Merhabalar,
Bugün bilgi bankamızda sizlere
WHMCS Güvenlik Önlemleri
WHMCS Tema Çalınmalarına Karşı Alınabilecek Önlemleri
konusunda bilgiler paylaşacağız.
1 – Whmcs Güvenlik Önlemleri
Hosting hizmeti veren bir çok firmada kullanılan otomasyon sistemlerinden birisi de WHMCS’dir. Yaygın olarak kullanılmasının getirmiş olduğu iyi taraflarının olduğu kadar, bilinçsiz yapılandırılmalarda birçok firmanıyıda zor duruma düşürebilmektedir.
Peki nasıl güvenli hale getirebiliriz.
Öncelikle sunucumuzda PHP handler olarak suPHP aktif hale getiriyoruz.
find ./ -iname "*.php" -exec chmod 600 {} \;
find ./ -type d -exec chmod 711 {} \;
komutunu SSH terminal üzerinden çalıştıralım.
Tarayıcı üzerinden cron job erişimini engellemek
WHMCS’nin zamanlanmış dosya olarak kullandığı crons/cron.php dosyasını art niyetli kişilerin tarayıcı üzerinden çalıştırmasını engellemek için konsol üzerinden,
cd /whmcsklasoryolu
cd crons
echo "deny from all" > .htaccess
komutunu çalıştıralım.
WHMCS configuration.php dosyasında yapılması gereken değişikler,
Admin klasör yolunu değiştirmek
$customadminpath = “home/dizinadi/yeniadminpaneli”;
downloads klasörünün yolunu değiştirmek
$downloads_dir = “home/dizinadi/yenidosyaadresi/”;
attachment klasör yolunu değiştirmek
$attachments_dir = “home/dizinadınız/attachments/”;
2- WHMCS Tema Güvenliği
Hepimiz biliyoruz ki whmcs temalarında, template motorundan olsa gerek .tpl uzantısı kullanılmaktadır. Özel olarak yapmış olduğunuz çalışmaların birkaç tık ile indirilebileceğinin farkındayız. Örnek olarak, siteadi.com/templates/temaadi/tpldosyaadi.tpl yazıldığında tpl dosyaları indirilebilmektedir. Art niyetli kullanımın önüne geçmek ve yapmış olduğumuz çalışmaların çalınmasını engellemek için /templates/ klasörümüzün içerisine .htaccess dosyası oluşturalım ve aşağıdaki kodu ekleyip kaydedelim.
<filesMatch "\.(tpl|.php)$">
deny from all
WHMCS Güvenliği
Merhabalar,
Bugün bilgi bankamızda sizlere
WHMCS Güvenlik Önlemleri
WHMCS Tema Çalınmalarına Karşı Alınabilecek Önlemleri
konusunda bilgiler paylaşacağız.
Makale İçeriği
1 – Whmcs Güvenlik Önlemleri
Hosting hizmeti veren bir çok firmada kullanılan otomasyon sistemlerinden birisi de WHMCS’dir. Yaygın olarak kullanılmasının getirmiş olduğu iyi taraflarının olduğu kadar, bilinçsiz yapılandırılmalarda birçok firmanıyıda zor duruma düşürebilmektedir.
Peki nasıl güvenli hale getirebiliriz.
Öncelikle sunucumuzda PHP handler olarak suPHP aktif hale getiriyoruz.
find ./ -iname "*.php" -exec chmod 600 {} \;
find ./ -type d -exec chmod 711 {} \;
komutunu SSH terminal üzerinden çalıştıralım.
Tarayıcı üzerinden cron job erişimini engellemek
WHMCS’nin zamanlanmış dosya olarak kullandığı crons/cron.php dosyasını art niyetli kişilerin tarayıcı üzerinden çalıştırmasını engellemek için konsol üzerinden,
cd /whmcsklasoryolu
cd crons
echo "deny from all" > .htaccess
komutunu çalıştıralım.
WHMCS configuration.php dosyasında yapılması gereken değişikler,
Admin klasör yolunu değiştirmek
$customadminpath = “home/dizinadi/yeniadminpaneli”;
templates_c klasör yolunu değiştirmek
$templates_compiledir = “home/dizinadi/yenicache_c/”;
downloads klasörünün yolunu değiştirmek
$downloads_dir = “home/dizinadi/yenidosyaadresi/”;
attachment klasör yolunu değiştirmek
$attachments_dir = “home/dizinadınız/attachments/”;
2- WHMCS Tema Güvenliği
Hepimiz biliyoruz ki whmcs temalarında, template motorundan olsa gerek .tpl uzantısı kullanılmaktadır. Özel olarak yapmış olduğunuz çalışmaların birkaç tık ile indirilebileceğinin farkındayız. Örnek olarak, siteadi.com/templates/temaadi/tpldosyaadi.tpl yazıldığında tpl dosyaları indirilebilmektedir. Art niyetli kullanımın önüne geçmek ve yapmış olduğumuz çalışmaların çalınmasını engellemek için /templates/ klasörümüzün içerisine .htaccess dosyası oluşturalım ve aşağıdaki kodu ekleyip kaydedelim.
<filesMatch "\.(tpl|.php)$">
deny from all
httrack programını engelleme
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:[email protected] [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go!Zilla [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR]
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR]
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus
RewriteRule .* - [F]
Teleport Engelleme
Disallow: /
User-agent: TeleportPro
Disallow: /