ali09366

محدود کردن ورود به admin یا مدیریت سایت برای یک IP خاص

23 پست در این موضوع

f7f8c4727a011019fe43a7eaa92bf9a5_XL.jpg

محدود کردن ورود به admin یا مدیریت سایت برای یک IP خاص

چرا باید ورود به مدیریت سایت را برای یک یا چند IP خاص محدود کنیم ؟

فرض کنید برای طراحی سایت خود از یک سیستم مدیریت محتوا مانند جوملا یا وردپرس استفاده نموده اید ، و پس از خرید هاست و دامنه و پیاده سازی وب

سایت خود آدرس سایت شما 403 Forbidden می باشد و آدرس ورود به مدیریت سایت شما 403 Forbidden می باشد ، هم اکنون

بدیهی است که اگر کارمندانی برای مدیریت و گسترش وب سایت خود داشته باشید لازم است روزانه کارمندان شما وارد مدیریت سایت شوند و سایت شما را

بروزرسانی و آپدیت نمایند ، هم اکنون تصور کنید کسب و کار شما بیش از این برای شما اهمیت دارد و داخل مدیریت وب سایت شما اطلاعات مهم و حساسی

مانند اطلاعات شخصی مشتریان فروشگاه اینترنتی شما مانند آدرس ، شماره تلفن ثابت و همراه و ... قرار دارد و کارمندان شما روزانه وارد مدیریت سایت می

شوند و سفارشات را تحویل می دهند ، هم اکنون تصور کنید در اداره یا شرکت شما تمام کارمندان تحت نظارت و کنترل دقیق هستند و هر شخصی وظیفه خاصی

در مدیریت و پشتیبانی وب سایت شما دارد و مصلما هر کدام از کارمندان نام کاربری و رمز عبور خاصی برای ورود به مدیریت سایت و انجام وظایف خود دارند و

شما به عنوان مدیر و مسئول وب سایت نمی خواهید تحت هیچ شرایطی کارمند شما خارج از محیط اداره و با یک سیستم اینترنت دیگر وارد پنل مدیریت خود شود

در اینجا شما می توانید ورود به مدیریت وب سایت را به یک رنج IP خاص محدود نمایید و بدین ترتیب هر شخصی برای دسترسی به مدیریت وب سایت

مجبور است فقط از طریق رنج IP تعریف شده که همان IP اینترنت شرکت شماست وارد سایت شود و دسترسی سایر IP ها به مدیریت سایت پس از اجرای

این کار به هیچ عنوان امکان پذیر نخواهد بود .

کاربرد محدود کردن ip فقط به توضیحاتی که در بالا ارائه شد محدود نمی شود ، هر کاربر جهت افزایش امنیت وب سایت خود می تواند یک سری IP خاص جهت

ورود به مدیریت وب سایت خود تعریف نماید که به عنوان مثال مدیر وب سایت فقط بتواند از طریق اینترنت منزل خود و اینترنت محل کار خود وارد سایت شود و بدین

ترتیب از دسترسی سایر IP های اینترنت جهت ورود به مدیریت وب سایت خود جلوگیری نماید ، فرض کنید آدرس ورود به مدیریت سایت

شما 403 Forbidden باشد و شخصی جز شما بداند که جهت ورود به مدیریت سایت شما باید از طریق این صفحه اقدام کند ، شخص خاطی

می تواند پس از ورود به این آدرس چند صد تا چندین هزار نام کاربری و رمز عبور امتحان نماید تا در نهایت موفق شود وارد مدیریت سایت شما شود و اطلاعات

شما را مورد نفوذ قرار می گیرد ، یا فرض کنید به صورت کلی یک هکر از راه دور توانسته است نام کاربری و رمز عبور ورود به مدیریت سایت شما را حدس بزند و

یا این که نام کاربری و رمز عبور شما تحت هر شرایطی فاش شده است و در دسترس یک خرابکار قرار دارد در این مرحله اگر شما دسترسی به مدیریت سایت

