رفتن به مطلب

unknown

کاربر سایت
  • تعداد ارسال ها

    102
  • تاریخ عضویت

  • آخرین بازدید

پست ها ارسال شده توسط unknown

  1. بالاخره پولیه یا رایگانش هم هست ؟

    لینک رایگانش رو بدید ممنون میشم ، رایگانش از نظر امنیتی مشکلی نداره ؟

     

    توی سایت همین بیست اسکریپت موجوده . سرچ کنید . نشد جاهای دیگه

     

    هر اسکریپتی باید تامین امنیت کنید یا خودتون یا کسی دیگر

     

    باید یه متخصص هم بشه گسترشش داد

    • Like 2
  2. کد کردن کانفیگ که من الان دوساله انجامش میدم از سایت زیر

    لینک ها تنها برای اعضای سایت قابل نمایش است.

    جواب هم میده واقعا توی اسکریپت ای تی چت توی کانفیگ اطلاعات بسیار مهمی هست با کد کردنش 99% امنیت رو برام تضمین میکرد

     

    درود درست فرمودید کد میکنه ولی اینجور سایت ها کانفیک شمارو سیو میکنه

    دوستان برای ایننجور کد کردن راه حل پیدا کردن و همینطور که کد شد همینطورم کدش شکسته میشود

     

    باید اینجور اسکریپت های کد کردنو تخصصی بسازید

     

    یه نوع هم به @AynaZ جان دادم که به هیچ وجع توابعش رمزنگاری نمیشه چون 0101 میکنه .

     

    این مسائل هم فرامش نشه .

     

    بعضی از سرویس ها یا سرور این توابع کد ها رو قبول نمیکنند .

     

    قبلش بک اپ بگیرید

     

     

    کد کردن کانفیک راه درستی داره که باید توضیع داده بشه .

    • Like 2
  3. درود

    بنده مشکلی با فروشش ا چز دیگر ندارم

     

    فقط 200 هزار باید روی امنیتش کار کنین

     

    لطفا حتی اگر اسکریپت رایگان باشه. جسارت نباشه اینجور اسکریپت ها باید فول امکانات

     

    میخواهین لینک sql inj همین الان lineblog.ir رو براتون بفرستم که خودتون بدست بیارید دیتابیس کاربراتو ‌؟ .شما برای sql inj حتی اعداد توابع رو تغییر ندادید

     

    دوستان هرکی توانایی فروش اسکریپت عمومی رو داره در صورت امنیت و امکانات بیشتر

  4. درسته من گفتم شاید باگ دیگه ای باشه

    وگرنه تمام موارد امنیتی رو من رعایت کردم

    قدم اول امنیت به نظر من عوض کردن ادرس پنل مدیریتیش هست

    درود

    تنها اشتباه مان همینه که فقط پنل مدیریت رو میبینیم ولی به چیز دیگر خیره نمیشیم

    بنده پنل مدیریت سایت های خودمو در اختیارتون قرار میدم بهمراه پسورد برید داخل قفل میشید . تمام گزینه ها کار میکنه ولی عملکرد نداره .

    درود

    اکثر whmcs ها نال شده هستند

    باگ ها ونحوه پچ اونارو میشه بفرمایید؟

    کد کردن داخل کانفیگ تاثیر داره؟

     

    درود . دارم مطالبشو جمع میکنم و در ادامه توضیع میدم . و میگم چکار کنین که خیالتون کمی راحت تر بشه تی مورد نفوذ قرار گرفت

    کد کردن خیلی خوبه ولی روزی مانع میشه شما باید شبع سازی کنی .

     

    • عالی عزیز و ممنونم از تایپیک خوبتون
    • امیرجان در مورد باگ ها که خود whmcs نسخه ی امنیتی خودش رو گسترش میده و انتشار میده و با بروزرسانی تقریبا رفع میشه مشکل
    • کد هم تاثیر داره
    • ایشاا... عزیزمون کد ها و موارد دیگر رو برامون بزارن

     

    قوربونت عزیز

    همینطور که @AynaZ جان فرمودن بدلیل همینه که اپدیت جدید میاد برای رفعه اینجور خطاها یا امکانات

     

    ولی یه سری خطا ها هستند که هنوز پابلینگ نشدن و بصورت priv8 هستند فعلا

     

    مثلا هرچی امنیت امروزو تامین کردیم فکر فردا هم باشیم

     

    یه مشکلی بین ما و کسی که پولمونو خورده بود مشکل پیدا شده . ما نتونستیم وارد سرورشون شیم جز اینکه لاک سرور هاشو خوندیم اونم از طریق whmcs

     

    در ادامه صبت خواهیم کرد در مورد اشکالات

    • Like 2
  5. من این مشکل رو دارم

    این بسته نمی‌تواند نصب شود. پوسته، پرونده‌ی استایل style.css را کم دارد.

