共计 2001 个字符,预计需要花费 6 分钟才能阅读完成。
最近在玩 WHMCS, 毕竟是准备好好干的, 所以看了一下 WHMCS 的官方文档, 以下是我的总结:
欢迎友善交流哈, 感谢
保护目录 (有可写权限就可以)
在非 www 目录外新建一个文件夹用于存放 attachments, downloads, templates_c, 比如:
/home/mydomain.com/whmcsdata/downloads
/home/mydomain.com/whmcsdata/attachments
/home/mydomain.com/whmcsdata/templates_c
在 Configuration> System Settings > Storage Settings 中添加上述的路径, 并且将 attachments, downloads 切换到新建的路径中
修改 configuration.php, 并添加或修改来指定 templates_c 新位置的路径:
$templates_compiledir = "/home/mydomain.com/whmcsdata/templates_c/";
将 crons 目录移动到 /home/mydomain.com/whmcsdata/crons/
修改 crons 目录中的 config.php 文件,提供 WHMCS 安装的完整路径.
$whmcspath = ‘/home/mydomain.com/public_html/’;
修改 configuration.php, 提供 crons 新的路径
$crons_dir = ‘/home/mydomain.com/whmcsdata/crons/’;
如果是在 Cpanel 中自带的程序安装 WHMCS, 上述操作可以直接在安装时选择
将 configuration.php 设置成 400 权限
当配置完成后, 将 configuration.php 设置成 400 权限, 提供了只读访问权限,并防止其他任何人读取、编辑或执行文件
修改后台登入默认路径
将 admin 目录改名为 newadmin
configuration.php 的最后添加下面代码 (在?> 之前添加, 如果有的话)
$customadminpath = "newadmin";
如果是在 Cpanel 中自带的程序安装 WHMCS, 上述操作可以直接在安装时选择
修改 MySQL 数据库的访问权限
大多数任务只需要以下数据库权限:
DELETE
INSERT
SELECT
UPDATE
LOCK TABLES
安装、升级以及激活和停用模块需要以下附加权限:所以平时可以禁用这些权限
ALTER
CREATE
DROP
INDEX
在 Cpanel 面板下直接点击 MySQL Databases 找到 Privileged Users 下的用户名, 点击后修改权限
启用 https
在 General Settings 中 General 的, 将 WHMCS System URL 改成 https
当然 Cpanel 中也要启用
限制访问 vendor 文件夹
如果某个目录受此保护,那么如果您网站前端的某个人试图访问该文件,系统会提示他们提供用户名和密码
Cpanel 面板中选择 Directory Privacy, 找到 WHMCS 的 vendor 文件夹, 选择编辑, 勾选 "Password protect this directory."
输入一个名字 (此名字只是一个标签), 点击确认后创建一个账号用于访问加密的文件夹
宝塔貌似是可以访问的,Cpanel 貌似不必设置, 默认不可访问
开启必要的验证码
在 General Settings 中 Security, 建议把 Captcha Type 改成 reCAPTCHA v2 或者 Invisible reCAPTCHA
并且把 Email Verification 也打开了
限制 IP 访问
这个我没干啊, 不是很方便哈~~
其他服务器安全优化
我直接用 Cpnael 面板的虚拟主机了, 安全交给他们吧, 他们比我专业, 自己干的可以参考以下文章
https://owasp.org/www-community/attacks/Clickjacking
https://docs.cpanel.net/knowledge-base/security/security-best-practices/
https://owasp.org/www-project-top-ten/2017/A6_2017-Security_Misconfiguration
参考原文:https://docs.whmcs.com/Further_Security_Steps
上一篇:HZ 4*10TB 硬盘算中奖?
下一篇:有啥好的探针推荐么
一个好的密码,能免疫很多攻击 其次就是这些没有绝对的安全
不过目前很少听闻 whmcs 的漏洞
快乐风男 发表于 2022-5-4 17:05
一个好的密码,能免疫很多攻击 其次就是这些
漏洞不都是绕过密码的嘛?
hanweizhe 发表于 2022-5-4 17:09
没有绝对的安全
不过目前很少听闻 whmcs 的漏洞
有人相信绝对安全?不可能的,能做的就是尽量吧
