امنیت WHMCS

مراحل تغییر آدرس مدیریت whmcs

برای تغییر نام فولدر ادمین whmcs شما باید به پنل میزبانی وب‌سایت خود وارد شوید.

پس از لاگین به پنل خود از بخش file manager وارد بخش مدیریت فایل‌های خودتان شوید و در دایرکتوری public_html به دنبال فایل configuration.php بگردید و آن را جهت ادیت باز کنید.

سپس در محتویات این فایل به دنبال عبارت customadminpath بگردید و در صورت عدم وجود، خط زیر را در این فایل اضافه کنید.

;"customadminpath = "addresejadid$

به جای عبارت addresejadid نام جدیدی که مدنظر دارید با آدرس قبلی ورود به whmcs شما جایگزین شود را وارد کنید.

حالا باید آدرس و یا دایرکتوری قبلی که توسط آن وارد بخش مدیریت whmcs می‌شدید که به صورت پیش فرض مسیر /admin/ هستش را با نامی که در فایل configuration.php وارد کردید جایگزین کنید تا ارتباط بخش مدیریت با پایگاه برقرار گردد.

از این لحظه به بعد شما برای ورود به بخش مدیریت خود باید آدرس وب‌سایت خود را به شکل زیر وارد نمایید.

www.site.com/addresejadid

خوب واضح هستش باید به جای site.com آدرس وب‌سایت خودتان را وارد کنید و به جای addresejadid آدرس جدید پنل ادمین whmcs را وارد کنید.

تغییر آدرس مدیریت whmcs برای امنیت بیشتر

whmcs بهترین سیستم حسابداری خدمات میزبانی وب است و تقریبا اکثریت ارائه دهندگان هاستینگ دنیا از این سیستم استفاده می کنند ، به طور پیش فرض آدرس مدیریت whmcs بر روی پوشه /admin/ تنظیم شده است و این مورد یک ریسک امنیتی محسوب می شود چراکه هکر ها با داشتن آدرس مدیریت whmcs می توانند با حملات sql injections و brute force برای whmcs خطر جدی ایجاد کند ، در این مقاله ما آموزش تغییر آدرس مدیریت whmcs را برای شما ارسال کردیم.

برای تغییر آدرس مدیریت whmcs خود باید به وسیله کنترل پنل هاست به فایل های whmcs خود دسترسی پیدا کنید ، بنابراین پس از ورود به پنل هاست خود روی گزینه filemanager کلیک کنید و سپس به محل نصب whmcs خود مراجعه کنید و به دنبال فایل configuration.php بگردید. توجه کنید تمام تنظیمات whmcs در فایل configuration.php قرار می گیرد و در این فایل اطلاعات مهمی مانند رمز ورود دیتابیس نیز قرار گرفته است ، بنابراین در حفظ اطلاعات آن کوشا باشید.

شما باید یک خط کد به فایل configuration.php خود اضافه نمایید ، این فایل را ویرایش کنید و سپس کد زیر را وارد نمایید :


$customadminpath = "injavaredkonid";


توجه کنید که باید به جای injavaredkonid نام پوشه ادمین whmcs جدید را وارد کنید و سپس فایل را ذخیره کنید و مجدد به محل نصب whmcs خود مراجعه کنید ، شما باید به دنبال پوشه admin بگردید و نام آن را به دلخواه تغییر دهید. این نام باید همان نامی باشد که در تنظیمات فایل configuration.php وارد کرده اید. پس از تغییر آدرس مدیریت whmcs از این پس باید به جای /admin/ آدرس پوشه جدید را در مرورگر خود وارد کنید تا وارد ادمین whmcs خود شوید.

روش‌های تأمین امنیت whmcs

۱- انتقال دایرکتورهای “attachments” “downloads” “templates_c”

این سه دایرکتوری در whmcs باید پرمیژن اجرایی write داشته باشند به همین دلیل permission 777 باید برای آن‌ها در نظر گرفته شوند.

با استفاده از تکنیک‌های private هکرها می‌توانند درون این دایرکتوری‌های دسترسی‌های مخفی و مخربی همچون شل‌ها آپلود کرده و کنترل کامل سایت شما را در دست بگیرند.

