Whm Cpanel Forumu - Webmaster Panel Destek Forumu

Go Back   Whm Cpanel Forumu - Webmaster Panel Destek Forumu > Whm Giriş > WHMCS

WHMCS Whmcs Hakkında Herşey

Doping Hosting
User Tag List

Cevapla
 
LinkBack Seçenekler Stil
  #1  
Alt 21 Kasım 2013, 12:54
 
Üyelik tarihi: 09 Kasım 2013
Mesajlar: 22
Konular : 8
Yaş: 31
Ticaret Sayısı: (0)
Ticaret Memnuniyeti: (0%)
Standart WHMCS Güvenliği ...!

WHMCS sitenizde kuşkusuz müşteri bilgilerinizi tutmaktasınız.Bu bilgiler 3 şahıs eline geçtiğinde ciddi hukuksal sorunlar yaşanabilir müşterilerinizi zor durumda bırakmakla birlikte ticari kimliğinizi zedelemiş olursunuz. Whmcs hack gibi durumlardan kaçınmak için önemli bir kaç güvenlik önlemi

Mutlaka whmcs siteniz tek başına bir sunucuda barınsın ufak ama önemli bir ayrıntı

WHMCS Cache Klasörü ( templates_c ) yolunu değiştirme

templates_c klasörünün adını değiştirmemizin sebebi ileti formunu kullanarak bas64 ile şifrelenmiş zararlı kodları templates_c içine aktarılmaya çalışılmakta genelde bu işlem başarısız sonuçlanır ama riske atmaya gerek yok.

configuration.php içine
$templates_compiledir = “/home/username/templates_c/”; Kodunu ekliyorsunuz yeni dizini örnekteki gibi ayarlıyor templates_c dosyasını yeni dizine aktarıyorsunuz.

WHMCS Downloads Klasörünün yolunu değiştirme

configuration.php içine
$downloads_dir = “/home/username/downloads/”; Kodunu ekliyorsunuz yeni dizini örnekteki gibi ayarlıyor downloads dosyasını yeni dizine aktarıyorsunuz.

WHMCS Admin Klasör Yolunu Değiştirme

configuration.php içine
$customadminpath = “/etc/adminnnn”; Kodunu ekliyorsunuz yeni dizini örnekteki gibi ayarlıyor admin dosyasını yeni dizine aktarıyorsunuz.

WHMCS Admin paneline sadece benim istediğim ipler girsin !

Eğer statik ( sabit ) ip mevcutsa admin paneline sadece sizin belirledğiniz kendi ip adresinizi girmesini sağlayabilirsiniz.Kişi bilgiliernizi öğrense bile ip adresi sizin ip adresi olmadığı için giriş yapamayacaktır

.htaccess içine
order deny,allow
allow from 12.34.5.67
allow from 98.76.54.32
deny from all

Ekliyorsunuz ip adresleri yazan yere kendi ip adreslerinizi giriyorsunuz ve sadece kendi ip adresininizden erişim sağlanabiliyor.

Ancak Size Önerebilecegimiz. En iyi ve En Güvenilir, Güvenlik Önlemlerinden Bir Tanesi WHMCS Hosting Otomasyon Sisteminizi Paylasımsız Bir Ortamda Barındırmanızdır, Yani Herhangi gibi diyer Web Sitelerin Bulundugu Sunucuda Olmayıp Bası Basına Tek Bir Sunucuda Bulundurulması ve Barındırılması En iyi Yöntemlerden Bir Tanesidir. Aksi Halde Sunucuda Bulunan Bir Web Site Acıgından Shell Sokularak ve Sunucunuzda Herhangi gibi bir Güvenlik Önlemleri Yok ise Gecis Yapılıyor ise Hacklenmesi Kolaydır.

Örnek Vermek Gerekirse WHMCS nin Bir Cok Acıgı vardır. WHMCS 4.2 Versiyonlarda Ticket Acığı Dediğimiz Base64 ve SQL Injection Açığı bulunmaktadır ticket ile bir kod atarak templates_c Klasör icine Genelde ups.php adında dosya yüklenmektedir ve ]http://www.siteadresiniz.com/templates_c/ups.php[/url] sekilde giris yaparak shell dosyasını upload etmektedir ve daha sonrası önce diyer hostları listelenmesi ve gecis yapılmaya denenmekte eger gecis saglanmıyorsa whmcs.php adında bir dosya mevcuttur o dosyayı güvenlik nedeniyle burada paylasmamaktayız ancak o dosya ne işe yaradıgına gelince ]http://www.siteadresiniz.com/whmcs.php[/url] sekilinde girdiklerinde config biglilerinizi aldıklarında veritaban adı, veritaban user adı ve sifrenizi yazıp kendilerine diledikleri gibi whmcs'de admin ekleyebilirler diledigi isimlerle ve giris yapabilmektedirler.

Size Tavsiyemiz WHMCS Lisansı ve En Güncel Sürümleri Kullanmanızdır.

