در اینجا راه کارهایی بهتون پیشنهاد میکنم که خیلی مهم و حیاتی هستند (نه مثل پیشنهاد هفته ای 2 بار پسوردتون رو عوض کنید ها)
چون خودم دارم فی البداهه مینویسم کم کم کامل میکنیم
امنیت در سیستم و cms ها :
اولی چیز که باید شما در نظر داشته باشید حدس زدن صفحه لاگین ادمین است که از همینجا شما یا از ابتدا یا به عنوان آخرین راه هک میشوید مثلا کسی که بخواد brutforceکنه یا پسورد و یوزرتون رو داره باید به این صفحه برود.خوب معمولا هم که از سیستم میشود فهمید صفحه لاگین کجاست مثلا در مای بی بی ،www.site.com/admin و بقیه هم adm_admin_login_,.... میباشد.خوب این خیلی تابلو و راحت است
راه کارها:
1:اسم پوشه رو تغییر دهسد:به سی پنل بروید و مثلا پوشه ادمین رو به کلمه ای نامفهوم تغییر بدهید .(پس از تغییر باید محتویات config.phpرا در پوشه Inc به این نحو تغییر دهید
بعد میتوانید برای گول خوردن هکر این صفحه را دوباره بسازید و صفحه تقلبی برای آن تدارک ببینید {برنامه هایی نیز برای این کار هستند به عنوان fake admin pageاگه خواستید پلاگینش رو ضمیمه میکنم}
راه بعدی:تطبیق آیپی: این راه شرط وروود را حتی با داشتن یوزر و پس درست منوط به وروود فرد از 1 آیپی خاص میکند.
خوب این یک راهش :تغییرات در .htaccess :
آهان راستی این برای multi adminها
راه 3:گذاشتن پسورد روی دایرکتوری ادمین(داخل سی پنل بشوین و دایرکتوری مربوطه پسوردی قرار بدهید سعی کنید پسورد سایت و سیپنل و... نباشه و جایی استفاده نکرده باشید)
گفتنیست اینها رو رو در جایی هم دیدم(در سایت مادر مای بی بی ولی 80% واسه منه و قبل دیدن آن مقاله انجامش داده بودم)
باز نگری در پرمیشن بندی:سعی کنید به فایل ها اجازه دسترسی معقول بدین مثلا ایندکس پیج فقط خواندنی آپلود رو میتونید بردارین_ مراقب پیوست های کاربران و پوشه آپلود ها و تمام مکان هایی که سایت از کاربران دیتا دریافت میکند باشید_ دسترسی های بیرونی رو ببندین _یوزر ها رو مانیتور کنید _مراقب تغییرات کوچک باشید و... مخصوصا کانفیک ها و httacsses ; که خیلیی مهم هستند به تنظیمات اولیه بسنده نکینید این هم دستور بستن دسترسی های خروجی به این فایل:
1چیز دیگر ممکنه قالب مسیر درست دایرکتوری رو نشون بده گزینه مدیر کل رو از قالب به طور کل حذف کنید.
خوب باگی کشف شده که من باهاش کلی سایت هک کذم اون هم در ادیت یوزر است که با دادن لینک آن(اضافه کردن آن به آدرس میتونید یوزر خود را ارتقا بدین و مدیر کنید و...)حتما این پلاگین رو نصب کنید باعث میشه اون قسمت قفل بشود.
