آموزش تنظیم امنیت یا security در WHMCS (کاربردی)

نویسنده: نویسنده 8 ژانویه 2020 مشاهده: 847 بار

آموزش تنظیم امنیت یا security در WHMCS

همان طورکه می دانیم پس از نصب و پیکربندی کلی whmcs مسئله ای که مطرح میشود تنظیم امنیت whmcs است.، چون که whmcs یه سیستم خیلی کامل برای فروش و پشتیبانی از مشتریان شما می باشد و کل اطلاعات مشتریانتون و تراکنش های مشتریانتون داخلش ذخیره میشه و خیلی از اطلاعات مشتریانتون حیاتی و مهم باشه کاری که بعد از نصب whmcs می بایست انجام دهید، امنیت این سیستم رو به صورت کامل تامین کنید تا مطمئن شوید هیچ عامل خارجی نمی تواند به سیستم whmcs شما وود پیدا کند، به ترتیب به تشریح تمامی گزینه های موجود در سربرگ Security در قسمت General setting می پردازم.

پس با مسترآموز همراه باشید.

تنظیم امنیت در WHMCS

Captcha Form Protection: توسط این گزینه ویژگی کد امنیتی (تصویر امنیتی کپچا) را فعال یا غیر فعال نمایید. کد کپچا در واقع نوعی تصویر امنیتی حاوی اعداد و حروف است که برای تشخیص انسان از روبات ها می باشد. وقتی که فردی قصد چک کردن نام دامنه، ثبت نام، ارسال تیکت و .. را دارد با وارد نمودن این کد تصویری تعیین هویت می شود. این قسمت شامل 3 گزینه به شرح زیراست:

Always On (code shown to ensure human submission): ویژگی کد امنیتی کپچا را برای همیشه فعال می نماید.
Off when logged in: اگر کاربر وارد پرتال و حساب کاربری اش شده باشد این ویژگی غیرفعال شود.
Always Off: این گزینه ویژگی کد امنیتی کپچا را برای همیشه غیر فعال میکند. (توصیه نمی شود)

Captcha Type: نوع کد امنیتی کپچا را مشخص می نماید:

Default (5 Character Verification Code): به صورت پیش فرض، تصویری حاوی 5 کاراکتر امنیتی بر روی یک پس زمینه آبی ساده است. این نوع تنظیمات خاصی ندارد ولی نیازمند به GD2 بر روی سرور شما می باشد.

reCAPTCHA (Google’s reCAPTCHA system): سرویس Google’s reCAPTCHA که برای استفاده از این سیستم باید ابتدا وارد اکانت گوگل پلاس خود شوید و از طریق لینک زیرثبت نام کنید:

https://www.google.com/recaptcha/admin

سپس کد هایی که به شما داده می شود را در قسمت های مورد نظر وارد کنید.

Required Password Strength: می توانید حداقل استحکام رمز عبور قابل تعریف توسط کاربران را از 0 تا 100 تعیین کنید. به طور معمول 50 تا 70 مناسب می باشد. اگر 0 وارد شود این ویژگی غیر فعال خواهد شد و رمز عبور های کاربران برسی نخواهند شد.
Failed Admin Login Ban Time:می توانید تعیین نمایید هر یوزر جهت ورود به ناحیه ادمین یا مدیریت WHMCS در صورت 3بار عدم موفقیت در ورود، برای چه مدتی بلاک شود.

برای اطلاع از نحوه خارج کردن ip از حالت بلاک، به آموزش رفع ممنوعیت از آدرس های ip بلاک شده مراجعه کنید.

Whitelisted IPs: می توانید لیستی از آدرس های ip که میخواهید هرگز بلاک نشوند را وارد نمایید. بعبارتی لیست سفید برای ip های مجاز است.

با استفاده از Add IP می توانید ip جدیدی به لیست اضافه نمایید و با دکمه Remove Selected می توانید یک IP را از لیست خارج نمایید.

