آموزش تامین امنیت whmcs

آموزش تامین امنیت whmcs

آموزش تامین امنیت whmcs

بعد از این که نصب whmcs را انجام دادید و البته قبل از اقدام به پیکربندی کردن آن نیازمند این هستیم که یکسری اطلاعات جهت  تامین امنیت whmcs انجام شود. با این کار می توان بالاترین سطح امنیت را داشته باشیم. این کار ها با این که اسان است اما کمک بسیاری به امنیت whmcs می کند.

بررسی هایی که انجام شده بسیاری از شرکت های هاستینگ این کارها را انجام نمی دهند که برای خود و کاربرانشان آسیب های جدی امنیتی ایجاد می کنند. در ادامه مبحث با انجام یک سری راهکارهای ساده امنیت whmcs خود را بالا می بریم.

  • توجه کنید که قبل از شروع کار از whmcs خود بکاپ بگیرید تا در صورت مشکل و نیاز بتوانید آن را برگردانید.
 

تامین امنیت whmcs

آموزشهای مربوط به تامین امنیت از منبع اصلی ارائه می شود که در زیر به آن اشاره می شود:

  • امن سازی پوشه های قابل ویرایشwhmcs
  • امن سازی فایل پیکربندیphp
  • محدود سازی دسترسی به آی پی به مسیرمدیریت whmcs
  • تغییر نام مسیر مدیریتیwhmcs
  • تغییر سطح دسترسی های دیتابیس whmcs
  • استفاده از گواهی امنیتی ssl

در ادامه مبحث به آموزش موارد بالا خواهیم پرداخت.

 

امن سازی پوشه های قابل ویرایش

پوشه های downloads، attachments، templates_c  دایرکتوری های قابل فروش هستند که محتوای داخل ان شاید به وسیله هکر ها مورد تغییر یا نفوذ قرار می گیرند که باعث بروز مشکلات امنیتی شوند.

محلی که پیوستهای کاربران در آنجا ذخیره می شود دایرکتوریattachments نام دارد. توجه داشته باشید که اگر هگ کدهای آلوده خود را در مسیر آپلود قرار دهد و آن را اجرا نماید مشکلات بزرگی ایجاد می کند.

اگر شما این پوشه را با رده بالاتر، انتقال دهید اگر هم آپلود کدهای آلوده صورت بگیرد هکر دیگر نمی تواند به اجرای آن دسترسی پیدا کند و به این صورت امنیت حفظ خواهد شد.

دایرکتوری templates_c و downloads همچین حالتی دارند اما با این تفاوت که امکان نفوذ در آن ها بواسطه تزریق کد های  sql امکان پذیر است. در نتیجه این سه دایرکتوری حتما باید از دسترس عموم خارج شوند وبه ریشه بالا انتقال پیدا کنند. برای این کار به صورت زیر انجام می شود:

  1. ابتدا وارد هاست شده و به مسیر اصلی نصب شده whmcs می روید.
  2. دایرکتورهای attachments، downloads، templates را در مسیر home انتقال دهید.

۱٫اگر می خواهید می توانید ان ها را در پوشه ای در home برای نظم دهی منتقل کنید.

  1. در این مرحله فایل configuration.php را باز کنید و کدهای زیر را وارد کنید:
  2. حالا اگر این فولدر ها را در داخل پوشه دیگری (مانندmy3folder) در مسیرhome قرار دادید باید مانند نمونه ی زیر ویرایش کنید:
:$attachments_dir  =  "/home/mizbanhost/my3folder/attachments/"

؛$downloads_dir = "/home/mizbanhost/my3folder/downloads"

؛$templates_compiledir = "/home/mizbanhost/my3folder/templates_c/"
 

بعد از انجام دادن مراحل بالا اگرwhmcs بدون پیغام خطا بود به این معنا می باشد که کار را درست انجام داده اید. در غیر این صورت دوباره اقدامات را به دقت بررسی کنید.

در مواقع خطا علت این است که جاگذاری کدها در فایل پیکربندیwhmcs درست انجام نشده و می بایست مورد بررسی و بازبینی قرارگیرد.

  • توجه و دقت بفرمایید که سطح دسترسی دایرکتوری های بالا که بر روی ۷۷۷منتقل شده اند بر روی ۷۵۵ تنظیم نمایید. امکان دارد با سطح دسترسی ۷۷۷ با پیغام خطا internal server error مواجه شوید، زیرا سطح۷۷۷ برای کارسازی تعاملی قدیمی و منسوخ شده وب سرور است.
 

امن سازی فایل configuration.php

برای این کار باید فایل configuration.php  را بر روی ۴۰۰ تنظیم نمایید. حالا اگر متوجه خطایی شدید که با کارسازهای جدید وب سرور بعید می باشد سطح دسترسی ان را بر روی۴۴۴یا ۴۴۰ تنظیم کنید. بعلاوه با محدود کردن دسترسی به فایل configuration.php به آی پی می توانید، امنیت whmcs را تکمیل  کنید.

برای این منظور مقدار زیر را در فایل htaccess وارد کنید:

<files configuration.php>

Order allow,deny

Deny from all

</files>
 

باید به این موضوع توجه کنید که کد بالا به صورت پیشنهادی از میزبان فا برای افزایش امنیت whmcs ارائه شده است. در سایت اصلی فقط  به تنظیم سطح دسترسی فایل configuration.php اشاره شده است.