برای افزایش امنیت whmcs در اولین قدم ما با انتقال این سه دایرکتوری به home/ و خارج کردن از روت هاست دسترسی به این دایرکتوری‌ها را مسدود می‌کنیم تا هکرها به صورت مستقیم به هیچ وجه نتوانند به آن دسترسی داشته باشند.

پس از انتقال کامل آن‌ها به یک دایرکتوری قبل‌تر برای اینکه whmcs به درستی کار کند باید مسیر جدید آن‌ها را به اسکریپت معرفی کنید. بدین منظور باید درون فایل کانفیگ سه خط کد زیر را قرار دهید و به جای username نام کاربری هاست خود را قرار دهید.

;"/templates_compiledir = "/home/username/templates_c$
;"/attachments_dir = "/home/username/attachments$
;"/downloads_dir = "/home/username/downloads$

۲- انتقال دایرکتوری crons

این دایرکتوری به دلیل داشتن فایل‌های حساس سینک کردن دامین و پروسه‌ها یکی از جاهایی است که هکر سعی در نفوذ به آن دارد. برای رفع این مشکل و تأمین امنیت این بخش باید به روش قبل این دایرکتوری را به نام دیگری تغییر دهیم.

بعد از تغییر نام دایرکتوری با اضافه کردن خط زیر درون فایل کانفیگی که در دایرکتوری crons قرار دارد آن را از این تغییر مطلع می‌کنیم.

;'/whmcspath = '/home/username/public_html/whmcs$

حالا باید در فایل کانفیگ اصلی whmcs نیز با قرار دادن کد زیر تغییرات را نهایی کنیم.

;'/crons_dir = '/home/username/whmcs_crons$

به جای username باید نام کاربری هاست خود را وارد کنید.

۳- محدودسازی دسترسی به بخش مدیریت

یکی از روش‌های مرسوم حملات هکرها استفاده از روش Bruteforce برای حدس پسورد ادمین whmcs می‌باشد. در این روش هکر با استفاده از برنامه‌هایی سعی می‌کند با دادن لیستی از پسوردها در صورتی که رمز عبور شما ضعیف باشد بتوانید پسورد شما را پیدا کرده و به بخش مدیریت دسترسی بگیرد.

برای افزایش امنیت whmcs باید دسترسی به مدیریت را با تغییر نام دایرکتوری و یا با استفاده از محدودسازی دسترسی ارتقا دهیم.

در این روش با وارد شدن به دایرکتوری admin یک فایلی با نام htaccess. بسازید. سپس درون آن قطعه کد زیر را قرار دهید.

order deny,allow
allow from 1.2.3.4
deny from all

فقط به جای ۱۲۳۴ باید آی پی ثابت اینترنت خودتان را وارد کنید تا فقط شما بتوانید به این بخش دسترسی داشته باشید.

۴- تغییر نام دایرکتوری admin

برای افزایش بیشتر امنیت می‌توانید علاوه بر روش قبلی با تغییر نام دایرکتوری Admin کار را به شدت برای هکرها سخت کنید.

برای این کار کافی است ابتدا با تغییر نام دایرکتوری ادمین با قرار دادن کد زیر درون فایل کانفیگ whmcs مسیر جدید را به اسکریپت بشناسانید.

;"customadminpath = "new_directort_name$

۵- نصب فایروال

همیشه یکی از بهترین روش‌ها برای تأمین امنیت استفاده از فایروال می‌باشد. فقط در این روش شما باید دسترسی روت به سرور را داشته باشید و یا خود مدیر سرور باشید.

البته در اکثر میزبان‌ها فایروال به صورت پیش‌فرض نصب و نیازی نیست شما کاری انجام دهید ولی اگر مدیر سرور هستید می‌توانید با نصب فایروال csf امنیت سرور و سایت‌های میزبانی را افزایش دهید.

۶- تغییر پرمیژن فایل کانفیگ

این فایل یکی از اصلی‌ترین فایل‌های اسکریپت است که باید به آن توجه زیادی داشته باشید برای افزایش امنیت whmcs از طریق این فایل می‌توانید با کد کردن محتویات داخل آن دسترسی هکر به خواندن اطلاعات حساس آن را غیرممکن کنید.

