ارتقا امنیت whmcs و قالب!!!

[EXXXIR]

با سلام

سعی می کنیم در مدت زمان های مختلف مقاله های مرتبط با برنامه Whmcs خودم یا دوستان مترجمی که با ما همکاری می کنند را ترجمه و در سایت و این فروم قرار بدیم.

شاید نکاتی باشه که تا حالا وقت نکردید که در سایت اصلی بررسی کنید و یا با زبان انگلیسی میونه ای ندارید

اولین مطلب ترجمه مقاله با همین موضوع است:

در زیر می توانید عملیاتی را برای ارتقا سطح امنیت whmcs‌خود انجام دهید

انتقال پوشه های attachments، downloads و templates_c

با توجه به نیازی Whmcs برای قابل نوشته بودن این پوشه ها یعنی پرمشین 777 برای این پوشه ها بهتر است که محل این پوشه در محلی خارج از دسترسی عمومی قرار گیرد! برنامه WHMCS به شما این امکان را می دهد در نتیجه در صورتی که پوشه ها را انتقال دادید باید به برنامه محل پوشه ها را تنظیم نمایید. پس از انتقال پوشه ها سه خط زیر همراه با آدرس صحیح را در فایل configuration.php اضافه نمایید:

کد:

$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/";

در مثال های بالا username در واقع نام کاربری سی پنل شماست که در دایرکتوری home و در بالای پوشه public_html!

توجه نمایید در صورتی که شما suphp یا phpsuexec را اجرا کرده اید شما نیازی به تغییر به قابل نوشتن این پوشه ها ندارید. در حقیقت شما نیازی به تغییر پرمیشن به 777 وقتی که از suphp یا phpsuexec استفاده می کنید ندارید. بالاترین پرمشین را می توانید 755 برای هم پوشه و هم فایل ها تنظیم نمایید.

تغییر پوشه Admin

برخی از کاربران که سایت شما را بازدید می کنند و متوجه می شوند که شما از whmcs استفاده می کنید می دانند که می توانید با وارد کردن پوشه ادمین برای وارد شدن اقدام نمایند، شما می توانید با تغییر نام پوشه ادمین به آنچه که تمایل دارید جلوی اقدام به ورود های ناخواسته را بگیرید.
شما نمی توانید این پوشه را انتقال دهید بلکه تنها می توانید نام آن راتغییر دهید. بعد از تغییر نام پوشه ادمین باید به سیستم نام پوشه ادمین را بدهید. برای این کار خط زیر را در فایل configuration.php اضافه نمایید:

کد:

$customadminpath = "myadminname";

myadminname را با نام پوشه ای که انتخاب کرده اید تغییر دهید.

لطفا توجه کنید که کارهای زمان بندی شده ( cron job) را باید با آدرس جدید تصحیح نمایید.
برای مثال:

کد:

php -q /home/mylogin/public_html/secure/myadminname/cron.php

جلوگیری از دانلود قالب های شما

برای جلوگیری از دانلود قالب های شما می توانید دسترسی دانلود فایل های tpl را از طریق وارد کردن کد زیر در فایل .htaccess پوشه محل نصب whmcs خود اقدام نمایید:

کد:

<Files ~ "\.tpl$">
Order allow,deny
Deny from all
</Files>

منبع venon.ir

[Ashkankamangar.ir]

من
انتقال پوشه های attachments، downloads و templates_c
کردم اما دیگه کلاینتم باز نشد ارور سظح دسترسی میداد

[razavihost]

جلوگیری از دانلود قالب های شما

برای جلوگیری از دانلود قالب های شما می توانید دسترسی دانلود فایل های tpl را از طریق وارد کردن کد زیر در فایل .htaccess پوشه محل نصب whmcs خود اقدام نمایید:

کد:

<files ~ "\.tpl$">
order allow,deny
deny from all
</files>

منبع venon.ir

ممنون خیلی خوب بود،با این کلی حال کردم
من با همین دستور css رو هم محدود کردم
اما وقتی لینکشو تو آدرس بار میدی تمام دستوراتو نشون میده.
و طرف میتونه کپی پیست کنه
راهی هست که نشونش نده؟

[EXXXIR]

من
انتقال پوشه های attachments، downloads و templates_c
کردم اما دیگه کلاینتم باز نشد ارور سظح دسترسی میداد

اگر مراحل درست انجام داده باشید و در فایل کانفیگ هم ست کنید نباید مشکلی پیش بیاد.
البته در سایر کنترل پنل ها به جز سی پنل امکانش هست درست کار نکنه و همچنین بستگی به تنظیمات امنیتی سرور هم هست.

ممنون خیلی خوب بود،با این کلی حال کردم
من با همین دستور css رو هم محدود کردم
اما وقتی لینکشو تو آدرس بار میدی تمام دستوراتو نشون میده.
و طرف میتونه کپی پیست کنه
راهی هست که نشونش نده؟

اگر سی اس اس هم محدود کنید قالبتون به درستی لود نمیشه پیشنهاد می کنم سی اس اس از این روش مخفی نکنید چون احتمالا الان برای خودتون فایلا روی سیستم کش شده مشکلی احساس نمی کنید ولی برای کاربران دیگه فایل لود نمیشه و قالبتون بهم میریزه.

[razavihost]

اگر سی اس اس هم محدود کنید قالبتون به درستی لود نمیشه پیشنهاد می کنم سی اس اس از این روش مخفی نکنید چون احتمالا الان برای خودتون فایلا روی سیستم کش شده مشکلی احساس نمی کنید ولی برای کاربران دیگه فایل لود نمیشه و قالبتون بهم میریزه.

واسه css کاری میشه کرد؟

[EXXXIR]

واسه css کاری میشه کرد؟

برای سی اس اس میشه با تکنیک های مختلفی انجام داد که البته نواقص زیادی احتمال داره برای کاربر ایجاد کنند یکی از روش هایی که بیشتر برای صفحات html استفاده میشه تغییر نام سی اس اس به یک فرمت دلخواه مثلا css.venon و با استفاده از htaccess و قابلیت ریرایت دستور تغییر نام این فایل به css.css میدیم تا در لود صفحات فایل پیدا بشه. و امکان دسترسی مستقیم به فایل اصلی بسته میشه.

این یکی از روش ها هست که البته مشکلاتی برای سیستم های داینامیک به وجود میاره که فقط باید تست کنید. مقاله ای به زبان انگلیسی خیلی وقت پیش خوندم اگر همون مقاله پیدا کنید شاید به کارتون بیاد.

[aligoli]

حل شد.

[sazsaz]

ببين مهم اينه كه قالب لود بشه اگر قالب لود بشه امكان دسترسي به آن هست چون الان ديگه اينقدر برنامه هست كه نمي شه جلوش را گرفت

[H.G.N]

بله - الان با استفاده از برنامه های دانلود صفحات وب براحتی میشه دنلود کرد .

[hpnn.wm]

حل شد.

ببخشید تاپیک واسه یه سال پیش بود الان شما دارید می گید حل شد ؟
چرا تاپیک قدیمی رو بالا اوردید ؟