.۳.۴ و ۴.۴.۴.۴ آیپی های ثابت خود را وارد کنید. نکته۲: به هر تعداد که خواستید میتوانید از allow from IPADDRESS استفاده کنید و به جای IPADDRESS آیپی مد نظر خود را بگذارید.
سوال: اگر از آیپی های دینامیک یا متغییر استفاده کنیم، چه باید کرد؟
جواب : خب در اینصورت باید رنج ISP تون رو بهش اجازهی دسترسی بدید.
مثلا میتونید از ساب نت استفاده کنید برای مثال :
Allow from 10.0.0.0/24
که این دستور به این معناست که تمام ایپی های بین ۱۰.۰.۰.۰ تا ۱۰.۰.۰.۲۵۵ را فعال میکند.
روش دوم هم به این صورت هست:
Allow from 122.70.89که به آیپی های بین ۱۲۲.۷۰.۸۹ تا ۱۲۲.۷۰.۸۹.۲۵۵ اجازهی دسترسی میدهد.
۳. انتخاب رمز و پسورد پیچیده
کاملا روشن است که تمامی پسورد های شما باید ترکیبی از حروف، اعداد، علائم و.. با تعداد کاراکتر های بالا باشند تا احتمال حدس زده شدن آن و لاگین شدن توسط روش هایی مثل بروت فورس و.. به حداقل برسد.
۴. بکاپ گیری
بکاپ گیری یک کلید و فاکتور اساسی و مهم است چرا که در صورت بروز هرگونه مشکل، شما یک نسخه پشتیبان دارید
جهت طولانی نشدن مطلب، به پایان بخش دوم از مجموعه مباحث امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/) رسیدیم.
شما میتوانید قسمت سوم از این آموزش را در بلاگ (http://serversaz.com/blog/) سرور ساز (http://serversaz.com/) مطالعه نمایید.
- - - Updated - - -
امنیت whmcs – بخش سوم
(http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs-%d8%a8%d8%ae%d8%b4-%d8%b3%d9%88%d9%85/)در قسمت سوم از مجموعه آموزش های امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/)، به ذکر نکات تکمیلی میپردازیم. لازم به ذکر است که اگر اولین بار است این مطلب را مشاهده می نمایید، ابتدا قسمت های اول (http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs/) و دوم (http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs-%d8%a8%d8%ae%d8%b4-%d8%af%d9%88%d9%85/) را مطالعه نمایید.
با سرورساز (http://serversaz.com/) همراه باشید..
۱. افزایش امنیت whmc با پسورد گذاشتن روی پوشه ادمین
گذاشتن یک لایه دیگر امنیتی بر روی فولدر ادمین whmcs یکی از راه های دیگرِ افزایش امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/) است.
این کار را میتوان با .htaccess انجام داد. اکثر کاربران که از سی پنل و یا دایرکت ادمین استفاده می نمایند، میتوانند از قسمتی که بصورت مجزا برای اینکار تعبیه شده است استفاده نمایند.
در سی پنل آپشنی به نام Password Protect Directories برای این کار وجود دارد و همچنین در دایرکت ادمین میتوانید از گزینه Protect که در کنار نام پوشه نمایش داده میشود، استفاده نمایید.
در این مرحله باید از یک یوزر و پسورد استفاده نمایید. بهتر است از عبارت های پیچیدهتر استفاده شود و به عبارت های ساده اکتفا نشود.
29925
۲. تغییر دسترسی فایل configuration.php
دسترسی و پرمیشن فایل configuration.php را روی ۴۰۰ تنظیم نمایید.
/configuration.php CHMOD 400 Readable
در کنترل پنل دایرکت ادمین، به محلی که whmcs را نصب کردهاید بروید و فایل configuration.php را انتخاب نمایید و در پایین صفحه مقدار ۴۰۰ را وارد و بر روی گزینه set Permission کلیک نمایید تا دسترسی فایل configuration.php به ۴۰۰ تغییر یابد.
برای کنترل پنل cPanel نیز شیوهی کار مشابه است.
29926
۳. جلوگیری از سرقت قالب سایت
یکی از آسانترین راه هایی که قالب های whmcs ***یده می شوند دانلود شدن فایل های tpl است.