در بسیاری از مواقع کد شدن این فایل خود باعث بروز مشکلاتی خواهد شد که ما سعی می‌کنیم یک روش جایگزین برای آن به شما آموزش دهیم که بدون هیچ مشکلی به راحتی می‌توانید از آن استفاده کنید.

برای این کار کافی است پرمیژن فایل configuration.php را به ۴۰۰ کاهش دهید چون دسترسی مستقیم به این فایل برای کاربران لازم نبوده و فقط باید whmcs بتوانید اطلاعات آن را بخواند. پس داشتن دسترسی فقط خواندنی برای یوزر هاست کافی خواهد بود.

۷- فعال کردن ssl

استفاده از پروتکل https به جای http یکی از بهترین روش‌ها برای کد کردن اطلاعات ارسالی و دریافتی بین کاربر و سرور می‌باشد.

استفاده از ssl در تمامی وب‌سایت‌ها به شدت توصیه و فقط مختص whmcs نمی‌باشد. برای این کار علاوه بر تهیه‌ی ssl باید از طریق مسیر Setup > General Settings در بخش مدیریت این قابلیت را فعال کنید.

۸- محدود کردن دسترسی به دیتابیس

برای افزایش امنیت whmcs یکی دیگر از روش‌ها، محدودسازی پرمیژن های دسترسی کاربر به دیتابیس می‌باشد. Whmcs برای عملکرد صحیح خود فقط نیاز دارد تا دسترسی‌های زیر برای دیتابیس فراهم باشد.

ارتقا امنیت whmcs

در زیر می توانید عملیاتی را برای ارتقا سطح امنیت whmcs‌خود انجام دهید:

انتقال پوشه های attachments، downloads و templates_c

با توجه به نیازی Whmcs برای قابل نوشته بودن این پوشه ها یعنی پرمشین ۷۷۷ برای این پوشه ها بهتر است که محل این پوشه در محلی خارج از دسترسی عمومی قرار گیرد! برنامه WHMCS به شما این امکان را می دهد در نتیجه در صورتی که پوشه ها را انتقال دادید باید به برنامه محل پوشه ها را تنظیم نمایید.

پس از انتقال پوشه ها سه خط زیر همراه با آدرس صحیح را در فایل configuration.php اضافه نمایید:

$templates_compiledir = “/home/username/templates_c/”;
$attachments_dir = “/home/username/attachments/”;
$downloads_dir = “/home/username/downloads/”;

در مثال های بالا username در واقع نام کاربری سی پنل شماست که در دایرکتوری home و در بالای پوشه public_html!

توجه نمایید در صورتی که شما suphp یا phpsuexec را اجرا کرده اید شما نیازی به تغییر به قابل نوشتن این پوشه ها ندارید. در حقیقت شما نیازی به تغییر پرمیشن به ۷۷۷ وقتی که از suphp یا phpsuexec استفاده می کنید ندارید. بالاترین پرمشین را می توانید ۷۵۵ برای هم پوشه و هم فایل ها تنظیم نمایید.

تغییر پوشه Admin

برخی از کاربران که سایت شما را بازدید می کنند و متوجه می شوند که شما از whmcs استفاده می کنید می دانند که می توانید با وارد کردن پوشه ادمین برای وارد شدن اقدام نمایند، شما می توانید با تغییر نام پوشه ادمین به آنچه که تمایل دارید جلوی اقدام به ورود های ناخواسته را بگیرید.
شما نمی توانید این پوشه را انتقال دهید بلکه تنها می توانید نام آن راتغییر دهید. بعد از تغییر نام پوشه ادمین باید به سیستم نام پوشه ادمین را بدهید. برای این کار خط زیر را در فایل configuration.php اضافه نمایید:

$customadminpath = “myadminname”;

myadminname را با نام پوشه ای که انتخاب کرده اید تغییر دهید.

لطفا توجه کنید که کارهای زمان بندی  ( cron job) را باید با آدرس جدید تصحیح نمایید.
برای مثال:
php -q /home/mylogin/public_html/secure/myadminname/cron.php

جلوگیری از دانلود قالب های شما

برای جلوگیری از دانلود قالب های شما می توانید دسترسی دانلود فایل های tpl را از طریق وارد کردن کد زیر در فایل .htaccess پوشه محل نصب whmcs خود اقدام نمایید:

<Files ~ “\.tpl$”>
Order allow,deny
Deny from all
</Files>