خود را برای یک IP خاص محدود نموده باشید به فرض این که هکر نام کاربری و رمز عبور شما را نیز بداند باز هم نمی تواند وارد مدیریت سایت شما شود زیرا

مدیریت سایت شما هم اکنون فقط برای IP خاص در دسترس است و مصلما IP هکر با IP شما متفاوت است و نمی تواند وارد مدیریت سایت شما شود ،

توسط آموزش محدود کردن ورود به مدیریت سایت توسط یک IP خاص قادر هستید سیستم مدیریت وب سایت خود را طوری تنظیم نمایید که امکان ورود به

مدیر سایت فقط برای یک یا چند IP خاص میسر باشد و به این ترتیب توانسته اید احتمال نفوذ به مدیریت وب سایت خود را چندین برابر کاهش دهید ، البته ذکر

این نکته هائز اهمیت است : در صورتی که هکر به هاست شما دسترسی داشته باشد می تواند تنظیمات ورود به مدیریت سایت توسط یک IP خاص را لغو نماید .

2.jpg

در مورد IP ها بیشتر بدانید

در صورتی که می خواهید فرا تر از سطح این مقاله در مورد IP ها اطلاعات کسب کنید لطفا آموزش IP چیست را مشاهده نمایید .

در ابتدا می بایست آدرس ip خود را برای انجام این کار در اختیار داشته باشید.

ما دونوع آدرس ip داریم: یکی استاتیک یا ثابت . یکی داینامیک یا متغیر

اگر ip شما استاتیک باشد بدین معنی که در هر بار اتصال به اینترنت همواره ip شما تغییر نخواهد کرد فقط کافیست آن را بیابید. این نوع ip ها را میبایست

از سرویس ارائه دهنده اینترنت خود خریداری فرمایید .

اگر IP شما دینامیک باشد ، پس از هربار ورود به اینترنت یا خاموش و روشن کردن مودم قسمتی از آن تغیییر می کند که برای محدود کردن ورود به مدیریت

سایت برای یک IP خاص ، از قسمت ثابت IP دینامیک خود استفاده نمایید که دائما متغیر نباشد .

برای اجرایی کردن مراحل آموزش باید ابتدا آدرس IP خود را بدانید .

نحوه پیدا کردن آدرس IP کامپیوتر

سایت های بسیاری در این زمینه وجود دارند که چند مورد را خدمتتان معرفی می نماییم:

• در ابتدا می توانید از سایت google.com استفاده نمایید. با وارد نمودن واژه ی «ip» در قسمت جستجوی گوگل و کلیک بر روی دکمه ی google search در

نتیجه ی جستجو ip شما قابل نمایش خواهد بود.

4.jpg

• مورد بعدی سایت What Is My IP Address? IP Address Tools and More می باشد . با ورود به این سایت آدرس ip شما قابل مشاهده خواهد بود.

5.jpg

• مورد بعدی سایت What is my IP? - WhatIsMyIP.org می باشد. با ورود به این سایت نیز ip شما قابل مشاهده خواهد بود.

6.jpg

نحوه تنظیم فایل .Htaccess جهت محدود کردن ورود به مدیریت سایت با یک یا چند IP خاص

هم اکنون که آدرس ip خود را یافتید به سراغ ادامه ی آموزش می رویم:

بدین منظور میبایست وارد هاست خود شوید. در این آموزش ما از یک هاست با کنترل پنل cpanel استفاده می نماییم.

به کنترل پنل هاست خود لاگین نمایید. وارد File Manager یا همان قسمت مدیریت فایل ها شوید.

در هنگام ورود به فایل منیجر تیک گزینه ی Show hidden Files را فعال نموده و وارد مسیر نصب سیستم مدیریت محتوای خود شوید.

7.jpg

وارد پوشه ی مدیریت سیستم مدیریت محتوای خود شوید . برای مثال برای سایت های وردپرسی پوشه ی wp-admin و برای سایت های جوملایی پوشه ی

administrator می باشد. فایل .htaccess هم اکنون برای شما قابل رویت می باشد. بر روی آن کلیک نموده و Edit را انتخاب نمایید.