برای جلوگیری از دانلود شدن فایل های tpl ، کد های زیر را در فایل .htaccess قرار دهید :
<Files ~ "\.tpl$">
Order allow,deny
Deny from all
</Files>
29927
۴. امنیت رایانه شخصی
به عنوان آخرین نکته از مجموعه مطالب «افزایش امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/)» میتوان به تامین امنیت رایانه شخصی اشاره نمود. البته در این قسمت موارد زیادی مطرح است که از گنجایش این مطلب خارج است ولی کلیترین مواردی که میتوان به آنها اشاره کرد این موارد هستند:
استفاده از یک آنتی ویروس (اگر از سیستم عامل ویندوز استفاده میکنید)
کنترل ورودی ها و خروجی های سیستم
آپدیت نگهداشتن سیستم
رمزنگاری پوشه های مهم
و..
شایان ذکر است همانطور که پیش تر عرض شد، موارد زیادی هستند که در زمینه امنیت سیستم های شخصی باید به آن ها پرداخت.
اگر نظری در این باره دارید یا اگر موارد دیگری از امنیت را میشناسید که در این زمینه مفید می باشد، بی درنگ از قسمت نظرات برای ما ارسال نمایید.
http://serversaz.com/blog/امنیت-whmcs-بخش-سوم/
(http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs/)اسکریپت WHMCS اسکریپتی قدرتمند و محبوب است برای شرکت های میزبانی وب از جمله خود ما!که با توجه به محبوبیت آن، بحث امنیت whmcs (http://serversaz.com/blog/امنیت-whmcs/) نیز مطرح میگردد.
در این مطلب قصد داریم کمی در مورد امنیت whmcs و روش ها امن سازی آن صحبت کنیم.
با ما در سرور ساز همراه باشید..
خب، مورد اولی که باید همینجا خدمتتون عرض کنم اینکه همیشه باید اسکریپت ها، پلاگین ها و هر آنچه که برای سایتتون ازش استفاده میکنید رو آپدیت و بروز نگهدارید. چرا که در آپدیت هایی که منتشر میشه معمولا مشکلات و باگ های امنیتی برطرف و قابلیت های جدیدی اضافه و یا ویژگی های فعلی بهینه و بهتر میشوند.
امنیت whmcs (http://serversaz.com/blog/امنیت-whmcs/)
خب در ادامه چند مرحله رو ذکر میکنیم که حتما یا حداقل بهتره که انجام بدید.
۱. انتقال چهار فولدر یا پوشه
در این مرحله شما باید چهار فولدر اعم از: “attachments” ، “downloads”,“templates_c” و crons رو به قبل از فایل public_html منتقل کنید.
وقتی که این ۴ فایل رو به قبل از پوشه public_htmlتون منتقل کردید، باید مسیر های جدید این ۴ فولدر رو در فایل configuration.php مشخص کنید.
خب برای اینکار، از طریق قسمت فایل منیجر هاستتون و یا بوسیله ftp با اکانتتون به سرور متصل بشید. و فایل configuration.php را باز کنید.
در آخرین خط، قبل از اینکه تگ php بسته شود، یعنی قبل از ?> این مقادیر را وارد کنید:
$attachments_dir = "/home/serversaz/attachments/";
$downloads_dir = "/home/serversaz/downloads/";
$templates_compiledir = "/home/serversaz/templates_c/";
#: به جای serversaz نام یوزر هاست خودتون رو بنویسید.
خب تا اینجا ۳ تا از فایل ها ردیف شدند! می مونه فایل crons که یکم باهاش کار داریم!
بعد از اینکه فایل crons رو به قبل از public_html منتقل کردید، دو تا تغییر باید انجام بدید.
الف. مشخص کردن مسیر نصب whmcs رو برای cron
برای اینکار فایل config.php را از فولدر یا پوشه crons باز و ویرایش کنید.
و این عبارت رو وارد کنید:
$whmcspath = '/home/serversaz/public_html/whmcs/';
اگر این عبارت کامنت شده، یعنی # اولش هست، # رو حذف کنید و از کامنت در بیارید.
به جای serversaz نام یوزر خودتون رو بنویسید.
و به جای whmcs مسیر نصب whmcs رو بنویسید.
