Whmcs اسکریپتی فقط دردساز است.

[nimo0ol]

سلام

گرچه یک ایمیل انتقادی خیلی تند برای whmcs ارسال کردم اما واقعاً نمیتونم جلوی عصبانیتم رو بگیرم و اینجا هم ننویسم.

از سال 1384 تاکنون در زمینه طراحی وب فعالیت جدی داریم. بالغ بر 400 نمونه کار انجام شده و 140 نمونه کار فعال (آپ) داریم. اما طی این 6 سال هیچگاه با مشکل امنیتی روبرو نشده بودیم.
7 ماه پیش بود که برای سیستم فروش هاستینگ با whmcs آشنا شدم و از آنجاییکه 90% از همکاران نیز از این نرم افزار استفاده میکردند من نیز علاقه مند شدم. که ای کاش هزار سال دیگر بر روی همان نرم افزار ساده ی سیکما می ماندم و اینکار را نمیکردم.

طی این 7 ماه با وجود رعایت تمامی مسایل امنیتی که خود سایت رسمی این نرم افزار ارایه کرده و همچنین دارا بودن سرور به فایروال نرم افزاری و سخت افزاری قوی ، 2 بار تمامی سایتها هک شدند.

ممکن است بسیاری از دوستان صاحبنظر و خوب من ، الان بعد از این پستهایی برای رد نظر بنده بدهند و بگویند: ایراد از خودتان بوده است! اما اینکه یک هکر بتواند به این راحتی نفوذ کند و پسورد روت را از روی دیتابیس این نرم افزار برداشته و تمامی سایتها را حذف نماید ، اصلا قابل توجیه نیست.

سال 84 با مدرن بیل کار میکردم با اینکه انگلیسی بود و کمی مشکل بود اما لااقل چنین مشکلاتی نداشتم. از 85 تا 89 هم با سیکما که نوشته ی رضا نجفی است کار میکردم هیچگاه چنین مشکلی نداشتم.

واقعاً باعث تاسف است که چنین نرم افزاری تا این حد بر روی حساس ترین قسمت خود (یعنی تنظیم سرور) اینقدر ضعیف باشد.

در ظاهر همه چیز خوب است و خیلی کارها را ویزارد و آسان انجام داده می شود ، اما در باطن جز دردسر و ترس و دلهره هیچ چیز دیگری این whmcs نداشته و ندارد.

ارادتمند دوستان
نیما احدی

[payam_shzbax]

آره یکی از دوستان بنده که هکر بود می گفت نصف هاستینگ های ایران بخاطر whmcs به راحتی ضربه می خورند.
البته خودش کانفیگ مجدد می کرد می گفت باگاشو که هنوز تا ورژن بعدی نیومده پیدا می کنه و فیکس می کنه!
و من بهش آدرس می دادم دقیقا فایل کانفیگ whmcs رو کپی می کرد بهم می داد

[داودی]

جدا مسخره هست که داخل whmcs می شه به راحتی لاگین به سرور کرد
اطلاعات بدون کد شدن ذخیره بشه

[abolfazlgoodarzi]

سلام.
در این که داخل این سیستم پر از باگ است شکی نیست
اما پیشنهاد میکنم که سرور مربوط به این سیستم مدیریت محتوا رو از سرور سایر کاربران جدا نگه داری کنی تا هم بتونید محدودیت های بیشتری روی سرور اعمال کنی تا از امنیت بهتری برخوردار شی و همین طور زمانی که آی پی کاربری روی سایت خودش بلوک شده بتونه تو سایت شما تیکت بزنه برای پشتیبانی و همین طور برای امنیت بیشتر می تونی قسمت ساخت اکانت به صورت خودکار رو غیرفعال کنی.

[AlmaHost]

باسلام
البته این یک مشکل میباشد برای whmcs اما دقت داشته باشید که اگر دوستان یکم بیشتر دقت کنند از این قبیل اتفاقات پیش نمی آید. چند نمونه نام میبرم...
گذاشتن سوال امنیتی هنگام لاگین شدن به روت سرور
روت سرور فقط برای آی پی هایی که بهشون میدید باز باشه
و ....
با یکم دقت بیشتر میتونید از به وجود آمدن این مشکلات جدی، جلوگیری کنید
موفق باشید

[nimo0ol]

اسکریپتی که نیاز داشته باشه اینهمه مراقبت ویژه ازش بکنی در حقیقت یک آشغال بیش نیست!