     

    دوست عزیز بعد دانلود پوشه داخل زیپ رو بیرون بیاورید یا از زیپ خارج کنید بعد وارد پوشه قالب شوید و همه رو انتخاب کنید بعد زیپ کنید . الا اپلود کنید

     

    پوسته شما به خوبی نصب شد

    • Like 2
  6. درود

     

    خب با قدرت زیاد برگشتیم (clap)

     

     

    خب ما دونوع whmcs رو باید باید انالیز کنیم و برای امنیت بیشتر توضیع بدیم

     

    1 - whmcs لایسنس

    این گزینه اسکریپت های لایسنس با توجه به پولی بودنشون کمی تخصصی تر هست و با امنیت

     

    2- whmcs های رایگان یا نال شده

     

    گزینه 2 با توجه به رایگان بودنش و عمومی بودنش ازش حفره های یا خطاهای برنامه نویسی پیدا میکنن که امنیت چنینی کم از گزینه یک هست

     

    خب نگران نباشید

     

    با ما همراه باشین

    • Like 2
  7. از طریق برنامه wpscan می توان یوزرهای آدمین وردپرس را بدست آورد و Brute Force را انجام داد.

    افزونه امنیتی Captcha by BestWebSoft با تولید Captcha از Brute Force جلوگیری می کند

     

    2024_screenshot-3.png

     

     

     لینک ها تنها برای اعضای سایت قابل نمایش است.  

     

    • Like 3
  8. درود

    در این بخش در مورد امنیت whmcs صحبت میکنیم و انالیز میکنیم

     

    این تایپینک وجود داره چون کپی بوده میخوام اختصاصی 20 اسکریپت راه هاشو بذارم

     

     

    این تایپینک متشکل میشه

    * اموزش تصویری بصورت تصاویر

    * اموزش تصویری بصورت پیوست فیلم

    • Like 2
  9. حذف پیغام خطا در صفحه ی ورود

     

    همان طور که می دانید هنگام لاگین در سایت اگر نام کاربری رو اشتباه وارد کنید ارور قرمزی میاد که میگه نام کاربری رو اشتباه وارد کردی و اگر پسورد رو اشتباه وارد کنید میگه پسورد رو اشتباه وارد کردید اگر شما این ارور رو بردارید اون هکر متوجه نمیشه کدومش رو اشتباه وارد کرده و

     

    برای اینکار باید فایل Functions.php را در قالب وردپرس پیدا کنید و کد زیر را اضافه کنید:

     

    add_filter('login_errors',create_function('$a',"return null;"));

     

    • Like 2
  10. سلام وقت بخیر ; گاهی اوقات پیش می آید که دوستانی مایل به تغییر نام کاربری خود در تالارگفتگو باشند حالا امکان داره بعد از مدتی از آن نام کاربری خسته شده باشند یا در انتخاب نام کاربری خود اشتباهی انجام داده باشند وهمچنین احتمال است که مجبور شوند یک نام کاربری جدید ایجاد کنند. از این رو ما این تاپیک را ایجاد کردیم که دوستانی که مایل به تغییر نام کاربری را در تالار گفتگو دارند درخواست ارسال کنند تا نام کاربری درخواست دهنده تغییر کند.wink2

     

    سلام

     

    unknown

  11. دایرکتوری مربوط به افزونه ها را مخفی کنید.

    اگر به آدرس لینک ها تنها برای اعضای سایت قابل نمایش است. بروید،

    می توانید لیست تمام افزونه هایی را که استفاده می کنید،ببینید و ببینند.برای مخفی کردن این دایرکتوری می توانید یک فایل خالی با نام index.html آپلود کنید.

    ویرایشگر متن(مثل Notepad) را باز کرده و فایل خالی را با نام index.html ذخیره کنید.

    حالا با استفاده از یک برنامه ی ftp(مثل Filezilla) فیل فوق را به پوشه ی plugins آپلود کنید

    • Like 4
  12. ببخشید یه سوا تو کد بالا jpe?g علامت سوال وسط اضافی نیست ؟

    Better WP Security و

    All in One WP Security

    کدومشون بهترن ؟

     

    من الان WordFence روی سایتم نصبه قبلا All in One WP Security داشتم . این دو تا

    با هم نصب بشن تداخل ایجاد میکنن ؟

     

    کد مشکلی نیست میتونید استفاده کنید تست شده است

     

    نه تداخل ایجاد نمیکنه هر کدوم در ال حاضر در یه چیز مشترک هستند و تخصص دارن افزونه

     

    ولی نظر من اینه که نیازی به این افزونه ها نیست اینا خودشون باگ ایجاد میکنن . همین روشی که گفتم انجام بدین طبق اموزش هایی که گذاشتم پیش برید تما به فرد مورد نظر نام و پسورد سایتمم بدی پنل ادمین نمیتونه وارد شه

