راه های امن کردن سایت به خصوص mybb - نسخهی قابل چاپ +- مرجع پارسی MyBB (https://community.mybbiran.com) +-- انجمن: متفرقه (https://community.mybbiran.com/forum-52.html) +--- انجمن: آموزش های متفرقه (https://community.mybbiran.com/forum-33.html) +--- موضوع: راه های امن کردن سایت به خصوص mybb (/thread-1482.html) |
راه های امن کردن سایت به خصوص mybb - archenemy - ۱۳۸۹/۱/۲۸ در اینجا راه کارهایی بهتون پیشنهاد میکنم که خیلی مهم و حیاتی هستند (نه مثل پیشنهاد هفته ای 2 بار پسوردتون رو عوض کنید ها) چون خودم دارم فی البداهه مینویسم کم کم کامل میکنیم امنیت در سیستم و cms ها : اولی چیز که باید شما در نظر داشته باشید حدس زدن صفحه لاگین ادمین است که از همینجا شما یا از ابتدا یا به عنوان آخرین راه هک میشوید مثلا کسی که بخواد brutforceکنه یا پسورد و یوزرتون رو داره باید به این صفحه برود.خوب معمولا هم که از سیستم میشود فهمید صفحه لاگین کجاست مثلا در مای بی بی ،www.site.com/admin و بقیه هم adm_admin_login_,.... میباشد.خوب این خیلی تابلو و راحت است راه کارها: 1:اسم پوشه رو تغییر دهسد:به سی پنل بروید و مثلا پوشه ادمین رو به کلمه ای نامفهوم تغییر بدهید .(پس از تغییر باید محتویات config.phpرا در پوشه Inc به این نحو تغییر دهید نقلقول: /**نام پوشه ای را که به جای پوشه ادمین انتخاب کرده اید را به جای کلمه ای رو که سبز کردم قرار دهید) بعد میتوانید برای گول خوردن هکر این صفحه را دوباره بسازید و صفحه تقلبی برای آن تدارک ببینید {برنامه هایی نیز برای این کار هستند به عنوان fake admin pageاگه خواستید پلاگینش رو ضمیمه میکنم} راه بعدی:تطبیق آیپی: این راه شرط وروود را حتی با داشتن یوزر و پس درست منوط به وروود فرد از 1 آیپی خاص میکند. خوب این یک راهش :تغییرات در .htaccess : نقلقول: RewriteEngine Onخوب برای محدود کردن اولین قسمتی رو که رنگی کردم رو آیپی خودتون و دومین قسمت رو لینکی بدین که دگیران به آنجا ریدایرکت بشوند. گفتنیست پلاگین هایی نیز هست به نام Match Ipولی به گمانم همین تغییرات را نیز نیازمندند. آهان راستی این برای multi adminها نقلقول: ErrorDocument 403 http://www.site.com راه 3:گذاشتن پسورد روی دایرکتوری ادمین(داخل سی پنل بشوین و دایرکتوری مربوطه پسوردی قرار بدهید سعی کنید پسورد سایت و سیپنل و... نباشه و جایی استفاده نکرده باشید) گفتنیست اینها رو رو در جایی هم دیدم(در سایت مادر مای بی بی ولی 80% واسه منه و قبل دیدن آن مقاله انجامش داده بودم) باز نگری در پرمیشن بندی:سعی کنید به فایل ها اجازه دسترسی معقول بدین مثلا ایندکس پیج فقط خواندنی آپلود رو میتونید بردارین_ مراقب پیوست های کاربران و پوشه آپلود ها و تمام مکان هایی که سایت از کاربران دیتا دریافت میکند باشید_ دسترسی های بیرونی رو ببندین _یوزر ها رو مانیتور کنید _مراقب تغییرات کوچک باشید و... مخصوصا کانفیک ها و httacsses ; که خیلیی مهم هستند به تنظیمات اولیه بسنده نکینید این هم دستور بستن دسترسی های خروجی به این فایل: نقلقول: # Protect the config.php file 1چیز دیگر ممکنه قالب مسیر درست دایرکتوری رو نشون بده گزینه مدیر کل رو از قالب به طور کل حذف کنید. خوب باگی کشف شده که من باهاش کلی سایت هک کذم اون هم در ادیت یوزر است که با دادن لینک آن(اضافه کردن آن به آدرس میتونید یوزر خود را ارتقا بدین و مدیر کنید و...)حتما این پلاگین رو نصب کنید باعث میشه اون قسمت قفل بشود. http://2-paradise.com/talk/showthread.php?tid=225&pid=461#pid461 از اینجا دانلود کنید RE: راه های امن کردن سایت به خصوص mybb - aminddr - ۱۳۸۹/۱/۲۸ البته اگه سایت روی یه سرور ضعیف باشه شما حتی اگه قوتی ترین و امن ترین سیستم های امنیتی رو داشت باشید باز هم هک میشد RE: راه های امن کردن سایت به خصوص mybb - archenemy - ۱۳۸۹/۱/۲۹ (۱۳۸۹/۱/۲۸، ۲۱:۴۷:۳۵ عصر)aminddr نوشته است: البته اگه سایت روی یه سرور ضعیف باشه شما حتی اگه قوتی ترین و امن ترین سیستم های امنیتی رو داشت باشید باز هم هک میشد این راه های امن کردن سیستم برای شماست اگه رو سرور اشتراکی باشید بله ولی این 1 نقص نیست که کسی رووت بشه و همه سایت های 1 سرور رو بزنه این مهمه شما امنیت سایت خودتون رو فراهم کرده باشید RE: راه های امن کردن سایت به خصوص mybb - bl4ckl0rd - ۱۳۸۹/۱/۲۹ از پنل هاستتون پسورد بزارید رو پوشه ی admin مشاهده ی افراد آنلاین هم محدود بشه بهتره من تو چند تا فروم دیدم آدرس پنل ادمین رو نشون میداد (همیشه نه) RE: راه های امن کردن سایت به خصوص mybb - Germanizer - ۱۳۸۹/۷/۳۰ من از سیپنل بر روی دایرکتوری پوشه ادمینم پسورد گذاشتم ولی نمی دونم که این پسور چطوری عمل میکنه و طرز عمل کردنش چجوریه و در واقع بخوام از وجود این پسورد مطمئن بشم نمی دونم چطور ؟؟؟؟ هر چه سیپنل میام بیرون و دوباره داخل میشم و داخل پوشه ادمین هم میرم هیچ پسوردی از نمی خواد و در واقع اصلا هیچ فرقی با دیگر پوشه ها نداره! برای تست این پسورد چه باید کرد دوستان ؟؟؟؟؟؟؟؟؟؟؟؟؟؟ دوستان یه سوال دیگه : ما این پسوردهای دایرکتوری رو گذاشتیم حالا چطوری میشه اون پسوردها رو حذف کرد و برشون داشت ؟؟؟ پسورده اومده برای کل فاروم ، یعنی هر کی بخواد بیاد توی سایت اون پسورد و یوزرنیم رو ازش می خواد چی کار میشه کرد ؟؟؟ RE: راه های امن کردن سایت به خصوص mybb - Germanizer - ۱۳۸۹/۷/۳۰ کسی نیست یه جواب ناقابل به ما بده ؟؟؟؟؟؟ RE: راه های امن کردن سایت به خصوص mybb - Pars - ۱۳۸۹/۷/۳۰ اینا که گفتید چه ربطی به پشتیبانی MyBB داره؟ از پشتیبانی هاست یا یک مدیر سرور سوال کنید! |