8.jpg

اگر بر روی پوشه مدیریت بنابر رعایت مسائل امنیتی پروتکت قرار داده باشید، در صفحه ی باز شده می توانید اطلاعات مربوط به پروتکت ایجاد شده بر روی این

پوشه را مشاهده نمایید.

جهت آشنایی با protect و نحوه قرار دادن آن بر روی پوشه مدیریت سایت لطفا آموزش رمز گذاری روی پوشه ها در سی پنل را مشاهده فرمایید .

سپس کد های زیر را در ادامه ی کد های موجود وارد نمایید

Order deny,allow

Deny from all

Allow from 46.224.79.87

خط اول به معنای اعمال دسترسی مجاز و غیر مجاز می باشد. خط دوم به معنای سلب دسترسی از کلیه ی ip ها می باشد. خط سوم به معنای ایجاد

دسترسی برای ip تعیین شده می باشد. این ip همان ip شما در هنگام اتصال به اینترنت می باشد.

در صورتیکه شما از ip استاتیک یا ثابت استفاده می کنید می بایست مانند مثال بالا ip را به صورت کامل تایپ نمایید. در غیر این صورت می بایست قسمت ثابت از

ip داینامیک خود را وارد نمایید. برای مثال در ip فوق قسمت 46.224 قسمت ثابت می باشد که در هر بار اتصال به اینترنت تغییر نخواهد کرد و 79.87 قسمت

متغیر می باشد که در هر بار اتصال به اینترنت تغییر می کند.

بنابر این ip فوق که داینامیک می باشد را میبایست به صورت زیر در فایل htaccess وارد نماییم:

Order deny,allow

Deny from all

Allow from 46.224.

11.jpg

در صورتیکه با این ip به ناحیه ی مدیریت سایت خود وارد شوید مشکلی وجود ندارد ولی اگر با هر ip به غیر از این برای ورود به مدیریت سایت خود تلاش نمایید

با پیغام خطای Forbidden مواجه خواهید شد.

10.jpg

خطای Forbidden مربوط به سطح دسترسی های سایت بوده و بدین معنا می باشد که شما اجازه ی ورود به این قسمت را ندارید.

در اینجا مراحل ایجاد محدودیت ip در دسترسی به مدیریت سایت به اتمام رسیده است.

توجه : در قسمت allow from IP Address می توانید دکمه enter را بزنید و در سطر های بعدی با همین مشخصه IP های دیگری تعریف کنید .

توجه : در صورتی که به هر دلیلی IP شما تغییر کرد و دسترسی شما به مدیریت سایت متوقف شد می توانید وارد هاست خود شوید و IP جدید خود را در

این فایل قرار دهید ، سپس توجه داشته باشید که IP قبلی را حذف نمایید .

منبع : محدود کردن ورود به admin یا مدیریت سایت برای یک IP خاص

Share this post


Link to post
Share on other sites

البته این کار با سایر افزونه های امنیتی جوملا هم امکان پذیر هست مثل

rsfirewall

adminexile

ولی خب بعنوان روش مجزا جالب هست.

Share this post


Link to post
Share on other sites
البته این کار با سایر افزونه های امنیتی جوملا هم امکان پذیر هست مثل

rsfirewall

adminexile

ولی خب بعنوان روش مجزا جالب هست.

ممنون که در بحث شرکت می کنید .

حق با شماست ؛ اما کاربران معمولا از نمسخه های نال افزونه هایی که شما می فرمایید استفاده می کنند که این در برخی از موارد خودش یک ضعف امنیتی محسوب میشه... در کل به صورت مجزا هم میشه تمام آیتم های امنیتی سایت رو رعایت کرد .