     

    و انشالا بزودی راه های جلوگیری از بایپس اینارو براتون شرح میدم

    • Like 2
  13. حذف ورژن وردپرس شما

     

    این برای اینه که از اکسپلویت هایی که بصورت دورک هستند و سرچ میشوند جلوگیری کنید

     

     

    کد زیر را به انتهای فایل functions.php قالب اضافه کنید

     

    remove_action('wp_head', 'wp_generator');   function wp_remove_version() {   return '';   }   add_filter('the_generator', 'wp_remove_version');      function port_remove_cssjs_ver( $src ) {       if( strpos( $src, '?ver=' ) )           $src = remove_query_arg( 'ver', $src );       return $src;   }   add_filter( 'style_loader_src', 'port_remove_cssjs_ver', 10, 2 );   add_filter( 'script_loader_src', 'port_remove_cssjs_ver', 10, 2 );

     

    • Like 2
  14. یعنی پس پیشنهاد شما این هست درسته ؟

     

    لینک ها تنها برای اعضای سایت قابل نمایش است.

    بله میشینم فارسی سازیش میکنم ولی میخام بدونم واقعا کدوم خوب هست پس نظر شما روی این هست درسته ؟

    بله نظر من این هست

    • Like 1
  15. پوشه ی wp-content نیز توسط فایل htaccess. قابل حفاظته! برای این کار درباره فایل htaccess. جداگانه ای ایجاد کنید و در پوشه ی wp-content بارگذاری کنید.سپس کد زیر رو درون آن اضافه کنید.

     

     

     

    order deny,allowdeny from all<files ~ ".(xml|css|jpe?g|png|gif|js)$">allow from all

     

     

    هر فرمتی که میخواهید ببندید

    به کد بالا جلوی متغییر فایل اضافه کنید

    • Like 3
  16. باسلام

    اگر شما هم سایت وردپرسی دارید احتمالاً در چند روز گذشته با خطای 508 (Resource Limit Reached) مواجه شده اید! این خطا زمانی رخ میدهد که مصرف منابع یا بازدید سایت خیلی بالا باشد.

     

    در روزهای اخیر شاهد حملات شدید به سایت های وردپرسی هستیم. این حملات معمولا از خارج از کشور هستند و اغلب درخواست های خیلی زیاد برای فایل xmlrpc.php یا بخش لاگین ارسال میشود و باعث پر شدن رم و سی پی یو در هاست میشود. این حملات برای بدست آوردن یوزر و رمز مدیریت وردپرس انجام میشوند ( لینک ها تنها برای اعضای سایت قابل نمایش است. )

    برای اطمینان از اینکه تحت حمله هستید یا خیر، میتونید در سی پنل به بخش Latest visitors و یا بخش Visitors بروید و جزئیات آخرین بازدید ها را ببینید:

     

    همانطور که در تصویر بالا میبینید، درخواست های همزمان زیادی با آی پی های مختلف برای فایل xmlrpc.php ارسال شده است.

    برای رفع یا کاهش این گونه مشکلات چند پیشنهاد برای صاحبان سایت های وردپرسی داریم :

    1 - به روز رسانی

     

    همیشه وردپرس و افزونه ها را به روز کنید. در نسخه های قدیمی ممکن است مشکلات امنیتی یا مشکلات فنی وجود داشته باشد و سایت به خطر بیفتد.

     

     

     

    2 - غیرفعال کردن نظرات

     

    اگر سایت شما طوری است که نیاز به نظرات کاربران ندارید و نظرات را تائید نمیکنید پس نیازی به دریافت نظر (کامنت) هم نیست. در تنظیمات وردپرس نظرات را غیرفعال کنید. برای این کار به بخش تنظیمات --> گفت و گو ها بروید و گزینه اجازه‌ی گذاشتن دیدگاه برای نوشته‌های جدید را غیرفعال کنید.

     

     

    3 - قرار دادن کد امنیتی

     

    حتماً برای بخش لاگین و بخش ارسال کامنت وردپرس کد امنیتی قرار دهید، یکی از ساده ترین افزونه ها برای انجام این کار افزونه SI Captcha Anti-SPAM است ( لینک ها تنها برای اعضای سایت قابل نمایش است. )

    بعد از نصب این افزونه، در تنظیمات آن، گزینه فعال کردن کپچا برای فرم های ورود را فعال کنید تا کد امنیتی در بخش لاگین هم نمایش داده شود.

     

     

    4 - مسدود کردن دسترسی به xmlrpc.php

     

    برای این کار در سی پنل به بخش File Manager بروید، فایل htaccess را ویرایش کنید. اگر فایل htaccess را نمی بینید (در بالا سمت راست) روی Settings کلیک کنید و گزینه Show Hidden Files (dotfiles) را فعال کنید.