Umarım Bu Anlatımlarımız işinize Yaramıstı
Alıntı ile Cevapla

Reklam
Doping Hosting
  #2  
Alt 28 Kasım 2013, 20:52
 
Üyelik tarihi: 28 Kasım 2013
Mesajlar: 256
Konular : 249
Yaş: 41
Ticaret Sayısı: (0)
Ticaret Memnuniyeti: (0%)
Standart Cevap: WHMCS Güvenliği ...!

Gelen destek bildirimlerine baktığımızda kullanıcıların %2 'si ihmalden yada bulundukları sunucuların açıklarından dolayı sürekli güvenik sorunu yaşadıklarını görüyoruz.



Güvenlik kişiye bağlı göreceli bir kavramdır, unutmayın ki bir çok datacenter, alan adı ve host şirketi whmcs kullanıyor ve tüm sistemi whmcs otomasyonuna emanet edip sorun yaşamıyor.


Barındırılan Sunucu ;


Sistem üzerinde bir çok sunucu erişim, müşteri ve hesap bilgileri gibi çok önemli bilgiler sakladığınızdan güvenlik optimizasyonu yapılmamış paylaşımlı bir hosting sunucusunda barındırmak elbette ki büyük bir risktir.


Sitenizi barındırdığınız sunucunun güvenli olması gerekiyor bunun dışında altta ki işlemleri uygulamak güvenlik risklerini ortadan kaldıracaktır.


1. Sisteminizin yazılabilir dizinlerini gizlemek için şu kodları kullanarak yazılabilir dizinlerinizi bir üst dizine alarak dışarıdan erişilemez hale sağlayınız.
$templates_compiledir = "/home/username/templates_c/";
$attachments_dir = "/home/username/attachments/";
$downloads_dir = "/home/username/downloads/";



2. Admin dizini değiştirmek için configuration.php dosyanıza şu kodu ekleyip kendinize özel admin dizin adınızı değiştiriniz.
$customadminpath = "yeni_admin_dizin_adi";


3. htaccess kuralları eklemek için ana dizinde bulunan .htaccess dosyanıza şu kuralları eklemenizi öneririz.


Örnek htaccces dosyası ve kodları incelemek için indiriniz.



4. configuration.php dosyasını şifreleyin (Özellikle Paylaşımlı Hosting Suncularında)
Veritabanı ve sistemsel bilgilerin bulunduğu ayar dosyanızın veritabanı kullanıcı ve şifresini değiştirip ioncube ile şifrelemeniz paylaşımlı sunucularda size avantaj sağlayacaktır.


Admin Mail Hesapları Güvenliği ;


Admin hesabınızda kullandığınız mail adresini güvene alamayan kullanıcılarda mevcut.Bunu bu yazımızda özellikle belirtmek istedik.
Her şeyden önce kendi mail hesabınızın güvenliğini sağlayamazsanız şifremi unuttum seçeneği ile admin hesabınızın şifresi oraya gönderilir.
Bunun önüne geçmek için mail hesabınızı güvene almanız ve genel ayarlardan "Disable Admin Password Reset" seçeneğini aktif etmenizi öneririz.
Bunu aktif ettiğinizde admin hesapları için şifre kurtarma ve hatırlatma işlemi gerçekleşmeyecektir.


Base64 kodu denemeleri


Bu ayarları yaptıktan sonra bu denemeler başarısız olacaktır ancak yinede önlem olarak

Temanızın supportticketsubmit-steptwo.tpl dosyasına ticket göndermeye yarayan form input elemanı için maksimum karakter limiti koyabilirsiniz.


Kulanmanız gereken kod : maxlength="64"
Alıntı ile Cevapla

Cevapla


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil


Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesajlar
Bing'e site nasıl eklenir kmR Bing 4 19 Mayıs 2015 15:20
Plesk panelde backup - yedek alma resimli anlatım ~:/reboot Plesk Panel/WHM 1 13 Mayıs 2013 17:05
Eminem - The Real Slim Shady - TÜRKÇE ÇEVİRİ erycetin Makale ve Çeviriler 0 03 Mart 2013 14:32
Huawei’nin Onuncu Yılı cihan.yarici Bilim Dünyasından Haberler 0 13 Aralık 2012 00:07
Forumlar için rank tasarımları ~:/reboot Tasarım- Logo- Template 1 05 Kasım 2012 19:41

Sosyal Medya Uyarı
Bu bir DH iştirakidir.!
Bir forum sitesi olan whm.gen.tr webmaster forum sitemizde, forum kullanıcıları 5651 sayılı kanun'un ilgili maddesine ve T.C.K'nın 125. maddesine göre yaptıkları paylaşımlardan sorumludur, kullanıcı bazlı herhangi bir durumdan whm.gen.tr sitesi sorumlu değildir. Tüm hukuksal bildirimlerde bulunmak için info@whm.gen.tr adresi ile iletişime geçebilirsiniz bu çerçevede, whm.gen.tr yönetimi en geç 10 iş günü içerisinde dönüş yapacaktır.

RSS RSS 2.0 XML MAP HTML SiteMap