design3r

امنیت فایل های آپلود شده در Edd

6 پست در این موضوع قرار دارد

سلام خدمت تمام دوستان عزیز

ما یه فروشگاهی میخوایم با افزونه edd راه اندازی کنیم همین اول کار به یه مشکل امنیتی خوردیم.

تو تنظیمات ما لینک رو زدیم هر 1 ساعت تغییر بده و بعد از خرید کاربر لینک امن به کاربر میده و این لینک هم هر یک ساعت تغییر میکنه که خیلی خوبه.

حالا مشکلی که هست اینه اگر کاربری مسری آپلود فایل رو اگر پیدا کنه به کل فایلای ما میتونه دسترسی پیدا کنه.

دوستانی پیشنهاد دادن مثلا مسیر آپلود رو تو چند شاخه مختلف بزار که قابل حدس نباشه ولی به نظر من این عقلانی نیست اومدیمو یکی همینطوری شانسی زدو پیدا کرد اونوقت چی؟

میخواستم بدونم راهی هست با htaccess یا هر چیز دیگه اون پوشه ای که فایلای edd توش آپلود میشه رو ببندیم که لینک مستقیم میزنن ارور بده؟

0

به اشتراک گذاری این پست


لینک به پست
در 9 دقیقه قبل، design3r گفته است :

سلام خدمت تمام دوستان عزیز

ما یه فروشگاهی میخوایم با افزونه edd راه اندازی کنیم همین اول کار به یه مشکل امنیتی خوردیم.

تو تنظیمات ما لینک رو زدیم هر 1 ساعت تغییر بده و بعد از خرید کاربر لینک امن به کاربر میده و این لینک هم هر یک ساعت تغییر میکنه که خیلی خوبه.

حالا مشکلی که هست اینه اگر کاربری مسری آپلود فایل رو اگر پیدا کنه به کل فایلای ما میتونه دسترسی پیدا کنه.

دوستانی پیشنهاد دادن مثلا مسیر آپلود رو تو چند شاخه مختلف بزار که قابل حدس نباشه ولی به نظر من این عقلانی نیست اومدیمو یکی همینطوری شانسی زدو پیدا کرد اونوقت چی؟

میخواستم بدونم راهی هست با htaccess یا هر چیز دیگه اون پوشه ای که فایلای edd توش آپلود میشه رو ببندیم که لینک مستقیم میزنن ارور بده؟

سلام

شما می توانید با استفاده از افزونه edd dropbox file store فایل های خودتون رو ایمن کنید و در دراپ باکس فایل های خودتون رو اپلود کنید

اگرهم بخواهید با htaccess راه دانلود مستقیم رو ببندید می تونید .

این برای جلوگیری از دسترسی داشتن پوشه هاهست
Options All -Indexes

توضیحات کاملتر در لینک زیر

https://modirwp.com/تنظیمات-فایل-htaccess-برای-افزایش-امنیت/

0

به اشتراک گذاری این پست


لینک به پست
در ۱ ساعت قبل، poshenama گفته است :

سلام

شما می توانید با استفاده از افزونه edd dropbox file store فایل های خودتون رو ایمن کنید و در دراپ باکس فایل های خودتون رو اپلود کنید

اگرهم بخواهید با htaccess راه دانلود مستقیم رو ببندید می تونید .


این برای جلوگیری از دسترسی داشتن پوشه هاهست

Options All -Indexes

توضیحات کاملتر در لینک زیر

https://modirwp.com/تنظیمات-فایل-htaccess-برای-افزایش-امنیت/

سوال اول اینکه دراپ باکس چقدر میشه فایل آپلود کرد؟

دوم اینکه لینکی که دادید مشکل داره منم دنبال این htaccess خیلی گشتم ولی چیزی پیدا نکردم

0

به اشتراک گذاری این پست


لینک به پست
در 14 ساعت قبل، poshenama گفته است :

۲ گیگ با نسخه عادی

خوب ۲ گیگ برای من خیلی کمه.

بعد اون لینکی که مشکل داشت لینک جدید ندادید چطور میتونم با htaccess  جلوی لینک مستقیم رو یگیرم؟

0

به اشتراک گذاری این پست


لینک به پست
در در 5/8/2020 at 13:24، design3r گفته است :

خوب ۲ گیگ برای من خیلی کمه.

بعد اون لینکی که مشکل داشت لینک جدید ندادید چطور میتونم با htaccess  جلوی لینک مستقیم رو یگیرم؟

۸-  جلوگیری از نمایش پوشه ها (Directory Browsing)

به صورت پیش فرض همه بازدیدکنندگان می توانند پوشه های هر سایت وردپرسی را بررسی کرده و فایل های آن را مشاهده کنند. کافی است وارد آدرس your-site.com/wp-content/uploads شوند. لیست کاملی از فایل ها و پوشه های شما در آنجا قابل مشاهده است.

تنظیمات فایل htaccess

اگرچه این مشاهدات امکان ایجاد تغییری را برای هکرها به وجود نمی آورد اما دانستن ساختار سایت شما می تواند به آنها کمک می کند. برای غیرفعال کردن این دسترسی کد زیر را در فایل htaccess. وارد کنید.

Options All -Indexes

 ۹-  تنظیمات فایل htaccess برای افزایش امنیت پوشه wp-includes

پوشه wp-includes مکان قرارگیری فایل های مهم وردپرس است . با جلوگیری از دسترسی های غیرمجاز به این پوشه ، می توانید جلوی سو استفاده های احتمالی از محتویات آن را بگیرید .

برای افزایش امنیت پوشه wp-includes کافی است کد زیر را در فایل htaccess. قرار دهید .

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

۱۰- تنظیمات فایل htaccess برای جلوگیری از مشاهده اطلاعات کاربران با ID آنها

وقتی یک بازدیدکننده وارد آدرس your-site.com/?author=1 سایت شما شود ، به صفحه اطلاعات و نوشته های کاربری که دارای شناسه کاربری یا ID ۱ است منتقل می شود . این صفحه شامل نام کاربری است که کاربر با آی دی ۱ دارد .

بازدیدکننده با این روش به راحتی می تواند نام کاربری کلیه کاربرهای سایت شما را پیدا کند . این روش با عنوان username enumeration شناسایی می شود .

اگر هکر نام کاربری کاربران سایت را پیدا کند، تنها مورد دیگری که نیاز است پیدا کند، رمز عبور است .

با قرار دادن کد زیر در فایل htaccess. ، می توانید جلوی مشاهده اطلاعات کاربران با آی دی آن ها را بگیرید.

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]
2

به اشتراک گذاری این پست


لینک به پست

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری