هاست لینوکس

آخرین بسته‌ی MyBB: نسخه‌ی 1.8.27 MyBB منتشر شد
کتاب MyBB: کامل‌ترین کتاب راهنمای انجمن‌ساز MyBB از صفر تا صد منتشر شد

مرجع پارسی MyBB آرشیو آرشیو انجمن های قدیمی مای بی بی نسخه 1.6 آموزش ها امنیت
امنیت در mybb

امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 5
  • 1
  • 2
  • 3
  • 4
  • 5
حالت موضوعی
امنیت در mybb
lab آفلاین
سئوکار
*****
پاسخگو
ارسال‌ها: 560 موضوع‌ها: 30 تاریخ عضویت: ۱۳ ارديبهشت ۱۳۹۱ اعتبار: 28
#1
Information  ۱۳۹۱/۹/۱۷، ۱۷:۱۷:۳۲ عصر (آخرین ویرایش: ۱۳۹۱/۹/۱۷، ۱۷:۲۷:۱۱ عصر، توسط lab.)
با سلام
مباحث در حوزه امنیت بسیار زیاده و تو یه تایپیک نمیشه راجبشون کامل گفت،منتها چون به صورت پراکنده ذکر شده گفتم یک جا جمع بندی بشه و به صورت کلی گفته بشه،دوستان هم میتونن همکاری کنن.
-------------------
در ابتدا میریم سراغ یک هاست خوب با پشتیبانی قوی(بهترین حالت یک سرور اختصاصی همراه با ip اختصاصی هستش از یک تامین کننده هاست قوی و باتجربه گرفته شده باشه) که شامل فایروال ها و انتی ویروس های قوی و بروز همراه با اخرین نسخه های نرم افزاری(phpو...) می باشد.
هر چند گاهی هم میشه با اسکن کردن سایت توسط برنامه ها و نرم افزارهایی باگ ها و شل و اسکریپت های مضر رو هم تشخیص داد.
نمونه
------------------
گرفتن backup به صورت مداوم
-----------------
جلوگیری از دسترسی و فراخوانی مستقیم فایل های سایت با استفاده از پسور گذاری از طریق هاست بر روی فایل ها.
اکثر هاست ها این توانایی رو دارند،پس اشتباه هستش که ازش استفاده نشه،نظیر پسوردگذاری بر روی پوشه inc و فایل config و همینطور پوشه ادمین
برای بستن دسترسی هم میتوان از کد زیر در htaccess استفاده کرد
کد:
<Limit GET POST>
order deny,allow
deny from all
</Limit>
----------------
روشن کردن مد سکوریتی که در mybb به صورت پیشفرض غیرفعاله
در تایپیک زیر طریقه روشن کردنش گفته شده
http://community.mybbiran.com/thread-6405.html
--------------
تغییر نام پوشه ادمین
در تایپیک زیر گفته شده
http://community.mybbiran.com/thread-61.html
------------
تغیر نام در config.php
در تایپیک زیر گفته شده
http://community.mybbiran.com/thread-62.html
------------
تنظیم htaccess برای ورود با یکip
http://community.mybbiran.com/post-6770.html
-----------
اسپمر هاگهگاهی ضربه های شدیدی به سایت میزنن،برای جلوگیری از ثبت نام و کاهش قدرت انها راه کار های زیادی ذکر شده
برای نمونه
http://community.mybbiran.com/thread-3327.html
--------------
گذاشتن سوپر پسورد
پلاگینش موجوده و همینطور اموزشش
http://community.mybbiran.com/thread-12653.html
---------------
نصب پلاگین ورودی ادمین جعلی که با فرستادن ایمیل میگه که کسی در پی نفوذ به سایته
http://community.mybbiran.com/thread-7649.html
--------------
گذاشتن پسورد قوی و غیر قابل حدس
-------------
تا جایی که ممکنه از دادن دسترسی به دیگران خودداری کرده و یا ارتقا کاربران به ادمین کل(بعضی پشتیبانی ها هم با داشتن چند ادمین کل هک شدن و بعدا معلوم شد کاره ادمینی بوده که بهش دسترسی داده بودن
------------
تا جایی که ممکنه پلاگین های کمتری نصب کرده و در صورت نداشتن نیاز پلاگین رو پاک کرده
بعضی پلاگین ها اجازه اپلود فایل های مخرب رو میدن که به قیمت سنگینی برای وب مستر تموم میشه
------------
اپدیت کردن به روز سایت و نسخه سایت
-----------
پشتیباین های سایتتون رو فراموش نکنین و مداوم سر کشی کنید تا از بروز شدن ها و باگ ها و ... مطلع گردین
------------
مخفی کردن سوپر ادمین و استفاده نکردن از این یوزر
-----------
اگه ممکن باشه از جایی که هاست میخرین بخواین که یوزرتون رو متفاوت از اسم سایت بده
برای نمونه سایت asal.com ورود به کنترل پنل هاست با یوزر متفوت باشه نه با asal
------------
سطوح دسترسی
به طور کلی فایل ها باید دسترسیشون روی 644 باشه و فولدر ها روی 755 که در mybb بعضی وقتها چیزهایی ممکنه که خوب کار نکنند
بهترین سطوح دسترسی ذکر شده
inc/config.php - 666 بعد از نصب بر روی 444
inc/settings.php - 666
cache/ - 777
cache/themes/ - 777
uploads/ - 777
uploads/avatars/ - 777
admin/backups/ - 777
nc/languages/*language*/*all files*/ - 666
inc/languages/*language*/admin/*all files*/ - 666
------------
کد کردن محتویات config.php
-----------
مخفی کردن ادمین پنل
در config.php باید
کد:
$config['hide_admin_links'] = 0;
این باشد
کد:
$config['hide_admin_links'] = 1;
-----------
غیر فعال بودن html در پست ها
-----------
غیر فعال کردنshowteam هم میتونه کمی موثر باشد
-----------
خاموش کردن ورژن سایت
----------
در صورت اضافه شدن موارد ارسال اپدیت میشود
مرجع خبری سرگرمی علمی پزشکی

وب سایت ارسال‌ها
پاسخ
 سپاس شده توسطمیدوری (۱۳۹۱/۹/۱۷، ۱۷:۴۷:۰۸ عصر) ، HOssE!N-B (۱۳۹۱/۹/۱۷، ۱۸:۲۵:۴۸ عصر) ، khp (۱۳۹۱/۹/۱۷، ۱۸:۲۹:۵۸ عصر) ، Mohammad-Mo (۱۳۹۱/۹/۱۷، ۱۹:۱۰:۴۰ عصر) ، mohsenazizi (۱۳۹۱/۹/۱۷، ۲۱:۳۷:۳۷ عصر) ، mahpishoni (۱۳۹۱/۹/۱۷، ۲۲:۳۱:۰۲ عصر) ، geo (۱۳۹۱/۹/۲۰، ۰۰:۲۰:۱۶ صبح) ، hamidkag (۱۳۹۱/۹/۲۰، ۰۱:۵۵:۵۷ صبح) ، saberkaya (۱۳۹۱/۹/۲۹، ۰۹:۴۱:۵۰ صبح) ، Iran511 (۱۳۹۱/۱۰/۱۴، ۱۶:۴۰:۰۶ عصر) ، Amir_Sam (۱۳۹۲/۳/۱۴، ۰۰:۳۷:۰۲ صبح) ، firstboy000 (۱۳۹۲/۱۱/۱۵، ۱۴:۱۶:۱۸ عصر) ، امیرحسین (۱۳۹۳/۱/۲۴، ۱۸:۴۵:۵۵ عصر) ، motorola30 (۱۳۹۳/۷/۸، ۱۱:۰۴:۴۹ صبح)
salondaran آفلاین
سرباز گمنام انجمن
****
کاربر سایت
ارسال‌ها: 377 موضوع‌ها: 48 تاریخ عضویت: ۲۴ آبان ۱۳۹۰ اعتبار: 4
#2
۱۳۹۱/۹/۱۷، ۲۱:۱۰:۱۳ عصر (آخرین ویرایش: ۱۳۹۱/۹/۱۷، ۲۱:۱۵:۴۷ عصر، توسط salondaran.)
خاموش کردن ورژن سایت از کجا انجام میشه ؟
بهترین سطوح دسترسی ذکر شده
inc/config.php - 666 بعد از نصب بر روی 444
inc/settings.php - 666
cache/ - 777
cache/themes/ - 777
uploads/ - 777
uploads/avatars/ - 777
admin/backups/ - 777
nc/languages/*language*/*all files*/ - 666
inc/languages/*language*/admin/*all files*/ - 666
------------
میشه دقیق تر توضیح بدین ؟ دو تا خط آخرش زیاد واضح نیست
كار هر بز نيست خرمن كوفتن گاو نر مي خواهد و مرد كهن
ارسال‌ها
پاسخ
lab آفلاین
سئوکار
*****
پاسخگو
ارسال‌ها: 560 موضوع‌ها: 30 تاریخ عضویت: ۱۳ ارديبهشت ۱۳۹۱ اعتبار: 28
#3
۱۳۹۱/۹/۱۷، ۲۱:۴۱:۱۲ عصر
خاموش کردن ورژن سایت
General Configuration--->سپس Show Version Numbers-->خاموش
-----------------------
باد CHMOD کنی اون فایل ها رو به سطوحی که گفته شده
تعیین سطح دسترسی!
http://community.mybbiran.com/thread-28.html
----------------------
مرجع خبری سرگرمی علمی پزشکی