    کدهای زیر را در ابتدای فایل htaccess قرار دهید:

    کد:

     

    <Files xmlrpc.php>order deny,allowdeny from all</Files>

     

    اگر از موبایل برای مدیریت سایت خود استفاده میکنید (app مدیریت وردپرس) و با انجام این کار دچار مشکل میشوید، میتوانید دسترسی آی پی خود را مجاز کنید:

     

     

    <Files xmlrpc.php>order deny,allowdeny from allallow from 123.123.123.123</Files>

     

     

    بجای 123.123.123.123 آدرس آی پی خود را قرار دهید ( لینک ها تنها برای اعضای سایت قابل نمایش است. )

     

    موفق باشید

     

    با تشکر از شما قسمت اخرو یبار دیگه توضیع بدهم

     

     

    دوستان عزیز شما میتونید طبق گفته های مدیر عزیز

    دسترسی به ای پی خاصی بدید

     

    همینطور میتونید به چند ای پی بدید مثل

     

     

    order deny,allowallow from 192.168.5.1allow from 123.456.7.8deny from all

     

     

     

    لازم به ذکر هست اگر ای یی تون اختصاصی نیست . هردفعه که سیستمتون خاموش و روشن میشه . شما جای ای پی جدیدتون از سایتی که ذکر کردن بگیرید و در کد جای گذاری کنید

    • Like 2
  17. ثبت لاگینگ

    ثبت ورود و خروج‌های سایت، یکی از بدردبخور ترین روش‌ها برای داشتن اطلاعاتی در مورد وب‌سایت هستند. از این طریق می‌توانید بفهمید که چه زمانی، چه کاری توسط چه کسی در وب سایت انجام شده است. متاسفانه از طریق این لاگ‌ها نمی‌توانید بفهمید چه نام کاربری‌ای وارد سیستم شده اما می‌توانید IP و زمان آنرا بفهمید. به علاوه، می‌توانید هر کدام از حملات زیر را از طریق لاگ‌ها ببینید: حملات تزریق کد (XXS)، گنجاندن فایل از راه دور (RFI)، گنجاندن فایل محلی (LFI) و حملات پیمایش دیرکتوری. به علاوه، خواهید توانست حملات جستجوی فراگیر را نیز مشاهده کنید.

     

    اگر کمی به کار با لاگ‌ها وارد شوید، چیزهایی خواهید دید مانند اینکه چه زمانی ویرایشگر‌های پوسته و افزونه در حال استفاده هستند،چه زمانی کسی ویجت‌های شما را آپدیت می‌کند و یا صفحه و مطلبی اضافه می‌کند.

     

    از لحاظ امنیتی، دو راه‌حل اوپن سورس اساسی هستند که بهتر است بر روی سرور خود داشته باشید.

     

    OSSEC می‌تواند در هر توزیعی از NIX و همچنین در ویندوز اجرا شود و اگر درست تنظیم و کانفیگ شود، بسیار قدرتمند است. باید آنرا به طوری تنظیم کنید که تمامی access_logs و error_logs را ثبت کند. به علاوه، فراموش نکنید که تنظیمات را طوری انجام دهید که نویز نیز فیلتر شود.

     

    نظارت

    گاهی اوقات، ممکن است علی رغم اقدامات پیشگیرانه، باز هم هک شوید. به همین دلیل است که تشخیص و نظارت بر نفوذ از اهمیت زیادی برخوردار است. با استفاده از این روش می‌توانید با عکس العملی سریع، بفهمید که چه اتفاقی افتاده و سایت را به حالت اول برگردانید.

     

    نظارت بر لاگ‌ها

    اگر بر روی یک سرور شخصی هستید و دسترسی روت دارید، می‌توانید براحتی طوری تنظیمات انجام دهید که بتوانید ببینید چه اتفاقاتی در حال رخ دادن هستند. OSSEC این کار را تسهیل می‌کند.

     

    نظارت بر ویرایش فایل‌ها

    یک حمله‌ همیشه اثراتی از خود (فایل‌های تازه، فایل‌های ویرایش شده و غیره) بر جا می‌گذارد. اگر از OSSEC استفاده می‌کنید، فایل‌های شما را نظارت می‌کند و تغییراتی که در آنها ایجاد می‌شوند را اطلاع می‌دهد.

     

    نظارت بر سرور از خارج

    اگر هکری قصد ایجاد اختلال در سایت شما و یا اضافه کردن بدافزار داشته باشد، می‌توانید از طریق یک سیستم نظارت بر بی‌نقصی بر پایه‌ی وب نیز از این تغییرات مطلع شوید. امروزه ابزار‌های بسیاری از این دست را می‌توانید از طریق گوگل کردن براحتی پیدا کنید.

    • Like 3
×
×
  • اضافه کردن...