بعد از نصب و پیکربندی کلی whmcs مسئله دیگه ای که مطرح میشه تنظیم امنیت whmcs هستش، با توجه به این که whmcs یه سیستم خیلی کامل برای فروش و پشتیبانی از مشتریان شما هستش و کل اطلاعات مشتریانتون و تراکنش های مشتریانتون داخلش ذخیره میشه و خیلی از اطلاعات مشتریانتون ممکنه حیاتی و مهم باشه کاری که بعد از نصب whmcs باید انجام بدین اینه که امنیت این سیستم رو به صورت کامل تامین کنید تا مطمئن بشید هیچ عامل خارجی نمیتونه به سیستم whmcs شما وارد بشه، در ادامه به ترتیب به تشریح تمامی گزینه های موجود در سربرگ Security در قسمت General setting می پردازیم.
آموزش تنظیم امنیت در WHMCS
- Captcha Form Protection: با استفاده از این گزینه می توانید ویژگی کد امنیتی (تصویر امنیتی کپچا) را فعال یا غیر فعال نمایید. کد کپچا نوعی تصویر امنیتی حاوی اعداد و حروف می باشد که برای تشخیص انسان از روبات ها می باشد. زمانی که فردی قصد چک کردن نام دامنه، ثبت نام، ارسال تیکت و .. را دارد با وارد نمودن این کد تصویری تعیین هویت می شود. این قسمت شامل 3 گزینه به شرح ذیل می باشد:
- Always On (code shown to ensure human submission): این گزینه ویژگی کد امنیتی کپچا را برای همیشه فعال می نماید.
- Off when logged in: در صورتیکه کاربر وارد پرتال و حساب کاربری اش شده باشد این ویژگی غیرفعال شود.
- Always Off: این گزینه ویژگی کد امنیتی کپچا را برای همیشه غیر فعال مینماید. (توصیه نمی شود)
- Captcha Type: این گزینه نوع کد امنیتی کپچا را مشخص می نماید:
- Default (5 Character Verification Code): به صورت پیش فرض، تصویری حاوی 5 کاراکتر امنیتی بر روی یک پس زمینه آبی ساده می باشد. این نوع تنظیمات خاصی ندارد ولی نیازمند به GD2 بر روی سرور شما می باشد.
- reCAPTCHA (Google’s reCAPTCHA system): سرویس Google’s reCAPTCHA که برای استفاده از این سیستم می بایست ابتدا وارد اکانت گوگل پلاس خود شوید و از طریق لینک زیرثبت نام نمایید:
https://www.google.com/recaptcha/admin
سپس کد هایی که به شما داده می شود را در قسمت های مورد نظر وارد نمایید.
- Required Password Strength: در این قسمت می توانید حداقل استحکام رمز عبور قابل تعریف توسط کاربران را از 0 تا 100 تعیین نمایید. به طور معمول 50 تا 70 مناسب می باشد. در صورتی که 0 وارد شود این ویژگی غیر فعال خواهد شد و رمز عبور های کاربران برسی نخواهند شد.
- Failed Admin Login Ban Time: با استفاده از این گزینه می توانید تعیین نمایید هر یوزر جهت ورود به ناحیه ادمین یا مدیریت WHMCS در صورت 3بار عدم موفقیت در ورود، برای چه مدتی بلاک شود. برای مثال با وارد نمودن عدد 20 در این قسمت، پس از 3 بار ورد نا موفق ip کاربر به مدت 20 دقیقه بلاک می شود. در صورتیکه عدد 0 را وارد نمایید با هرتعداد ورود ناموفق هیچ اتفاقی نمی افتد و ip بلاک نمی شود.
برای اطلاع از نحوه خارج کردن ip از حالت بلاک، به آموزش رفع ممنوعیت از آدرس های ip بلاک شده مراجعه نمایید.
- Whitelisted IPs: در این قسمت می توانید لیستی از آدرس های ip که میخواهید هرگز بلاک نشوند را وارد نمایید. بعبارتی لیست سفید برای ip های مجاز می باشد. برای مثال می توانید لیست ip های شرکت خود را در این قسمت وارد نمایید تا در صورت ورود ناموفق به مدیریت WHMCS هیچ گاه بلاک نشوند.
با استفاده از Add IP می توانید ip جدیدی به لیست اضافه نمایید و با دکمه Remove Selected می توانید یک IP را از لیست خارج نمایید.
- Whitelisted IP Login Failure Notices: با انتخاب این گزینه هشدارها یا اطلاعیه های مربوط به لاگین ناموفق ip های لیست سفید نیز ارسال خواهند شد.
- Admin Force SSL Access: زمانیکه این گزینه انتخاب نشده باشد، از هر دو کانکشن http و https امکان دسترسی به ناحیه مدیریت WHMCS وجود خواهد داشت. این گزینه را در حالت انتخاب قرار دهید تا تنها از طریق https امکان دسترسی به مدیریت WHMCS وجود داشته باشد که این موضوع منجر به افزایش امنیت ناحیه مدیریتی خواهد شد.