http://2-paradise.com/talk/showthread.ph...461#pid461
از اینجا دانلود کنید
چون خودم دارم فی البداهه مینویسم کم کم کامل میکنیم
امنیت در سیستم و cms ها :
اولی چیز که باید شما در نظر داشته باشید حدس زدن صفحه لاگین ادمین است که از همینجا شما یا از ابتدا یا به عنوان آخرین راه هک میشوید مثلا کسی که بخواد brutforceکنه یا پسورد و یوزرتون رو داره باید به این صفحه برود.خوب معمولا هم که از سیستم میشود فهمید صفحه لاگین کجاست مثلا در مای بی بی ،www.site.com/admin و بقیه هم adm_admin_login_,.... میباشد.خوب این خیلی تابلو و راحت است
راه کارها:
1:اسم پوشه رو تغییر دهسد:به سی پنل بروید و مثلا پوشه ادمین رو به کلمه ای نامفهوم تغییر بدهید .(پس از تغییر باید محتویات config.phpرا در پوشه Inc به این نحو تغییر دهید
نقلقول: /**نام پوشه ای را که به جای پوشه ادمین انتخاب کرده اید را به جای کلمه ای رو که سبز کردم قرار دهید)
* Admin CP directory
* For security reasons, it is recommended you
* rename your Admin CP directory. You then need
* to adjust the value below to point to the
* new directory.
*/
$config['admin_dir'] = 'admin';
بعد میتوانید برای گول خوردن هکر این صفحه را دوباره بسازید و صفحه تقلبی برای آن تدارک ببینید {برنامه هایی نیز برای این کار هستند به عنوان fake admin pageاگه خواستید پلاگینش رو ضمیمه میکنم}
راه بعدی:تطبیق آیپی: این راه شرط وروود را حتی با داشتن یوزر و پس درست منوط به وروود فرد از 1 آیپی خاص میکند.
خوب این یک راهش :تغییرات در .htaccess :
نقلقول: RewriteEngine Onخوب برای محدود کردن اولین قسمتی رو که رنگی کردم رو آیپی خودتون و دومین قسمت رو لینکی بدین که دگیران به آنجا ریدایرکت بشوند. گفتنیست پلاگین هایی نیز هست به نام Match Ipولی به گمانم همین تغییرات را نیز نیازمندند.
RewriteBase /
RewriteCond %{REMOTE_HOST} !^68\.193\.195\.1
RewriteRule .* http://www.site.com [R=301,L]
آهان راستی این برای multi adminها
نقلقول: ErrorDocument 403 http://www.site.com
Order deny,allow
Deny from all
Allow from IP
Allow from IP
راه 3:گذاشتن پسورد روی دایرکتوری ادمین(داخل سی پنل بشوین و دایرکتوری مربوطه پسوردی قرار بدهید سعی کنید پسورد سایت و سیپنل و... نباشه و جایی استفاده نکرده باشید)
گفتنیست اینها رو رو در جایی هم دیدم(در سایت مادر مای بی بی ولی 80% واسه منه و قبل دیدن آن مقاله انجامش داده بودم)
باز نگری در پرمیشن بندی:سعی کنید به فایل ها اجازه دسترسی معقول بدین مثلا ایندکس پیج فقط خواندنی آپلود رو میتونید بردارین_ مراقب پیوست های کاربران و پوشه آپلود ها و تمام مکان هایی که سایت از کاربران دیتا دریافت میکند باشید_ دسترسی های بیرونی رو ببندین _یوزر ها رو مانیتور کنید _مراقب تغییرات کوچک باشید و... مخصوصا کانفیک ها و httacsses ; که خیلیی مهم هستند به تنظیمات اولیه بسنده نکینید این هم دستور بستن دسترسی های خروجی به این فایل:
نقلقول: # Protect the config.php file
<files config.php>
Order deny,allow
deny from all
</files>
1چیز دیگر ممکنه قالب مسیر درست دایرکتوری رو نشون بده گزینه مدیر کل رو از قالب به طور کل حذف کنید.
خوب باگی کشف شده که من باهاش کلی سایت هک کذم اون هم در ادیت یوزر است که با دادن لینک آن(اضافه کردن آن به آدرس میتونید یوزر خود را ارتقا بدین و مدیر کنید و...)حتما این پلاگین رو نصب کنید باعث میشه اون قسمت قفل بشود.
http://2-paradise.com/talk/showthread.ph...461#pid461
از اینجا دانلود کنید