ب. مشخص کردن مسیر crons برای whmcs
به محل نصب whmcs رفته و فایل configuration.php باز کنید.
این عبارت رو در خط آخر، قبل از بسته شدن php وارد کنید:
$crons_dir = '/home/serversaz/crons/';
به جای serversaz نام یوزر خودتون رو وارد کنید.
از درستی مسیر هایی که وارد کردید مطمئن بشید.
نکته مهم:
اگر قبلا کرون رو تظیم کرده بودید (در cronjob) باید مسیر قبلی رو طبق تغییراتی که اعمال کردید، آپدیت و بروز رسانی کنید.
خب جهت طولانی نشدن مطلب به پایان قسمت اول «امن سازی whmcs» رسیدیم، بخش دوم آموزش را میتوانید در سرور ساز مطالعه نمایید.
- - - Updated - - -
امنیت whmcs – بخش دوم
(http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs-%d8%a8%d8%ae%d8%b4-%d8%af%d9%88%d9%85/)در این مطلب به بخش دوم مبحث امنیت whmcs میپردازیم در صورتی که بخش اول امنیت whmcs را مطالعه نکردید، امنیت whmcs – بخش اول (http://%D8%A7%D9%85%D9%86%DB%8C%D8%AA%20whmcs%20%E2%80%93 %20%D8%A8%D8%AE%D8%B4%20%D8%A7%D9%88%D9%84).
خب در این مبحث به موارد دیگر امنیت whmcs می پردازیم و مرحله به مرحله پیش می رویم.
۱. تغییر نام فولدر ادمین whmcs
با تغییر نام فولدر admin میتوانید پیدا شدن آن فولدر توسط هکر ها را سخت تر کنید. برای این منظور فایل configuration.php را باز کنید و این خط را وارد نمایید:
$customadminpath = "ss-admin";به جای ss-admin نام دلخواه خود را میتوانید جایگزین کنید.
و فولدر admin را به نام انتخابی رینیم (Re-Name) کنید.
۲. محدود کردن دسترسی قسمت مدیریت به آیپی خاص
برای اینکه امنیت قسمت مدیریت whmcs را افزایش دهید میتوانید فایل .htaccess را داخل پوشه ادمین یا هر اسمی که در مرحله قبل برای آن انتخاب کردید بسازید و آیپی های مجاز و یا به عبارت دیگر آیپی های پشتیبان ها و مدیران را درون آن قرار دهید.
در این روش آیپی های استاتیک و ثایت را درون فایل قرار می دهیم
order deny,allow
allow from 1.2.3.4
allow from 4.4.4.4
deny from all
دقت داشته باشید که بجای ۱.۲.۳.۴ و ۴.۴.۴.۴ آیپی های ثابت خود را وارد کنید. نکته۲: به هر تعداد که خواستید میتوانید از allow from IPADDRESS استفاده کنید و به جای IPADDRESS آیپی مد نظر خود را بگذارید.
سوال: اگر از آیپی های دینامیک یا متغییر استفاده کنیم، چه باید کرد؟
جواب : خب در اینصورت باید رنج ISP تون رو بهش اجازهی دسترسی بدید.
مثلا میتونید از ساب نت استفاده کنید برای مثال :
Allow from 10.0.0.0/24
که این دستور به این معناست که تمام ایپی های بین ۱۰.۰.۰.۰ تا ۱۰.۰.۰.۲۵۵ را فعال میکند.
روش دوم هم به این صورت هست:
Allow from 122.70.89که به آیپی های بین ۱۲۲.۷۰.۸۹ تا ۱۲۲.۷۰.۸۹.۲۵۵ اجازهی دسترسی میدهد.
۳. انتخاب رمز و پسورد پیچیده
کاملا روشن است که تمامی پسورد های شما باید ترکیبی از حروف، اعداد، علائم و.. با تعداد کاراکتر های بالا باشند تا احتمال حدس زده شدن آن و لاگین شدن توسط روش هایی مثل بروت فورس و.. به حداقل برسد.
۴. بکاپ گیری
بکاپ گیری یک کلید و فاکتور اساسی و مهم است چرا که در صورت بروز هرگونه مشکل، شما یک نسخه پشتیبان دارید
جهت طولانی نشدن مطلب، به پایان بخش دوم از مجموعه مباحث امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/) رسیدیم.
