رفتن به مطلب

امنیت فایل های آپلود شده در Edd


design3r

پست های پیشنهاد شده

سلام خدمت تمام دوستان عزیز

ما یه فروشگاهی میخوایم با افزونه edd راه اندازی کنیم همین اول کار به یه مشکل امنیتی خوردیم.

تو تنظیمات ما لینک رو زدیم هر 1 ساعت تغییر بده و بعد از خرید کاربر لینک امن به کاربر میده و این لینک هم هر یک ساعت تغییر میکنه که خیلی خوبه.

حالا مشکلی که هست اینه اگر کاربری مسری آپلود فایل رو اگر پیدا کنه به کل فایلای ما میتونه دسترسی پیدا کنه.

دوستانی پیشنهاد دادن مثلا مسیر آپلود رو تو چند شاخه مختلف بزار که قابل حدس نباشه ولی به نظر من این عقلانی نیست اومدیمو یکی همینطوری شانسی زدو پیدا کرد اونوقت چی؟

میخواستم بدونم راهی هست با htaccess یا هر چیز دیگه اون پوشه ای که فایلای edd توش آپلود میشه رو ببندیم که لینک مستقیم میزنن ارور بده؟

لینک به ارسال
در 9 دقیقه قبل، design3r گفته است :

سلام خدمت تمام دوستان عزیز

ما یه فروشگاهی میخوایم با افزونه edd راه اندازی کنیم همین اول کار به یه مشکل امنیتی خوردیم.

تو تنظیمات ما لینک رو زدیم هر 1 ساعت تغییر بده و بعد از خرید کاربر لینک امن به کاربر میده و این لینک هم هر یک ساعت تغییر میکنه که خیلی خوبه.

حالا مشکلی که هست اینه اگر کاربری مسری آپلود فایل رو اگر پیدا کنه به کل فایلای ما میتونه دسترسی پیدا کنه.

دوستانی پیشنهاد دادن مثلا مسیر آپلود رو تو چند شاخه مختلف بزار که قابل حدس نباشه ولی به نظر من این عقلانی نیست اومدیمو یکی همینطوری شانسی زدو پیدا کرد اونوقت چی؟

میخواستم بدونم راهی هست با htaccess یا هر چیز دیگه اون پوشه ای که فایلای edd توش آپلود میشه رو ببندیم که لینک مستقیم میزنن ارور بده؟

سلام

شما می توانید با استفاده از افزونه edd dropbox file store فایل های خودتون رو ایمن کنید و در دراپ باکس فایل های خودتون رو اپلود کنید

اگرهم بخواهید با htaccess راه دانلود مستقیم رو ببندید می تونید .

این برای جلوگیری از دسترسی داشتن پوشه هاهست
Options All -Indexes

توضیحات کاملتر در لینک زیر

https://modirwp.com/تنظیمات-فایل-htaccess-برای-افزایش-امنیت/

لینک به ارسال
در ۱ ساعت قبل، poshenama گفته است :

سلام

شما می توانید با استفاده از افزونه edd dropbox file store فایل های خودتون رو ایمن کنید و در دراپ باکس فایل های خودتون رو اپلود کنید

اگرهم بخواهید با htaccess راه دانلود مستقیم رو ببندید می تونید .


این برای جلوگیری از دسترسی داشتن پوشه هاهست

Options All -Indexes

توضیحات کاملتر در لینک زیر

https://modirwp.com/تنظیمات-فایل-htaccess-برای-افزایش-امنیت/

سوال اول اینکه دراپ باکس چقدر میشه فایل آپلود کرد؟

دوم اینکه لینکی که دادید مشکل داره منم دنبال این htaccess خیلی گشتم ولی چیزی پیدا نکردم

لینک به ارسال
در 14 ساعت قبل، poshenama گفته است :

۲ گیگ با نسخه عادی

خوب ۲ گیگ برای من خیلی کمه.

بعد اون لینکی که مشکل داشت لینک جدید ندادید چطور میتونم با htaccess  جلوی لینک مستقیم رو یگیرم؟

لینک به ارسال
در در 5/8/2020 at 13:24، design3r گفته است :

خوب ۲ گیگ برای من خیلی کمه.

بعد اون لینکی که مشکل داشت لینک جدید ندادید چطور میتونم با htaccess  جلوی لینک مستقیم رو یگیرم؟

۸-  جلوگیری از نمایش پوشه ها (Directory Browsing)

به صورت پیش فرض همه بازدیدکنندگان می توانند پوشه های هر سایت وردپرسی را بررسی کرده و فایل های آن را مشاهده کنند. کافی است وارد آدرس your-site.com/wp-content/uploads شوند. لیست کاملی از فایل ها و پوشه های شما در آنجا قابل مشاهده است.

تنظیمات فایل htaccess

اگرچه این مشاهدات امکان ایجاد تغییری را برای هکرها به وجود نمی آورد اما دانستن ساختار سایت شما می تواند به آنها کمک می کند. برای غیرفعال کردن این دسترسی کد زیر را در فایل htaccess. وارد کنید.

Options All -Indexes

 ۹-  تنظیمات فایل htaccess برای افزایش امنیت پوشه wp-includes

پوشه wp-includes مکان قرارگیری فایل های مهم وردپرس است . با جلوگیری از دسترسی های غیرمجاز به این پوشه ، می توانید جلوی سو استفاده های احتمالی از محتویات آن را بگیرید .

برای افزایش امنیت پوشه wp-includes کافی است کد زیر را در فایل htaccess. قرار دهید .

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

۱۰- تنظیمات فایل htaccess برای جلوگیری از مشاهده اطلاعات کاربران با ID آنها

وقتی یک بازدیدکننده وارد آدرس your-site.com/?author=1 سایت شما شود ، به صفحه اطلاعات و نوشته های کاربری که دارای شناسه کاربری یا ID ۱ است منتقل می شود . این صفحه شامل نام کاربری است که کاربر با آی دی ۱ دارد .

بازدیدکننده با این روش به راحتی می تواند نام کاربری کلیه کاربرهای سایت شما را پیدا کند . این روش با عنوان username enumeration شناسایی می شود .

اگر هکر نام کاربری کاربران سایت را پیدا کند، تنها مورد دیگری که نیاز است پیدا کند، رمز عبور است .

با قرار دادن کد زیر در فایل htaccess. ، می توانید جلوی مشاهده اطلاعات کاربران با آی دی آن ها را بگیرید.

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]
لینک به ارسال

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
×
  • اضافه کردن...