WHMCS内置了许多功能,可以帮助保护您的数据安全,但是您可以采取几个简单的额外步骤来进一步保护您的WHMCS.
保护可写目录
我们建议将所有可写目录移动到Web根目录之上的非公共目录,以防止基于Web的访问。WHMCS有三个可写目录,分别是:“attachments”,“downloads”和“templates_c”
当你移动目录时,你需要为WHMCS提供新的路径来使用它们。您可以通过在根WHMCS目录下的configuration.php文件中添加(或更新,如果它们已经存在)以下行来完成。
$ attachments_dir = “/ home / username / attachments /” ;
$ downloads_dir = “/ home / username / downloads /” ;
$ templates_compiledir = “/ home / username / templates_c /” ;
在上面的例子中,“username”是cPanel的用户名,所以这3个文件夹位于主目录中,位于public_html之上。
确保`configuration.php`文件
我们建议调整位于WHMCS根目录下的“configuration.php”文件的权限。此文件包含敏感数据,如果没有该文件的备份,则无法恢复。为避免意外覆盖,编辑或删除文件,请将此文件的权限设置更改为“400”。这提供了系统对文件的只读访问,并防止其他人读取,编辑或执行文件。
要更改此文件的权限,可以在WHMCS根目录中从shell运行以下命令:
chmod 400 configuration.php
注意!
某些系统可能会要求您将权限设置为440或444,具体取决于服务器的配置方式。对于大多数情况下,400应该足够了,但是如果在将权限设置为400之后加载应用程序时遇到错误,请尝试440,然后尝试444。
许可证密钥更新
如果您需要更新许可证密钥,则必须将该文件的权限设置为755以允许系统编辑该文件。一旦密钥更新,您可以将权限恢复到400。
移动Crons目录
crons文件夹可能被移动到文件根目录之上或之下的任何地方。
crons目录中的文件需要知道在哪里可以找到你的WHMCS安装,而你的WHMCS安装需要知道在哪里可以找到crons目录,所以重定位过程包括编辑两个文件。
1.首先为您的crons目录选择一个新的位置,然后将整个/ crons /文件夹和内容移动到它。
2.打开crons目录下的config.php文件,并按照其中的说明取消注释WHMCS路径行,并提供完整路径到您的WHMCS安装。例如:
$ whmcspath = '/ home / username / public_html / whmcs /' ;
上面的例子假定cPanel正在被使用,其中“username”是帐号的用户名,“whmcs”是包含WHMCS安装的目录。
3.打开WHMCS安装根目录下的configuration.php文件,在文件底部添加以下行,以便WHMCS能够找到自定义的crons目录位置,并显示需要用于cron的正确路径管理界面中的管道命令配置。
$ crons_dir = '/ home / username / whmcs_crons /' ;
上面的例子假定cPanel正在使用,其中“username”是帐户用户名,“whmcs_crons”是自定义crons目录。
通过IP限制访问
为了加强保护,如果您的员工使用固定IP地址,则可以通过限制访问特定IP地址,为管理员区域添加更多保护。这是通过在WHMCS管理目录中创建一个名为.htaccess的文件来完成的,其内容如下:
为了 否认,允许
允许 从 12.34 。5.67
允许 从 98.76 。54.32
禁止 从 所有
您可以根据需要指定许多不同的行允许值。或者,您甚至可以通过指定IP的第一部分来允许整个IP子网,例如:“12.34”。这称为Htaccess IP限制。
更改您的WHMCS管理文件夹名称
定制您的WHMCS管理区域的URL使得双方和恶意用户难以找到它。这不是必需的,但是如果你想这样做,在这里找到如何:自定义管理目录
限制数据库权限
对于日常使用,只需要以下数据库权限。所有其他人可能被禁用。
- 删除
- 插
- 选择
- UPDATE
- 锁表
请注意,安装,升级,激活和取消激活模块需要以下额外的权限。
- 改变
- 创建
- 下降
- 指数
使用HTTPS连接
通过使用有效的SSL证书进行HTTPS访问时,管理区域和客户端区域更安全。这可以防止通过未加密的连接显示敏感信息。
要确保使用SSL,您必须在设置>常规设置中输入以https://前缀开头的WHMCS系统URL。