- Disable Admin Password Reset: حتما این گزینه را انتخاب نمایید تا ویژگی forgotten password در صفحه لاگین ادمین حذف گردد. در صورتیکه forgotten password وجود داشته باشد، امکان بازیابی رمز عبور مدیریت WHMCS وجود دارد و اگر ایمیل ادمین دچار مشکل شود این یک تهدید بسیار بزرگ خواهد بود.
- Disable Credit Card Storage: با انتخاب این گزینه اطلاعات مربوط به کارت های اعتباری مشتریانتان ذخیره و نگهداری نخواهند شد. توجه داشته باشید در صورتیکه این گزینه را فعال نمایید، تمامی اطلاعات کارت های اعتباری ذخیره شده در دیتابیس حذف خواهند شد.
- Allow Client CC Removal: این گزینه به کاربران اجازه خواهد داد تا بتوانند اطلاعات ذخیره شده ی مربوط به کارت های اعتباریشان را از اکانت کاربریشان حذف نمایند.
- Disable MD5 Clients Password: برای امنیت رمز عبور ناحیه کاربری کاربران می توان از رمزگذاری MD5 استفاده نمود. در این صورت رمز عبور کاربران توسط مدیران نیز قابل مشاهده نخواهد بود. MD5 نوعی سیستم رمزگذاری می باشد. در صورت انتخاب این گزینه سیستم رمزگذاری MD5 غیرفعال خواهد شد و رمز عبور ها برای ادمین نیز قابل مشاهده خواهد بود. در صورت تغییر حالت از رمز عبور کاربران نیاز به بازیابی خواهد داشت.
- Disable Session IP Check: این گزینه برای محافظت در برابر از دست دادن کوکی ها استفاده شود و میبایست به صورت تیک نخورده باقی بماند تا دوره یا جلسه IP ها بررسی شود. با این حال این ویژگی می تواند موجب ایجاد مشکلاتی برای کاربرانی که از IP داینامیک و یا موبایل ها استفاده می کنند شود. با تیک زدن این گزینه می توانید آن را غیرفعال نمایید.
- Proxy IP Header: فیلد پروکسی هدر به شما اجازه می دهد تا هدر HTTP سیستم WHMCS را کانفیگ نمایید تا بتواند اطلاعات مربوط به آدرس های IP را تشخیص دهد. اکثر پروکسی ها از هدر “X_FORWARDED_FOR” استفاده می نمایند پس بنابر این این فیلد می تواند خالی باقی بماند. فقط در صورتیکه اطمینان دارید پروکسی شما از هدر دیگری استفاده می کند این مقدار را تغییر دهید. برای مثال با قرار دادن هدر اشتباه در این فیلد می توانید منجر به ثبت آدرس های IP نابجا شوید.
- Trusted Proxies: این فیلد برای اضافه یا حذف نمودن آدرس IP یا رنج آدرس های IP CIDR از یک پروکسی معتبر استفاده می شود. WHMCS هدر کانفیگ شده را بررسی خواهد نمود تا آدرس های IP استاندارد و داقعی را بیابد.
- API IP Access Restriction: در صورتیکه می خواهید از طریق WHMCS API و موقعیتی خارج از سرور به مدیریت WHMCS متصل گردید میبایست در ایان قسمت آدرس IP مورد نظر را وارد نمایید در غیر این صورت دسترسی شما ممنوع خواهد شد و با پیغام Access Denied مواجه می گردید.
- Log API Authentiation: با انتخاب این گزینه می توانید لاگ های موفق ادمین از طریق API را ذخیره نمایید. این مورد زیاد ضروری نمی باشد.
- CSRF Tokens: General: این ویژگی امنیتی اضافی از بازدید کنندگان مخرب با ریکوئست های جعلی برای تلاش و دسترسی به بخش هایی از نرم افزار که ممنوع است جلوگیری می نماید. این گزینه به صورت پیش فرض بر روی حالت فعال/Enable قرار دارد و توصیه می شود به همین صورت باقی بماند مگر در شرایط خاص.
- CSRF Tokens : Domain Checker: این گزینه به صورت پیش فرض برای جستجوگر دامنه غیر فعال می باشد. در این صورت به شما اجازه می دهد تا بتوانید اطلاعات دامنه خود را از صفحات خارجی نیز به WHMCS ارسال نمایید.برای مثال کد جستجوگر دامنه که در سایت خود ادغام نموده اید و یک صفحه خارجی محسوب می گردد. در صورتیکه این گزینه فعال باشد بازدید کنندگان تنها قادر به ارسال اطلاعات دامنه خود از طریق صفحه جستجوگر دامنه ایجاد شده خواهند بود.