Share this post


Link to post
Share on other sites

درود

در بلاک کردن ای پی ها توسط htaccess توجه کنید هکر بصورت ریموت اینجکت و در صورت اسیب پذیر بودن سایت توانایی بایپس کردن تنظیمات این

فایل رو داره همچنین استفاده از افزونه ها هم باید مرتب مانیتورینگ بشه

در کل بلاک کردن ایپی بصورت دایم ایده اصلا خوبی نیست

Share this post


Link to post
Share on other sites
درود

در بلاک کردن ای پی ها توسط htaccess توجه کنید هکر بصورت ریموت اینجکت و در صورت اسیب پذیر بودن سایت توانایی بایپس کردن تنظیمات این

فایل رو داره همچنین استفاده از افزونه ها هم باید مرتب مانیتورینگ بشه

در کل بلاک کردن ایپی بصورت دایم ایده اصلا خوبی نیست

بله مهندس هکر اگر به هاست دسترسی داشته باشه میتونه این تنظیماتو برداره .

اما این خودش یه متده و یه درجه امنیت رو افزایش میده ، البته من آموزش های تخصصی دیگری هم تدارک دیده ام که کم کم منتشر میشه .

Share this post


Link to post
Share on other sites
بله مهندس هکر اگر به هاست دسترسی داشته باشه میتونه این تنظیماتو برداره .

ریموت اینجکت ارتباطی به دسترسی هاست نداره! از مرورگر انجام میشه

هکر از هاست اکسس بگیره دیگه نیازی به متد نداره

Share this post


Link to post
Share on other sites

با سلام.

خیلی ممنونم از علی آقا بابت آموزشی که دادند. جالب بود. و از آقا صابر که همیشه موارد خوبی رو ذکر می کنند.

چند تا سوال برام پیش اومده تو این قسمت:

- تو هیچ جای دستور چیزی راجعبه دسترسی به ادمین نوشته نشده، آیا با این روش خود سایت برای همه باز هست و فقط دسترسی به پوشه ادمین بسته میشود؟؟

- آقا صابر عزیز، بالاخره از این روش استفاده کردن خوبه یا بده؟ و اگر بده لطفا بیشتر توضیح بدید.

من یک سایتی دارم که روش RSFirewall نصب هستش. تو قسمت لاگ این افزونه که وارد میشم خیلی ها با IP های مختلف اومدن و یوزر و پس های مختلف رو برای ورود به مدیریت روش تست می کنند. شاید بطور میانگین روزی 20 بار این کار رو انجام میدن. طوری که از ابتدای سال که این کارو کردم 10 صفحه 100 سطری لاگ انداخته بود. برای این موارد چکار باید بکنم؟ روش پیشنهادی رو انجام بدم یا کار دیگه انجام بدم؟

با تشکر

Share this post


Link to post
Share on other sites

- تو هیچ جای دستور چیزی راجعبه دسترسی به ادمین نوشته نشده، آیا با این روش خود سایت برای همه باز هست و فقط دسترسی به پوشه ادمین بسته میشود؟؟

اوایل آموزش گفته شده وارد پوشه مدیریت شوید . یعنی همون administrator

بالاخره از این روش استفاده کردن خوبه یا بده؟ و اگر بده لطفا بیشتر توضیح بدید.

امنیت هیچ وقت 100 درصد نیست . این گونه اقدامات میتونه مفید باشه و کار رو برای نفوذ کننده ها سخت کنه.

در مورد آخر هم احتمالا سایتتون مورد حمله قرار گرفته.. برای بهینه سازی امنیت سایتتون با مهندس افضلی در ارتباط باشید .

Share this post


Link to post
Share on other sites

با سلام

جناب آشوری فایل htaccess. در روت هستش و در پوشه administrator من هیچ فایلی به غیر از index.php ندیدم!!

Share this post


Link to post
Share on other sites

ارسال شده در (ویرایش شده)

با سلام

جناب آشوری فایل htaccess. در روت هستش و در پوشه administrator من هیچ فایلی به غیر از index.php ندیدم!!

سلام

لطفا هنگام ورود به filemanager گزینه show hidden files رو تیک بزنید تا فایل های مخفی هم براتون مشخص بشه ، و اگر هم چنین فایلی ندارید می توانید ایجاد کنید .

در صورتی که این آموزش رو روی سایتتون پیاده سازی کنید دیگه هیچکس نمیتونه یوزر و پسورد رو مدیریت سایتتون تست کنه .

