امنیت در mybb - نسخهی قابل چاپ +- انجمن های تخصصی فلش خور (http://www.flashkhor.com/forum) +-- انجمن: رایانه (http://www.flashkhor.com/forum/forumdisplay.php?fid=27) +--- انجمن: امنیت و روش های مقابله با هـک (http://www.flashkhor.com/forum/forumdisplay.php?fid=85) +--- موضوع: امنیت در mybb (/showthread.php?tid=264758) |
امنیت در mybb - امیرحسین - 08-03-2017 با سلام مباحث در حوزه امنیت بسیار زیاده و تو یه تایپیک نمیشه راجبشون کامل گفت،منتها چون به صورت پراکنده ذکر شده گفتم یک جا جمع بندی بشه و به صورت کلی گفته بشه،دوستان هم میتونن همکاری کنن. ------------------- در ابتدا میریم سراغ یک هاست خوب با پشتیبانی قوی(بهترین حالت یک سرور اختصاصی همراه با ip اختصاصی هستش از یک تامین کننده هاست قوی و باتجربه گرفته شده باشه) که شامل فایروال ها و انتی ویروس های قوی و بروز همراه با اخرین نسخه های نرم افزاری(phpو...) می باشد. هر چند گاهی هم میشه با اسکن کردن سایت توسط برنامه ها و نرم افزارهایی باگ ها و شل و اسکریپت های مضر رو هم تشخیص داد. دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. نمونه ------------------ گرفتن backup به صورت مداوم ----------------- جلوگیری از دسترسی و فراخوانی مستقیم فایل های سایت با استفاده از پسور گذاری از طریق هاست بر روی فایل ها. اکثر هاست ها این توانایی رو دارند،پس اشتباه هستش که ازش استفاده نشه،نظیر پسوردگذاری بر روی پوشه inc و فایل config و همینطور پوشه ادمین برای بستن دسترسی هم میتوان از کد زیر در htaccess استفاده کرد کد:
----------------کد: <Limit GET POST> گذاشتن پسورد قوی و غیر قابل حدس ------------- تا جایی که ممکنه از دادن دسترسی به دیگران خودداری کرده و یا ارتقا کاربران به ادمین کل(بعضی پشتیبانی ها هم با داشتن چند ادمین کل Hک شدن و بعدا معلوم شد کاره ادمینی بوده که بهش دسترسی داده بودن ------------ تا جایی که ممکنه پلاگین های کمتری نصب کرده و در صورت نداشتن نیاز پلاگین رو پاک کرده بعضی پلاگین ها اجازه اپلود فایل های مخرب رو میدن که به قیمت سنگینی برای وب مستر تموم میشه ------------ اپدیت کردن به روز سایت و نسخه سایت ----------- پشتیباین های سایتتون رو فراموش نکنین و مداوم سر کشی کنید تا از بروز شدن ها و باگ ها و ... مطلع گردین ------------ مخفی کردن سوپر ادمین و استفاده نکردن از این یوزر ----------- اگه ممکن باشه از جایی که هاست میخرین بخواین که یوزرتون رو متفاوت از اسم سایت بده برای نمونه سایت asal.com ورود به کنترل پنل هاست با یوزر متفوت باشه نه با asal ------------ سطوح دسترسی به طور کلی فایل ها باید دسترسیشون روی 644 باشه و فولدر ها روی 755 که در mybb بعضی وقتها چیزهایی ممکنه که خوب کار نکنند بهترین سطوح دسترسی ذکر شده inc/config.php - 666 بعد از نصب بر روی 444 inc/settings.php - 666 cache/ - 777 cache/themes/ - 777 uploads/ - 777 uploads/avatars/ - 777 admin/backups/ - 777 nc/languages/*language*/*all files*/ - 666 inc/languages/*language*/admin/*all files*/ - 666 ------------ کد کردن محتویات config.php ----------- مخفی کردن ادمین پنل در config.php باید کد:
کد: $config['hide_admin_links'] = 0; این باشد کد:
کد: $config['hide_admin_links'] = 1; دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید. mod_security + امنیت سایت ----------- غیر فعال بودن html در پست ها ----------- غیر فعال کردنshowteam هم میتونه کمی موثر باشد ----------- خاموش کردن ورژن سایت ---------- |