 

انتقال پوشه cronsبه ریشه بالاتر

برای بالا بردن و تامین امنیت باید فولدر crons را به ریشه بالاتر انتقال نمایید. برای این کار به صورت زیر اقدام کنید:

  1. دایرکتوریcrons را به ریشه home انتقال دهید.
  2. بعد از این که انتقال دادید، وارد دایرکتوری crons در مسیر home شده و وارد حالت ویرایش فایل php شوید.
  3. در انتهای فایل php مقدار زیر را وارد و ذخیره کنید.
؛$whmcspath = '/home/mizbanhost/public_html/'

حالا با مقدار زیر مسیر نصب whmcs را به crons مشخص می کنیم. فقط باید مسیر به درست نوشته شود. در ادامه باید این تغییر را در فایل configuration.php ثبت کنید. برای این منظور مقدار زیر را در انتهای کدهای فایل configuration وارد کنید و سپس ذخیره کنید.

؛$crons_dir  = '/home/mizbanhost/whmcs_crons'

به جای mizbanhost نام کاربری هاست را وارد کنید، و به جای whmcs_crons  نام دایرکتوری به اختیار خود که دایرکتوریcrons را در داخل آن مسیر home منتقل کرده اید را جایگزین کنید.

 

محدود سازی مسیر مدیریت whmcs

در هاست وارد مسیر adminاتوماسیون whmcs شوید و مقدارهای زیر را در فایلhtaccess  قرار دهید:

Order deny,allow

Allow fram 12.34.5.67

Allow from 98.76.54.32

Deny from all
 

مقدارهای ۱۲٫۳۴٫۵٫۶۷ و همچنین ۹۸٫۷۶٫۵۴۳۲ ای پی های مجاز می باشند. اگر شما ای پی ثابت دارید باید آن را با مقدارهایی که دربالا امده است جایگزین کنید. به عنوان نمونه ای پی شما اگر ۵٫۲۶٫۶۸٫۴۹ باشد باید به صورت زیر تصحیح کنید:

Order deny,allow

Allow fram 5.26.68.49

Deny from all
 

اما اگر ای پی شما متغیر است رنج ای پی های خود را وارد کنید.برای نمونه:

Order deny,allow

Allow fram 5.26.

Allow from 87.36

Deny from all
 

تغییر نام مسیر مدیریت whmcs

پوشه admin در مسیر اصلی خود را به هرنامی که میخواهید می توانید تغییر دهید.. برای نمونه اگرvrt48kvb سپس مقدارزیر را به فایل configuration.phpاضافه کنید:

؛$customadminpath = "vrt48kvb"

یکی از اقدام های مهم و ضروری و البته مهم تغییر نام پوشه ادمین در whmcs  برای تامین امنیت whmcs است. توجه داشته باشید که هنگام بروزرسانی می بایست یک سری موردهای زیر را رعایت کنید:

  • بروزرسانی دستی: نام پوشه بروزرسانی را به مقدار تغییر داده شده تغییر نام دهید.
  • بروزرسانی خودکار: باید قبل از این که اقدام به بروزرسانی کنید نام پوشه مدیریتwhmcs را به admin برگردانید.
  • تووجه: از بروزرسانی دستی برای جلوگیری از بروز مشکلات فنی استفاده کنید.
  • تووجه: اگر می خواهید نام را تغییر دهید و به admin بازگردانی کنید باید کد اعمال شده را به صورت موقت بردارید.
 

استفاده از گواهی امنیتی ssl

پیشنهاد ما به شما این است که مطالب زیر را مطالعه کنید:

  • دلیل استفاده از ssl چیست؟ و تاثیر https در سئو سایت
  • آموزش نصب و فعال کردن ssl رایگان در سی پنل
  • آموزش نحوه نصب ssl روی وردپرس

استفاده از گواهی امنیتی ssl در whmcs مهم وضروری است. دلایل آن را مرور می کنیم:

  • امنیت انتقال اطلاعات کلی کاربران و عوامل مجموعه هاستینگ پوشش داده می شود.
  • باعث بالارفتن سطح رضایت کاربران و باعث بهبود سئو سایت می شود.
 

اقدامات لازم برای تامین امنیت whmcs

  • Whmcs را در هاست دیگری به وسیله a record نصب کنید.
  • پیشنهاد می شود که اموزشzone editor سی پنل را مطالعه کنید.
  • با این کار امنیت اتوماسیون whmcs تحت تاثیر اسکریپت ها نباشد.
  • بعلاوه شرایط امنیتی ان باعث تاثیر بر دیگر اسکریپت ها نباشد.
  • Whmcsخود را با بسته های اپدیت بخصوص پچ های امنیتی بروز رسانی کنید.
  • قابلیت captcha را فعال کنید تا حملات brute force قابل اجرا نشود.
  • برای اینکه کاربران ورود پیدا کنند می بایست کد captcha بصورت دستی اضافه شود.
  • از قابلیت حفاظت برای دایرکتوری مدیریتwhmcs پیشنهاد می شود، استفاده کنید.
  • موقع ورود به ناحیه مدیریتی از اینترنت امن استفاده کنید.
  • به هچ عنون از اینترنت رایگان وp.n استفاده نکنید.
  • قابلیت reset password در تنظیمات برای بخش مدیریتی ان غیرفعال کنید.
  • و تیک گزینه setup general seting security tab disable admin passwordreset را بردارید.
, , ,
Share:

ارسال یک پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

برای امنیت، استفاده از سرویس reCAPTCHA گوگل مورد نیاز است که موضوع گوگل است Privacy Policy and Terms of Use.

I agree to these terms.