Cix
5 سال پیش توسط Cix مطرح شد
8 پاسخ

موارد امنیتی مهم

سلام. دوستان من چند روز پیش امیلی از cpanel وب سایتم دریافت کردم مبنی بر اینکه شما پسوورد ftp \ sql \ mail \system را با موفقیت تغییر دادید. بعد رفتم وارد سی پنل شدم میبینم یه نفر راحت Db ساخته با یوزر وصل کرده. فایل کپی کرده و کلا تو یه کلمه رسیده به اطلاعات حیاتی وب سایت.

میخواستم بدونم چه چیزایی باید رعایت کنم ؟ env رو باید چجوری محدود کنم ؟ اصلا اشکال از کجا بوده که اینجوری مارو زدن؟ از طریق htaccess کاری نباید بکنم ؟

میشه برادرانه راهنمایی کنید؟ گیر افتادیم


ثبت پرسش جدید
علی بیات
تخصص : توسعه دهنده ارشد وب
@ali.bayat 5 سال پیش آپدیت شد
2

فایل های لاراول رو روی هاست کجا کپی کردید؟
فولدری که حاوی فایل‌های لاراول هست نباید داخل فولدر public_html باشه..

فایل های داخل فولدر Public لاراول رو به Public_html انتقال بدید... و سایر فایل های لاراول رو در یک پوشه عقب‌تر یعنی در کنار public_html بذارید (در یه فولدر مثلا App یا Laravel)

سپس فایل index.php که تو public هست رو ادیت کنید و آدرس app$ رو با توجه به تغییرات آپدیت کنید

اگر این موارد رو از قبل رعایت کردید حتما کسی به پسوردتون دسترسی داشته و یا اینکه اپلیکیشن رو در حالت Production قرار ندادید تا یه سری ارورها و لاگ‌ها رو نمایش نده.


رایموند
تخصص : مختصص وردپرس - برنامه نویس لار...
@Raymond 5 سال پیش مطرح شد
0

درود...
۱. پسورد قوی در سی پنل هاست اعمال کنید.
۲. از وابستگی دیوار آتش لاراول برای اعمال محدودیت استفاده کنید.
پیوند زیر:
https://github.com/antonioribeiro/firewall


Cix
تخصص : برنامه نویس وب
@arthas.pix 5 سال پیش مطرح شد
0

@ali.bayat
من همیشه داخل public-html یه فولدر ایجاد میکنم. کل پروژه رو آپلود مینکنم داخلش. بعد کل پوشه public رو میارم عقب یعنی درون public-html کپی میکنم. بعد هم فایل ایندکس رو ادیت میکنم.

پروژه روی production بوده. حالا آیا اشتباه میکردم؟


علی بیات
تخصص : توسعه دهنده ارشد وب
@ali.bayat 5 سال پیش مطرح شد
1

هر فایلی داخل public_html باشه از طریق مرورگر قابل دسترسیه
فایل های پروژه لاراول رو باید یه فولدر عقب تر قرار بدید

مثلا

                      /LaravelApp
                                 /app
                                 /bootstrap
                                 /config
                                 /database

                      /public_html
                                  /css
                                  /js
                                  .htaccess
                                  index.php

نوید
تخصص : برنامه نویس Go / Django
@navids 5 سال پیش مطرح شد
1

در صورتی که اصرار دارید از همین روش استفاده کنید در فایل htaccess کد زیر رو قرار دهید

RedirectMatch 403 /\..*$

با این کار دسترسی کلیه فایلهای مخفی نظیر .htaccess و فایل .env رو برای کاربر میبندید ، اینطوری اطلاعات قابل دسترس در مرورگر نخواهد بود


Alimotreb
تخصص : کانفیگ سرور و برنامه نویس
@Alimotreb 5 سال پیش مطرح شد
1

سلام
@arthas.pix

دوستان راهنمایی های خوبی راجب آپلود پروژه کردند! اما یه چند نکته!
ببینید دوست عزیز شما فرمودید که ایمیل اومد که پسورد همه چی عوض شده!
توی سی پنل شما اگر بخوایید پسورد عوض کنید ، باید و حتما پسورد قبلی هاست رو وارد کنید تا بتونید پسورد رو عوض کنید و ....
پس یعنی کسی رمز شما رو داشته ، چون در غیر این صورت به هیچ وجه دیگه ای امکان نداره!
شما پروژه تون رو هم هر طوری که آپلود کنید اصلا در و پیکر پروژه باز باشه
یوزر پس دیتابیس رو هم تو صفحه اصلی نمایش بدید ، از اونجا نمیشه پسورد سی پنل رو عوض کرد!!
یعنی در کل هاست شما خوب نباشه ، انتی شلر نداشته باشه ، در پیکر پروژه باز باشه
طرف شل آپلود کنه ، دسترسی بگیرید و. ... این حرفا ، بازم نمیتونه پسورد رو عوض کنه در سی پنل های ورژن جدید! قبلا شاید میشده الان نمیشه!

بحث آپلود پروژه و نحوه قرار دادن فولدر ها و اینا هم که دوستان اشاره کردند!


GHM
تخصص : دولوپر نیمه‌استک
@GHM 5 سال پیش مطرح شد
0

@arthas.pix شما خودتون دارید میگید ایمیل از cpanel دریافت کردید این یعنی پسورد کنترل پنل شما رو بدست آوردن و ربطی به لاراول و کانفیگ شما نداره. اون شخص اطلاعات امنیتی هاست رو به دست اورده حالا میخواد روی هاست لاراول باشه میخواد فالکون باشه یا وردپرس باشه یا اصلا یه فایل تکست... به مدیر سرور اطلاع بدید و حتما لاگ‌ها رو بررسی کنید


mahdi khanzadi
تخصص : Software engineer
@khanzadimahdi 5 سال پیش آپدیت شد
0

دسترسی به فایل هایی که نامشون با دات (.) شروع میشه از جمله env. رو ببندید. اگه فایل ها رو به اشتباه روی سرور کپی کرده باشین یه کاربر میتونه به انتهای ادرس اصلی سایت نام env. رو اظافه کنه و اینتر بزنه و یوزر پسوورد دیتابیس شما رو ببینه.

به صورت زیر عمل کنید:

<FilesMatch "^\.env">
    Order allow,deny
    Deny from all
</FilesMatch>

Options All -Indexes

دستورات بالا رو به ابتدای فایل htaccess خودتون اظافه کنید.


برای ارسال پاسخ لازم است وارد شده یا ثبت‌نام کنید

ورود یا ثبت‌نام