وب سایت ارسال‌ها
پاسخ
salondaran آفلاین
سرباز گمنام انجمن
****
کاربر سایت
ارسال‌ها: 377 موضوع‌ها: 48 تاریخ عضویت: ۲۴ آبان ۱۳۹۰ اعتبار: 4
#4
۱۳۹۱/۹/۱۷، ۲۳:۰۱:۱۱ عصر
inc/config.php - 666 بعد از نصب بر روی 444

این کارو کردم اما ارور میده و توصیه می کنه روی 777 باشه

دوتاخط آخر واضح نیست .
كار هر بز نيست خرمن كوفتن گاو نر مي خواهد و مرد كهن
ارسال‌ها
پاسخ
lab آفلاین
سئوکار
*****
پاسخگو
ارسال‌ها: 560 موضوع‌ها: 30 تاریخ عضویت: ۱۳ ارديبهشت ۱۳۹۱ اعتبار: 28
#5
۱۳۹۱/۹/۱۷، ۲۳:۳۷:۱۰ عصر (آخرین ویرایش: ۱۳۹۱/۹/۱۷، ۲۳:۳۷:۵۴ عصر، توسط lab.)
ماله من و سایت های زیادی رو 444 هستش،اینها شیوه هایی از بالا بردن امنیته،حالا اگه دوست داری میتونی اینو انجام ندی،به خودتون مربوطه
-----------
چیه دو تای اخری واضح نیست،فایل های اخری و مشخص شده رو دسترسیشونو تغییر بده
مرجع خبری سرگرمی علمی پزشکی

وب سایت ارسال‌ها
پاسخ
mahtabi آفلاین
تازه وارد
*
کاربر سایت
ارسال‌ها: 11 موضوع‌ها: 0 تاریخ عضویت: ۱۱ دي ۱۳۹۰ اعتبار: 0
#6
۱۳۹۱/۹/۱۸، ۰۰:۲۷:۴۷ صبح
سلام
با تشکر از مطلب مفید
بهتره دوستان نکات مهم و تجربه ای خودشون رو در اینجا مطرح کنند
اخیرا هک شدن اکانت ها در داخل فروم کار رایجی شده
آیا کسی نکته ای به ذعنش میرسه
درضمن توی اون فایل آموزشی که در باره هاست گفته شده بود که چطور شل رو پیدا کنیم
باید بگم برای همه فروم ها از این فایل ایراد میگیره:
inc/3rdparty/diff/Diff/Engine/shell.php
و یک دستور شل توش هست
موفق باشید
ارسال‌ها
پاسخ
salondaran آفلاین
سرباز گمنام انجمن
****
کاربر سایت
ارسال‌ها: 377 موضوع‌ها: 48 تاریخ عضویت: ۲۴ آبان ۱۳۹۰ اعتبار: 4
#7
۱۳۹۱/۹/۲۰، ۰۰:۰۳:۵۵ صبح (آخرین ویرایش: ۱۳۹۱/۹/۲۰، ۰۰:۱۰:۵۳ صبح، توسط salondaran.)
nc/languages/*language*/*all files*/ - 666
inc/languages/*language*/admin/*all files*/ - 666

منظورش کدوم فایل هاست ؟
inc/settings.php - 666

مال من 644 هستش یعنی دسترسیش کمتره و مشکلی هم ندارم . عوض کنم ؟
كار هر بز نيست خرمن كوفتن گاو نر مي خواهد و مرد كهن
ارسال‌ها
پاسخ
lab آفلاین
سئوکار
*****
پاسخگو
ارسال‌ها: 560 موضوع‌ها: 30 تاریخ عضویت: ۱۳ ارديبهشت ۱۳۹۱ اعتبار: 28
#8
۱۳۹۱/۹/۲۰، ۰۸:۳۳:۳۰ صبح
1-منظور تمام فایل های موجود در پوشه زبان هستش
2-منظور تمام فایل های موجود در پوشه ادمین هستش
مرجع خبری سرگرمی علمی پزشکی

وب سایت ارسال‌ها
پاسخ
 سپاس شده توسطsalondaran (۱۳۹۱/۹/۲۰، ۲۲:۰۰:۲۲ عصر) ، شماره مجازی (۱۴۰۱/۸/۲۶، ۰۱:۴۶:۳۱ صبح) ، گراف مسنجر (۱۴۰۱/۱۰/۳، ۰۴:۰۹:۱۱ صبح) ، چارتر ۴۲۴ (۱۴۰۲/۹/۱۲، ۱۵:۰۸:۰۸ عصر)


پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان