سلام دوستان
میگم چطور میتونیم برای بالا بردن امنیت ورود به قسمت مدیریت تنظیماتی رو انجام بدیم که مثلا بعد از 3 بار وارد کردن رمز عبور اشتباه اون اکانت برای مثلا 30 دقیقه بسته بشه. حتی با وراد کردن رمز درست بازم بسته باشه.
اینطوری ضریب دستیابی به قسمت مدیریت با استفاده از برنامه هایی مثل Brutus خیلی میاد پائین.
یا اینکه کلا نام کاربری admin رو حذف و یه نام optional انتخاب کنیم. که دیگه عملا کار بدون اطلاع از نام کاربری مدیریت غیر ممکن بشه
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
اصولا این کار کار چندان جالبی نیست چون کافیه مهاجم با یه اسکریپت که هر سی دقیقه یه بار برای ورود غیر قانونی به سایتتون تلاش میکنه باعث بشه بخش مدیریت سایتون همیشه غیر فعال بشه و کاربر قانونی هم نتونه از امکانات اون استفاده کنه البته اگه بتونه یوزر نیم شما رو بدست بیاره یا حدس بزنه که بازم میبینید مشکل بروت فورث پا برجاست اینبار از یه نوع دیگش.
یوزر نیمتون رو که به سادگی میتونید از یوزر منیجر عوض کنید.
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
اشتباه نکنید!!
1- برای ورود به قسمت مدیریتی که من طراحی مکنیم اول یه پسورد ست میشه که cpanel اونو مدیریت میکنه!
من به فرض اینکه هکر تونست اولی رو دور بزنه و به دومی برسه!!! به یه همچین چیزی بر بخوره منصرف میشه چون 2 تا رمز که هر کدوم بعد 3 با غیرفعال بشند. هیچ هکری همچین کاری رو نمیکنه که 100% براش غیر عملی باشه. تازه آخرشم اگه طرف خیلی کنه باشه میشه IP اونو ban کرد!!!!
2- از توی usermanager نمیشه اکانت ادمین رو حذف کرد و یکی دیگه بجاش تعریف کرد. حتی از توی PHPMyAdmin هم نشد. حتی نتونستم rename کنم. بازم جواب نداد.
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
سلام
شما می تونید از مدیریت کاربران نام کاربری admin را تغییر دهید وبرای این کار مشخصات admin را در مدیریت کاربران باز کنید و نام کاربری آن را از admin به هر چی که دوست دارید تغییر دهید حالا super administrator شما دیگه admin نیست
من این راه را تست کردم و جواب داد
اما توصیه می کنم بعد از این کار یک کاربر با نام admin بسازید اما با سطح دسترسی کاربر معمولی که از این نام کاربری سو استفاده نشود.
یا علی/خداحافظ
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
به اعتقاد من راه های بهتری هم هست.
مثلا میشه از سیستم های توکن استفاده کرد.
یا اینکه یه کامپوننت اختصاصی نوشت که با یه برنامه به صورت Ldap یا هر سیتم اتنتیکیشن دیگه ارتباط برقرار کنه و تا زمانی که اون برنامه پرمیشن میده اجازه استفاده بده. این طوری مثل یه کلید قفل عمل میشه. (LDAP برای مامبو موجوده.)
ولی یه سوال:
آیا سایتی که اینقدر تحت خطر باشه با این سیستمها ایمن میشه؟
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
[quote author=AHMADZADEHَ link=topic=1938.msg11155#msg11155 date=1155589324]
سلام
شما می تونید از مدیریت کاربران نام کاربری admin را تغییر دهید وبرای این کار مشخصات admin را در مدیریت کاربران باز کنید و نام کاربری آن را از admin به هر چی که دوست دارید تغییر دهید حالا super administrator شما دیگه admin نیست
من این راه را تست کردم و جواب داد
اما توصیه می کنم بعد از این کار یک کاربر با نام admin بسازید اما با سطح دسترسی کاربر معمولی که از این نام کاربری سو استفاده نشود.
یا علی/خداحافظ
[/quote]
راستش من این کارو از PHPmyAdmin تست کردم. اما الان جواب داد.
[quote author=سیامک link=topic=1938.msg11156#msg11156 date=1155589529]
(LDAP برای مامبو موجوده.)
[/quote]
کامپوننتش چیه؟
[quote author=سیامک link=topic=1938.msg11156#msg11156 date=1155589529]
ولی یه سوال:
آیا سایتی که اینقدر تحت خطر باشه با این سیستمها ایمن میشه؟
[/quote]
میشه از این راه امن ترش کرد
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
الآن من برای Javad4U.NET و HackerMeter.Org این روش ها رو پیاده کردم (حالا کسی شیر نشه بیاد هکمون کنه ؟!)
1- Password Protected Area
2- ACL Ban List
3- JSG (Javad Spam Guard) available on my site for download
4- Token
+ کمی حواس جمع
جهت مشاهده لینک ها باید ثبت نام کنید یا لاگین کنید.
مجوز های ارسال و ویرایش
علاقه مندی ها (Bookmarks)