iHSG
June 9th, 2016, 19:32
سلام دوستان
حتماً می دونید که با یه کد خاص در فایل htaccess. میشه براحتی پنل مدیریت سایت (حالا سایت با هر سیستمی که می خواد باشه) رو محدود به دسترسی فقط یک IP خاص کرد.این روش مثل روش Mac Filter در مودم ADSL خیلی در امنیت سایت شما تاثیر داره اما متاسفانه اکثر ایرانی از داشتن IP ثابت (Static) در اینترنت خودشون محرومن و اکثراً IP متغیر (Dynamic) دارن که البته الان خدا رو شکر با هزینه فقط 5 هزار تومان ماهیانه میشه از اکثر شرکت های اینترنت ایران IP ثابت خریداری کرد ولی خب شاید بعضی ها به هر دلیلی دوست نداشته باشن که IP ثابت خریداری کنن آیا برای این افراد روش جایگزینی برای محدود سازی پنل مدیریت سایت فقط برای خودشون هست؟ بله که هست الان می خوام روش خیلی جالب رو بهتون آموزش بدم که خودم کشفش کردم :)
در این روش ما به جای محدود سازی پنل مدیریت برای یک IP خاص اونو برای یک User-Agent خاص محدود میکنیم و خودمون هم هر بار که می خوایم وارد پنل مدیریت میشیم User-Agent خودمون رو به اون مورد خاص تغییر میدیم.
اگر نمی دونید User-Agent چیه باید بگم که مرورگر اینترنت شما وقتی که می خواد هر سایتی رو باز کنه اطلاعاتی از کامپیوتر شما مثل اسم و ورژن مرورگر، اسم و ورژن سیستم عامل، رزولوشن صفحه نمایش و... رو به سرور سایت ارسال میکنه که به این اطلاعات به صورت اصطلاح User-Agent گفته میشه.
اطلاعات User-Agent رو میشه براحتی جعل کرد یعنی مثلاً فکر کنید شما به سرور هر سایت بفرستید که مرورگر شما مثلاً Hossein Browser ورژن 3.1 هستش در صورتی که اصلاً ما مرورگری به این نام نداریم یا مثلاً سیستم عامل خودتون رو مکینتاش جا بزنید.
جالب تره که بدونید که موتور های جستجو مثل گوگل هم از یه User-Agent خاص استفاده میکنن و شما حتی می تونید با استفاده از اون User-Agent خودتون رو در سایت های مختلف جای گوگل نیز جا بزنید :)
خب حالا فکر کنید شما تنظیم میکنید که پنل مدیریت سایت شما فقط برای نام مرورگر و ویندوزی که شما می خواین باز بشه، حتماً الان میگید آخه خب چطوری این اطلاعات رو جعل کنم نترسید خوشبختانه برعکس سایر کار های جعل و هک که کاربران ساده براشون سخته این کار به سادگی یک کلیک برای مبتدی ترین کاربران هم قابل انجام است فقط کافیه در مرورگر خودتون افزونه های این کار رو نصب کنید.
بهترین افزونه برای این کار از نظر من افزونه User Agent Overrider (https://addons.mozilla.org/fa/firefox/addon/user-agent-overrider/) که خیلی ساده یه دکمه برای این کار به نوار ابزار (ToolBar) مرورگر اضافه میکنه هست اما متاسفانه این افزونه فقط با مرورگر فایرفاکس سازگاری داره و برای مرورگر کروم یا سایر مرورگر ها متاسفانه افزونه درست و حسابی پیدا نکردم اما سایر مروگر ها مثل کروم ظاهراً طبق این آموزش http://www.howtogeek.com/?p=113439 امکان انجام این کار به سادگی و بدون افزونه خاصی رو دارن و ظاهراً فقط فایرفاکس هستش که مراحل انجام این کارش به صورت ذاتی خیلی سخته و به همین دلیل براش افزونه ساخته شده است.
خب حالا تا این جای کار نحوه جعل کردن User-Agent رو فهمیدیم حالا باید نحوه استفاده اش به صورت یه شرط برای ورود به پنل مدیریت سایت هم بفهمیم.برای این کار هم مثل محدود سازی IP باید سراغ فایل htaccess. بریم پس در هاست خودمون و در پوشه پنل مدیریت که مثلاً در وردپرس پوشه wp-admin یا در اکثر اسکریپت های دیگه پوشه admin هستش یه فایل با نام htaccess. میسازیم (دقت کنید حرف نقطه باید اولش باشه اینجا چون راست به چپ هستش موقع کپی میاد آخرش).بعدش براحتی از کد زیر استفاده میکنیم:
SetEnvIf User-Agent "Hossein Browser 3.1/ Windows 7 x86" myBrowser
Order Deny,Allow
Allow from env=myBrowser
Deny from All
دقت کنید در این کد باید به جای متن داخل دو کاراکتر " User-Agent دلخواه خودتون رو بنویسید.مثلاً من الکی نوشتم Hossein Browser 3.1/ Windows 7 x86.
