انجمن های تخصصی فلش خور

نسخه‌ی کامل: امنیت در mybb
شما در حال مشاهده‌ی نسخه‌ی متنی این صفحه می‌باشید. مشاهده‌ی نسخه‌ی کامل با قالب بندی مناسب.
با سلام


مباحث در حوزه امنیت بسیار زیاده و تو یه تایپیک نمیشه راجبشون کامل گفت،منتها چون به صورت پراکنده ذکر شده گفتم یک جا جمع بندی بشه و به صورت کلی گفته بشه،دوستان هم میتونن همکاری کنن.


-------------------


در ابتدا میریم سراغ یک هاست خوب با پشتیبانی قوی(بهترین حالت یک سرور اختصاصی همراه با ip اختصاصی هستش از یک تامین کننده هاست قوی و باتجربه گرفته شده باشه) که شامل فایروال ها و انتی ویروس های قوی و بروز همراه با اخرین نسخه های نرم افزاری(phpو...) می باشد.


هر چند گاهی هم میشه با اسکن کردن سایت توسط برنامه ها و نرم افزارهایی باگ ها و شل و اسکریپت های مضر رو هم تشخیص داد.


دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
نمونه 


------------------


گرفتن backup به صورت مداوم


-----------------


جلوگیری از دسترسی و فراخوانی مستقیم فایل های سایت با استفاده از پسور گذاری از طریق هاست بر روی فایل ها.


اکثر هاست ها این توانایی رو دارند،پس اشتباه هستش که ازش استفاده نشه،نظیر پسوردگذاری بر روی پوشه inc و فایل config و همینطور پوشه ادمین


برای بستن دسترسی هم میتوان از کد زیر در htaccess استفاده کرد






کد:


کد:
<Limit GET POST>
order deny,allow
deny from all
</Limit>
----------------
گذاشتن پسورد قوی و غیر قابل حدس

-------------


تا جایی که ممکنه از دادن دسترسی به دیگران خودداری کرده و یا ارتقا کاربران به ادمین کل(بعضی پشتیبانی ها هم با داشتن چند ادمین کل Hک شدن و بعدا معلوم شد کاره ادمینی بوده که بهش دسترسی داده بودن


------------


تا جایی که ممکنه پلاگین های کمتری نصب کرده و در صورت نداشتن نیاز پلاگین رو پاک کرده


بعضی پلاگین ها اجازه اپلود فایل های مخرب رو میدن که به قیمت سنگینی برای وب مستر تموم میشه


------------


اپدیت کردن به روز سایت و نسخه سایت


-----------


پشتیباین های سایتتون رو فراموش نکنین و مداوم سر کشی کنید تا از بروز شدن ها و باگ ها و ... مطلع گردین


------------


مخفی کردن سوپر ادمین و استفاده نکردن از این یوزر


-----------


اگه ممکن باشه از جایی که هاست میخرین بخواین که یوزرتون رو متفاوت از اسم سایت بده


برای نمونه سایت asal.com ورود به کنترل پنل هاست با یوزر متفوت باشه نه با asal


------------


سطوح دسترسی 


به طور کلی فایل ها باید دسترسیشون روی 644 باشه و فولدر ها روی 755 که در mybb بعضی وقتها چیزهایی ممکنه که خوب کار نکنند


بهترین سطوح دسترسی ذکر شده


inc/config.php - 666 بعد از نصب بر روی 444


inc/settings.php - 666


cache/ - 777


cache/themes/ - 777


uploads/ - 777


uploads/avatars/ - 777


admin/backups/ - 777


nc/languages/*language*/*all files*/ - 666


inc/languages/*language*/admin/*all files*/ - 666


------------


کد کردن محتویات config.php


-----------


مخفی کردن ادمین پنل


در config.php باید 





کد:

کد:
$config['hide_admin_links'] = 0;

این باشد





کد:

کد:
$config['hide_admin_links'] = 1;

دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
mod_security + امنیت سایت


-----------

غیر فعال بودن html در پست ها


-----------


غیر فعال کردنshowteam هم میتونه کمی موثر باشد


-----------


خاموش کردن ورژن سایت 

----------