در صورتی که سوالی داشتید در خود مطلب اصلی در لینک زیر میتونید نظر اضافه کنید تا سریعا تیم فنی میزبان فا پاسخ براتون ارسال کنن .

-----------------------

ویرایش شده در توسط amir_seddighi

Share this post


Link to post
Share on other sites

ارسال شده در (ویرایش شده)

با سلام

***

باید خدمتتان عرض کنم که فایل های مخفی در هاست رو نمایش میده.

آیا اگر من فایل htaccess. رو از روت بردارم و تو فولدر administrator بریزم و کدهای گفته شده رو درش قرار بدم ok میشه؟ یا اینکه احتمالا بخاطر محتوای htaccess.ی که داخل روت بوده و به اینجا منتقل شده به مشکل می خورد؟

با تشکر

ویرایش شده در توسط Masood Ashoori

Share this post


Link to post
Share on other sites

اون فایل روت اصلی برای خود جوملاست. با اون چکار دارید :)

شما داخل پوشه ادمین یک فایل دیگه بسازید و کد رو داخلش قرار بدید. نام فایل . نقطه در ابتدای نام هست htaccess.

پست شما ویرایش شد.

Share this post


Link to post
Share on other sites

با تشکر از همه دوستان. این مورد رو انجام دادم و اوکی شد.

بعد از اینکه همه IP ها مسدود شد موقع ورود به ادمین پیغام زیر رو میده:

Internal Server Error

The server encountered an internal error or misconfiguration and was unable to complete your request.

Please contact the server administrator at webmaster@algomed.ir to inform them of the time this error occurred, and the actions you performed just before this error.

More information about this error may be available in the server error log.

Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

آیا میشه که یک فایل HTML طراحی کرد و برای کسانی که غیر مجاز وارد میشن این فایل نمایش داده بشه؟ یا اصلا تو همون فایل htaccess. بشه نوشت، که مثلا "دسترسی غیر مجاز" ؟

با تشکر

Share this post


Link to post
Share on other sites

درود

دوست عزیز فک میکنم زیادی سخت میگیری در مورد ورود غیر مجاز

ببین یک هکر اصلا نیازی به این اقدامات بسیار مبتدیانه نداره باور کنید این رو!!!

اینکه اصلا ادمین یک سایت بخواد آی پی خاصی رو مسدود کنه یا اقدامات مشابه برای مدت موقت ممکنه کارساز باشه اما دایمی اصلا فایده نداره

بر فرض برای ورود غیر مجاز یک صفحه اختصاصی نمایش داده بشه؟ خب بعدش که چی؟ ! واقعا میتونه از دسترسی به سایت جلوگیری کنه؟؟ خیر نمیتونه

اصلا هکر نمیاد از طریق پنل پدیریت سایت اقدام به هک کنه

میاد از طریق ضعف هاست و سرور ضعف سایت های مجاور یا حتی بک دور ویا ضعف افزونه های سایت یا خود هسته جوملا اقدام میکنه

دیدگاه تون رو تغیی بدید

یک هکر میتونه تا 10تونل آی پی رو بکار بگیره!! درک میکنید این رو؟؟ 10تونل آی پی!! پس اینکه با فایلی مث htaccess انتظار کارهای خارقالعاده رو داشته باشید رو از ذهنتون لطفا خارجج کنید

کلیه افزونه ها و کد های امنیتی ای که برای جوملا موجوده فقط تا یک حد خاصی میتونه جلوگیری کنه و تمام!!

Share this post


Link to post
Share on other sites

لطف می کنید یک سری مواردی که لازم میدونید رو برای امنیت جوملا بصورت جامع و یکجا ارائه بدید تا بتوانیم ازشون استفاده کنیم.

با تشکر

Share this post


Link to post
Share on other sites

با سلام

من بعد ازتعریف قفل امنیتی بر روی شاخه ی ادمین جوملا،چطوری میتونم سطح دسترسی فایل ایندکس این شاخه را بر روی 640 تنظیم کنم؟

لطفا راهنماییم کنید:21:

Share this post


Link to post
Share on other sites
لطف می کنید یک سری مواردی که لازم میدونید رو برای امنیت جوملا بصورت جامع و یکجا ارائه بدید تا بتوانیم ازشون استفاده کنیم.