نرم افزار تجاری که هنوز پسوردها رو بر اساس md5 در دیتابیس ذخیره نمیکنه یعنی بریزش دور...

[AlmaHost]

اسکریپتی که نیاز داشته باشه اینهمه مراقبت ویژه ازش بکنی در حقیقت یک آشغال بیش نیست!

نرم افزار تجاری که هنوز پسوردها رو بر اساس md5 در دیتابیس ذخیره نمیکنه یعنی بریزش دور...

پَس شما ویندوز دسکتاپتون هم بریزید دوور!!! با این استدلال!!!
چون اگه فایروال + آنتی ویروس رو سیستمون نداشته باشید و به اینترنت متصل باشید حتما دچار مشکل میشید!!
دوست عزیز ماهم نگفتیم خیر مشکل نداره همه نرم افزارها + اسکرپیتها مشکل دارند منُتها استفاده کننده باید باهوش باشه با چند کار ساده بر روی سرور یا نصب یک آنتی ویروس + فایروال رو کامپیتور شخصیش از به وجود آمدن این مشکلها جلوگیری کنه...

موفق باشید

[nimo0ol]

پَس شما ویندوز دسکتاپتون هم بریزید دوور!!! با این استدلال!!!
چون اگه فایروال + آنتی ویروس رو سیستمون نداشته باشید و به اینترنت متصل باشید حتما دچار مشکل میشید!!
دوست عزیز ماهم نگفتیم خیر مشکل نداره همه نرم افزارها + اسکرپیتها مشکل دارند منُتها استفاده کننده باید باهوش باشه با چند کار ساده بر روی سرور یا نصب یک آنتی ویروس + فایروال رو کامپیتور شخصیش از به وجود آمدن این مشکلها جلوگیری کنه...

موفق باشید

اینجا بحث سیستم عامل نیست!
بحث سیستمی است که خودش را به عنوان مدیریت کننده سیستم عامل ، اتوماسیون پشتیبانی ، مالی و فنی معرفی نموده است.
پس این کارهای ساده مانند کدگذاری رمزهای عبور مانند متد md5 رو باید انجام بده نه اینکه تاپیک آموزشی بزنه که بیائین اینکار رو بکنید!

[amirlord]

اسکریپتی که نیاز داشته باشه اینهمه مراقبت ویژه ازش بکنی در حقیقت یک آشغال بیش نیست!

نرم افزار تجاری که هنوز پسوردها رو بر اساس md5 در دیتابیس ذخیره نمیکنه یعنی بریزش دور...

در مورد md5 ! وقتی whmcs پسوورد روت سرور رو ذخیره میکنه . این مقدار باید قابل بازیابی باشه و بعدا در تراکنش ها این مقدار سلکت میشه و از طریق cPanel API کارها انجام میشه . اگر مقادیر رو بیان MD5 بکنند دیگه نمیتونن مقدار رو برگردونن . چون تابع MD5 قابل بازیابی نیست و تمامی سایت هایی که نوشتن دیکود MD5 فقط یه دیتابیس از کد های نمونه با MD5 هستند!
بنابراین در اینجور مواقع استفاده از توابعی که دیکود نمیشن امکان پذیر نیست . موفق باشید !

[nimo0ol]

در مورد md5 ! وقتی whmcs پسوورد روت سرور رو ذخیره میکنه . این مقدار باید قابل بازیابی باشه و بعدا در تراکنش ها این مقدار سلکت میشه و از طریق cPanel API کارها انجام میشه . اگر مقادیر رو بیان MD5 بکنند دیگه نمیتونن مقدار رو برگردونن . چون تابع MD5 قابل بازیابی نیست و تمامی سایت هایی که نوشتن دیکود MD5 فقط یه دیتابیس از کد های نمونه با MD5 هستند!
بنابراین در اینجور مواقع استفاده از توابعی که دیکود نمیشن امکان پذیر نیست . موفق باشید !

پس اگر توجیه شما درست باشه ، الگورتیم whmcs از پایه مشکل داره و زیر سوال میبره این نرم افزار رو !
حساس ترین قسمت در whmcs همین موضوع هست که اینقدر ساده گرفته شده و فقط با چند دستور امنیتی و تاپیک آموزشی سعی بر حل کردنه و سرپوش گذاشتنه مشکل بزرگش داره.
در صورتیکه تا به امروز بسیاری از شرکتها متضرر شده اند و کسی هم پاسخگو نبوده. و فقط کسانی که مثل ما سرور جداگانه برای بک آپ داشته اند توانسته اند یه طوری جمع و جورش کنند.