شما میتوانید قسمت سوم از این آموزش را در بلاگ (http://serversaz.com/blog/) سرور ساز (http://serversaz.com/) مطالعه نمایید.
- - - Updated - - -
امنیت whmcs – بخش سوم
(http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs-%d8%a8%d8%ae%d8%b4-%d8%b3%d9%88%d9%85/)در قسمت سوم از مجموعه آموزش های امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/)، به ذکر نکات تکمیلی میپردازیم. لازم به ذکر است که اگر اولین بار است این مطلب را مشاهده می نمایید، ابتدا قسمت های اول (http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs/) و دوم (http://serversaz.com/blog/%d8%a7%d9%85%d9%86%db%8c%d8%aa-whmcs-%d8%a8%d8%ae%d8%b4-%d8%af%d9%88%d9%85/) را مطالعه نمایید.
با سرورساز (http://serversaz.com/) همراه باشید..
۱. افزایش امنیت whmc با پسورد گذاشتن روی پوشه ادمین
گذاشتن یک لایه دیگر امنیتی بر روی فولدر ادمین whmcs یکی از راه های دیگرِ افزایش امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/) است.
این کار را میتوان با .htaccess انجام داد. اکثر کاربران که از سی پنل و یا دایرکت ادمین استفاده می نمایند، میتوانند از قسمتی که بصورت مجزا برای اینکار تعبیه شده است استفاده نمایند.
در سی پنل آپشنی به نام Password Protect Directories برای این کار وجود دارد و همچنین در دایرکت ادمین میتوانید از گزینه Protect که در کنار نام پوشه نمایش داده میشود، استفاده نمایید.
در این مرحله باید از یک یوزر و پسورد استفاده نمایید. بهتر است از عبارت های پیچیدهتر استفاده شود و به عبارت های ساده اکتفا نشود.
29925
۲. تغییر دسترسی فایل configuration.php
دسترسی و پرمیشن فایل configuration.php را روی ۴۰۰ تنظیم نمایید.
/configuration.php CHMOD 400 Readable
در کنترل پنل دایرکت ادمین، به محلی که whmcs را نصب کردهاید بروید و فایل configuration.php را انتخاب نمایید و در پایین صفحه مقدار ۴۰۰ را وارد و بر روی گزینه set Permission کلیک نمایید تا دسترسی فایل configuration.php به ۴۰۰ تغییر یابد.
برای کنترل پنل cPanel نیز شیوهی کار مشابه است.
29926
۳. جلوگیری از سرقت قالب سایت
یکی از آسانترین راه هایی که قالب های whmcs ***یده می شوند دانلود شدن فایل های tpl است.
برای جلوگیری از دانلود شدن فایل های tpl ، کد های زیر را در فایل .htaccess قرار دهید :
<Files ~ "\.tpl$">
Order allow,deny
Deny from all
</Files>
29927
۴. امنیت رایانه شخصی
به عنوان آخرین نکته از مجموعه مطالب «افزایش امنیت whmcs (http://serversaz.com/blog/tag/%D8%A7%D9%85%D9%86%DB%8C%D8%AA-whmcs/)» میتوان به تامین امنیت رایانه شخصی اشاره نمود. البته در این قسمت موارد زیادی مطرح است که از گنجایش این مطلب خارج است ولی کلیترین مواردی که میتوان به آنها اشاره کرد این موارد هستند:
استفاده از یک آنتی ویروس (اگر از سیستم عامل ویندوز استفاده میکنید)
کنترل ورودی ها و خروجی های سیستم
آپدیت نگهداشتن سیستم
رمزنگاری پوشه های مهم
و..
شایان ذکر است همانطور که پیش تر عرض شد، موارد زیادی هستند که در زمینه امنیت سیستم های شخصی باید به آن ها پرداخت.
اگر نظری در این باره دارید یا اگر موارد دیگری از امنیت را میشناسید که در این زمینه مفید می باشد، بی درنگ از قسمت نظرات برای ما ارسال نمایید.
http://serversaz.com/blog/امنیت-whmcs-بخش-سوم/