نیاز نیست که حالا اینطوری باشه که نشون بده مثلاً مرورگر و ویندوز هستش شما می تونید چرت و پرت هم بذارید مثلاً برای امنیت بیشتر می تونید از حروف کوچک و بزرگ انگلیسی به صورت نامفهوم استفاده کنید اما خب بعداً برای خودتون باید مفهموم باشه دیگه :)
نکته دیگه اینکه دقت کنید در این کد اصلاً نباید از کاراکتر های ویژه مثل !@#$%^&*() استفاده کنید درسته این کاراکتر ها امنیت رو بالاتر میبرن اما مفسر فایل htaccess. این کاراکتر ها رو به عنوان دستوراتی خاص تلقی میکنه و وقتی از این کاراکتر ها استفاده کنید باعث خطای 500 Internal Server Error میشید.
این کد به حداقل نیازمندی ها نیاز داره و خدا رو شکر در اکثر هاست های لینوکس با وب سرور Apache یا LiteSpeed اجرا میشه.
اگر نظری، سوالی چیزی داشتید در نظرات منبعی که درج کردم بگید ;)
راستی اگر IP ثابت هم داشتید اما دوست داشتید از این روش هم برای امنیت بیشتر استفاده کنید می تونید از کد ترکیبی زیر به جای کد بالا استفاده کنید:
SetEnvIf Remote_Addr "^" myIP=0
SetEnvIf Remote_Addr "10.11.12.13" myIP=1
SetEnvIf User-Agent "Hossein Browser 3.1/ Windows 7 x86" myBrowser
SetEnvIf myIP 0 !myBrowser
Order Deny,Allow
Allow from env=myBrowser
Deny from All
دقت کنید در کد بالا به جای آی پی الکی 10.11.12.13 که نوشتم باید IP ثابت خودتون رو وارد کنید.
به جای Hossein Browser 3.1/ Windows 7 x86 هم که در بالا توضیح دادم باید User-Agent دلخواه خودتون رو بنویسید.
توصیه مهم:
دقت کنید سیستم های جمع آوری آمار معمولاً تمامی User-Agent های وارد شده به سایت رو ذخیره میکنن پس بهتره با User-Agent مخفی خودتون هرگز وارد سایت های دیگه خصوصاً سایت های ایرانی نشید چون ممکنه از بخش آمار سایت خودشون User-Agent مخفی شما رو پیدا کنن.البته زیاد مهم نیست چون می تونید براحتی این User-Agent رو عوض کنید اما خب بالاخره یه چیز خاصه و بهتره کسی ندونه.
امیدوارم این مطلب برای شما مفید بوده باشه ;)
منبع: http://blog.vidahost.ir/post/limit-access-to-user-agent-or-ip/
حتماً می دونید که با یه کد خاص در فایل htaccess. میشه براحتی پنل مدیریت سایت (حالا سایت با هر سیستمی که می خواد باشه) رو محدود به دسترسی فقط یک IP خاص کرد.این روش مثل روش Mac Filter در مودم ADSL خیلی در امنیت سایت شما تاثیر داره اما متاسفانه اکثر ایرانی از داشتن IP ثابت (Static) در اینترنت خودشون محرومن و اکثراً IP متغیر (Dynamic) دارن که البته الان خدا رو شکر با هزینه فقط 5 هزار تومان ماهیانه میشه از اکثر شرکت های اینترنت ایران IP ثابت خریداری کرد ولی خب شاید بعضی ها به هر دلیلی دوست نداشته باشن که IP ثابت خریداری کنن آیا برای این افراد روش جایگزینی برای محدود سازی پنل مدیریت سایت فقط برای خودشون هست؟ بله که هست الان می خوام روش خیلی جالب رو بهتون آموزش بدم که خودم کشفش کردم :)
در این روش ما به جای محدود سازی پنل مدیریت برای یک IP خاص اونو برای یک User-Agent خاص محدود میکنیم و خودمون هم هر بار که می خوایم وارد پنل مدیریت میشیم User-Agent خودمون رو به اون مورد خاص تغییر میدیم.
اگر نمی دونید User-Agent چیه باید بگم که مرورگر اینترنت شما وقتی که می خواد هر سایتی رو باز کنه اطلاعاتی از کامپیوتر شما مثل اسم و ورژن مرورگر، اسم و ورژن سیستم عامل، رزولوشن صفحه نمایش و... رو به سرور سایت ارسال میکنه که به این اطلاعات به صورت اصطلاح User-Agent گفته میشه.
اطلاعات User-Agent رو میشه براحتی جعل کرد یعنی مثلاً فکر کنید شما به سرور هر سایت بفرستید که مرورگر شما مثلاً Hossein Browser ورژن 3.1 هستش در صورتی که اصلاً ما مرورگری به این نام نداریم یا مثلاً سیستم عامل خودتون رو مکینتاش جا بزنید.