با تشکر

درود

به قسمت تاپیک های امنیت فروم مراجعه کنید

Share this post


Link to post
Share on other sites
با سلام

من بعد ازتعریف قفل امنیتی بر روی شاخه ی ادمین جوملا،چطوری میتونم سطح دسترسی فایل ایندکس این شاخه را بر روی 640 تنظیم کنم؟

لطفا راهنماییم کنید:21:

درود از طریق هاست و بسته به اینکه چه پنلی هست توسط گزینه permission

Share this post


Link to post
Share on other sites

با سلام

سایتی که دارم جوملا 3 روش نصبه،تا چند وقت پیش یه قالبی روش نصب بود اما چون قالب یه مشکلی داشت و صفحه اصلی بالا نمیومد مجبورشدم تا اونو از هاست پاک کنم.حالا با ورود به سایت ارور میده که قالبی ندارید و پشتیبانی هاست به من گفت که روی شاخه ادمین رمز بزارم وبعد سطح دسترسی indexاین شاخه رو از 000 به640 تنظیم کنم.

حالا موندم چیکار کنم چطور indexتغییر بدم؟باید کدنویسی کنم؟

Share this post


Link to post
Share on other sites

قالب رو که نباید از هاست پاک میکردید. از طریق خود جوملا باید اقدام کنید. از منوی افزونه ها. مدیریت قالب ، قالب پیشفرض رو روی گزینه دیگه قرار بدید . یا یک قالب جدید نصب کنید

Share this post


Link to post
Share on other sites

خب اخه من اصلا نمیتونستم به کنترل پنل جوملا سایت برم،یعنی کلا سایت باز نمیشد و فقط ارور میداد.پشتیبانی هاستم گفت که رو شاخه ادمین قفل بذار و سطح دسترسی ایندکس640 کن بعد سایت درست میشه

Share this post


Link to post
Share on other sites
خب اخه من اصلا نمیتونستم به کنترل پنل جوملا سایت برم،یعنی کلا سایت باز نمیشد و فقط ارور میداد.پشتیبانی هاستم گفت که رو شاخه ادمین قفل بذار و سطح دسترسی ایندکس640 کن بعد سایت درست میشه

بخاطر اینه که وقتی روی پوشه ادمین رمز میزارید دیگه امکان بروت فورس توسط اسپمرها نیست و سرور کمتر تحت فشار هست

از طریق هاست براحتی قابل انحام هست

Share this post


Link to post
Share on other sites

خیلی ممنون. هنوز بهترین راه حل برای محدود کردن دسترسی ادمینه. البته امروزه امنیت سی پنل نسبت به حملات سایبری میشه گفت عقب مونده لذا هکرها خیلی راحت رخنه میکنن و به نتیجه میرسن. بنابراین همونطور که دوست خوبمون اشاره کردن در گذشته افزونه هایی در این زمینه نوشته شده که تا امروز تونستن نسبت به این نوع حملات آپدیت باشن مثل افزونه rsfirewall که خیلی ساده این دستورو اجرا میکنه؛ علاوه بر این امکانات زیادی داره مثلاً دسترسی کاربرای سایتو نیز محدود می کنه؛ یک وقتی حالا به هردلیل ممکنه نیاز باشه آی پی کاربرای مد نظرتون رو ببندید یا برعکس فقط یک سری آی پی خاص بتونن سایتو ببینن مثل کشور ایران. البته شناسایی ویروس های جدید که با تغییر آی پی وارد میشن مشروط به اینه که این افزونه اورجینال باشه. در آخر اضافه می کنم که بنده مدتهاست برای امنیت cms های مختلف کار میکشم ازش خیلی خوب و راحت و بی دردسر جواب داده. افزونه آرس فایروالو میتونید از سایت پی سی تمپلیت امیرخان ارزون تهیه کنید.باز هم ممنون. پاینده باشید. هرروزتان نوروز 9_9 نوروزتان پیروز

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری