8 تکنیک تخصصی افزایش امنیت whmcs (هکرها را شکست دهید!)

آیا بعد از نصب اسکریپت نیاز است که امنیت whmcs را حتما تامین کنیم یا خودش یک سیستم پیش‌فرض امن است؟ اسکریپت whmcs یک سیستم حرفه‌ای و جامع مدیریت مشتری است که مخاطبان اصلی استفاده از آن شرکت‌های میزبانی وب هستند.

مدیریتی کامل روی فروش، صدور و ارسال فاکتورها، سیستم تیکتینگ پیشرفته و ده‌ها امکانات فوق‌العاده دیگر که باعث شده انتخاب اول شرکت‌های میزبانی وب باشد.

این اسکریپت توسط یک کمپانی بزرگ انگلیسی عرضه شده و برای استفاده از آن باید لایسنس تجاری آن را تهیه کنید. البته استفاده از این سیستم قدرتمند در ایران بیشتر به صورت نسخه نال شده است.

به جرات می‌توان گفت ۸۰ درصد شرکت‌ها و کسانی که خدمات میزبانی وب ارائه می‌دهند از این اسکریپت استفاده می‌کنند. به همین دلیل تأمین امنیت whmcs باید از اولویت‌های اول استفاده‌کنندگان آن باشد.

هکرها با آگاهی از گستردگی استفاده از این سیستم، حملات گسترده‌ای را به سمت این سایت‌ها انجام می‌دهند. اگر شما هم از این اسکریپت استفاده می‌کنید باید سریعاً نسبت به تأمین امنیت whmcs اقدام کنید.

روش‌های تأمین امنیت whmcs

۱- انتقال دایرکتورهای “attachments” “downloads” “templates_c”

این سه دایرکتوری در whmcs باید پرمیژن اجرایی write داشته باشند به همین دلیل permission 777 باید برای آن‌ها در نظر گرفته شوند.

با استفاده از تکنیک‌های private هکرها می‌توانند درون این دایرکتوری‌های دسترسی‌های مخفی و مخربی همچون شل‌ها آپلود کرده و کنترل کامل سایت شما را در دست بگیرند.

برای افزایش امنیت whmcs در اولین قدم ما با انتقال این سه دایرکتوری به home/ و خارج کردن از روت هاست دسترسی به این دایرکتوری‌ها را مسدود می‌کنیم تا هکرها به صورت مستقیم به هیچ وجه نتوانند به آن دسترسی داشته باشند.

پس از انتقال کامل آن‌ها به یک دایرکتوری قبل‌تر برای اینکه whmcs به درستی کار کند باید مسیر جدید آن‌ها را به اسکریپت معرفی کنید. بدین منظور باید درون فایل کانفیگ سه خط کد زیر را قرار دهید و به جای username نام کاربری هاست خود را قرار دهید.

;"/templates_compiledir = "/home/username/templates_c$
;"/attachments_dir = "/home/username/attachments$
;"/downloads_dir = "/home/username/downloads$

۲- انتقال دایرکتوری crons

این دایرکتوری به دلیل داشتن فایل‌های حساس سینک کردن دامین و پروسه‌ها یکی از جاهایی است که هکر سعی در نفوذ به آن دارد. برای رفع این مشکل و تأمین امنیت این بخش باید به روش قبل این دایرکتوری را به نام دیگری تغییر دهیم.

بعد از تغییر نام دایرکتوری با اضافه کردن خط زیر درون فایل کانفیگی که در دایرکتوری crons قرار دارد آن را از این تغییر مطلع می‌کنیم.

;'/whmcspath = '/home/username/public_html/whmcs$

حالا باید در فایل کانفیگ اصلی whmcs نیز با قرار دادن کد زیر تغییرات را نهایی کنیم.

;'/crons_dir = '/home/username/whmcs_crons$

به جای username باید نام کاربری هاست خود را وارد کنید.

