08-03-2017، 16:57
با سلام
مباحث در حوزه امنیت بسیار زیاده و تو یه تایپیک نمیشه راجبشون کامل گفت،منتها چون به صورت پراکنده ذکر شده گفتم یک جا جمع بندی بشه و به صورت کلی گفته بشه،دوستان هم میتونن همکاری کنن.
-------------------
در ابتدا میریم سراغ یک هاست خوب با پشتیبانی قوی(بهترین حالت یک سرور اختصاصی همراه با ip اختصاصی هستش از یک تامین کننده هاست قوی و باتجربه گرفته شده باشه) که شامل فایروال ها و انتی ویروس های قوی و بروز همراه با اخرین نسخه های نرم افزاری(phpو...) می باشد.
هر چند گاهی هم میشه با اسکن کردن سایت توسط برنامه ها و نرم افزارهایی باگ ها و شل و اسکریپت های مضر رو هم تشخیص داد.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
نمونه
------------------
گرفتن backup به صورت مداوم
-----------------
جلوگیری از دسترسی و فراخوانی مستقیم فایل های سایت با استفاده از پسور گذاری از طریق هاست بر روی فایل ها.
اکثر هاست ها این توانایی رو دارند،پس اشتباه هستش که ازش استفاده نشه،نظیر پسوردگذاری بر روی پوشه inc و فایل config و همینطور پوشه ادمین
برای بستن دسترسی هم میتوان از کد زیر در htaccess استفاده کرد
گذاشتن پسورد قوی و غیر قابل حدس
-------------
تا جایی که ممکنه از دادن دسترسی به دیگران خودداری کرده و یا ارتقا کاربران به ادمین کل(بعضی پشتیبانی ها هم با داشتن چند ادمین کل Hک شدن و بعدا معلوم شد کاره ادمینی بوده که بهش دسترسی داده بودن
------------
تا جایی که ممکنه پلاگین های کمتری نصب کرده و در صورت نداشتن نیاز پلاگین رو پاک کرده
بعضی پلاگین ها اجازه اپلود فایل های مخرب رو میدن که به قیمت سنگینی برای وب مستر تموم میشه
------------
اپدیت کردن به روز سایت و نسخه سایت
-----------
پشتیباین های سایتتون رو فراموش نکنین و مداوم سر کشی کنید تا از بروز شدن ها و باگ ها و ... مطلع گردین
------------
مخفی کردن سوپر ادمین و استفاده نکردن از این یوزر
-----------
اگه ممکن باشه از جایی که هاست میخرین بخواین که یوزرتون رو متفاوت از اسم سایت بده
برای نمونه سایت asal.com ورود به کنترل پنل هاست با یوزر متفوت باشه نه با asal
------------
سطوح دسترسی
به طور کلی فایل ها باید دسترسیشون روی 644 باشه و فولدر ها روی 755 که در mybb بعضی وقتها چیزهایی ممکنه که خوب کار نکنند
بهترین سطوح دسترسی ذکر شده
inc/config.php - 666 بعد از نصب بر روی 444
inc/settings.php - 666
cache/ - 777
cache/themes/ - 777
uploads/ - 777
uploads/avatars/ - 777
admin/backups/ - 777
nc/languages/*language*/*all files*/ - 666
inc/languages/*language*/admin/*all files*/ - 666
------------
کد کردن محتویات config.php
-----------
مخفی کردن ادمین پنل
در config.php باید
این باشد
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
mod_security + امنیت سایت
-----------
غیر فعال بودن html در پست ها
-----------
غیر فعال کردنshowteam هم میتونه کمی موثر باشد
-----------
خاموش کردن ورژن سایت
----------
مباحث در حوزه امنیت بسیار زیاده و تو یه تایپیک نمیشه راجبشون کامل گفت،منتها چون به صورت پراکنده ذکر شده گفتم یک جا جمع بندی بشه و به صورت کلی گفته بشه،دوستان هم میتونن همکاری کنن.
-------------------
در ابتدا میریم سراغ یک هاست خوب با پشتیبانی قوی(بهترین حالت یک سرور اختصاصی همراه با ip اختصاصی هستش از یک تامین کننده هاست قوی و باتجربه گرفته شده باشه) که شامل فایروال ها و انتی ویروس های قوی و بروز همراه با اخرین نسخه های نرم افزاری(phpو...) می باشد.
هر چند گاهی هم میشه با اسکن کردن سایت توسط برنامه ها و نرم افزارهایی باگ ها و شل و اسکریپت های مضر رو هم تشخیص داد.
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
نمونه
------------------
گرفتن backup به صورت مداوم
-----------------
جلوگیری از دسترسی و فراخوانی مستقیم فایل های سایت با استفاده از پسور گذاری از طریق هاست بر روی فایل ها.
اکثر هاست ها این توانایی رو دارند،پس اشتباه هستش که ازش استفاده نشه،نظیر پسوردگذاری بر روی پوشه inc و فایل config و همینطور پوشه ادمین
برای بستن دسترسی هم میتوان از کد زیر در htaccess استفاده کرد
کد:
----------------کد:
<Limit GET POST>
order deny,allow
deny from all
</Limit>
گذاشتن پسورد قوی و غیر قابل حدس
-------------
تا جایی که ممکنه از دادن دسترسی به دیگران خودداری کرده و یا ارتقا کاربران به ادمین کل(بعضی پشتیبانی ها هم با داشتن چند ادمین کل Hک شدن و بعدا معلوم شد کاره ادمینی بوده که بهش دسترسی داده بودن
------------
تا جایی که ممکنه پلاگین های کمتری نصب کرده و در صورت نداشتن نیاز پلاگین رو پاک کرده
بعضی پلاگین ها اجازه اپلود فایل های مخرب رو میدن که به قیمت سنگینی برای وب مستر تموم میشه
------------
اپدیت کردن به روز سایت و نسخه سایت
-----------
پشتیباین های سایتتون رو فراموش نکنین و مداوم سر کشی کنید تا از بروز شدن ها و باگ ها و ... مطلع گردین
------------
مخفی کردن سوپر ادمین و استفاده نکردن از این یوزر
-----------
اگه ممکن باشه از جایی که هاست میخرین بخواین که یوزرتون رو متفاوت از اسم سایت بده
برای نمونه سایت asal.com ورود به کنترل پنل هاست با یوزر متفوت باشه نه با asal
------------
سطوح دسترسی
به طور کلی فایل ها باید دسترسیشون روی 644 باشه و فولدر ها روی 755 که در mybb بعضی وقتها چیزهایی ممکنه که خوب کار نکنند
بهترین سطوح دسترسی ذکر شده
inc/config.php - 666 بعد از نصب بر روی 444
inc/settings.php - 666
cache/ - 777
cache/themes/ - 777
uploads/ - 777
uploads/avatars/ - 777
admin/backups/ - 777
nc/languages/*language*/*all files*/ - 666
inc/languages/*language*/admin/*all files*/ - 666
------------
کد کردن محتویات config.php
-----------
مخفی کردن ادمین پنل
در config.php باید
کد:
کد:
$config['hide_admin_links'] = 0;
این باشد
کد:
کد:
$config['hide_admin_links'] = 1;
دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.
mod_security + امنیت سایت
-----------
غیر فعال بودن html در پست ها
-----------
غیر فعال کردنshowteam هم میتونه کمی موثر باشد
-----------
خاموش کردن ورژن سایت
----------