موارد امنیتی مهم
سلام. دوستان من چند روز پیش امیلی از cpanel وب سایتم دریافت کردم مبنی بر اینکه شما پسوورد ftp \ sql \ mail \system را با موفقیت تغییر دادید. بعد رفتم وارد سی پنل شدم میبینم یه نفر راحت Db ساخته با یوزر وصل کرده. فایل کپی کرده و کلا تو یه کلمه رسیده به اطلاعات حیاتی وب سایت.
میخواستم بدونم چه چیزایی باید رعایت کنم ؟ env رو باید چجوری محدود کنم ؟ اصلا اشکال از کجا بوده که اینجوری مارو زدن؟ از طریق htaccess کاری نباید بکنم ؟
میشه برادرانه راهنمایی کنید؟ گیر افتادیم
گزینش سوالات
گفت و گو های مرتبط
دسته بندی سوالات
تگهای محبوب
فایل های لاراول رو روی هاست کجا کپی کردید؟
فولدری که حاوی فایلهای لاراول هست نباید داخل فولدر public_html باشه..
فایل های داخل فولدر Public لاراول رو به Public_html انتقال بدید... و سایر فایل های لاراول رو در یک پوشه عقبتر یعنی در کنار public_html بذارید (در یه فولدر مثلا App یا Laravel)
سپس فایل index.php که تو public هست رو ادیت کنید و آدرس app$ رو با توجه به تغییرات آپدیت کنید
اگر این موارد رو از قبل رعایت کردید حتما کسی به پسوردتون دسترسی داشته و یا اینکه اپلیکیشن رو در حالت Production قرار ندادید تا یه سری ارورها و لاگها رو نمایش نده.
درود...
۱. پسورد قوی در سی پنل هاست اعمال کنید.
۲. از وابستگی دیوار آتش لاراول برای اعمال محدودیت استفاده کنید.
پیوند زیر:
https://github.com/antonioribeiro/firewall
@ali.bayat
من همیشه داخل public-html یه فولدر ایجاد میکنم. کل پروژه رو آپلود مینکنم داخلش. بعد کل پوشه public رو میارم عقب یعنی درون public-html کپی میکنم. بعد هم فایل ایندکس رو ادیت میکنم.
پروژه روی production بوده. حالا آیا اشتباه میکردم؟
هر فایلی داخل public_html باشه از طریق مرورگر قابل دسترسیه
فایل های پروژه لاراول رو باید یه فولدر عقب تر قرار بدید
مثلا
/LaravelApp
/app
/bootstrap
/config
/database
/public_html
/css
/js
.htaccess
index.php
در صورتی که اصرار دارید از همین روش استفاده کنید در فایل htaccess کد زیر رو قرار دهید
RedirectMatch 403 /\..*$با این کار دسترسی کلیه فایلهای مخفی نظیر .htaccess و فایل .env رو برای کاربر میبندید ، اینطوری اطلاعات قابل دسترس در مرورگر نخواهد بود
سلام
@arthas.pix
دوستان راهنمایی های خوبی راجب آپلود پروژه کردند! اما یه چند نکته!
ببینید دوست عزیز شما فرمودید که ایمیل اومد که پسورد همه چی عوض شده!
توی سی پنل شما اگر بخوایید پسورد عوض کنید ، باید و حتما پسورد قبلی هاست رو وارد کنید تا بتونید پسورد رو عوض کنید و ....
پس یعنی کسی رمز شما رو داشته ، چون در غیر این صورت به هیچ وجه دیگه ای امکان نداره!
شما پروژه تون رو هم هر طوری که آپلود کنید اصلا در و پیکر پروژه باز باشه
یوزر پس دیتابیس رو هم تو صفحه اصلی نمایش بدید ، از اونجا نمیشه پسورد سی پنل رو عوض کرد!!
یعنی در کل هاست شما خوب نباشه ، انتی شلر نداشته باشه ، در پیکر پروژه باز باشه
طرف شل آپلود کنه ، دسترسی بگیرید و. ... این حرفا ، بازم نمیتونه پسورد رو عوض کنه در سی پنل های ورژن جدید! قبلا شاید میشده الان نمیشه!
بحث آپلود پروژه و نحوه قرار دادن فولدر ها و اینا هم که دوستان اشاره کردند!
@arthas.pix شما خودتون دارید میگید ایمیل از cpanel دریافت کردید این یعنی پسورد کنترل پنل شما رو بدست آوردن و ربطی به لاراول و کانفیگ شما نداره. اون شخص اطلاعات امنیتی هاست رو به دست اورده حالا میخواد روی هاست لاراول باشه میخواد فالکون باشه یا وردپرس باشه یا اصلا یه فایل تکست... به مدیر سرور اطلاع بدید و حتما لاگها رو بررسی کنید
دسترسی به فایل هایی که نامشون با دات (.) شروع میشه از جمله env. رو ببندید. اگه فایل ها رو به اشتباه روی سرور کپی کرده باشین یه کاربر میتونه به انتهای ادرس اصلی سایت نام env. رو اظافه کنه و اینتر بزنه و یوزر پسوورد دیتابیس شما رو ببینه.
به صورت زیر عمل کنید:
<FilesMatch "^\.env">
Order allow,deny
Deny from all
</FilesMatch>
Options All -Indexesدستورات بالا رو به ابتدای فایل htaccess خودتون اظافه کنید.