۳- محدودسازی دسترسی به بخش مدیریت

یکی از روش‌های مرسوم حملات هکرها استفاده از روش Bruteforce برای حدس پسورد ادمین whmcs می‌باشد. در این روش هکر با استفاده از برنامه‌هایی سعی می‌کند با دادن لیستی از پسوردها در صورتی که رمز عبور شما ضعیف باشد بتوانید پسورد شما را پیدا کرده و به بخش مدیریت دسترسی بگیرد.

برای افزایش امنیت whmcs باید دسترسی به مدیریت را با تغییر نام دایرکتوری و یا با استفاده از محدودسازی دسترسی ارتقا دهیم.

در این روش با وارد شدن به دایرکتوری admin یک فایلی با نام htaccess. بسازید. سپس درون آن قطعه کد زیر را قرار دهید.

order deny,allow
allow from 1.2.3.4
deny from all

فقط به جای ۱۲۳۴ باید آی پی ثابت اینترنت خودتان را وارد کنید تا فقط شما بتوانید به این بخش دسترسی داشته باشید.

۴- تغییر نام دایرکتوری admin

برای افزایش بیشتر امنیت می‌توانید علاوه بر روش قبلی با تغییر نام دایرکتوری Admin کار را به شدت برای هکرها سخت کنید.

برای این کار کافی است ابتدا با تغییر نام دایرکتوری ادمین با قرار دادن کد زیر درون فایل کانفیگ whmcs مسیر جدید را به اسکریپت بشناسانید.

;"customadminpath = "new_directort_name$

۵- نصب فایروال

همیشه یکی از بهترین روش‌ها برای تأمین امنیت استفاده از فایروال می‌باشد. فقط در این روش شما باید دسترسی روت به سرور را داشته باشید و یا خود مدیر سرور باشید.

البته در اکثر میزبان‌ها فایروال به صورت پیش‌فرض نصب بوده و نیازی نیست شما کاری انجام دهید ولی اگر مدیر سرور هستید می‌توانید با نصب فایروال csf امنیت سرور و سایت‌های میزبانی شده را افزایش دهید.

۶- تغییر پرمیژن فایل کانفیگ

این فایل یکی از اصلی‌ترین فایل‌های اسکریپت است که باید به آن توجه زیادی داشته باشید برای افزایش امنیت whmcs از طریق این فایل می‌توانید با کد کردن محتویات داخل آن دسترسی هکر به خواندن اطلاعات حساس آن را غیرممکن کنید.

در بسیاری از مواقع کد شدن این فایل خود باعث بروز مشکلاتی خواهد شد که ما سعی می‌کنیم یک روش جایگزین برای آن به شما آموزش دهیم که بدون هیچ مشکلی به راحتی می‌توانید از آن استفاده کنید.

برای این کار کافی است پرمیژن فایل configuration.php را به ۴۰۰ کاهش دهید چون دسترسی مستقیم به این فایل برای کاربران لازم نبوده و فقط باید whmcs بتوانید اطلاعات آن را بخواند. پس داشتن دسترسی فقط خواندنی برای یوزر هاست کافی خواهد بود.

۷- فعال کردن ssl

استفاده از پروتکل https به جای http یکی از بهترین روش‌ها برای کد کردن اطلاعات ارسالی و دریافتی بین کاربر و سرور می‌باشد.

استفاده از ssl در تمامی وب‌سایت‌ها به شدت توصیه شده و فقط مختص whmcs نمی‌باشد. برای این کار علاوه بر تهیه‌ی ssl باید از طریق مسیر Setup > General Settings در بخش مدیریت این قابلیت را فعال کنید.

۸- محدود کردن دسترسی به دیتابیس

برای افزایش امنیت whmcs یکی دیگر از روش‌ها، محدودسازی پرمیژن های دسترسی کاربر به دیتابیس می‌باشد. Whmcs برای عملکرد صحیح خود فقط نیاز دارد تا دسترسی‌های زیر برای دیتابیس فراهم باشد.

DELETE
INSERT
SELECT
UPDATE
LOCK TABLES

حالا با دانستن این موضوع دسترسی‌های دیگر را برای افزایش بیشتر امنیت می‌توانید با خیال راحت غیرفعال کنید.