جالب تره که بدونید که موتور های جستجو مثل گوگل هم از یه User-Agent خاص استفاده میکنن و شما حتی می تونید با استفاده از اون User-Agent خودتون رو در سایت های مختلف جای گوگل نیز جا بزنید :)
خب حالا فکر کنید شما تنظیم میکنید که پنل مدیریت سایت شما فقط برای نام مرورگر و ویندوزی که شما می خواین باز بشه، حتماً الان میگید آخه خب چطوری این اطلاعات رو جعل کنم نترسید خوشبختانه برعکس سایر کار های جعل و هک که کاربران ساده براشون سخته این کار به سادگی یک کلیک برای مبتدی ترین کاربران هم قابل انجام است فقط کافیه در مرورگر خودتون افزونه های این کار رو نصب کنید.
بهترین افزونه برای این کار از نظر من افزونه User Agent Overrider (https://addons.mozilla.org/fa/firefox/addon/user-agent-overrider/) که خیلی ساده یه دکمه برای این کار به نوار ابزار (ToolBar) مرورگر اضافه میکنه هست اما متاسفانه این افزونه فقط با مرورگر فایرفاکس سازگاری داره و برای مرورگر کروم یا سایر مرورگر ها متاسفانه افزونه درست و حسابی پیدا نکردم اما سایر مروگر ها مثل کروم ظاهراً طبق این آموزش http://www.howtogeek.com/?p=113439 امکان انجام این کار به سادگی و بدون افزونه خاصی رو دارن و ظاهراً فقط فایرفاکس هستش که مراحل انجام این کارش به صورت ذاتی خیلی سخته و به همین دلیل براش افزونه ساخته شده است.
خب حالا تا این جای کار نحوه جعل کردن User-Agent رو فهمیدیم حالا باید نحوه استفاده اش به صورت یه شرط برای ورود به پنل مدیریت سایت هم بفهمیم.برای این کار هم مثل محدود سازی IP باید سراغ فایل htaccess. بریم پس در هاست خودمون و در پوشه پنل مدیریت که مثلاً در وردپرس پوشه wp-admin یا در اکثر اسکریپت های دیگه پوشه admin هستش یه فایل با نام htaccess. میسازیم (دقت کنید حرف نقطه باید اولش باشه اینجا چون راست به چپ هستش موقع کپی میاد آخرش).بعدش براحتی از کد زیر استفاده میکنیم:
SetEnvIf User-Agent "Hossein Browser 3.1/ Windows 7 x86" myBrowser
Order Deny,Allow
Allow from env=myBrowser
Deny from All
دقت کنید در این کد باید به جای متن داخل دو کاراکتر " User-Agent دلخواه خودتون رو بنویسید.مثلاً من الکی نوشتم Hossein Browser 3.1/ Windows 7 x86.
نیاز نیست که حالا اینطوری باشه که نشون بده مثلاً مرورگر و ویندوز هستش شما می تونید چرت و پرت هم بذارید مثلاً برای امنیت بیشتر می تونید از حروف کوچک و بزرگ انگلیسی به صورت نامفهوم استفاده کنید اما خب بعداً برای خودتون باید مفهموم باشه دیگه :)
نکته دیگه اینکه دقت کنید در این کد اصلاً نباید از کاراکتر های ویژه مثل !@#$%^&*() استفاده کنید درسته این کاراکتر ها امنیت رو بالاتر میبرن اما مفسر فایل htaccess. این کاراکتر ها رو به عنوان دستوراتی خاص تلقی میکنه و وقتی از این کاراکتر ها استفاده کنید باعث خطای 500 Internal Server Error میشید.
این کد به حداقل نیازمندی ها نیاز داره و خدا رو شکر در اکثر هاست های لینوکس با وب سرور Apache یا LiteSpeed اجرا میشه.
اگر نظری، سوالی چیزی داشتید در نظرات منبعی که درج کردم بگید ;)
راستی اگر IP ثابت هم داشتید اما دوست داشتید از این روش هم برای امنیت بیشتر استفاده کنید می تونید از کد ترکیبی زیر به جای کد بالا استفاده کنید:
SetEnvIf Remote_Addr "^" myIP=0
SetEnvIf Remote_Addr "10.11.12.13" myIP=1
SetEnvIf User-Agent "Hossein Browser 3.1/ Windows 7 x86" myBrowser
SetEnvIf myIP 0 !myBrowser
Order Deny,Allow
Allow from env=myBrowser
Deny from All
دقت کنید در کد بالا به جای آی پی الکی 10.11.12.13 که نوشتم باید IP ثابت خودتون رو وارد کنید.
به جای Hossein Browser 3.1/ Windows 7 x86 هم که در بالا توضیح دادم باید User-Agent دلخواه خودتون رو بنویسید.
توصیه مهم:
دقت کنید سیستم های جمع آوری آمار معمولاً تمامی User-Agent های وارد شده به سایت رو ذخیره میکنن پس بهتره با User-Agent مخفی خودتون هرگز وارد سایت های دیگه خصوصاً سایت های ایرانی نشید چون ممکنه از بخش آمار سایت خودشون User-Agent مخفی شما رو پیدا کنن.البته زیاد مهم نیست چون می تونید براحتی این User-Agent رو عوض کنید اما خب بالاخره یه چیز خاصه و بهتره کسی ندونه.
امیدوارم این مطلب برای شما مفید بوده باشه ;)
منبع: http://blog.vidahost.ir/post/limit-access-to-user-agent-or-ip/