Whitelisted IP Login Failure Notices: هشدارها یا اطلاعیه های مربوط به لاگین ناموفق ip های لیست سفید نیز ارسال خواهند شد.
Admin Force SSL Access: وقتی که این گزینه انتخاب نشده باشد، از هر دو کانکشن http و https امکان دسترسی به ناحیه مدیریت WHMCS وجود خواهد داشت. این گزینه را در حالت انتخاب قرار دهید تا تنها از طریق https امکان دسترسی به مدیریت WHMCS وجود داشته باشد که این موضوع منجر به افزایش امنیت ناحیه مدیریتی خواهد شد.
Disable Admin Password Reset: این گزینه را انتخاب نمایید تا ویژگی forgotten password در صفحه لاگین ادمین حذف می شود. اگر forgotten password وجود داشته باشد، امکان بازیابی رمز عبور مدیریت WHMCS وجود دارد و اگر ایمیل ادمین دچار مشکل شود این یک تهدید بسیار بزرگ است.
Disable Credit Card Storage: اطلاعات مربوط به کارت های اعتباری مشتریانتان ذخیره و نگهداری نخواهند شد. توجه داشته باشید در صورتیکه این گزینه را فعال نمایید، تمامی اطلاعات کارت های اعتباری ذخیره شده در دیتابیس حذف خواهند شد.
Allow Client CC Removal:به کاربران اجازه خواهد داد تا بتوانند اطلاعات ذخیره شده ی مربوط به کارت های اعتباریشان را از اکانت کاربریشان حذف نمایند.
Disable MD5 Clients Password: برای امنیت رمز عبور ناحیه کاربری کاربران می توان از رمزگذاری MD5 استفاده کرد. در این صورت رمز عبور کاربران توسط مدیران نیز قابل مشاهده نخواهد بود. MD5 نوعی سیستم رمزگذاری می باشد. در صورت انتخاب این گزینه سیستم رمزگذاری MD5 غیرفعال خواهد شد و رمز عبور ها برای ادمین نیز قابل مشاهده خواهد بود. در صورت تغییر حالت از رمز عبور کاربران نیاز به بازیابی خواهد داشت.

Disable Session IP Check: برای محافظت در برابر از دست دادن کوکی ها استفاده شود و میبایست به صورت تیک نخورده باقی بماند تا دوره یا جلسه IP ها بررسی شود. با این حال این ویژگی می تواند موجب ایجاد مشکلاتی برای کاربرانی که از IP داینامیک و یا موبایل ها استفاده می کنند شود. با تیک زدن این گزینه می توانید آن را غیرفعال نمایید.
Proxy IP Header: فیلد پروکسی هدر به شما اجازه می دهد تا هدر HTTP سیستم WHMCS را کانفیگ کنید تا بتواند اطلاعات مربوط به آدرس های IP را تشخیص دهد. اکثر پروکسی ها از هدر “X_FORWARDED_FOR” استفاده می نمایند پس بنابر این این فیلد می تواند خالی باقی بماند. فقط در صورتیکه اطمینان دارید پروکسی شما از هدر دیگری استفاده می کند این مقدار را تغییر دهید.
Trusted Proxies: این فیلد برای اضافه یا حذف نمودن آدرس IP یا رنج آدرس های IP CIDR از یک پروکسی معتبر استفاده می شود. WHMCS هدر کانفیگ شده را بررسی خواهد نمود تا آدرس های IP استاندارد و داقعی را بیابد.
API IP Access Restriction: اگر می خواهید از طریق WHMCS API و موقعیتی خارج از سرور به مدیریت WHMCS متصل گردید باید در ایان قسمت آدرس IP مورد نظر را وارد نمایید در غیر این صورت دسترسی شما ممنوع خواهد شد و با پیغام Access Denied رو به رو می شوید.
Log API Authentiation: لاگ های موفق ادمین از طریق API را ذخیره نمایید. این مورد زیاد ضروری نمی باشد.
CSRF Tokens: General: این ویژگی امنیتی اضافی از بازدید کنندگان مخرب با ریکوئست های جعلی برای تلاش و دسترسی به بخش هایی از نرم افزار که ممنوع است جلوگیری می نماید. این گزینه به صورت پیش فرض بر روی حالت فعال/Enable قرار دارد و توصیه می شود به همین صورت باقی بماند مگر در شرایط خاص.
CSRF Tokens : Domain Checker: این گزینه به صورت پیش فرض برای جستجوگر دامنه غیر فعال می باشد. در این صورت به شما اجازه می دهد تا بتوانید اطلاعات دامنه خود را از صفحات خارجی نیز به WHMCS ارسال نمایید.برای مثال کد جستجوگر دامنه که در سایت خود ادغام نموده اید و یک صفحه خارجی محسوب می گردد. در صورتیکه این گزینه فعال باشد بازدید کنندگان تنها قادر به ارسال اطلاعات دامنه خود از طریق صفحه جستجوگر دامنه ایجاد شده خواهند بود.